fbpx
Zaznacz stronę

Wiele organizacji zastanawia się nad tym, jakie urządzenie niszczące wybrać do dokumentów zawierających dane osobowe. Przy okazji RODO, pojawiło się na rynku nawet wiele niszczarek z opisem „zgodna z RODO”. Czy to jest tylko chwyt marketingowy, czy za takim urządzenim rzeczywiście stoją także argumenty merytoryczne? W tym wpisie pokazuję jak świadomie wybrać odpowiednie urządzenie i nie dać się nabić w butelkę.

Niszczarka zgodna z RODO. Co to właściwie oznacza?

Zgodnie z motywem 74 RODO, administrator danych ma prawny obowiązek wprowadzenia takich środków organizacyjnych (np. procedur dotyczących niszczenia dokumentów) oraz środków technicznych (np. niszczarek), które będą zapewniały odpowiedni poziom ochrony informacji względem kategorii danych i zagrożeń. Oznacza to, że każda osoba, firma lub instytucja, która przetwarza dane na cele statutowe, zawodowe lub zarobkowe powinna samodzielnie dobrać właściwe urządzenia, biorąc co najmniej pod uwagę to, czy przetwarza dane osobowe zwykłe, czy dane wrażliwe. Co do zasady ta ostatnia kategoria danych zawsze wymagać będzie wprowadzenia wyższego poziomu ochrony. RODO nie wskazuje nam jednak żadnego konkretnego urządzenia do niszczenia dokumentów.

RODO wymusza prawny obowiązek wprowadzania adekwatnych środków organizacyjnych i technicznych, które zapewnią adekwatny poziom ochrony informacji.

Normy ISO.

Gdzie w takim razie powinniśmy szukać wskazówek, co do wyboru właściwego rozwiązania. Tu z częściową pomocą przychodzi nam norma ISO 27001 (System Zarządzania Bezpieczeństwem Informacji), a także norma 27002 (Techniki bezpieczeństwa), które wskazują nam ogólne założenia związane z niszczeniem dokumentacji oraz nośników zawierających dane osobowe. Co do zasady, dane osobowe i inne informacje poufne powinny być niszczone w taki sposób, aby nie było możliwe ich ponowne odtworzenie, np. poprzez spopielenie lub pocięcie. Norma sugeruje także możliwość skorzystania z usług profesjonalnych podmiotów, które oferują niszczenie dokumentacji. Jednak warunkiem jest wybór takiej firmy, która będzie gwarantowała odpowiedni poziom ochrony i zapewniała zabezpieczenia danych, które będą podlegały takiej utylizacji. Nadal jednak są to ogólne zalecenia, które trzeba dostosować do potrzeb danej firmy lub instytucji.

Poziom bezpieczeństwa wg norm DIN.

Są jednak normy, które można wprost odnieść do kategorii odpowiedniego urządzenia. Jest to norma DIN 66399 obowiązująca od 2012 roku, zastępująca dotychczasową normę DIN 32757. Celowo w poniższej tabeli podaję obydwie normy DIN, gdyż można się jeszcze spotkać z takim oznaczeniem urządzeń niszczących, które odnoszą się do również do poprzedniczki normy.

Norma DIN 66399 wyróżnia aż 7 poziomów bezpieczeństwa!


Aktualna norma dotycząca klasyfikacji niszczenia dokumentów i innych nośników informacji – DIN 66399 – wyróżnia aż 7 poziomów bezpieczeństwa. Każde urządzenie niszczące, nawet najtańsza niszczarka z supermarketu, powinno mieć oznaczenie odpowiadające jednemu z tych poziomów (P1-P7). To, jaki poziom bezpieczeństwa będzie zapewniało urządzenie niszczące ma bardzo duże znaczenie. Jeżeli chcemy wybrać odpowiednie urządzenie, które zapewni wysoki poziom ochrony niszczonych danych to powinniśmy się wcześniej zapoznać z tym, jakie wymogi bezpieczeństwa gwarantują poszczególne poziomy. Do każdego z nich norma przypisuje zastosowanie, np. poziom odpowiedni do dokumentów poufnych, a także informację o tym jakiej wielkości paski lub ścinki otrzymamy po zniszczeniu dokumentu. Dzięki temu można bardzo precyzyjnie określić jakie urządzenie niszczące będzie dla organizacji najlepszym rozwiązaniem.

W tabeli zaznaczyłam na niebiesko trzy poziomy bezpieczeństwa, na które warto zwrócić uwagę. Niszczarki spełniające poziom P3 (dawniej DIN 3) to urządzenia do dokumentów poufnych, w tym danych osobowych zwykłych. Jest to minimalny poziom bezpieczeństwa jakiemu powinny odpowiadać niszczarki, które służą do utylizacji dokumentów bieżących, które nie zawierają danych wrażliwych. Po zniszczeniu dokumentu w urządzeniu tej klasy otrzymamy paski o szerokości mniejszej niż 2 mm lub ścinki o powierzchni mniejszej niż 320 mm². 

By mieć pewność prawidłowego i nieodwracalnego niszczenia dokumentów, należy używać niszczarek poziomu nie niższego niż P4.

Jednak najbardziej optymalnym rozwiązaniem są urządzenia zapewniające poziom bezpieczeństwa P4, które przeznaczone są do dokumentów szczególnie poufnych. Mogą znaleźć zastosowanie do wielu dokumentów zawierających dane osobowe w każdej organizacji. Przy użyciu niszczarki z oznaczeniem P4 otrzymamy ścinki o powierzchni nie większej niż 160 mm².  Dla przykładu – powierzchnię tego rozmiaru uzyskamy dla ścinków o wymiarach 4 mm x 350 mm. Odtworzenie dokumentu ze ścinków o takich rozmiarach wymagałoby nadmiernie dużo czasu i wysiłku. Tym samym należy uznać, że ich zniszczenie odbywa się w sposób praktycznie nieodwracalny. Dlatego warto zaopatrzyć się co najmniej w urządzenia spełniające kryteria poziomu P4. Niszczarki zapewniające ten poziom bezpieczeństwa są bardzo łatwo dostępne, a ich cena jest w zasięgu ręki firm i instytucji.

Im bardziej wrażliwe informacje posiadamy, tym wyższy powinien być poziom ich ochrony. Poziom P5 (dawniej DIN 4) jest jednym z tych poziomów, które zapewniają ochronę dokumentom tajnym, a ścinki jakie dzięki nim otrzymamy będą mniejsze niż 30 mm², przy czym szerokość ścinka nie przekracza wtedy 2 mm. Są to już bardzo niewielkie fragmenty dokumentacji, które uniemożliwiają jakiekolwiek próby jej odtworzenia. Powyżej tego poziomu są już tylko urządzenia niszczące dla dokumentów ściśle tajnych i szczególnie ściśle tajnych, które przetwarzają agencje rządowe.

Opis tabeli: Zastosowanie i wymagania niszczarek wg normy DIN 66399.