.
Kompendium wiedzy jest w budowie
Częste zagadnienia
Istnieje wiele przepisów dotycząc ochrony informacji / danych w sumie jest to około 30 aktów prawnych . Oczywiście najpopularniejszym jest rozporządzenia RODO dotyczące ochrony danych osobowych. Większość firmy i instytucje spłaszczyły temat ochrony informacji i to uproszczenie wydaje się sensowne, dlatego skupimy na rozporządzeniu. Chociaż ile razy pojawi się stwierdzenie „rozporządzenia RODO” w domyśle mamy też na myśli inne akty prawne (czy zdrowo rozsądkowe podejście)
Po wejściu w życie rozporządzenia RODO to Państwo ponoszą pełną odpowiedzialność prawną i finansową za poprawne przetwarzanie, a zatem i zniszczenie danych osobowych. Odpowiedzialność prawną i finansową będziecie Państwo ponosić również względem swoich kontrahentów / klientów za np. ujawnienie tajemnicy przedsiębiorstwa (w przypadku dokumentów nie zawierających danych osobowych). Podpisanie umowy, w tym umowy powierzenia danych, z firmą niszczącą daje Państwu możliwość dochodzenia odszkodowania jedynie na podstawie regresu. Dochodzenie odszkodowania niestety wiąże się ze skomplikowanym postępowaniem procesowym, bowiem praktycznie niemożliwe jest dowiedzenie, jakie dokumenty zostały faktyczne powierzone firmie niszczącej. Pamiętaj! Odpowiedzialność poprawnego przechowywania i przetwarzania danych jest niezbywalna.
Jednak efektywne i bezpieczne niszczenie dokumentów zawierających dane wrażliwe bez firmy zewnętrznej jest trudne, czasochłonne i kłopotliwe. Biurowe niszczarki psują się i są zwyczajnie wolne (długi czas niszczenia z uwagi na znaczne ograniczenia ilościowe i częste opróżnianie kosza). Dodatkowo zniszczone i wyrzucane do kosza ścinki są posegregowane partiami, zatem ich odczytanie jest możliwe. Więc jak widać samodzielny proces niszczenia jest droższy i bardziej czasochłonny, niż zlecenie usługi firmie zewnętrznej. Do tego samodzielne niszczenie danych może być równie niebezpieczne ze względu na brak kontroli procesu.
Warto dodać, że z zewnętrznych firm korzystają wszystkie duże podmioty praktycznie cała administracją Państwowa. Jeżeli pomyślicie Państwo teraz o jakieś firmie, tak, ona też niszczy dane na zewnątrz, w zasadzie każdy Bank, szpital jednostka administracji Państwa (typu urząd) niszczy dokumenty korzystają z firmy takiej jak nasza
Zgodnie z RODO
Rozporządzenie RODO dopuszcza przetwarzanie danych osobowych przez podmioty trzecie. Ta czynność określona jest w rozporządzeniu jako powierzenie. Dlatego bez problemu możecie Państwo powierzyć niszczenie danych firmie niszczącej. Jednocześnie rozporządzenie określa zasady / czynności oraz zakres odpowiedzialności.
Co RODO wymaga?
Podpisania umowy powierzenia, która musi zawierać 7 istotnych elementów:
Co jest niesprecyzowane
Nie precyzuje tego co najważniejsze, czyli wymagań odnośnie stosowania procedur czy zabezpieczeń przez podmiot któremu powierzamy dane. Jednocześnie nakłada na Administratora Danych Osobowych (czyli Państwa) obowiązek oceny zagrażania. Na podstawie tego ADO powinien określić wymagany system zabezpieczeń
Kto ponosi odpowiedzialność?
Zgodnie z rozporządzeniem RODO to Administrator danych ponosi odpowiedzialność. Co równolegle nie wyklucza odpowiedzialności procesora
Czesto popełniany błąd
Administratorzy Danych lub Inspektorzy przez nich zatrudnieni często poprzez ogólne zapisy w umowach próbują przerzucić odpowiedzialność na firmę przetwarzającą. Niestety takie działanie może okazać się nieskuteczne w przypadku firm niszczący. Żadna firma niszcząca w kraju nie analizuje jakie dane są przekazywane związku z tym nie jest wstanie przeprowadzić analizy ryzyka. Do tego wszystkie zgodnie z RODO to administrator powinien przeprowadzić analizę ryzyka i wymagać konkretnego systemu zabezpieczeń.
