Norma DIN 66398 w niszczeniu dokumentów i danych

Normy DIN tworzone są dla różnych branży, wyznaczając pewne standardy postępowania. W niszczeniu dokumentów powszechnie stosowana jest norma DIN 66399, jednak warto też pamiętać o normie DIN 66398. Co określa i w jakich przypadkach znajduje zastosowanie?


Norma DIN 66398 w niszczeniu dokumentów i danych

Jakie są wymagania normy DIN 66398?

Norma DIN 66398 została opracowana przez komisje normalizacyjne. Jej celem jest stworzenie koncepcji usuwania danych osobowym wraz z określeniem okresów, w których należy to robić. Jest ona dopełnieniem RODO, jednak warto mieć na uwadze, że została wprowadzona wcześniej, niż ten akt prawny. RODO zobowiązuje administratorów danych osobowych do ich usunięcia w momencie, gdy przestają być potrzebne lub wymagane. Nie wskazuje natomiast sposobu, w jaki należy to zrobić. Problem jest nie tylko złożony, ale i powszechny. Badania przeprowadzone przez TÜV Süd pokazały, że blisko połowa sprawdzonych firm nie ma jasnych wytycznych w zakresie usuwania danych. Wyniki te nie tylko zaskakują, ale też pozwalają domniemywać, że wiele firm nie wprowadziło rozwiązań umożliwiających sprawdzenie, gdzie znajdują się dane, w jaki sposób są przetwarzane i co dzieje się z nimi, gdy przestają być potrzebne.

Jak stosować normę DIN 66398?

Zgodnie z normą DIN 66398, administratorzy danych powinni:

  • określać typy danych występujących w bazie firmy,
  • definiować zasady usuwania typów danych,
  • definiować konkretne zasady wdrażania,
  • określić osoby odpowiedzialne za wdrożenie i stosowanie zasad,
  • prowadzić na bieżąco dokumentację.

Innymi słowy, administratorzy muszą opracować koncepcję usuwania danych, która związana jest bezpośrednio z procedurą, jaką jest niszczenie dokumentów. Norma DIN 66398 wpisuje się w koncepcję prawa do bycia zapomnianym, o którym szeroko traktuje RODO. Profesjonalne niszczenie dokumentów nie jest więc wyłącznie pozbyciem się zbędnych papierów czy nośników danych, ale przede wszystkim usunięciem informacji, które nie powinny być przetwarzane przez osoby trzecie.

Znaczenie normy DIN 66398

Z uwagi na to, że ani RODO, ani też żaden inny akt prawny nie precyzuje, jak powinno wyglądać niszczenie nośników danych, normy DIN stanowią dla przedsiębiorców ważną wskazówkę w zakresie opracowania koncepcji i regulaminów wewnątrzzakładowych. Co istotne, dla każdej technologii należy wypracować osobny model postępowania. Niszczenie dysków twardych wygląda zupełnie inaczej, niż utylizacja papieru, jednak do dyspozycji mamy znacznie więcej nośników. Twórcy normy DIN 66398 zwracają też uwagę na sposób utylizacji systemów informatycznych, które mają zostać zastąpione innymi. Większość przedsiębiorców nie jest jednak w stanie samodzielnie rozwiązać tego problemu — tutaj potrzebna jest pomoc informatyków, którzy znają programy ERP od podszewki.

Norma DIN 66398 a DIN 66399

W polskich firmach wdrażana jest przede wszystkim norma DIN 66399, która dzieli nośniki danych na kilka kategorii, określając sposoby ich utylizacji. Zdecydowanie mniej miejsca poświęca się natomiast normie 66398, która w kontekście RODO i ochrony danych osobowych stanowi bardzo ważne kryterium proceduralne. Normy te nie są względem siebie konkurencyjne, a kompatybilne. Ich wdrażaniem zajmują się specjaliści, w tym również zewnętrzne firmy oferujące usługę niszczenia dokumentów. Trzeba jednak pamiętać, że nie wszystkie posiadają certyfikację DIN 66398. Spółka Destroy, pomimo szerokiego zakresu usług, nie weszła w posiadanie tego dokumentu. Warto mieć na uwadze, że choć w Polsce normy DIN nie stanowią prawa powszechnie obowiązującego, to w kontekście utylizacji nośników danych i samych danych są niezwykle pomocne. Obowiązuje nas chociażby RODO, które podaje raczej cele, niż sposoby ich osiągnięcia. Te natomiast prezentują normy DIN.

Jak wdrożyć normę DIN 66398?

Wytyczne niszczenia dokumentów nie mają dla przedsiębiorców większej wartości, jeśli nie zostaną bezpośrednio wdrożone w firmie. Do tego jednak potrzebni są profesjonaliści, którzy doskonale znają normy DIN, a także potrafią zastosować je w praktyce. Pierwszym krokiem wdrożenia DIN 66398 jest analiza danych przetwarzanych w przedsiębiorstwie. Następnie trzeba ustalić okresy ich przechowywania, które najczęściej są zgodne z wymogami polskiego ustawodawcy. Przykładem są akta osobowe, które przechowujemy co najmniej 10 lat, w zależności od daty zatrudnienia lub spełnienia dodatkowych wymogów. Następnie opracowujemy metody niszczenia nośników, tak aby danych nie można była odtworzyć. Co istotne, norma DIN 66398 znajduje zastosowanie w niszczeniu masowym, w specjalnie wyznaczonym do tego miejscu (najczęściej jest to siedziba firmy usługowej specjalizującej się w utylizacji dokumentów) oraz w procedurze, jaką jest mobilne niszczenie dokumentów, odbywające się przy użyciu specjalnie wyposażonych pojazdów.

Normy DIN, w tym norma 66398 zawierają wytyczne w zakresie prawidłowego niszczenia dokumentów zawierających dane chronione prawnie. Są uzupełnieniem polskich przepisów, dlatego należy je zaimplementować w firmie, mając na uwadze m.in. specyfikę działalności i dane, które są przetwarzane przez pracowników. Zadanie to można powierzyć wyspecjalizowanej firmie zewnętrznej, która zajmuje się nie tylko niszczeniem dokumentów, ale również opracowywaniem procedur w tym zakresie.

Zobacz także

All rights reserved Rhenus Office Systems Poland Sp. z o.o.
Projekt i realizacja: Internetica