Bezpieczeństwo informacji, w tym danych osobowych, zależy często od bardzo podstawowych kwestii. Jedną z nich jest zadbanie o odpowiednią klasę niszczarek przez które dosłownie “przechodzą” informacje, które przetwarza organizacja – oferty dla kontrahentów, umowy z pracownikami, wnioski urlopowe, CV kandydatów do pracy, notatki.
Zachowanie części z tych danych w poufności jest dla organizacji istotne nie tylko z uwagi na obowiązujące przepisy RODO, ale także z uwagi na konieczność dochowania tajemnicy przedsiębiorstwa, poufności umów, know-how, a także rzetelności względem kontrahentów.
Może się wydawać, że zniszczenie dokumentów zwykłą niszczarką jest wystarczające do tego, aby dokumenty nie wpadły w niepowołane ręce.
Niestety, ale często pomimo zniszczenia dokumentów i tak mogą one w pewnym stopniu zachować czytelność, a informacje na nich zawarte mogą zostać wykorzystane przez osoby trzecie.
Wybierając niszczarkę warto mieć na uwadze normę DIN 66399, która określa wymogi w zakresie niszczenia dokumentów oraz nośników elektronicznych.
Norma ustanawia trzy klasy ochrony danych dla procesu ich niszczenia:
| Klasa 1 | Klasa 2 | Klasa 3 |
| Normalna ochrona wymagana dla danych wewnętrznych. Informacje te są przeznaczone i dostępne dla większych grup. Nieuprawnione ujawnienie mogłoby mieć ograniczony negatywny wpływ na firmę. Ochrona danych osobowych musi być zagwarantowana. Przykłady: korespondencja, spersonalizowane reklamy, katalogi, notatki, itp. | Wysokie wymagania ochrony dla wrażliwych danych, które są przeznaczone dla wąskiego grona osób. Nieuzasadnione ujawnienie mogłoby mieć znaczący wpływ na biznes i może naruszać zobowiązania umów prawnych. Ochrona danych osobowych podlegająca rygorystycznym warunkom. Przykłady: „wiedza niezbędna” jak odpowiednia korespondencja ofertowa, wnioski, notatki, zawiadomienia, dane osobowe, itp. | Bardzo wysokie wymagania ochrony dla wysoce poufnych i tajnych danych z ograniczeniem do wąskiej grupy autoryzowanego dostępu. Nieuprawnione ujawnienie mogłoby spowodować poważne konsekwencje dla firmy i naruszałoby tajemnice handlowe, umowy i przepisy prawa. Ochrona danych osobowych musi być bezwzględnie zabezpieczona. Przykłady: Dokumentacja zarządzania, dokumentacja badawczo-rozwojowa, dane finansowe, sprawozdania itp. |
W czerwcu 2023 r. w sieci opisywany był przypadek firmy, która do wypełnienia paczki wykorzystała pocięte wydruki transakcji. Z uwagi jednak na zastosowanie niszczarki o niskiej klasie ochrony, dane osobowe z łatwością można było odtworzyć (nazwy kont użytkowników, imiona, nazwiska, numery telefonów, numery płatności). Jak łatwo się domyślić – odbiór tej informacji nie był zbyt pozytywny.
Taka praktyka w oczach klientów oraz kontrahentów jest z pewnością mało profesjonalna i może zburzyć renomę budowaną latami.
Poza klasami ochrony, norma ustanawia siedem stopni bezpieczeństwa:
| Stopień 1 | Stopień 2 | Stopień 3 | Stopień 4 | Stopień 5 | Stopień 6 | Stopień 7 |
| Wszystkie dokumenty pisemne, które maja stać się nieczytelne lub zostać unieważnione, np. przestarzałe materiały promocyjne: katalogi, prospekty itp. | Dokumenty firmowe, które mają stać się nieczytelne lub zostać unieważnione, np. korespondencja firmowa: nieaktualne instrukcje, wytyczne dotyczące podróży, ogłoszenia, formularze. | Nośniki z danymi chronionymi i poufnymi, a także danymi osobowymi, które wymagają większej ochrony, np. analiza obrotów handlowych i dokumenty podatkowe przedsiębiorstwa, a także oferty, zamówienia itp. z danymi adresowymi osób. | Nośniki z danymi szczególnie chronionymi i poufnymi, a także z danymi osobowymi, które podlegają większej ochronie, np. bilanse, listy płac, dane/akta osobowe, umowy pracy, dokumentacja medyczna, dokumenty podatkowe. | Nośniki danych z tajnymi informacjami o kluczowym znaczeniu z punktu widzenia istnienia osoby, przedsiębiorstwa, lub instytucji, np. patenty, dokumentacja konstrukcyjna, dokumenty strategiczne, analizy konkurencji, dokumenty procesowe. | Nośniki danych z tajnymi dokumentami, w przypadku których należy zachować nadzwyczajne środki bezpieczeństwa, np. dokumentacja dotycząca badań i rozwoju, dokumentacja urzędowa. | Dla danych ściśle tajnych, wobec których obowiązują najwyższe wymagania odnośnie bezpieczeństwa, np. wojsko czy policja. |
Przy wyborze niszczarki warto określić stopień wrażliwości danych, które niszczymy. Pozwoli to na wybór niszczarki o właściwym stopniu bezpieczeństwa.
