• Autor: Redakce
Pokud hledáte skartovač pro jiné než domácí využití, měli byste věnovat zvýšenou pozornost normě DIN 66399, jež platí v celé Evropské unii. Jedná se o soupis několika úrovní ochrany dat dle citlivosti, ale především o instrukce, jak s těmito dokumenty nakládat. Jaká skartovačka je potřeba k dodržení norem ve firmách?
i
Jak chránit citlivá data? Od roku 2014 platí v EU společné standardy pro stupně utajení skartovacích strojů. Konkrétně se jedná o normu DIN 66399. Norma definovala 3 úrovně ochrany v závislosti na stupni citlivosti dat a 7 úrovní zabezpečení (v kontextu dokumentů).
Specifická stupnice NNI platí pro státní správu, více informací v druhé půlce článku.
DIN 66399 sama o sobě není zákon, nejedná se ani o směrnici EU (resp. nařízení EU). Závaznost DIN 66399 tedy nevyplývá ze standardu samotného, ale z konkrétních evropských a tuzemských předpisů, které se na DIN 66399 odvolávají.
Zákon č. 110/2019 Sb. o zpracování osobních údajů
Zákon o zpracování osobních údajů paradoxně DIN 66399 nezmiňuje, nicméně klade důraz na povinnost organizací zajistit odpovídající technické a organizační opatření na ochranu osobních údajů.
Technické normy, jako je DIN 66399, se používají jako doporučené postupy nebo osvědčené praxe, které pomáhají organizacím splnit tyto obecné požadavky.
Ačkoliv je DIN 66399 nejpopulárnějším standardem, existují i alternativní standardy. Například NSA/CSS EPL od americké Národní bezpečnostní agentury (NSA) nebo DoD Standards (Ministerstvo obrany USA). Jak si lze všimnout, jedná se zpravidla o standardy z USA apod. V kontextu EU jasně vede DIN 66399. Alternativní standardy mohou být nicméně vyžadovány v případě mezinárodního obchodu ze strany klienta.
Vyhláška č. 528/2005 Sb. v aktuálním znění
Vyhláška č. 528/2005 Sb. byla 13. ledna 2022 novelizována vyhláškou č. 13/2022 Sb. Ta zavedla zvláštní stupnici NNI, která je závazná pro státní správu a odchyluje se od stupnice DIN 66399. Více informací ke stupnici NNI najdete v druhé půlce článku.
General Data Protection Regulation (Obecné nařízení o ochraně osobních údajů) vyžaduje, aby organizace v celé Evropské unii, včetně České republiky, chránily osobní údaje a zajišťovaly jejich bezpečné zpracování a likvidaci. DIN 66399 poskytuje technický rámec pro skartování dokumentů, který může pomoci organizacím splnit požadavky GDPR.
Veřejné zakázky a sektorové regulace: Některé sektory, jako například bankovnictví, zdravotnictví nebo obrana, mají specifické předpisy a požadavky na ochranu dat, které mohou zahrnovat nebo odkazovat na normy jako DIN 66399.
Stupnice P-1 až P-7 konkrétně označuje rozměry částic při skartaci papíru. V popisu produktů můžete často vidět i stupně pro další média, jelikož skartace CD nebo filmů vyžaduje pro stejný stupeň zabezpečení menší rozměry. Například pokud má skartovačka na papír stupeň utajení P-4 značící skartování na částice do velikosti 160 mm², na CD a DVD by měla střední utajení O-3 a pro skartaci filmů by při stejné velikosti částic bylo utajení pouze F-1.
Stupeň utajení DIN 66399 | Využití u typu dokumentů | Způsob řezu | Velikost řezu |
---|---|---|---|
P-1 | běžné informace | podélný řez | proužek max. 12 mm |
P-2 | interní dokumenty | podélný řez | proužek max. 6 mm |
P-3 | personální údaje (GDPR) | křížový řez | částice do 320 mm² |
P-4 | tajné písemnosti | křížový řez | částice do 160 mm² |
P-5 | přísně tajné materiály | křížový řez | částice do 30 mm² |
P-6 | vládní kanceláře USA | křížový řez | částice do 10 mm² |
P-7 | tajné služby jako NSA, CIA. V rámci EU např. ENISA. | křížový řez | částice do 5 mm² |
Podle nařízení GDPR jsou pravidla ohledně nakládání s osobními údaji v papírové formě přísná. Veškeré osobní údaje byste správně měli ihned po tom, co již nebudou třeba, skartovat, a to minimálně dle standardu P-3 pro běžné osobní údaje, ale někdy i vyššího, v závislosti na citlivosti daných údajů (některé mohou podléhat dalšímu, vyššímu utajení). Co všechno je třeba vědět o GDPR, najdete ve článku GDPR: vyšší ochrana osobních dat a nové povinnosti pro firmy.
