Wszystkie podmioty, które gromadzą i przetwarzają dane osobowe, zobowiązane są do ochrony tych danych przed nieuprawnionym dostępem. Wprowadzenie RODO ma na celu regulację kwestii związanych z bezpiecznym wykorzystywaniem, przechowywaniem i usuwaniem danych osobowych. Sprawdź, w jaki sposób powinno przebiegać niszczenie danych lub dokumentów zapisanych na różnych nośnikach zgodnie z obowiązującym rozporządzeniem.
Rozporządzenie o ochronie danych osobowych obowiązuje od 25 maja 2018 r. na terenie wszystkich krajów Unii Europejskiej. Ma na celu ochronę osób fizycznych w związku z rozpowszechnieniem procesów przetwarzania baz danych. Rozporządzenie to reguluje, w jaki sposób firmy oraz instytucje mogą gromadzić, przekazywać i utylizować zebrane informacje. Przepisy mają zastosowanie dla wszystkich nośników danych, zarówno cyfrowych, jak i fizycznych.
Niszczenie dokumentów musi prowadzić do nieodwracalnego zniszczenia nośnika w taki sposób, by uniemożliwić ponowne odtworzenie wrażliwych danych. W tym miejscu warto wspomnieć, że rozporządzenie nie określa precyzyjnie samego sposobu niszczenia.
Zgodnie z zapisami RODO zniszczeniu powinny podlegać m.in. takie dokumenty jak:
Za naruszenie podstawowych zasad ochrony danych lub bezpodstawne udostępnienie danych przedsiębiorstwo może zostać ukarane grzywną do 4% rocznych przychodów lub do 20 mln euro. W przypadku wykrycia braków w systemach ochrony przewiduje się z kolei karę w wysokości 2% rocznego przychodu lub 10 mln euro. Ze względu na konsekwencje finansowe, a także potencjalne skutki wycieku danych klientów, każdy podmiot przetwarzający dane osobowe powinien przestrzegać zasad prawidłowego niszczenia dokumentacji.
Zgodnie z art. 5 RODO dokumenty z danymi osobowymi nie mogą być przechowywane dłużej, niż jest to niezbędne. Dany podmiot może więc przechowywać dane osobowe wyłącznie przez okres wymagany do zrealizowania celu, dla którego zostały pobrane. Rozporządzenie nie określa jednak maksymalnego wymiaru czasu ich przechowywania. W klauzuli informacyjnej dot. przetwarzania danych nie może znajdować się informacja o tym, że dane będą przechowywane bezterminowo. Administrator bazy zobowiązany jest do samodzielnego ustalenia czasu, po którym dane zostaną usunięte.
Wytyczną tego, jak długo powinniśmy przechowywać dane, mogą być inne przepisy szczegółowe. Przykładowo art. 189g §1 Kodeksu postępowania administracyjnego stanowi, iż administracyjna kara pieniężna nie może zostać nałożona, jeśli upłynęło 5 lat od dnia naruszenia prawa lub wystąpienia skutków naruszenia prawa. Na tej podstawie możemy przyjąć, że dane, takie jak faktury i rachunki w naszej firmie, powinniśmy przechowywać przez 5 lat. Za drugi przykład niech posłuży art. 94 pkt 9b Kodeksu pracy. Wskazano w nim, że dokumentacja pracownicza powinna być przechowywana przez cały okres zatrudnienia oraz przez 10 lat, licząc od końca roku kalendarzowego, w którym stosunek pracy uległ rozwiązaniu (chyba że inne przepisy stanowią inaczej).
Jeśli chcemy zutylizować dokumentację, możemy wybrać jedną z dwóch opcji. Pierwszą z nich jest skorzystanie z usług wyspecjalizowanej firmy. Drugą opcją jest zakup niszczarki i niszczenie samodzielne. Mniejsze firmy przetwarzające niewielkie ilości dokumentów najczęściej decydują się na tę drugą opcję. Kluczowe dla przestrzegania zasad RODO w przypadku tego typu podmiotów jest przeszkolenie pracowników z zakresu przepisów dot. ochrony danych osobowych oraz zakup niszczarki zapewniającej odpowiedni stopień bezpieczeństwa.
