Wymogi w niszczeniu nośników - aspekty prawne

Dysk twardy, nośniki typu flash etc. to kopalnia wiedzy na temat funkcjonowania przedsiębiorstwa. To często poufne dane finansowe i księgowe, raporty sprzedaży, bazy klientów i pracowników, informacje o rynku i produktach. W przypadku administracji publicznej, skala istotności i wrażliwości takich informacji rośnie jeszcze bardziej. O ile bardzo często przedsiębiorcy skupiają się na prawidłowym, zgodnym z prawem pozyskaniem danych (w tym danych osobowych), o tyle nie każdy zdaje sobie sprawę, że usuwanie danych również częściowo regulowane jest przepisami prawa.

Gdzie szukać przepisu?

Kwestie dotyczące niszczenia danych znajdziemy w wielu aktach rangi ustawowej i wykonawczej. Wystarczy wymienić chociażby ustawę o rachunkowości, ustawę o ochronie informacji niejawnych, Kodeks celny, Prawo bankowe, czy wreszcie ustawę o ochronie danych osobowych. Należy pamiętać o tym, że w przypadku tego ostatniego aktu prawnego usuwanie danych jest taką samą czynnością jak ich gromadzenie, przechowywanie czy archiwizowanie (jest częścią szerszego pojęcia „przetwarzania danych”, do którego korelują obowiązki administratora danych osobowych).

Cechą wspólną tych wszystkich przepisów jest ich swoista ogólność, pozostawiająca przedsiębiorcom / instytucjom pewien luz decyzyjny w zakresie doboru metod i sposobów realizacji wymogów prawa.

W zakresie danych osobowych (a w większości dane przechowywane na nośnikach będą miały taki charakter) – doprecyzowania należy szukać w Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

W punkcie VI ww. rozporządzenia wskazano, że Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do likwidacji — pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie.

Nie znajdziemy jednak odpowiedzi, co się pod tym pojęciem konkretnie kryje.

Ponieważ większość aktualnie stosowanych metod, w tym wiórkowanie mechaniczne, nie zapobiega odczytaniu danych, a tylko mniej lub bardziej utrudnia i/lub podwyższa koszty całego procesu, to może nie spełni wspomnianego wymogu. Ustawa o ochronie danych osobowych określa kary - nawet pozbawienia wolności - dla osób, które umożliwiły (nawet nieumyślnie) dostęp do danych osobowych, więc osoby nie niszczące skutecznie danych narażają się na odpowiedzialność karną.

Normy

Co więcej, w Polsce aktualnie nie ma norm odnośnie niszczenia nośników elektronicznych. Ostatnio pojawiła się niemiecka norma DIN 66399 zastępująca dotychczas obowiązującą normę DIN 32757, która wprowadziła nowe, zasadnicze regulacje w kontekście niszczenia wszelkich obecnie dostępnych nośników danych.

Nowa regulacja w zakresie urządzeń i procesów do niszczenia danych jest bardzo istotna dla polskiego rynku. Wobec braku polskich norm w tym obszarze, instytucja organizująca przetarg może powołać się na regulację z innego kraju - w tym przypadku Niemiec.

Nowa norma DIN 66399 wyróżnia sześć kategorii nośników danych, które oprócz znanych z normy DIN 32757 dokumentów papierowych obejmują również nowe nośniki danych - takie jak płyty CD/DVD, dyski twarde, karty z taśmą magnetyczną, karty pamięci, karty chipowe. Urządzenia i systemy do niszczenia nośników danych klasyfikuje się według stopnia niszczenia mechanicznego, z uwzględnieniem typu nośnika danych. Niestety norma pomija inne metody niszczenia danych, np. chemiczne czy termiczne, nawet jeśli są skuteczniejsze. Nowa norma wyróżnia trzy klasy ochrony zawierające siedem (w miejsce istniejących dotychczas pięciu) poziomów bezpieczeństwa, ustalane w oparciu o stopień poufności materiałów podlegających zniszczeniu. Norma reguluje wymogi dla podstawowej potrzeby ochrony danych (klasa ochrony 1), zwiększonej potrzeby ochrony danych poufnych (klasa ochrony 2) oraz bardzo wysokiej potrzeby ochrony szczególnie poufnych i tajnych danych (klasa ochrony 3). Każda klasa ochrony ma zdefiniowane zagrożenia, które jej odpowiadają. Konsekwencje niewystarczającego zapewnienia ochrony danych dla firm i osób prywatnych mogą być różne. Począwszy od szkód wizerunkowych, finansowych i prawnych, aż po groźbę upadku przedsiębiorstwa oraz zagrożenie zdrowia i życia osób, których dane nie zostały odpowiednio zabezpieczone.

Przyszłość

Projektowane nowe przepisy unijne, a konkretnie Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych – w motywie 30 określają, że Dane osobowe powinny być przetwarzane tylko wówczas, gdy celu przetwarzania nie można osiągnąć innymi środkami. Należy podjąć wszelkie stosowne kroki gwarantujące poprawienie lub usunięcie nieścisłych danych osobowych. Aby uniknąć przechowywania danych przez czas dłuższy niż jest to konieczne, administrator powinien ustalić termin usuwania danych lub okresowego przeglądu. Co najistotniejsze jednak – przetwarzanie danych, a więc również ich usuwanie – sankcjonowane będzie systemem kar administracyjnych, sięgających nawet do 1 miliona Euro lub 2% światowego obrotu danego administratora danych. Nowe przepisy (zastępujące polską ustawę o ochronie danych osobowych) powinny wejść w życie w 2014 lub 2015 roku.

Autorami tekstu są
Rafał Iwaniec,Ekspert Bezpieczeństwa Informacji,BOSSG Data Security Sp. z o.o.
oraz
Michał Kluska, aplikant adwokacki, Zespół Prawa Mediów Elektronicznych Kancelarii Olesiński i Wspólnicy, (biuro we Wrocławiu)

Artykuł pochodzi z 3 numeru magazynu DLP expert - który bezpłatnie można pobrać ze strony: https://www.dlp-expert.pl/magazine

Źródło: Redakcja