Blog o Ochronie Tożsamości Szczegoly

Szczegoly

  poprzedni wpis następny wpis  

2019-03-05 | Fellowes Polska SA | Albert Rynio

Jednym z najczęściej zadawanych pytań, które otrzymujemy od naszych kontrahentów i klientów, jest: "Czy nasze niszczarki dokumentów rozdrabniają dokumenty na ścinki o rozmiarze, który jest zgodny z RODO?" Odpowiedź brzmi oczywiście: TAK, ale Ogólne Rozporządzenie o Ochronie Danych (RODO), które weszło w życie 25 maja 2018 r., w rzeczywistości nie określa rozmiarów ścinków, wymaganych do zachowania zgodności. Przepisy rozporządzenia wymagają jedynie, aby Administratorzy Danych Osobowych (ADO) podejmowali wszelkie techniczne i praktyczne środki, aby zapewnić bezpieczeństwo danych osobowych.

Podczas, gdy przepisy prawne RODO nie określają wielkości ścinków w zgodności z rozporządzeniem, istnieją organy regulacyjne, które mogą ustalać standardy dotyczące bezpiecznego niszczenia wrażliwych materiałów, zawierających dane osobowe. Normy ustalane przez te organy określają wielkość ścinków w ustalonej skali. Istnieją dwie podstawowe skale, do których odnoszą się organy regulacyjne przy ustalania lub szacowaniu rozmiaru ścinków – są to normy EN 157131 (norma określająca praktyczne rozwiązania w zakresie bezpiecznego niszczenia dokumentów niejawnych) i DIN 663992 (norma regulująca wymogi i obowiązki w zakresie bezpiecznego niszczenia dokumentów i nośników danych). Standardowa powierzchnia jednego ścinka to 2000 mm2. Według normy EN 15713 poziom bezpieczeństwa 4 (DIN P-1) jest odpowiedni dla większości, wrażliwych pod względem handlowym, dokumentów, a poziom 6 (DIN P-4) dla większości dokumentów klasyfikowanych jako tajne.

Niszczenie na mikrościnki zwiększa bezpieczeństwo danych

Niszczenie na mikrościnki zwiększa bezpieczeństwo danych (źródło: Depositphotos®)

Jaka jest różnica między niszczeniem dokumentów na paski a ścinki?

Niszczarki rozdrabniające dokumenty na paski należą do najpopularniejszych i najtańszych niszczarek dostępnych na rynku, które idealnie nadają się do niszczenia dokumentów o niskim stopniu poufności. Natomiast niszczarki ścinkowe, które rozdrabniają kartkę papieru na ścinki o powierzchni do 2000 mm2 stosowane są do niszczenia dokumentów zawierających znaczne ilości danych osobowych, które trudno odzyskać ze zniszczonego materiału.

Ogólna zasada mówi: im więcej danych zawiera dokument lub im dane na nim zawarte są bardziej wrażliwe, tym rozmiar ścinka powinien być mniejszy!

Aby zachować bezpieczeństwo danych tajnych zaleca się, aby powierzchnia ścinka nie była większa niż 6-10 mm2. Bez zdefiniowanej prawnie wielości ścinka i przy braku jakichkolwiek wymagań regulacyjnych definiujących wielkość ścinków, trudne byłoby zachować zgodność z RODO. Normatywnie rozmiar ścinka, który mieści się w skali normy EN-15713 na poziomie 1-7, powinien wystarczyć do ograniczenia ryzyka naruszenia danych.

Administratorzy Danych Osobowych (ADO) powinni mieć świadomość, że im mniejsze ścinki, tym bezpieczniejsze niszczenie. Wraz z wejściem w życie RODO nastąpił gwałtowny wzrost zainteresowania niszczarkami i niszczeniem dokumentów. Wielu producentów niszczarek wprowadziło certyfikaty niszczenia w zgodzie z RODO, choć nie istnieje żadna organizacja lub urząd w Unii Europejskiej certyfikujący w tym zakresie: oczywisty "chwyt marketingowy" był jednak na tyle sugestywny, że dla wielu przedsiębiorstw, a nawet jednostek organizacji rządowych, stał się znaczącym wyróżnikiem dyskwalifikującym wielu producentów niszczarek w przetargach i zakupach z tzw. "wolnej ręki", zamiast wyboru czynnika determinującego proces bezpiecznego niszczenia. Punktem krytycznym dla każdego Administratora Danych Osobowych (ADO) powinien być zawsze rozmiar ścinka dopasowany do stopnia poufności dokumentów. Ważne jest, aby pamiętać, że rozmiar ścinków jest tylko jednym z czynników, który zapewnia bezpieczeństwo w cyklu życia każdego dokumentu.

Administratorzy Danych Osobowych (ADO) powinni brać pod uwagę wszystkie czynniki, które wpływają na bezpieczeństwo procesu niszczenia dokumentów, m. in.: podczas wyboru zewnętrznej (akredytowanej z ISO 27001) firmy niszczącej dokumenty; wybierając urządzenia niszczące dokumenty wewnątrz firmy przez uprawnionych pracowników; określając cykl życia dokumentów w przedsiębiorstwie, od momentu stworzenia dokumentu do jego ostatecznej utylizacji.

Badanie3 przeprowadzone przez Markteffect B.V. na zlecenie Fellowes pokazuje, że:

  • prawie 50% osób w biurze nie używa niszczarki papieru, aby pozbyć się poufnych dokumentów,
  • ponad 52% pracowników biurowych ma dostęp do dokumentów, pozostawionych bez nadzoru,
  • ponad 56% ankietowanych nie wie, że przestrzeganie RODO jest obowiązkiem każdego.

Stan bezpieczeństwa danych w każdym przedsiębiorstwie wpływa bezpośrednio na działalność, bezpieczeństwo i zgodność z przepisami prawa. Wraz z wejściem w życie unijnego rozporządzenia RODO odpowiednie zarządzanie ryzykiem i ustalenie polityki bezpieczeństwa danych stało się nie tylko wymagane, ale wręcz obowiązkowe, zwłaszcza w perspektywie wysokich kar – nawet do 20 mln euro lub 4% rocznego (światowego) obrotu przedsiębiorstwa. Zapewnienie odpowiednich i skutecznych niszczarek dokumentów i innych nośników danych, to niewielka cena, aby zapewnić integralność z rozporządzeniem. Warto o tym pamiętać!

1 Norma PN:EN 15713:2009: Bezpieczne niszczenie dokumentów niejawnych - rozwiązania praktyczne, z 2009 r.
2 Norma DIN 66399: norma regulujące wymogi i obowiązki bezpiecznego niszczenia dokumentów i nośników danych, opracowana przez Standards Committee for Information Technology and Applications, opublikowana w 2012 r.
3 Badanie przeprowadzone przez Markteffect B.V. na zlecenie Fellowes Brands, na przełomie czerwca/lipca 2018 r., wśród 7218 pracowników biurowych na terenie: Wielkiej Brytanii, Francji, Niemiec, Hiszpanii, Holandii, Włoszech i Polski.