Niszczenie danych z nośników w praktyce.

Niszczenie danych, a przepisy prawne. 

Prawo polskie odnosi się w wielu ustawach do niszczenia danych, jednak co ciekawe, nigdzie dokładnie nie określa jakimi metodami takie niszczenie powinno się odbywać.

Przeanalizowaliśmy większość ustaw oraz rozporządzeń obowiązujących obecnie w krajowym ustawodawstwie i nigdzie nie znaleźliśmy jednoznacznego określenia sposobu niszczenia danych. Wykładnia jest prosta: niszczenie danych musi być skuteczne, czyli nieodwracalne.

Oznacza to, że umowy dotyczące usuwania danych opierają się raczej na przyjętym porządku, a nie obowiązującym prawie.

NISZCZENIE DANYCH W ŚWIETLE OBOWIĄZUJĄCYCH USTAW. 

Przyjrzyjmy się więc kilku ważnym ustawom, dotyczącym danych wrażliwych, księgowych i innych danych osobowych. Na początek ustawa z dnia 29.09.1994 o rachunkowości. Określa ona obowiązek przechowywania dokumentacji księgowej (artykuł 74.) nie precyzując jednocześnie sposobu niszczenia tych danych po ustaniu konieczności składowania dokumentów.

A przecież chodzi tutaj o księgi rachunkowe, karty wynagrodzeń pracowników, dowody księgowe dotyczące wpływów ze sprzedaży detalicznej czy dokumenty dotyczące rękojmi i reklamacji, czyli istotne dane firmowe.

W kontekście ochrony danych osobowych ważną ustawą jest ta z dnia 29.08.1997. Zacytujmy zatem: „1. Każdy ma prawo do ochrony danych osobowych”. Ponadto regulacja ta dokładnie informuje kto jest zobowiązany do zapewnienia tejże ochrony: wszystkie organy państwowe, samorządowe, komunalne jednostki organizacyjne, podmioty realizujące zadania publiczne.

Wymienić należy również: osoby fizyczne, prawne jednostki organizacyjne niemające osobowości prawnej, które przetwarzają dane w związku z działalnością zarobkową, zawodową lub celem realizacji założeń statutowych (art. 3).

Artykuł 6 jasno określa natomiast czym są dane osobowe i jak podaje ustawa „za dane osobowe uważa się każdą informację dotyczącą osoby fizycznej pozwalającą na określenie tożsamości tej osoby”.

Artykuł 7 ustawy dotyczy usuwania danych rozumianego jako zniszczenie danych osobowych lub taką ich modyfikację, by niemożliwe było ustalenie tożsamości. Nie ma jednak nakreślonej procedury niszczenia informacji zawartych na nośnikach. Ustawodawca nie precyzuje zarówno metody, jak i sposobu przechowywania.

ROZPORZĄDZENIA, CZY PRECYZUJĄ METODY NISZCZENIA DANYCH? 

Podobnych wątpliwości nie rozwiewa również Rozporządzenie Prezesa Rady Ministrów z dnia 7 października 2002 r. (Dz.U. 2002 nr 172 poz. 1404), czy Rozporządzenie Prezesa Rady Ministrów z dnia 7 września 2006 r. (Dz.U. 2006 nr 165 poz. 1172).

Pierwsze dotyczy działań ABW, drugie zaś CBA. W obu przypadkach dane mają zostać usunięte: „w sposób uniemożliwiający odtworzenie treści tych zapisów” lub „w sposób uniemożliwiający ich odczytanie” co w żaden sposób nie informuje zainteresowanych, jak należy zniszczyć dane.

Szukając dalej docieramy do Ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych, ale ta również nie rozwiewa wątpliwości jak niszczyć niejawne dane, których obowiązek przechowywania upłynął.

Pewną rewolucją było wprowadzenie ustawy RODO, która od 2018 roku znacznie upowszechniła wiedzę na temat ochrony danych osobowych. Czy jednak w tym akcie prawnym jest mowa o tym, jak należy niszczyć dane? Niestety nie, sposób ich usuwania w żadnym momencie nie został określony.

PODSUMOWANIE. USŁUGI SELKEA: NISZCZENIE DANYCH. 

Czym zatem kierować się przy usuwaniu danych? Formatowanie dysku to dobre rozwiązanie w przypadku mało istotnych danych. Kiedy jednak mowa o informacjach niejawnych firm, czy danych wrażliwych klientów (np. dane medyczne w szpitalu) to należy skorzystać z metod w pełni profesjonalnych.

W tym wypadku instytucje państwowe oraz podmioty gospodarcze mogą posługiwać się niemiecką normą DIN 66399, która reguluje wymogi i obowiązki w zakresie bezpiecznego niszczenia dokumentów i nośników danych.

Stosuje ją z powodzeniem wiele krajów UE i dla Polski warto przyjąć tę samą zasadę. Pomimo ustawowego obowiązku posługiwania się konkretną normą niszczenia danych, ta przyjęta została w większości miejsc. Również Selkea stosuje się do normy DIN 66399, gwarantując jej przestrzeganie przy niszczeniu fizycznym w specjalistycznej maszynie.

Dodatkowym rozwiązaniem jest programowe usuwanie danych, które również jest dobrym i polecanym przez naszych specjalistów sposobem. Umożliwia ponowne wykorzystanie dysku twardego. Proces usuwania danych potwierdzamy specjalistycznym raportem. Jako firma zapewniamy bezpieczeństwo nośników i najwyższą troskę o dane poufne Twojego przedsiębiorstwa.

U nas możesz liczyć na: transport w specjalistycznych, certyfikowanych pojemnikach, podwójne zabezpieczenie pojemników, czyli certyfikowane plomby z unikalnym kodem oraz taśmy, stały monitoring podczas transportu nośników danych, jak i ich oczekiwania na niszczenie w SelkeaLab, ograniczone strefy dostępu, udostępniane wyłącznie specjalistom SelkeaLab.