Co się zmieni?

RODO wyznacza kierunek polityki ochrony danych osobowych w firmach, nie precyzuje jednak sposobu jej wprowadzenia. Wdrożenie unijnych regulacji stanowi ogromne wyzwanie organizacyjne dla przedsiębiorców, co więcej – dla każdego w różnym zakresie. Warto podkreślić, że przede wszystkim już niedługo zwiększy się zakres ich odpowiedzialności – jako administratorzy danych. Będą oni musieli samodzielnie oszacować ryzyka związane z przetwarzaniem danych osobowych w ich organizacjach i dopasować odpowiednie rozwiązania, które zapewnią bezpieczeństwo cennym firmowym informacjom. Regulacje zawarte w RODO będą zobowiązywać administratorów danych do zgłaszania organowi nadzorczemu naruszeń ochrony danych osobowych w sytuacji gdy będzie to związane z samym ryzykiem naruszenia praw lub wolności osób fizycznych.

Na przedsiębiorstwa nałożony zostanie rozszerzony obowiązek informacyjny. Nowe przepisy obejmą prawo do bycia zapomnianym, wglądu do danych oraz możliwości ich przeniesienia. Dodatkowo, pojawią się nowe regulacje związane z prowadzeniem rejestru czynności przetwarzania danych, za które odpowiadają administratorzy danych.

Niebezpieczne i kosztowne wycieki

Niewiele potrzeba, by cenne dane przedostały się na zewnątrz firmy, narażając ją na niebezpieczeństwo. Wystarczy nawet mała luka w zabezpieczeniu systemu informatycznego, błąd ludzki, nieumyślne udostępnienie plików nieuprawnionej osobie, a także – o czym często się zapomina – niedostateczne lub niewłaściwe zniszczenie dokumentów lub nośników z danymi.

Obecnie zasady ochrony danych osobowych w Polsce określa ustawa z 1997 roku oraz szereg rozporządzeń uszczegółowiających jej zapisy, a także ustawy sektorowe właściwe dla różnych branż. Polskie prawo nie precyzuje metody jaką nośniki powinny być niszczone, ale określa, że dane muszą zostać zniszczone w sposób uniemożliwiający ich odzyskanie, odczytanie i ponowne wykorzystanie. Konsekwencje niedostosowania się do tych wymogów jasno określa art. 51 Ustawy o ochronie danych osobowych – tego typu działanie uznawane jest za przestępstwo, a osoba, która się go dopuści, może być narażona na karę w postaci grzywny, karę ograniczenia wolności albo pozbawienia wolności do 2 lat. Według nowych przepisów, m.in. tego typu zdarzenia będą musiały być zgłaszane odpowiednim organom. W sytuacji wysokiego ryzyka naruszenia praw i wolności osób fizycznych, których dane dotyczą RODO nakłada obowiązek poinformowania ich o zdarzeniu skutkującym naruszeniem ochrony danych osobowych.

Warto pamiętać, że taki wyciek naraża przedsiębiorstwo nie tylko na straty wizerunkowe, ale i ogromne kłopoty finansowe. Oprócz tego, że osoby poszkodowane mogą dochodzić swoich praw w sądzie, właściwy dla danego kraju UE organ ochrony danych osobowych może nałożyć wysoką karę – do 20 mln euro lub nawet 4 proc. światowego obrotu z poprzedniego roku.

Niszczenie – niekoniecznie proste, niekoniecznie tanie

Mając na uwadze ogrom zmian związanych z obowiązywaniem RODO warto już teraz zastanowić się nad nowym systemem obiegu dokumentów w firmie. Każdy z przedsiębiorców powinien zacząć od inwentaryzacji – czyli ustalić jakie przechowuje dane, które z nich są wrażliwe, oraz jak i po co są wykorzystywane oraz dlaczego tak długo. Umożliwi to przygotowanie wykazu błędów w sposobie chronienia danych, co z kolei pozwoli opracować odpowiednie procesy.

