Egyre gyakrabban hallani, hogy a cégek nem figyelnek személyes és céges adatainak védelmére. Gyakran kerül egyszerűen a szemetesbe olyan irat, ami bizalmas, akár személyes adatokat is tartalmaz. Jobb esetben ez a szelektív gyűjtőbe kerül, azonban az adatlopás veszélye továbbra is fenn áll, hiszen a feldolgozó üzembe beérkezett papírhulladék nem kerül azonnal feldolgozásra.
A Datashred Kft. a biztonságos iratmegsemmisítésben, ezzel együtt adatainak védelmében nyújt segítséget. Legfőbb szempontunk az adatvédelem mellett a keletkezett hulladék újrafelhasználása.
Az erre vonatkozó jelenleg hatályos jogszabályokat, előírásokat, valamint az alkalmazott szabványokat szeretnénk röviden bemutatni.
Az irat- és adathordozó megsemmisítés hazai jogszabályi környezetét az alábbi törvényi előírások és rendeletek adják:
- 1995. évi LXVI. törvény a köziratokról, a közlevéltárakról és a magánlevéltári anyag védelméről;
- 98/1995. (VIII. 24.) Korm. rendelet az egyes értékpapírok előállításának, kezelésének és fizikai megsemmisítésének biztonsági szabályairól;
- 2009. évi CLV. törvény a minősített adat védelméről;
- 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról;
- 2013. évi V. törvény a Polgári Törvénykönyvről.
SZABVÁNYOK ÉS NEMZETKÖZI ELŐÍRÁSOK
A Magyarországon működő irat- és adathordozó megsemmisítésre szakosodott vállalkozások alapvetően két nemzetközi eljárásrendet vesznek alapul működésük során:
- MSZ EN ISO 9001:2009 Környezetközpontú irányásítási rendszer előírásai, mely előtérbe helyezi a környezetvédelem szempont rendszerét a napi működés során;
- Az ISO/IEC 27001:2014 szabvány szerint tanúsított információvédelem és információ biztonsági előírások.
Hazánkban a német DIN előírásait vesszük alapul, amikor a zúzás vagy darálás során létrejövő részecske méretek nagyságát vesszük számba.
2012-től a DIN 66399-es szabvány lépett érvénybe, ezzel foglalkozunk részletesebben.
HÁROM VÉDELMI OSZTÁLY
A védelem szükségességének megállapítása, a védelmi osztály, valamint a biztonsági fokozatok besorolása, a felmerülő adatok osztályozására szolgál.
HAT ANYAGBESOROLÁS
A szabvány először határozza meg a különböző anyagbesorolásokat, amely az adathordozók méretét is (papíralapú dokumentumok, optikai, mágneses és elektronikus adathordozók, merevlemezek) figyelembe veszi.
HÉT BIZTONSÁGI FOKOZAT
A korábban érvényben lévő DIN 32757 szabványhoz képest már nem öt, hanem hét biztonsági fokozat jelenik meg. Jelentős változás az új P-4-es fokozat a max. 160 mm2-es részecskefelülettel. A korábbi 4. fokozat P-5 lett, az 5. fokozatból P-6 lett, és a szabványban mindeddig figyelmen kívül hagyott “6. fokozat” P-7 lett.
Amennyiben adott a lehetőség, akkor az adathordozókat az adatok mindenkori felelőse bármikor a helyszínen megsemmisítheti, amely jelentősen megnöveli a biztonságot, ezért más eljárásokkal szemben előnyben kell részesíteni.
Ha különböző biztonsági fokozatokhoz tartozó adatok keletkeznek, akkor javasolt ezeket a különböző biztonsági fokozatok alapján szétválasztani. Ha valamilyen okból kifolyólag ez nem lehetséges, akkor a megsemmisítést alapvetően és egységesen a magasabb biztonsági fokozatnak megfelelően kell elvégezni, hogy a nem megfelelő megsemmisítés kockázatát minimális szintre csökkentsék.
A VESZÉLYEZTETETTSÉG MEGHATÁROZÁSA ÉS A VÉDELMI OSZTÁLYOK BESOROLÁSA
Azért szükséges az adatokat biztonsági fokozatokba sorolni, hogy az adathordozók megsemmisítésénél figyelembe lehessen venni a gazdaságosság, illetve az alkalmasság elvét. Itt a veszélyeztetettség foka mérvadó a biztonsági fokozat kiválasztásában az adathordozó megsemmisítésére vonatkozóan.
- védelmi osztály:
A belső adatok normál veszélyeztetettsége. Ezek az információk nagyobb csoportok számára készülnek és hozzáférhetők. A jogosulatlan közzétételük behatárolt negatív hatást gyakorolnának a vállalatra. A személyes adatok védelmét biztosítani kell.
Pl.: személyre szabott reklám, katalógusok, jegyzetek stb.
