Niszczenie danych i nośników zgodnie z RODO

Gdy wygaśnie Twoje prawo do przetwarzania danych osobowych musisz je usunąć. Samo ich przechowywanie jest czynnością przetwarzania, co do której musisz mieć podstawę. Dlatego dane, których przetwarzać już nie możesz musisz usunąć. Czasem będzie się wiązało to z ich anonimizacją, innym razem z fizycznym zniszczeniem samego nośnika. Niszczenie danych lub nośników, na których zostały one zapisane, to czynności, które powinien znać każdy administrator. Musisz zatem poznać bezpieczne i skuteczne metody niszczenia nośników danych. Przyjrzyjmy się sytuacjom, gdy dane zapisaliśmy na papierze, płycie CD czy dysku HDD.

Niszczenie danych papierowych

Jeżeli przetwarzasz dane w formie papierowej to niszczenie dokumentów najlepiej przeprowadzać w niszczarce. Nie jest to duży wydatek – ceny dobrych niszczarek do dokumentów poufnych rozpoczynają się już od 200 złotych. Niszczarka musi być zgodna z normą DIN 66399. W jej ramach zdefiniowane jest 7 poziomów bezpieczeństwa w niszczeniu dokumentów. Różnią się one między sobą szerokością, długością i powierzchnią paska ścinki powstającego jako wynik niszczenia dokumentu.

Wybierając niszczarkę stosuj się do prostych zasad:

  • Nie stosuj niszczarek o najniższych poziomach bezpieczeństwa P-1 i P-2. Tworzą one paski o praktycznie nielimitowanej długości. Pamiętasz film „Operacja Argo” i scenę, w której dzieci sklejają z pasków w całość dokumenty zniszczone w ambasadzie USA? To właśnie ten typ niszczarki. W dzisiejszych czasach powinno się w nich niszczyć jedynie dokumenty zawierające korespondencję wewnętrzną.
  • Urządzenia o poziomie P-3 i wyższym tworzą ścinki, a nie paski. Ponadto poza dokumentami papierowymi można w nich niszczyć nośniki danych takie jak płyty CD/DVD czy plastikowe identyfikatory. Urządzenia o poziomie P-3 należy używać, gdy niszczone są zwykłe dane osobowe, lub wrażliwe i poufne dokumenty firmowe.
  • Niszczarki o poziomie P-4 należy stosować do trwałego niszczenia dokumentów i nośników danych zawierających szczególne kategorie danych osobowych, na przykład dane medyczne.
  • Urządzenia o poziomie P-5 do P-7 stosuje się do niszczenia dokumentów, którym nadawane są rządowe lub wojskowe klasyfikacje poufności i tajności. Oczywiście nic nie stoi na przeszkodzie, by stosować je także w małej firmie. Pamiętaj jednak, że są to już urządzenia droższe i niekoniecznie najmniejsze.

Niszczenie elektronicznych nośników danych

O ile płytę CD czy DVD możesz zniszczyć w niszczarce, samodzielne fizyczne zniszczenie dysku twardego z Twojego komputera jest niewykonalne. Rozmontowanie dysku talerzowego na części nie oznacza zniszczenia danych. Są one nadal zapisane w formie magnetycznej na specjalnych talerzach. Zatem samo ich usunięcie z obudowy dysku twardego nie spowoduje zniszczenia zapisanych na nich danych.

Dane z dysku magnetycznego możesz usunąć poprzez wielokrotne nadpisanie wszystkich sektorów dysku. Inaczej mówiąc nadpisywane są wszystkie miejsca na talerzach dysku, które przechowują dane. Każdy z takich sektorów może przyjąć binarną wartość 0 lub 1. Wszystkie Twoje pliki to dla komputera wielkie uporządkowane zbiory zer i jedynek. Operację usuwania danych przez nadpisywanie należy wykonywać zewnętrznymi programami do tego przeznaczonymi.

Standardy wymazywania danych z dysku HDD

Istnieje co najmniej kilkanaście standardów usuwania danych przez wielokrotne nadpisanie sektorów dysku twardego. Jednym z nich jest DoD 5220.22-M. Jest to standard opublikowany przez U.S. Department of Defense (DoD). Jego podstawowa wersja zakłada nadpisanie dysku w trzech cyklach. W pierwszym z nich wszystkie sektory nośnika są nadpisywane zerami. W drugim cyklu program czyszczący nadpisuje wszystkie sektory jedynkami. W trzecim zaś ponownie każdy sektor zapisywany jest w sposób losowy zerem lub jedynką. Na koniec wykonywany jest jeszcze czwarty, kontrolny cykl weryfikujący. Oryginalny standard DoD 5220.22-M składa się zatem z trzech cykli nadpisywania danych. W 2001 roku został on w specyfikacji DoD 5220.22-M ECE rozszerzony do siedmiu cykli. Oba te standardy, bardzo rozpowszechnione, nie są już uważane za w pełni bezpieczne. Co więcej są wysoce nieskuteczne w przypadku dysków SSD. Oryginalny DoD 5220.22-M nie jest uznawany za skuteczny już od 2001 roku. Jego nowsze wydania od 6 maja 2019 roku nie znajdują się w dozwolonych metodach w jednostkach rządowych Stanów Zjednoczonych. Obecnie wymaga się stosowania metod opisanych w NIST SP 800-88.

Masz problem z oceną, czy w danej sytuacji nośnik danych należy zniszczyć czy wystarczy z niego dane usunąć? Masz problem z doborem odpowiedniej metody usunięcia danych? Nie wiesz czy usunięcie danych z Twojego dysku jest w ogóle możliwe? Chętnie Ci doradzę i podzielę się swoją wiedzą podczas konsultacji on-line.
Konsultacje

Informuj mnie o nowościach

Podając nam swój adres email wyrażasz zgodę na otrzymywanie od nas wiadomości o nowościach w serwisie RODOwskaz.online, usługach czy podsumowaniem ważnych zmian i interpretacji prawa związanych z przetwarzaniem danych osobowych w Twojej firmie. W każdej chwili możesz zrezygnować z otrzymywania informacji wypisując się z listy. Odpowiedni odnośnik znajdziesz w każdym mailu. Więcej informacji o przetwarzaniu danych osobowych znajdziesz w naszej polityce prywatności.

Pobierz poradnik, dzięki któremu zaczniesz dostosowywać swoją firmę do wymogów RODO