25/02/2020

Największe wyzwanie bezpieczeństwa informacji polskich przedsiębiorców? Usuwanie danych.

Przedstawiamy temat, który nieczęsto staje się przedmiotem szerszej dyskusji. Jednakże praktyka pokazuje, że w każdym z przeprowadzanych audytów bezpieczeństwa informacji lub ochrony danych osobowych w systemach IT pojawia się tematyka problemu z ...usuwaniem danych.

Co do zasady, występują dwie sytuacje, w których Przedsiębiorca powinien usunąć z systemu informatycznego przetwarzane przez siebie dane osobowe :

a) gdy przetwarzanie „spełni swój cel”, gdyż dane osobowe nie powinny być przechowywane przez okres dłuższy niż jest to konieczne (art. 5 ust. 1 lit. e RODO),

b) gdy osoba fizyczna (Klient) złoży wniosek o usunięcie danych (art. 17 RODO).

Jednostkowe usunięcie danych osobowych w zakresie realizacji wniosku złożonego przez osobę fizyczną dla wielu przedsiębiorców nie stanowi technicznego problemu.  Prawdziwy problem pojawia się, gdy należy usunąć z systemu informatycznego dużą ilość informacji np. danych osobowych naszych byłych Klientów lub danych, w stosunku do których zakończył się okres ich archiwizacji.

Każda z przechowywanych danych osobowych ma określony „termin ważności”. Wynika on z obowiązujących przepisów prawa np. Kodeksu pracy lub ustawy o rachunkowości. Natomiast dane osobowe, których czas przechowywania nie jest objęty jakimkolwiek przepisem prawa, powinien zostać zawarty w regulacjach wewnętrznych stworzonych przez przedsiębiorcę (np. w postaci: instrukcji archiwizacji, JRZWA, procedur okresowego przeglądu dokumentacji). Gdy okresy tam wskazane upłyną, to dokumenty i pliki powinny zostać zniszczone, a przedsiębiorca nie posiada dalszej podstawy prawnej przetwarzania tych danych.

Dane w dokumentach występujących w formie papierowej są niszczone w niszczarce, przekazywane do niszczenia protokolarnego z udziałem komisji lub przekazywane do usunięcia profesjonalnym podmiotom, które zajmują się niszczeniem danych. Również dane na dyskach  sieciowych mogą zostać zniszczone na wiele sposobów. Mamy tu do wyboru m.in. niszczenie programowe, mechaniczne, magnetyczne, termiczne  lub chemiczne.

Natomiast segregowanie i trwałe usuwanie danych umieszczonych w systemach informatycznych niejednokrotnie stanowi dla przedsiębiorcy spore wyzwanie.

Oczywiście, teoretycznie dane osobowe z systemu informatycznego mogą zostać usunięte manualnie, lecz wymaga to dużego zaangażowania środków oraz czasu pracy pracowników (głównie działu handlowego lub IT). W przypadku znacznej liczby danych przekłada się to na duże koszty wyboru takiego rozwiązania. Co więcej, w praktyce okazuje się, że posiadane przez większość polskich przedsiębiorstw systemy  informatyczne niejednokrotnie nie pozwalają na usunięcie danych, a ich usunięcie powoduje dysfunkcję i niedostępność oprogramowania np. sklepu internetowego. Ponadto większość systemów informatycznych funkcjonujących na polskim rynku w dalszym ciągu nie uwzględnia tego typu rozwiązań. Przedsiębiorcy nie są zaś świadomi, że brak sprawnego mechanizmu do usuwania danych osobowych, może narazić ich na dodatkowe koszty oraz negatywne konsekwencje prawne.

Z uwagi na powyższe, kwestia okresowego usuwania danych stanowi obecnie jedno z największych wyzwań przedsiębiorców, chcących zachować zgodność z przepisami prawa oraz świadomie zarządzać danymi w swojej organizacji.

 Dlatego już teraz warto pomyśleć o tym jak zorganizować proces przeglądania i usuwania danych w naszym przedsiębiorstwie np. wprowadzając regulacje dotyczące przeglądów i archiwizacji danych, tabele retencji oraz odpowiednio konfigurując systemy informatyczne. Natomiast, kupując lub tworząc nowy system informatyczny, należy obowiązkowo rozważyć te z nich, które uwzględniają automatyczne, systemowe usuwanie wskazanych przez nas danych.