Z kolei instytucje i przedsiębiorstwa, które generują bardzo duże ilości dokumentów i nośników, liczone w setkach kilogramów miesięcznie, często zlecają tę usługę zewnętrznym firmom. Jednak przy wyborze wykonawcy tego typu usług należy zachować dużą ostrożność. W pierwszej kolejności warto zweryfikować, czy firma posiada urządzenia gwarantujące niszczenie dokumentów zgodne z normą DIN 66399. Niezbędne jest również podpisanie umowy powierzenia danych, która ma zagwarantować, że firma pozbywająca się dokumentów posiada środki techniczne i organizacyjne, by sprostać wymogom RODO. Pamiętajmy, że za nieodpowiednie zniszczenie dokumentacji z danymi odpowiadamy my, a nie firma, której zleciliśmy usługę.
Przejdźmy do stawianych niszczarkom wymogów określonych we wspomnianej wcześniej normie DIN 66399. Szerzej kwestie te tłumaczymy w poradniku, jak wybrać niszczarkę do biura.
W normie DIN 66399 wymieniono trzy klasy wymogu ochrony danych. Pierwsza klasa dotyczy dokumentów dostępnych dla większych grup odbiorców. Klasa druga odnosi się do informacji przeznaczonych dla wąskiego grona, które mogłyby mieć znaczący negatywny wpływ na biznes w przypadku ujawnienia. W najwyższej trzeciej klasie znajdują się najbardziej poufne dane, których wyciek mógłby spowodować poważne negatywne konsekwencje dla firmy. Jeśli chcemy niszczyć dokumentację zgodnie z wymogami RODO, należy zastanowić się and tym, której klasy dane wykorzystujemy w przedsiębiorstwie.
W dalszej części dokumentu zdefiniowanych zostało 7 poziomów bezpieczeństwa, określających maksymalną wielkość ścinków, które pozostają po niszczeniu danego nośnika. Dla przykładu w przypadku niszczarki o stopniu tajności P-7 przeznaczonej dla ściśle tajnych danych, szerokość ścinka nie może przekraczać 1 mm, a powierzchnia nie może przekraczać 5 mm2. Podobne siedmiostopniowe skale zdefiniowano również dla nośników magnetycznych (np. identyfikatory z paskiem magnetycznym), elektronicznych (pendrive czy dyski SSD), optycznych (płyty CD/DVD i Blu-ray), klisz i mikrofilmów oraz dysków HDD.
Przeczytaj więcej – Klasy ochrony niszczarek
Przed wyborem konkretnego sposobu niszczenia należy przeanalizować poziom tajności danych, które przetwarzane są przez dany podmiot. Przywołana wyżej niszczarka o stopniu bezpieczeństwa P-7 jest stosowana głównie w największych korporacjach, bankach, wojsku i innych obiektach, które wymagają maksymalnego bezpieczeństwa. W zdecydowanej większości biur w zupełności wystarczające okazują się niszczarki do papieru o stopniach tajności od P2 do P4.
Stare nośniki z danymi nie mogą nadawać się do ponownego użytku. Niestety samo ich nadpisanie nie zawsze jest skuteczne. Wiele modeli niszczarek dostępnych w sprzedaży wyposażonych jest w funkcję niszczenia płyt CD/DVD i Blu-ray. Bardziej wyspecjalizowane urządzenia pozwalają na niszczenie dysków SSD oraz HDD. Doskonałym przykładem jest niszczarka OPUS dataPREDATOR. W przypadku wątpliwości z doborem właściwego urządzenia do swojej firmy zachęcamy do kontaktu z naszymi ekspertami.
Polecamy zakup naszych produktów u partnerów handlowych zlokalizowanych w całej Polsce. Nasi partnerzy doradzą w wyborze najlepszych urządzeń biurowych.
Znajdź punkt sprzedażyKorzystaj z panelu dilera, w którym udostępniamy informacje dot. naszego asortymentu, warunki sprzedaży oraz materiały marketingowe.
Zaloguj się