Podsumowanie
Dlatego można przyjąć, że każda niszczenia de fatco niszczy zgodnie z RODO co nie oznacza, że Państwa dokumenty są bezpieczne. Dlatego warto jest przeprowadzić audyt.
Norma ISO 27001
Niektóre firmy niszczące w Polsce, chwal się spełnieniem normy ISO 27001 i że rzekomo ma to gwarantować Państwu bezpieczeństwo procesu niszczenia. Niestety ta norma nie do końca tak działa.
Czym jest norma ISO 27001?
Norma ISO to zbiór ogólnych punktów w których trzeba zapewnić bezpieczeństwo. które rozbudowywane są przez zespół wdrażający normę. Temat niszczenie danych a raczej nośników danych poruszony jest dosłownie raz.
Nasze negatywne doświadczenia z normą ISO 27001
Kilka lat temu zleciliśmy doświadczonej firmie zewnętrznej proces przygotowania dokumentacji i wdrożenia tej normy w naszym podmiocie. Jednak został on przerwany po fakcie jak zorientowaliśmy się, że zespół przygotowujący się do wdrożenia zupełnie nie jest zainteresowany halą niszczenia. A tym, czy mamy założone hasła na komputerach i czy teczki osobowe naszych pracowników są przechowywanie zgodnie z wytycznymi. A przecież te aspekty nie gwarantują Państwu, że proces niszczenia przebiegnie sprawnie i bezpiecznie.
Ryzyka wynikające z normy
Nawet jeżeli przyjąć, że nasze doświadczenie jest przypadkiem jednostkowym to poziom bezpieczeństwa procesu niszczenia w firmie niszczącej będzie zależał od doświadczenia zespołu wdrażającego, audytora i założeń. Natomiast firm niszczących (które są specyficzne) które wdrożyły ISO 27001 jest bardzo mała i jest duże prawdopodobieństwo, że w naszym nie ma firmy certyfikującej która certyfikowała przynajmniej dwa takie podmioty. Co do przyjętych założeń dotyczących tego co jest niszczone, firma dla oszczędności na etapie wdrożenia może stwierdzić, że niszczy dokumenty o niewielkim znaczeniu (czyli np.: bez dokumentów strategicznych czy zawierających dane osobowe) i poziom zabezpieczeń zostanie dobrany do niewielkiego poziomu ryzyka wycieku danych i konsekwencji z tym związanych. Oczywiście w tym wypadku firma będzie dysponowała certyfikatem, jednak czy to zagwarantuje bezpieczeństwo?
Certyfikat ISO 27001 a Rozporządzenie RODO
Rozporządzenie RODO wspomina o certyfikatach, jednak należy Pamiętać, że w myśl rozporządzenia RODO norma ISO nie jest mechanizmem certyfikacji przyjętym przez Urząd Ochrony Danych Osobowych
Jak poprawnie stosować normę ISO 27001 w procesie niszczenia damych
Jeżeli wdrożycie Państwo w swoim podmiocie normę ISO 27001 to osoba wdrażająca powinna określić minimalne wymagania dotyczące procesu niszczenia Czyli normy niszczenia, czy nośniki mogą opuścić siedzibę firmę. (adekwatnie np: do mechanizmu zmiany hasła co 3 miesiące). Mające te wytyczne porównujecie Państwo system zabezpieczeń niszczarni z przyjętymi normami.
Czy dokumenty są odpadem?
Nie są! Niszczenie danych w tym też dokumentów. Jest procesem przetwarzaniach danych w myśl rozporządzenia RODO. Dopiero na etapie niszczenia a dokładnie w chwili przejścia przez mechanizm niszczący danych dany nośnik staje się odpadem, dlatego to my jesteśmy producentem odpadu.
Dysponujemy w tej sprawie również opinią Ministerstwa Klimatu i Środowiska Departament Gospodarki Odpadami
Zawarta w art. 3 ust. 1 pkt 6 ustawy z dnia 2012 r. o odpadach1 definicja stanowi, że odpadem jest substancja lub przedmiot, których posiadacz pozbywa się, zamierza się pozbyć lub do których pozbycia się jest obowiązany. Przez pozbycie się rozumie się również zasadniczą zmianę sposobu wykorzystywania przedmiotu, odmienną od jego podstawowego przeznaczenia, do którego przestał się ten przedmiot nadawać (być przydatnym), a która to zmiana może spowodować także poważne negatywne konsekwencje dla człowieka lub środowiska.
