Loading...

Przepisy prawne w Polsce a bezpieczne niszczenie danych

Niszczenie danych jest jednym z krytycznych elementów współczesnej polityki bezpieczeństwa zarówno w firmach, podmiotach rządowych, a także coraz częściej u tzw. szarych użytkowników. Niszczenie danych ma na celu trwałe usunięcie informacji zawartych na nośniku w taki sposób by uniemożliwić ich odczytanie nawet poprzez zaawansowane i kosztowne techniki informatyki śledczej – niezależnie od stopnia jej finansowania czy zaawansowania.

Na podstawie analizy przepisów wysuwa się konkluzja, iż polskie prawo nie do końca definiuje wymóg bezpiecznej utylizacji danych en masse (obejmujący na przykład wszystkie firmy lub podmioty rządowe w Polsce), lecz raczej precyzuje przepisy prawne w kontekście wybranych podmiotów, takich jak Banki, CBA, ABW, Ministerstwo Finansów, czy danych pochodzących z konkretnie wymienionych rejestrów.

Warto również zauważyć, iż wbrew powszechnej opinii, w Polsce NIE obowiązują normy „DIN” dotyczące bezpiecznego kasowania danych czy utylizacji nośników, gdyż jest to standard… niemiecki, nie mający absolutnie żadnych podstaw prawnych w Polsce.

Najstarsze wzmianki w polskim prawie mówiące o wymogu bezpiecznej utylizacji danych możemy odnaleźć w przepisach PRL dotyczących Prawa Bankowego z 31 stycznia 1989 roku (Dz. U. 1992/91, poz. 359), które precyzują tzw. „tajemnicę bankową” i definiują jasno kto ma, a kto nie ma prawa dostępu do danych bankowych traktowanych jako poufne. W kontekście tych przepisów stało się jasne, iż dane bankowe są chronione nie tylko podczas pracy operacyjnej banku, ale również w czasie ich spoczynku w archiwum, podczas śledztw, czy dowolnej innej sytuacji, aż do czasu ich zniszczenia. Kluczową kwestią jest tutaj zapis (punkt 5. artykułu 105 wspomnianej ustawy), który nakłada konsekwencje prawne na Bank, który ujawnia tajemnicę bankową osobom do tego nieuprawnionym.

Lata 90. to czas tworzenia wielu przepisów prawnych, wielokrotnie zmienianych, zaś dopiero okres lat dwutysięcznych wytworzył interesujące nas, obowiązujące normy. Przykładami takich przepisów są:

  • Rozporządzenie Prezesa Rady Ministrów z dnia 7 października 2002 (Dz.U. 2002 nr 172 poz. 1404) jest najstarszym obowiązującym przepisem prawnym, który bezpośrednio odnosi się do kwestii kasowania danych na nośnikach elektronicznych. Ustawa mówi o wymogu prawnym bezpiecznego usuwania informacji lub fizycznym niszczeniu nośnika (jeśli bezpieczne ich skasowanie jest niemożliwe) w kontekście materiałów gromadzonych przez Agencję Bezpieczeństwa Wewnętrznego.
  • Rozporządzenie Prezesa Rady Ministrów z dnia 7 września 2006 r. (Dz.U. 2006 nr 165 poz. 1172) opisujące m.in. zasady postępowania z materiałami dowodowymi przez Centrale Biuro Antykorupcyjne, a w kontekście danych mówiące dokładnie: „usuwa się w sposób uniemożliwiający odtworzenie tych zapisów”. W wypadku danych, których zniszczenie nie jest możliwe, wymogiem staje się fizyczne zniszczenie nośnika.
  • Rozporządzenie Prezesa Rady Ministrów z dnia 27 września 2006 r. (Dz.U. 2006 nr 175 poz. 1285), którego przedmiotem jest między innymi sposób gromadzenia oraz niszczenia danych przez Służbę Kontrwywiadu Wojskowego (dawniej WSI). Przepis ten deklaruje, iż dane muszą zostać usunięte w sposób bezpieczny lub, jeśli to niemożliwe, zawierający je nośnik powinien zostać zniszczony.
  • Zarządzenie nr 15 Ministra Finansów z dnia 10 lipca 2006 r (Na podstawie art. 53 ust. 2 Ustawy z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych - Dz. U. z 2005r. nr 196, poz. 1631) opisujące między innymi procedurę obchodzenia się z danymi niejawnymi oraz definiujące w jaki sposób powinny one być niszczone: „Dokumenty i materiały niejawne powinny być niszczone w warunkach zabezpieczających zachowanie tajemnicy, w sposób uniemożliwiający odczytanie zawartych w nich wiadomości; sposób zniszczenia informacji niejawnych, zapisanych na elektronicznych nośnikach, powinien gwarantować ich nieodwracalne usunięcie.”

Warto zaznaczyć, iż w odróżnieniu od wymogów dla ABW, CBA czy SKW, ww. przepis nie bierze pod uwagę kasacji nośnika jako bezpiecznej metody usunięcia danych, a wymaga „jedynie” bezpiecznego zniszczenia elektronicznego. Aczkolwiek jest to logiczne wobec istnienia zapisu mówiącego, iż dany nośnik informacji nawet po bezpiecznym skasowaniu nie może być używany przez osoby „inne” (punkt 9, rozdział 4 ustawy).

Ciekawostką jest również fakt, iż ustawa ta przewiduje kompletną i bezpieczną destrukcję dokumentów papierowych, lecz jak wspomniano powyżej, owa destrukcja nie odnosi się do nośników elektronicznych.

Wymóg bezpiecznego kasowania danych lub bezpiecznej utylizacji nośnika odnajdujemy również w:

  • Rozporządzeniu Ministra Pracy i Polityki Społecznej z dnia 28.11.2007 r. (Dz. U. 2007 nr 228 poz. 1681) w kontekście Elektronicznego Krajowego Systemu Monitoringu Orzekania o Niepełnosprawności.
  • Rozporządzeniu Ministra Sprawiedliwości z dnia 23 czerwca 2010 r. (Dz.U. 2010 Nr 113 Poz. 756.) w kontekście obrotu danych w systemie dozoru elektronicznego.
  • Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 7 czerwca 2011 r. (Dz.U. 2011 nr 121 poz. 694) w kontekście danych operacyjnych gromadzonych przez Policję.
  • Rozporządzeniu Ministra Spraw Wewnętrznych I Administracji z dnia 10 czerwca 2011 r. (Dz.U. 2011 nr 122 poz. 697) w kontekście danych zawierających wyniki przeprowadzonych inspekcji.

Leave a Comment