Pokud osobní údaje potřebujete delší dobu, a nebudete je tedy moci skartovat, musíte je dle vyhlášky uchovávat ve speciálních certifikovaných trezorech.
Začínáte mít pocit, že na evropský kontext je stupnice DIN překvapivě přehledná? Národní bezpečnostní úřad (NBÚ) se rozhodl to změnit. Takže se pojďme seznámit se stupnící NNI, kterou se řídí státní správa.
Začneme kontextem: 13. ledna 2022 byla vydána vyhláška č. 13/2022 Sb., která změnila vyhlášku č. 528/2005 Sb. Hlavní změny se týkaly kapitoly 9 přílohy č. 1, která zpřísňuje rozměry odpadních částic skartovacích strojů dle mezinárodního standardu ISO/IEC 21964-2:2018. Podle nařízení NATO z 25. listopadu 2020 jsou stanoveny dva rozměry částic: do 5 mm² pro všechny stupně utajení a do 10 mm² pro stupeň Důvěrné. Tato ustanovení nabývají účinnosti 1. ledna 2023. Více informací na webu Národního bezpečnostního úřadu.
Pro koho je stupnice NNI závazná? Pro výkon státní správy a nakládání s utajovanými dokumenty v České republice jsou závazná zvláštní pravidla stanovená vyhláškou č. 13/2022 Sb. Norma DIN 66399 je stále platná jako mezinárodní norma pro skartaci nosičů dat, tj. nebyla zrušena. Vyhláška zavádí nové označení typů skartovacích strojů a stanovuje nové požadavky na velikost částic odpadu, které je nutné dodržet při skartaci utajovaných dokumentů.
A nyní samotná stupnice. Krom tabulky níže je ovšem nutné přihlédnout i k dalším pravidlům, které najdete v následující kapitole.
Stupeň | Požadavek | Kdy je vyžadováno |
---|---|---|
NNI 1 | Částice do 160 mm² | Obecně pro dokumenty s nízkou úrovní ochrany, které neobsahují citlivé nebo utajované informace. |
NNI 2 | Částice do 30 mm² | Pro dokumenty, které vyžadují střední úroveň ochrany. Mohou zahrnovat citlivé informace, které nejsou přísně utajené. |
NNI 3 | Částice do 10 mm² | Pro důvěrné dokumenty. V souladu s nařízením NATO, částice do 10 mm² jsou povoleny pro dokumenty označené jako "Důvěrné". |
NNI 4 | Částice do 5 mm² | Pro všechny stupně utajení, včetně tajné a přísně tajné dokumentace. Tento nejvyšší stupeň ochrany je vyžadován pro maximální bezpečnost utajovaných informací. |
Ve zkratce: před účinností nové vyhlášky se státní správa řídila sice vlastní stupnicí, ta ale velmi úzce kopírovala DIN 66399.
A nyní podrobněji: Před účinností vyhlášky č. 13/2022 Sb. byla problematika skartovacích strojů a fyzické bezpečnosti v České republice upravena vyhláškou č. 528/2005 Sb., o fyzické bezpečnosti a certifikaci technických prostředků. Tato vyhláška stanovila požadavky na technické prostředky včetně skartovacích strojů, ale systém hodnocení skartovacích strojů byl jednodušší a nebyl tak podrobně specifikován jako nyní.
Vyhláška č. 528/2005 Sb. obecně určovala požadavky na bezpečnostní prostředky a jejich certifikaci, ale konkrétní klasifikace skartovacích strojů podle velikosti odpadních částic nebyla tak detailně rozpracována. Skartovací stroje byly hodnoceny především podle standardů jako DIN 66399, které stanovovaly úrovně bezpečnosti (P-1 až P-7) na základě velikosti skartovaných částic.