Niniejszym wpisem rozpoczynamy serię praktycznych porad w zakresie środków bezpieczeństwa, które warto wdrożyć w każdej firmie.
Bezpieczeństwo informacji, w tym danych osobowych, zależy często od bardzo podstawowych kwestii. Jedną z nich jest zadbanie o odpowiednią klasę niszczarek przez które dosłownie “przechodzą” informacje, które przetwarza organizacja – oferty dla kontrahentów, umowy z pracownikami, wnioski urlopowe, CV kandydatów do pracy, notatki.
Zachowanie części z tych danych w poufności jest dla organizacji istotne nie tylko z uwagi na obowiązujące przepisy RODO, ale także z uwagi na konieczność dochowania tajemnicy przedsiębiorstwa, poufności umów, know-how, a także rzetelności względem kontrahentów.
Może się wydawać, że zniszczenie dokumentów zwykłą niszczarką jest wystarczające do tego, aby dokumenty nie wpadły w niepowołane ręce. Niestety, ale często pomimo zniszczenia dokumentów i tak mogą one w pewnym stopniu zachować czytelność, a informacje na nich zawarte mogą zostać wykorzystane przez osoby trzecie.
Wybierając niszczarkę warto mieć na uwadze normę DIN 66399, która określa wymogi w zakresie niszczenia dokumentów oraz nośników elektronicznych.
Norma ustanawia trzy klasy ochrony danych dla procesu ich niszczenia:
| Klasa 1 | Normalna ochrona wymagana dla danych wewnętrznych. Informacje te są przeznaczone i dostępne dla większych grup. Nieuprawnione ujawnienie mogłoby mieć ograniczony negatywny wpływ na firmę. Ochrona danych osobowych musi być zagwarantowana. Przykłady: korespondencja, spersonalizowane reklamy, katalogi, notatki, itp. |
| Klasa 2 | Wysokie wymagania ochrony dla wrażliwych danych, które są przeznaczone dla wąskiego grona osób. Nieuzasadnione ujawnienie mogłoby mieć znaczący wpływ na biznes i może naruszać zobowiązania umów prawnych. Ochrona danych osobowych podlegająca rygorystycznym warunkom. Przykłady: „wiedza niezbędna” jak odpowiednia korespondencja ofertowa, wnioski, notatki, zawiadomienia, dane osobowe, itp. |
| Klasa 3 | Bardzo wysokie wymagania ochrony dla wysoce poufnych i tajnych danych z ograniczeniem do wąskiej grupy autoryzowanego dostępu. Nieuprawnione ujawnienie mogłoby spowodować poważne konsekwencje dla firmy i naruszałoby tajemnice handlowe, umowy i przepisy prawa. Ochrona danych osobowych musi być bezwzględnie zabezpieczona. Przykłady: Dokumentacja zarządzania, dokumentacja badawczo-rozwojowa, dane finansowe, sprawozdania itp. |
Poza klasami ochrony, norma ustanawia siedem stopni bezpieczeństwa:
| Stopień 1 | Wszystkie dokumenty pisemne, które maja stać się nieczytelne lub zostać unieważnione, np. przestarzałe materiały promocyjne: katalogi, prospekty itp. |
| Stopień 2 | Dokumenty firmowe, które mają stać się nieczytelne lub zostać unieważnione, np. korespondencja filmowa: nieaktualne instrukcje, wytyczne dotyczące podróży, ogłoszenia, formularze. |
| Stopień 3 | Nośniki z danymi chronionymi i poufnymi, a także danymi osobowymi, które wymagają większej ochrony, np. analiza obrotów handlowych i dokumenty podatkowe przedsiębiorstwa, a także oferty, zamówienia itp. z danymi adresowymi osób. |
| Stopień 4 | Nośniki z danymi szczególnie chronionymi i poufnymi, a także z danymi osobowymi, które podlegają większej ochronie, np. bilanse, listy płac, dane/akta osobowe, umowy pracy, dokumentacja medyczna, dokumenty podatkowe. |
| Stopień 5 | Nośniki danych z tajnymi informacjami o kluczowym znaczeniu z punktu widzenia istnienia osoby, przedsiębiorstwa, lub instytucji, np. patenty, dokumentacja konstrukcyjna, dokumenty strategiczne, analizy konkurencji, dokumenty procesowe. |
| Stopień 6 | Nośniki danych z tajnymi dokumentami, w przypadku których należy zachować nadzwyczajne środki bezpieczeństwa, np. dokumentacja dotycząca badań i rozwoju, dokumentacja urzędowa. |
| Stopień 7 | Dla danych ściśle tajnych, wobec których obowiązują najwyższe wymagania odnośnie bezpieczeństwa, np. wojsko czy policja. |
Przy wyborze niszczarki warto określić stopień wrażliwości danych, które niszczymy. Pozwoli to na wybór niszczarki o właściwym stopniu bezpieczeństwa.
W czerwcu 2023 r. w sieci opisywany był przypadek firmy, która do wypełnienia paczki wykorzystała pocięte wydruki transakcji. Z uwagi jednak na zastosowanie niszczarki o niskiej klasie ochrony, dane osobowe z łatwością można było odtworzyć (nazwy kont użytkowników, imiona, nazwiska, numery telefonów, numery płatności). Jak łatwo się domyślić – odbiór tej informacji nie był zbyt pozytywny.
Taka praktyka w oczach klientów oraz kontrahentów jest z pewnością mało profesjonalna i może zburzyć renomę budowaną latami.
Zakup niszczarki o odpowiedniej klasie nie powinien wywrócić budżetu firmy do góry nogami, a zapewni, że dane, które miały pozostać poufne – takimi pozostaną.