Jednak trzeba zauważyć, że jeśli chodzi o dokumenty i inne nośniki informacji, to istnieje szereg krajowych i unijnych przepisów dotyczących sposobów postępowania z informacjami oraz nośnikami, na których te informacje są zapisane, określających również możliwe konsekwencje w postaci odpowiedzialności karnej, bądź cywilnej, z tytułu niedopełnienia odpowiednich obowiązków ochrony tych informacji. W świetle tych przepisów można uznać, że do momentu zniszczenia informacji na tych dokumentach pozostają one rzeczami a nie odpadami. Pojawiający się w niektórych przepisach wymóg usuwania informacji zwartych w określonych rodzajach dokumentów, w sposób uniemożliwiający ich identyfikację, dokonywany przez podmioty uprawnione do gospodarowania odpadami, nie powoduje automatycznie, że rzeczy te, które na skutek podjęcia decyzji o zniszczeniu są kierowane do takich działań, są odpadami, zgodnie z wcześniej przywołaną definicją określoną w ustawie o odpadach. Dopiero podjęcie stosownych procedur i ich zniszczenie przeprowadzone przez uprawniony podmiot powoduje powstanie odpadów. Podmiot dokonujący zniszczenia dokumentów staje się wytwórcą odpadów, dlatego w tym charakterze powinien posiadać wpis w Rejestrze-BDO (jako wytwórca odpadów)2 i prowadzić ewidencję odpadów.
Certyfikat zniszczenia
„Certyfikat zniszczenia” – jest tylko tworem marketingowym. Istnienie takiego dokumentu nie wynika z żadnej ustawy, rozporządzenia, zalecenia, opinii. Wystawienie takiego dokumentów również nie poprzedza żaden zatwierdzony mechanizm certyfikacji. A Podmioty które wystawią ten dokument nie są jednostkami akredytacyjnymi wpisanymi do PCA Polskiego Centrum Akredytacji. Do tego wszystkie niszczarnia która wystawia certyfikat niszczenia tak naprawdę certyfikuje sama siebie
Wystawić „certyfikat zniszczenia” może każdy i ten dokument nie ma mocy prawnej.
Niebezpieczeństwo wynikające z certyfikatu
Nasz świat jest zalewany „certyfikatami” i normami dlatego coraz częściej są one odrzucane przez urzędy. Pierwsze pytanie jakie zada urząd kontrolujący o będzie „kto i na jakiej podstawie wystawił certfikat”. I tutaj pojawi się problem bo honorowany będzie tylko dokument którego wystawcą jest jednostka akredytowana (Żadna niszczenia nie jest)
Najprawdopodobniej kontrola będzie wymagać wymagać znaku PCA na certyfikacje zniszczenia. Tym bardziej, że UODO wybrało PCA do nadzoru nad jednostkami certyfikującymi.
Warto również wspomnieć, że ZUS w ostatnich przetargach wskazuje, że wymaga certyfikatów z symbolem PCA
Takich wątpliwości nie ma w przypadku dokumentów o nazwie „protokół” lub „raport
Norma ta została wycofana i zastąpiona normą DIN 66399 lub ISO/IEC 21924
Norma PN/EN 15713
Uwaga: BS PN/EN 15713:2009 jako Brytyjska norma zawiera w sobie cały proces niszczenia i nie powinna być postrzegana jako zapewniająca tylko rozmiary strzępów. W 2009 roku Polski Komitet Normalizacyjny przyjął ją jako normę zastępującą dokument „Bezpieczne niszczenie dokumentów niejawnych – Rozwiązania praktyczne”. Jest to oficjalnie zatwierdzona w RP norma opisująca kompleksowo proces odbioru i niszczenia. Jako norma europejska BS EN 15713 ma pierwszeństwo w Wielkiej Brytanii przed innymi normami również krajowymi, takimi jak DIN (Deutsches Institut für Normung) czy ISO.