- védelmi osztály:
Bizalmas adatok nagyfokú veszélyeztetettsége, amelyek emberek kis létszámú körére korlátozódnak. A jogosulatlan továbbításnak jelentős kihatása lenne a vállalatra, és a szerződésben foglalt kötelezettségekbe vagy törvényekbe ütközhet. A személyes adatok védelmének magas követelményeknek kell megfelelnie.
Pl.: tudásfüggő levelezés: ajánlatok, megkeresések, személyes adatok stb.
- védelmi osztály:
Különösen bizalmas és titkos adatok igen nagyfokú veszélyeztetettsége, amelyek emberek kis létszámú, név szerint ismert hozzáféréssel rendelkező személyek körére korlátozódnak. A jogosulatlan továbbításnak komoly, a vállalat létét veszélyeztető kihatása lenne, és megsértené a hivatali titoktartást, a szerződéseket és a törvényeket. A személyes adatok védelmét korlátlanul biztosítani kell.
Pl.: az ügyvezetés iratai, kutatási és fejlesztési dokumentáció, gazdasági adatok stb.
A DIN 66399 szabvány biztonsági fokozatai információk eredeti méretben való prezentációjához, pl. papíralapú dokumentumok.
P-1
Javasolt általános adatokat tartalmazó adathordozókhoz, amelyeket olvashatatlanná kell tenni. Anyag részecskefelülete ≤ 2000 mm2 vagy szalagszélesség ≤ 12 mm, a csíkhossz nincs korlátozva.
P-2
Javasolt belső adatokat tartalmazó adathordozókhoz.
Anyag részecskefelülete ≤ 800 mm2 vagy szalagszélesség ≤ 6 mm, a csíkhossz nincs korlátozva.
P-3
Javasolt pl. érzékeny és bizalmas adatokat tartalmazó adathordozókhoz. Anyag részecskefelülete ≤ 320 mm2 vagy szalagszélesség ≤ 2 mm, a csíkhossz nincs korlátozva (pl. 4 x 80 mm-es kisebb darabok is).
P-4
Javasolt pl. különösen érzékeny és bizalmas adatokat tartalmazó adathordozókhoz.
Anyag részecskefelülete = 160 mm2 és szabályos kisebb darabokhoz: Szalagszélesség = 6 mm, a csíkhossz nincs korlátozva (pl. 4 x 40 mm-es kisebb darabok is).
P-5
Javasolt pl. titokban tartandó adatokat tartalmazó adathordozókhoz. Anyag részecskefelülete = 30 mm2 és szabályos kisebb darabokhoz: Szalagszélesség = 2 mm, a csíkhossz nincs korlátozva (pl. 2 x 15 mm-es kisebb darabok is).
P-6
Javasolt titokban tartandó adatokat tartalmazó adathordozókhoz, ha rendkívül magas biztonsági intézkedéseket kell betartani. Anyag részecskefelülete = 10 mm2 és szabályos kisebb darabokhoz: Szalagszélesség = 1 mm, a csíkhossz nincs korlátozva (pl. 0,8 x 12 mm-es kisebb darabok is).
P-7
Javasolt pl. szigorúan titokban tartandó adatokat tartalmazó adathordozókhoz, ha a legmagasabb biztonsági intézkedéseket kell betartani.
Anyag részecskefelülete = 5 mm2 és szabályos kisebb darabokhoz: Szalagszélesség = 1 mm, a csíkhossz nincs korlátozva (pl. 0,8 x 5 mm-es kisebb darabok is).
A három védelmi osztály besorolását a biztonsági fokozatokhoz a következő táblázattal lehet elvégezni:
1: ez a kombináció nem alkalmazható személyes adatokra.
2: a védelmi osztály jobban lefedi a magasabb biztonsági fokozatot.
ÖSSZEFOGLALÓ
A jogszabályok értelmezése szakértő cég és munkaerő feladata. A megfelelő tapasztatalattal és szakképzettségi háttérel az adathordozók feldolgozása és megsemmisítése sokkal gördülékenyebben zajló folyamat.
Fontos kiemelni, hogy a megsemmisítési tevékenység szolgáltatatása során kötelező a helyi és az országos környezetvédelmi hatóságok engedélyeit is megszerezni. A zúzás és darálás során létrejött papírzúzalék és elektronikai hulladék ugyanis nem veszélyes szilárd hulladéknak minősül.
A zúzás és darálás eljárásrendjének betartása és dokumentálása is fontos feladat a lejárt őrzési idejű iratok és adathordozók tekintetében. Sok kellemetlenség kerülhető el, ha a selejtezési és megsemmisítési folyamatok dokumentálva vannak, valamint ha a nyilvántartások mindig naprakészen állnak. A felügyelő hatóság (pl. NAV) egy ellenőrzés során nagy hangsúlyt fektet az iratkezelés rendjének és a selejtezés törvényszerűségének betartására és betartatatására.
A Datashred Kft. jogelődjeivel együtt már több évtizedes tapasztalattal rendelkezik. Nyitottak vagyunk minden megkeresésre, kérdés esetén bármikor szívesen állunk rendelkezésére jelenlegi és jövőbeni ügyfeleink részére egyaránt.
