W środowisku biurowym codziennie wytwarzane są setki dokumentów. Prawidłowe zniszczenie przedawnionych lub niepotrzebnych akt jest podstawą gwarantującą bezpieczeństwo tajnych lub poufnych informacji w każdej firmie. Ponadto szereg ustaw prawa polskiego reguluje terminy niszczenia poszczególnych rodzajów dokumentacji, a nad tymi zawierającymi dane osobowe od zeszłego roku czuwa RODO. Jak powinno odbywać się niszczenie dokumentów firmowych w świetle prawa? Kiedy stosować się wytycznych RODO, a kiedy niszczyć zgodnie z normą DIN 66399? Czy jedno wyklucza drugie?
Polskie prawo określa jedynie, że dokumenty przeznaczone do utylizacji powinny zostać zniszczone w taki sposób, aby nie było możliwe ponowne odczytanie ich treści. Mogłoby się wydawać, że ten enigmatyczny zapis pozostawia dość szerokie pole w kwestii niszczenia danych, jednakże w celu unifikacji procesów utylizacji i chęci podnoszenia bezpieczeństwa informacji w Polsce przyjęto standardy niszczenia dokumentacji zgodne z DIN 66399. Norma szczegółowo określa, w jaki sposób i w jakim stopniu powinny być niszczone dokumenty papierowe oraz ich odpowiedniki zapisane na nośnikach danych. W przypadku dokumentacji zawierającej dane osobowe z pomocą przychodzi nam RODO, które jasno precyzuje, jakie informacje są danymi osobowymi oraz w jakich przypadkach powinny być niszczone. Pozostała dokumentacja, która może pojawić się w naszym przedsiębiorstwie, powinna być niszczona po utracie swojej przydatności, którą ściśle regulują poszczególne ustawy.
Norma opracowana przez Standards Committee for Information Technology and Applications w 2012 roku podzieliła dokumenty ze względu na nośniki: dokumentacja papierowa, elektroniczne nośniki danych (dyski SSD, pamięci USB, karty pamięci itp.), informacje w rozmiarze pomniejszonym (klisze, składy, mikrofilmy), dyski twarde, magnetyczne nośniki danych (dyskietki, kasety z taśmą magnetyczną), optyczne nośniki danych (płyty CD/DVD). Niezależnie od nośnika norma DIN 66399 wprowadza stopnie tajności odnoszące się do poszczególnego rodzaju dokumentacji. Jako że dopuszcza jedynie niszczenie w sposób mechaniczny, wprowadza także klasy bezpieczeństwa opisujące w szczegółowy sposób parametry ścinka powstałego w procesie niszczenia dla dokumentów zakwalifikowanych do klas tajności. Zgodnie z wytyczonymi klasami tajności i stopniami bezpieczeństwa, powinniśmy niszczyć całą dokumentację przetwarzaną wewnątrz naszej firmy.
RODO weszło w życie 25 maja 2018 roku i odnosi się do wszelkich kwestii związanych z przetwarzaniem dokumentacji zawierającej dane osobowe. Poprzez przetwarzanie dokumentacji ustawa rozumie także jej niszczenie. RODO kładzie nacisk na zwiększoną ochronę danych, jednakże nie podpowiada w jaki sposób osiągnąć ten cel. W tym przypadku każdy podmiot przetwarzający dane osobowe powinien wdrożyć własną strategię przetwarzania danych, czyli także opracować system prawidłowego i bezpiecznego niszczenia akt, tak aby niepowołane osoby nie miały do nich dostępu lub nie mogłyby odtworzyć ich treści. W wypadku niszczenia dokumentów z danymi osobowymi RODO tylko wyraźnie mówi, że dokumenty tego typu nie powinny być przechowywane dłużej niż jest to konieczne.
Zalecenia RODO oraz wytyczne normy DIN 66399 w żaden sposób się nie wykluczają. Dokumenty z danymi osobowymi również powinny być niszczone na sprzęcie zgodnym z DIN 66399 tak, aby zmaksymalizować wymogi bezpieczeństwa. Bezpieczne niszczenie dokumentów, bez względu na ich typ, wiąże się z koniecznością zastosowania do tego celu niszczarki biurowej lub zlecenia usługi firmie zajmującej się profesjonalnym niszczeniem dokumentacji. W pierwszym przypadku powinniśmy zwracać uwagę na to, aby pracownicy sami niszczyli dokumentację, a nie tylko wyrzucali ją do kosza. Jeśli zdecydujemy się firmę outsourcingową, najlepiej wybrać taką o ugruntowanej pozycji na rynku i kompleksowym wachlarzu usług, która będzie w stanie niszczyć nie tylko klasyczną dokumentację papierową, ale także tę zapisaną na innych nośnikach danych. Po przekazaniu bądź odbiorze dokumentów firma z branży niszczenia wykona całą pracę za nas, a ukończone zlecenie potwierdzi odpowiednim certyfikatem.
Autor