Podsumowując, normy PN/EN 15713 to lista norm i zaleceń dotyczących zarządzania i kontroli niszczenia materiałów poufnych. Obejmują one cały proces, od zbiórki po zniszczenie, a także dalszy recykling i weryfikację personelu oraz bezpieczeństwo zakładu. Zalecenia te mają na celu zapewnienie, że firmy niszczą materiały poufne w sposób odpowiedzialny i obejmują szeroki zakres środków bezpieczeństwa. Te środki bezpieczeństwa, jak określono w Kodeksie Postępowania BS EN 15713, podsumowano poniżej. Informacje te są aktualne w momencie publikacji.
Norma ta określa praktyczne wymagania co do każdego obszaru:
✓ Obiekty firmy
✓ Bezpieczeństwo
✓ Umowy i ścieżka audytu
✓ Podwykonawstwo
✓ Kontrola bezpieczeństwa personelu
✓ Zbieranie materiałów poufnych
✓ Przechowywanie materiałów poufnych
✓ Pojazdy do odbioru poza terenem zakładu
✓ Pojazdy do rozdrabniania na miejscu
✓ Utylizacja produktu końcowego
W naszej ocenie ważną zaletą tej normy jest konkretny wymóg a nie tak jak w przypadku normy ISO 27001 wskazanie oszacowania dla każdego etapu gdzie wynik będzie zakażał od doświadczenia audytora
W rozporządzeniu RODO pojawia się zagadnienie dotyczące certyfikatów. Natomiast na ten moment nie istnieje
Czy posiadanie certyfikatu lub nie będzie miało jakiś wpływ?
Zatem jak bezpiecznie zlecić usługę niszczenia?
Przy wyborze firmy należy dochować wszelkiej staranności. Szukanie firmy wg kryteriów „cena” i „wystawi Pan certyfikat” jest złym założeniem Szczególnie biorąc pod uwagę prawne i finansowe konsekwencje wycieku danych wynikające z rozporządzenia RODO. Zgodnie z nim za niepoprawne przetwarzanie, w tym niszczenie danych grozi nam kara finansowa w wysokości do 20 mln lub kara ograniczenia wolności do 3 lat. Nie mniej istotne są straty wizerunkowe, utrata zaufania Klientów czy też dodatkowe koszty postępowań cywilnych.
Rozwiązanie? „Art. 83 § 3 Rozporządzenia RODO „Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności wynikającej z ust. 2, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody”. Z art. 28 ust. 3 pkt. h Rozporządzenia RODO wynikają szczególne uprawnienia Administratorów danych przekazane przez Ustawodawcę. Przede wszystkim Administrator powinien przeprowadzić audyt zabezpieczeń w firmie, której chce powierzyć dane (w tym w firmie niszczącej). A zatem dochowacie Państwo wszelkiej staranności, o ile przeprowadzicie audyt i wybierzecie firmę niszczącą z uwagi na stosowane zabezpieczenia, nie zaś z uwagi na cenę.
Oni też niszczą zgodnie z RODO
Firm na rynku niszczącym jest bardzo dużo, są to potęrzne doświadczone firm, które dbają o bezpieczeńśtwo danych. A jest też bardzo dużo paroosobowych firmy, które nie mają zaplecza
Jak zweryfikować podmiot, któremu powierzamy dokumenty?
Przy wyborze firmy należy dochować wszelkiej staranności. Szukanie firmy. wg kryteriów „cena” i „wystawi Pan certyfikat” jest złym założeniem Szczególnie biorąc pod uwagę prawne i finansowe konsekwencje wycieku danych wynikające z rozporządzenia RODO. Zgodnie z nim za niepoprawne przetwarzanie, w tym niszczenie danych grozi nam kara finansowa w wysokości do 20 mln lub kara ograniczenia wolności do 3 lat. Nie mniej istotne są straty wizerunkowe, utrata zaufania Klientów czy też dodatkowe koszty postępowań cywilnych.
Rozwiązanie? „Art. 83 § 3 Rozporządzenia RODO „Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności wynikającej z ust. 2, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody”. Z art. 28 ust. 3 pkt. h Rozporządzenia RODO wynikają szczególne uprawnienia Administratorów danych przekazane przez Ustawodawcę. Przede wszystkim Administrator powinien przeprowadzić audyt zabezpieczeń w firmie, której chce powierzyć dane (w tym w firmie niszczącej). A zatem dochowacie Państwo wszelkiej staranności, o ile przeprowadzicie audyt i wybierzecie firmę niszczącą z uwagi na stosowane zabezpieczenia, nie zaś z uwagi na cenę.