Kasowanie danych z nośników cyfrowych zawierających dane osobowe to wymóg, czy dobra praktyka?

Czy kasowanie danych z nośników cyfrowych zawierających dane osobowe to wymóg prawny?

Ustawa o ochronie danych osobo­wych za przetwarzanie danych uzna­je wszelkie operacje wykonywane na danych osobowych, zwłaszcza te, które są dokonywane w systemach informatycznych. Zatem przetwarza­niem danych będzie zarówno zbie­ranie, utrwalanie, przechowywanie, opracowywanie, zmienianie czy udostępnianie danych, jak i ich usuwanie. Przepisy powołanej ustawy zobowią­zują zaś administratorów danych, a więc podmioty decydujące o celach i środkach przetwarzania danych, do właściwego ich zabezpieczenia. Ogól­ne zasady, jakie powinny być w na te potrzeby stosowane, wskazane zostały w rozdziale 5 ustawy. Zgod­nie z jej art. 36 ust. 1, administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpo­wiednią do zagrożeń oraz kategorii danych objętych ochroną. W szczególności powinien on zabezpieczyć dane przed ich udostępnieniem oso­bom nieupoważnionym, zabraniem przez osobę nieuprawnioną, utra­tą, uszkodzeniem lub zniszczeniem.

Skoro zaś usuwanie danych jest jedną z form ich przetwarzania, a ustawa nakazuje, by przetwarzanie danych odbywało się w sposób zapewniający ich bezpieczeństwo, to również niszczenie danych osobowych musi być realizowane tak, by zapewniona była należyta ich ochrona.

Wybór odpowiednich środków gwa­rantujących przetwarzanym danym optymalny stopień zabezpieczenia ustawa pozostawia natomiast do uznania konkretnemu administrato­rowi danych osobowych. Mogą to być różnego rodzaju rozwiązania czy we­wnętrzne procedury. Ważne jest, aby administrator danych dysponował takimi instrumentami organizacyj­nymi i technicznymi, za pomocą któ­rych będzie w stanie wyeliminować zagrożenia utraty, zmiany, zniszcze­nia czy też kradzieży przeznaczonych do zniszczenia danych osobowych. Ponadto, stosownie do art. 39a oma­wianej ustawy, administrator danych powinien spełniać wymogi określo­ne w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie doku­mentacji przetwarzania danych oso­bowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy in­formatyczne służące do przetwarza­nia danych osobowych. Warto także pamiętać, że ustawa o ochronie da­nych osobowych za nienależyte za­bezpieczenie danych przewiduje od­powiedzialność karną w postaci kary grzywny, kary ograniczenia wolności albo pozbawienia wolności do lat 2.

Czy podczas kontroli w firmach prywatnych i instytucjach publicznych badają Państwo również wewnętrzne procedury związane z nośnikami cyfrowymi wycofanymi z użytku np. w zarządze­niach powołujących komi­sje likwidacyjne?

Kontrolę zgodności przetwarzania danych z przepisami o ochronie da­nych osobowych przeprowadzają – zgodnie z art. 14 ustawy – osoby uprawnione. Mają one m.in. prawo do wglądu we wszelką dokumentację i wszelkie dane mające bezpośredni związek z przedmiotem kontroli. Kon­trolę przeprowadza się po okazaniu m.in. imiennego upoważnienia, któ­re określa jej zakres przedmiotowy.

Jeśli chodzi o wymogi bezpieczeń­stwa dotyczące wycofywanych z użytku nośników, to opisane są one w załączniku do przywołanego wcze­śniej rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. W toku przepro­wadzanych przez GIODO kontroli sprawdzane jest istnienie procedur dotyczących usuwania zapisów da­nych osobowych z urządzeń, dysków lub innych elektronicznych nośni­ków informacji, które zostały prze­znaczone do likwidacji lub naprawy. Jeżeli jest to możliwe, sprawdzeniu podlega także wykonanie tych proce­dur, w tym protokoły zniszczeń oraz miejsca przechowywania wycofa­nych z eksploatacji nośników danych.

Czy mogliby przedstawić Państwo swoje zalecenia związane z kasowaniem danych cyfrowych, pomocne dla firm i instytucji, które chciałyby właściwie wycofać z użytku nośniki, na których znajdują się dane osobowe?

Jak już wspominałam, niszczenie jest także formą przetwarzania da­nych osobowych. Dlatego powin­no odbywać się z poszanowaniem wszelkich zasad wynikających z usta­wy o ochronie danych osobowych. Jej przepisy nie wskazują konkretnego sposobu niszczenia zgromadzonych danych osobowych, jedynie zobo­wiązują, by wybrana metoda uniemożliwiała ponowne odtworzenie zniszczonych danych osobowych.

GIODO zaleca, by w tego typu przy­padkach korzystać z metod progra­mowych i/lub sprzętowych. W tym pierwszym przypadku mogą to być powszechnie dostępne i popularne programy do kasowania danych, ta­kie jak np. Eraeser czy Roadkil’s Disk Wipe. Dzięki ich użyciu dane osobo­we zostają usunięte bez możliwości ich odtworzenia. Mogą one być jed­nak stosowane tylko wtedy, gdy no­śnik, materiał lub urządzenie, na któ­rym one dane były zapisane, nie jest uszkodzony. W sytuacji, gdy nie jest to możliwe należy skorzystać z innych narzędzi, które umożliwią nieodwra­calne zniszczenie nośnika danych. Po­nadto warto zwrócić uwagę na zapisy normy ISO 27001, która w celu ogra­niczenia ryzyka wycieku poufnych informacji, zaleca wdrożenie formal­nych procedur bezpiecznego wyco­fywania nośników, współmiernych do wrażliwości informacji. Sprzę­towe kasowanie danych cyfrowych warto powierzyć profesjonalnym fir­mom, które zajmują się niszczeniem.

