Bezpieczeństwo instytucji finansowej: Jeśli niszczyć, to skutecznie

Marcin Szypszak

Maj 2009 r. Centrum Lublina. Na jednym z podwórek dwóch nastolatków znajduje dokumenty bankowe. Cała sterta leżała pod kontenerem na śmieci. W sumie kilka tysięcy kartek, zawierających m.in. imiona i nazwiska kredytobiorców, adresy, numery PESEL, informacje o kwotach, zaciąganych przez nich zobowiązaniach. Za ich ujawnienie, w myśl Ustawy o ochronie danych osobowych, można trafić do więzienia nawet na dwa lata. Sprawa trafia do mediów, nabiera rozgłosu. Policja obiecuje ją wyjaśnić i ukarać winnego. Dla banku, którego dokumenty znalazły się na śmietniku, to prawdziwy cios! W jednej chwili stracił wiarygodność, na którą pracował latami.

Procedury przechowywania i niszczenia dokumentów czy danych są dla firm, szczególnie dla banków, nie lada wyzwaniem. Chodzi tu – w równym stopniu – o całą stertę papierowych formularzy, umów i wniosków, jak i o twarde dyski czy inne nośniki, stanowiące element pamięci wirtualnej.

Wymogi prawne

Obowiązek gromadzenia danych narzucają szczegółowe przepisy Prawa bankowego (określają one rodzaj dokumentu, sposób i czas przetrzymywania). Jeśli konieczność archiwizacji nie wynika z nakreślonych procedur, a informacje zawarte w dokumentach są niepotrzebne, oznacza to ni mniej, ni więcej, że dany dokument uzyskuje status dokumentu niearchiwalnego. W tym przypadku może, a wręcz powinien być zutylizowany. Dlaczego? Wynika to wprost z odpowiednich ustaw, regulujących przetwarzanie określonych informacji. Aspekt prawny to po pierwsze. Drugie to aspekt bezpieczeństwa. Znaczna część dokumentacji niearchiwalnej kryje w sobie poufne informacje, których ujawnienie wiązałoby się z ogromnymi szkodami. Trudno sobie wyobrazić, by dokumenty o takiej treści i wadze znalazły się nagle w rękach osób nieuprawnionych. Równie ważną rolę odgrywają względy ekonomiczne. Jednorazowe zniszczenie części dokumentów jest dużo tańsze od ich magazynowania. Istotnym czynnikiem (często niebranym pod uwagę), przemawiającym za koniecznością niszczenia dokumentów, jest czynnik ekologiczny. Zniszczone dokumenty, zamiast na wysypiska czy do spalarni trafiają do ponownego przetworzenia.

Regulowane przepisami

Konieczność utylizacji dokumentów niearchiwalnych określa polskie prawo. Dotyczy to szczególnie dokumentów zawierających dane osobowe. W myśl ustawy o ich ochronie, uchwalonej przez Sejm w 1997 r. za takie uważa się wszelkie informacje dotyczące zidentyfikowanej bądź możliwej do zidentyfikowania osoby fizycznej, której tożsamość można określić, powołując się na numer identyfikacyjny, adres zamieszkania, a nawet jeden lub kilka charakterystycznych czynników. W danych, zbieranych przez banki w ramach konkretnych operacji aż roi się od takich elementów.

Ta sama ustawa mówi, że każdy podmiot, gromadząc informacje osobowe, zobowiązuje się spełniać warunki ich przetwarzania, czyli wszelkich operacji na takich informacjach, ich zbierania, edytowania i wreszcie usuwania. Dotyczy to także danych, zawartych w systemach informatycznych.

– W przypadku usuwania chodzi o to, aby wszelkie informacje znajdujące się w powyższych dokumentach stwarzające możliwość identyfikacji osoby, której dotyczą, zostały zniszczone w taki sposób, aby ich odczytanie, a tym bardziej zindywidualizowanie osoby było niemożliwe – wyjaśnia ...