Z pewnością obostrzenia, które nakłada RODO wpłyną choćby na system archiwizacji i niszczenia zbędnych nośników danych. Firmy są w stanie poradzić sobie z usuwaniem małych ilości dokumentów. Problemem są jednak setki segregatorów zdezaktualizowanej dokumentacji z archiwum oraz dziesiątki dysków po wymianie komputerów czy serwerów na nowsze.
Istnieje wiele metod ich utylizacji, ale niestety nie wszystkie z nich są wystarczająco skuteczne, aby można było uznać je za bezpieczne i gwarantujące trwałe usunięcie zgromadzonych na dyskach i w dokumentach danych. Postępowanie z cennymi informacjami, w tym z danymi osobowymi implikuje konieczność zabezpieczenia całego procesu (w tym ludzi, sprzętu, procedur) oraz ich ochrony poczynając od zbiórki, poprzez transport, a skończywszy na bezpiecznym niszczeniu.



Rozwiązaniem outsourcing

Ze względu na dużą złożoność procesu niszczenia nośników i dokumentów, warto rozważyć jego outsourcing do specjalistycznej firmy, która ma doświadczenie w jego realizacji. Coraz więcej podmiotów na rynku oferuje efektywne rozwiązania spełniające odpowiednie normy bezpieczeństwa oraz poufności utylizowanych nośników, takie jak ISO 27001 czy DIN 66399. Warto podkreślić, że są one zgodne także z normami RODO.

Wśród oferowanych propozycji na uwagę zasługuje system bezpiecznych pojemników. W ramach niego w organizacjach niepotrzebne dokumenty i nośniki są składowane przez pracowników w dostarczonych przez zewnętrzną firmę bezpiecznych pojemnikach oznakowanych kodem kreskowym. Pojemniki, które są zapełnione odbierane są przez odpowiednio przeszkolone osoby, a sama czynności zostaje udokumentowana protokołem Następnie pojemniki te zostają przewożone samochodami wyposażonymi w czujnik GPS do specjalnych centrów utylizacyjnych. Dokumenty niszczone są metodą mechaniczną (za pomocą maszyn, które rozdrabniają dokumenty i nośniki na małe części uszkadzając je fizycznie w taki sposób, że dane na nich zawarte nie są w żaden sposób możliwe do odtworzenia). System ten ceniony jest przede wszystkim za jego doskonałą skalowalność, gwarancję bezpieczeństwa, wygodę oraz wydajność. Koszt zniszczenia jednego dysku wynosi od kilku do kilkunastu złotych, a standardowego – 250-litrowego, pojemnika z dokumentami oscyluje w okolicy 130 złotych. Dodatkowym efektem wykorzystywania tego systemu, swoistym bonusem, jest to, że korzystając z niego firmy stają się proekologiczni, gdyż po zniszczeniu „wrażliwa” dokumentacja nie trafia do „tradycyjnego” kosza na śmieci i nie zanieczyszcza środowiska.


Powierzenie procesu niszczenia i utylizacji dokumentów oraz nośników z danymi zewnętrznej firmie pozwala znacząco obniżyć jego koszty, gdyż nie angażuje pracowników, ani nie powoduje konieczności zakupu urządzeń gwarantujących odpowiedni stopień utajnienia niszczonych informacji. Dodatkowo nie są generowane dodatkowe koszty związane z utylizacją odpadów powstających w trakcie samodzielnego niszczenia. Krótko mówiąc wprowadzony system dostosowany jest do bieżących potrzeb organizacji i równocześnie zamienia koszty stałe na zmienne. Odpowiednio dobrane rozwiązanie „szyte na miarę” gwarantuje utrzymanie tego, co w biznesie najważniejsze: stabilności funkcjonowania, możliwości rozwoju oraz utrzymania zaufania klientów.


Artykuł stworzony został na potrzeby kampanii „Potencjalnie niebezpieczni”, którą organizuje Fundacja Wiedza To Bezpieczeństwo.

Krzysztof Choma, Członek Zarządu Rhenus Data Office Polska Sp. z o.o.