W tym artykule dowiesz się, czym właściwie jest niszczarka zgodna z RODO i jak wybrać odpowiednie urządzenie. Wiele organizacji zastanawia się nad tym, jakie urządzenie niszczące wybrać do dokumentów zawierających dane osobowe. Tymczasem są na to sprawdzone sposoby i konkretne wytyczne.

Niszczarka zgodna z RODO. Co to właściwie oznacza?

Przy okazji RODO, pojawiło się na rynku wiele niszczarek z opisem „zgodna z RODO”. Czy to jest tylko chwyt marketingowy, czy za takim urządzenim rzeczywiście stoją także argumenty merytoryczne? Podpowiem Ci, jak świadomie wybrać odpowiednie urządzenie i nie dać się nabić w butelkę.

Zgodnie z motywem 74 RODO, administrator danych ma prawny obowiązek wprowadzenia środków organizacyjnych i technicznych, które będą zabezpieczały dane osobowe. W przypadku niszczenia danych na nośnikach tradycyjnych takim środkiem organizacyjnym mogą być więc, np. procedury utylizacji dokumentów. A przykładem środków technicznych, np. posiadanie niszczarek odpowiedniej klasy.

Środki te powinno się wprowadzać zależnie od kategorii przetwarzanych danych i ewentualnych zagrożeń. Oznacza to, że każda organizacja, która przetwarza dane na cele statutowe, zawodowe lub zarobkowe powinna samodzielnie dobrać właściwe urządzenia. Trzeba wziąć co najmniej pod uwagę to, czy przetwarza się dane osobowe zwykłe, czy dane wrażliwe. Co do zasady, ta ostatnia kategoria danych zawsze wymagać będzie wprowadzenia wyższego poziomu ochrony. RODO nie wskazuje nam jednak żadnego konkretnego urządzenia do niszczenia dokumentów.

RODO wymusza prawny obowiązek wprowadzania adekwatnych środków organizacyjnych i technicznych, które zapewnią adekwatny poziom ochrony informacji.

Normy ISO a niszczarka zgodna z RODO.

Gdzie w takim razie powinniśmy szukać wskazówek, co do wyboru właściwego rozwiązania. Tu z częściową pomocą przychodzi nam norma ISO 27001 (System Zarządzania Bezpieczeństwem Informacji), a także norma 27002 (Techniki bezpieczeństwa). To te dwie normy wskazują nam ogólne założenia związane z niszczeniem dokumentacji oraz nośników zawierających dane osobowe. Zasadą ogólną jest, że dane osobowe i inne informacje poufne powinny być niszczone w taki sposób, aby nie było możliwe ich ponowne odtworzenie. Można to osiągnąć, np. poprzez spopielenie lub pocięcie. Norma sugeruje także możliwość skorzystania z usług profesjonalnych podmiotów, które oferują niszczenie dokumentacji. Jednak warunkiem jest wybór takiej firmy, która będzie gwarantowała odpowiedni poziom ochrony i zapewniała bezpieczeństwo niszczonych danych.  Nadal jednak są to ogólne zalecenia, które trzeba dostosować do potrzeb danej firmy lub instytucji.

Poziom bezpieczeństwa wg norm DIN.

Są jednak na szczęście normy, które można wprost odnieść do kategorii odpowiedniego urządzenia. Jest to norma DIN 66399 obowiązująca od 2012 roku, zastępująca dotychczasową normę DIN 32757. Celowo w tabeli, którą znajdziesz poniżej, podaję obydwie normy DIN. Nadal można się spotkać z takim oznaczeniem urządzeń niszczących, które odnoszą się do również do poprzedniczki normy.

Norma DIN 66399 wyróżnia aż 7 poziomów bezpieczeństwa!

