Nie wyrzucaj do śmieci kluczyka od sejfu

Nasze śmieci są prawdziwą skarbnicą poufnych danych. Okazuje się jednak, że dokumenty zawierające dane osobowe i firmowe są w przedsiębiorstwach lekkomyślnie wyrzucane. Pokazały to badania przeprowadzone w lipcu i sierpniu na warszawskich wysypiskach (Kopijników, Burakowska, Marsa) przez zespół badawczy Wydziału Socjologii Uniwersytetu Wrocławskiego.

– Na wysypisku można znaleźć na przykład korespondencję kancelarii prawniczej z jednym z ministerstw i inne ważne dokumenty.

Z łącznej liczby 3748 worków ze śmieciami przebadanych przez socjologów, aż w 1201 znaleziono dokumenty papierowe zawierające istotne dane.

W tej grupie blisko 75 proc. worków zawierało dokumenty identyfikowalne, czyli wyrzucone w całości bądź „zniszczone” w sposób pozwalający na odczytanie danych – twierdzi Anna Macyszyn z Uniwersytetu Wrocławskiego.

Do najczęściej wyrzucanych dokumentów należą pisma wewnętrzne i korespondencja firmowa.

Łącznie znaleziono 1458 dokumentów zawierających dane mogące posłużyć choćby do kradzieży tożsamości.

Chronione informacje

Przedstawione wyżej wyniki badań powinny być przestrogą dla wszystkich firm, które przetwarzają dane osobowe.

Wiele firm nie zdaje sobie sprawy z tego, jakie konkretnie dane podlegają ochronie. Są to zarówno dane tzw. zwykłe – jak imię, nazwisko czy adres, jak i te szczególnie chronione – czyli np. o stanie zdrowia, wyznaniu czy o kodzie genetycznym.

Ochronie podlegają dane znajdujące się zarówno w kartotekach czy księgach, jak i w systemach informatycznych. Są również wyłączenia.

– Nie podlegają ochronie na przykład dane wykorzystywane w celach prywatnych, osobistych lub domowych. Ponadto jest kategoria danych, które ustawa o ochronie danych osobowych chroni w sposób ograniczony, jak na przykład zbiory sporządzane doraźnie, takie jak lista uczestników konferencji naukowej czy lista uczestników wycieczki – wyjaśnia Michał Serzycki, generalny inspektor ochrony danych osobowych.

A przecież prawie w każdym przedsiębiorstwie występują sytuacje, w których trzeba zniszczyć niepotrzebne już dokumenty (np. faktury VAT sprzed kilku laty) czy też dane osobowe zapisane w systemach informatycznych (np. wtedy, gdy spółka sprzedaje innej firmie stary sprzęt komputerowy, na którym znajduje się baza z adresami klientów).

– Zgodnie z ustawą o ochronie danych osobowych, usuwanie takich danych polega na ich zniszczeniu lub takiej modyfikacji, która nie pozwoli już na ustalenie tożsamości osoby, której te dane dotyczą – tłumaczy Michał Serzycki.

Z praktyki wynika, że firmy najczęściej same usuwają dokumenty zawierające dane osobowe. Jednym ze sposobów jest zakupienie odpowiedniej niszczarki.

Sprawa komplikuje się, gdy w grę wchodzą dane osobowe zapisane np. na twardym dysku. Zwykłe wrzucenie pliku do kosza nie gwarantuje, że zniknie on na zawsze.

Są różne sposoby odzyskiwania usuniętych dokumentów – nawet po ponownym sformatowaniu dysku twardego. Fachowcy zalecają więc skorzystanie z usług firmy specjalizującej się w usuwaniu tak zapisanych danych. Koszty takiej operacji nie są zbyt wielkie.

– Za stałe usunięcie takich danych trzeba zapłacić od 50 do 150 zł od jednego dysku, w zależności od metody usuwania – mówi Waldemar Konieczka z firmy Akte, zajmującej się m.in. niszczeniem nośników komputerowych z danymi.

Zasady odpowiedzialności

Jeśli generalny inspektor uzna, że dane osobowe są usuwane niezgodnie z ustawą, to w drodze decyzji administracyjnej nakazuje przywrócenie stanu zgodnego z prawem.

– Mamy również prawo skierować sprawę do organów ścigania o popełnieniu przestępstwa, załączając dowody dokumentujące podejrzenie – wyjaśnia Michał Serzycki.

Co grozi za niezgodne z prawem zabezpieczanie lub niszczenie dokumentów zawierających dane osobowe?

Zgodnie z art. 52 ustawy, ten, „kto, administrując danymi osobowymi, narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku”.

Poza tym ustawa o ochronie danych osobowych przewiduje odpowiedzialność karną także za gromadzenie danych bez podstawy prawnej, czyli za niezgłoszenie zbioru do rejestracji. Jak widać, przedsiębiorcy powinni bacznie przyglądać się temu, gdzie trafiają niepotrzebne im już dokumenty.

Źródło: Archiwum Puls Biznesu wyd. 2216 (2006-11-02), str. 23
Autor: Albert Stawiszyński