Ustawa o ochronie danych oso­bowych daje taką możliwość , lecz należy pamiętać, że wówczas niezbędne jest zawarcie umowy po­wierzenia przetwarzania danych, o której mowa w art. 31. Powinna mieć ona formę pisemną i określać zakres i cel przetwarzania danych, a także prawa i obowiązki zarówno administratora danych, czyli podmiotu zlecającego, jak i podmiotu, któremu powierzono przetwarzanie danych. Zgodnie bowiem z art. 31 ust. 2, podmiot, któremu powierzo­no przetwarzanie danych, może wy­korzystywać je wyłącznie w zakre­sie i celu przewidzianym w umowie. Treść tej umowy powinna zostać sporządzona indywidualnie, dla kon­kretnego przypadku przetwarzania danych, w sposób uwzględniający wszystkie elementy gwarantujące prawidłowe zabezpieczenie i przetwarzanie danych osobowych.

Podmiot, któremu powierzone zostało przetwarzanie danych, obowiązany jest bowiem, by przed rozpoczęciem ich przetwarzania podjąć środki ma­jące na celu zabezpieczenie zbioru danych, o których mowa w art. 36-39, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a. Ma zatem obowiązek zastoso­wania środków technicznych i orga­nizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz ka­tegorii danych objętych ochroną. Podkreślenia wymaga, iż w zakresie zabezpieczenia danych osobowych podmiot, któremu powierzono prze­twarzanie danych ponosi odpowie­dzialność jak administrator danych. Ponadto, odpowiada także wobec administratora danych, za przetwa­rzanie danych niezgodnie z umo­wą. W zakresie przestrzegania tych przepisów podmiot ponosi odpowie­dzialność jak administrator danych.

Często podkreślam, że najsłabszym ogniwem systemu zabezpieczeń jest człowiek. Wydaje się, że od strony prawnej mamy dobre rozwiązania dotyczące zabezpieczenia danych przed nieuprawnionym dostępem. Dlatego istotne jest przestrzeganie przepisów prawa i opracowanych na ich podstawie procedur, w tym polityki bezpieczeństwa, by nie dopuścić do udostępnienia danych osobowych, także tych przeznaczonych do usunięcia, osobom nieupoważnionym, zabrania ich przez osobę nieuprawnioną czy do ich utraty, uszkodzenia lub zniszczenia.

Z Dyrektorem GIODO rozmawiał Zbigniew Engiel. 
Wywiad ukazał się na łamach 32 numeru Magazynu Informatyki Śledczej i Bezpieczeństwa IT.

2018-02-07T14:24:25+00:002016/12/08|
  • Dane teleadresowe
  • Siedziba główna
    Media Sp. z o.o.
    ul. Piotrowicka 61,
    40-723 Katowice
  • tel.: +48 32 782 95 95
    fax: +48 32 782 95 94
    NIP: 6342341032
  • Oddział Warszawa
    Media Sp. z o.o.
    ul. Chałubińskiego 8, piętro 18,
    00-613 Warszawa
  • tel.: +48 22 719 97 00
  • -------------------------------
  • > Skontaktuj się z nami <
  • Dane teleadresowe
  • Siedziba główna
    Media Sp. z o.o.
    ul. Piotrowicka 61,
    40-723 Katowice
  • tel.: +48 32 782 95 95
    fax: +48 32 782 95 94
    NIP: 6342341032
  • Oddział Warszawa
    Media Sp. z o.o.
    ul. Chałubińskiego 8, piętro 18,
    00-613 Warszawa
  • tel.: +48 22 719 97 00
  • -------------------------------
  • > Skontaktuj się z nami <
  • Dane teleadresowe
  • Siedziba główna
    Media Sp. z o.o.
    ul. Piotrowicka 61,
    40-723 Katowice
  • tel.: +48 32 782 95 95
    fax: +48 32 782 95 94
    NIP: 6342341032
  • Oddział Warszawa
    Media Sp. z o.o.
    ul. Chałubińskiego 8, piętro 18,
    00-613 Warszawa
  • tel.: +48 22 719 97 00
  • -------------------------------
  • > Skontaktuj się z nami <
  • Dane teleadresowe
  • Siedziba główna
    Media Sp. z o.o.
    ul. Piotrowicka 61,
    40-723 Katowice
  • tel.: +48 32 782 95 95
    fax: +48 32 782 95 94
    NIP: 6342341032
  • Oddział Warszawa
    Media Sp. z o.o.
    ul. Chałubińskiego 8, piętro 18,
    00-613 Warszawa
  • tel.: +48 22 719 97 00
  • -------------------------------
  • > Skontaktuj się z nami <
  • Dane teleadresowe
  • Siedziba główna
    Media Sp. z o.o.
    ul. Piotrowicka 61,
    40-723 Katowice
  • tel.: +48 32 782 95 95
    fax: +48 32 782 95 94
    NIP: 6342341032
  • Oddział Warszawa
    Media Sp. z o.o.
    ul. Chałubińskiego 8, piętro 18,
    00-613 Warszawa
  • tel.: +48 22 719 97 00
  • -------------------------------
  • > Skontaktuj się z nami <