Aktualna norma dotycząca klasyfikacji niszczenia dokumentów i innych nośników informacji – DIN 66399 – wyróżnia aż 7 poziomów bezpieczeństwa. Każde urządzenie niszczące, nawet najtańsza niszczarka z supermarketu, powinno mieć oznaczenie odpowiadające jednemu z tych poziomów (P1-P7). To, jaki poziom bezpieczeństwa będzie zapewniało urządzenie niszczące ma bardzo duże znaczenie.

Jeżeli chcemy wybrać odpowiednie urządzenie, które zapewni wysoki poziom ochrony niszczonych danych to powinniśmy się wcześniej zapoznać z tym, jakie wymogi bezpieczeństwa gwarantują poszczególne poziomy. Do każdego z nich norma przypisuje zastosowanie, np. poziom odpowiedni do dokumentów poufnych, a także informację o tym jakiej wielkości paski lub ścinki otrzymamy po zniszczeniu dokumentu. Dzięki temu można bardzo precyzyjnie określić jakie urządzenie niszczące będzie dla organizacji najlepszym rozwiązaniem.

Odpowiedni poziom zgodności z RODO.

W tabeli zaznaczyłam na niebiesko trzy poziomy bezpieczeństwa, na które warto zwrócić uwagę. Dzięki temu z dużym prawdopodobieństwem wybierzesz własną niczarkę zgodną z RODO.

Niszczarki spełniające poziom P3 (dawniej DIN 3) to urządzenia do dokumentów poufnych, w tym danych osobowych zwykłych. Jest to minimalny poziom bezpieczeństwa jakiemu powinny odpowiadać niszczarki, które służą do utylizacji dokumentów bieżących, które nie zawierają danych wrażliwych. Po zniszczeniu dokumentu w urządzeniu tej klasy otrzymamy paski o szerokości mniejszej niż 2 mm lub ścinki o powierzchni mniejszej niż 320 mm².

By mieć pewność prawidłowego i nieodwracalnego niszczenia dokumentów, należy używać niszczarek poziomu nie niższego niż P4.

Jednak najbardziej optymalnym rozwiązaniem są urządzenia zapewniające poziom bezpieczeństwa P4, które przeznaczone są do dokumentów szczególnie poufnych. Mogą znaleźć zastosowanie do wielu dokumentów zawierających dane osobowe w każdej organizacji. Przy użyciu niszczarki z oznaczeniem P4 otrzymamy ścinki o powierzchni nie większej niż 160 mm².  Dla przykładu – powierzchnię tego rozmiaru uzyskamy dla ścinków o wymiarach 4 mm x 350 mm. Odtworzenie dokumentu ze ścinków o takich rozmiarach wymagałoby nadmiernie dużo czasu i wysiłku. Tym samym należy uznać, że ich zniszczenie odbywa się w sposób praktycznie nieodwracalny. Dlatego warto zaopatrzyć się co najmniej w urządzenia spełniające kryteria poziomu P4. Niszczarki zapewniające ten poziom bezpieczeństwa są bardzo łatwo dostępne, a ich cena jest w zasięgu ręki firm i instytucji.

Im bardziej wrażliwe informacje posiadamy, tym wyższy powinien być poziom ich ochrony. W przypadku wątpliwości warto wybierać urządzenia wyższej klasy. Poziom P5 (dawniej DIN 4) jest jednym z tych poziomów, które zapewniają ochronę dokumentom tajnym, a ścinki jakie dzięki nim otrzymamy będą mniejsze niż 30 mm², przy czym szerokość ścinka nie przekracza wtedy 2 mm. Są to już bardzo niewielkie fragmenty dokumentacji, które uniemożliwiają jakiekolwiek próby jej odtworzenia. Powyżej tego poziomu są już tylko urządzenia niszczące dla dokumentów ściśle tajnych i szczególnie ściśle tajnych, które przetwarzają agencje rządowe.

Zastosowanie i wymagania niszczarek wg normy DIN 66399/32757.

Zostań IOD
error: Nie kopiujemy!