Sektor bankowy codziennie obraca ogromną liczbą wrażliwych danych. Dokumenty je zawierające poddane powinny być więc szczególnemu nadzorowi – od momentu powstania do utylizacji. Okazuje się jednak, że dopiero całkiem niedawno wprowadzono wytyczne, które wskazały m.in. jak należy przeprowadzać outsourcing usług, aby zminimalizować ryzyko wycieku danych. Zarówno archiwizacja, jak i niszczenie dokumentacji czy też jej digitalizacja przez zewnętrznego usługodawcę powinna być odpowiednio przygotowana i określona szczegółowymi zapisami umowy między stronami.
CZEGO POTRZEBUJE SEKTOR BANKOWY?
Każdy, kto choć raz korzystał z usługi bankowej wie, z jak ogromną ilością dokumentów się to wiąże. O ile założenie konta to jeszcze stosunkowo proste zadanie, o tyle kredyt, lokata czy inny instrument finansowy generują ogromną liczbę zaświadczeń, wniosków, formularzy, choć trzeba odnotować, że branża stara się w tym obszarze pracować i zmniejszać ilość wymaganej dokumentacji.
Na zarządzanie cyklem życia dokumentu w sektorze bankowym bardzo duży wpływ mają przepisy RODO, które nakładają wyraźny obowiązek niszczenia dokumentów po upływie określonego czasu. Coraz częściej banki pracują także nad bardziej optymalnym wykorzystaniem przestrzeni i dążą do zmniejszania firmowych archiwów zamiast ich poszerzania. Branża finansowa przechodzi stopniowy proces digitalizacji, natomiast nadal boryka się z problemem ogromu papierowych dokumentów, którymi trzeba umiejętnie zarządzać. Każdy kolejny klient czy nowy, wybrany przez niego instrument finansowy to kolejna porcja dokumentów. Trzeba więc je gdzieś przechowywać, a także regularnie przeprowadzać niszczenie dokumentacji, której okresy przechowywania minęły. Nie chodzi tutaj wyłącznie o dokumentację papierową. Formularze elektroniczne także trzeba gdzieś przechowywać, co oznacza, że z czasem potrzebna jest także regularna utylizacja cyfrowych nośników informacji.
Aby archiwum bankowe nie rozrastało się do niebotycznych rozmiarów, a przepisy RODO były respektowane, potrzebne jest regularne brakowanie dokumentacji. Żeby ten proces można było skutecznie przeprowadzić niezbędny z kolei jest porządek: precyzyjne katalogowanie dokumentów, dobrze przygotowane bazy dotyczące posiadanej dokumentacji z oznaczeniem okresów przechowywania. Spełnienie tych wszystkich wymagań nie przychodzi wcale tak prosto, wymaga bowiem zatrudnienia szeregu pracowników, którzy dysponują wiedzą i doświadczeniem w zakresie archiwizacji, a o tych na rynku nie jest łatwo. Z tego też powodu coraz więcej banków decyduje się na współpracę z podmiotami zewnętrznymi, które oferują outsourcing procesów związanych z obsługą dokumentacji: od usługi porządkowania, archiwizacji, digitalizacji, po brakowanie i niszczenie dokumentacji.
WYBIERZ ODPOWIEDZIALNIE
Banki na co dzień pracują z ogromną ilością danych osobowych, przechowują dokumenty wypełnione wrażliwymi danymi. Decydując się na współpracę z partnerem zewnętrznym, muszą więc zadbać o wybór usługodawcy, który zapewni maksymalnie profesjonalną, bezpieczną i zgodną z najwyższymi standardami opiekę nad dokumentacją. Nie ma znaczenia, czy będzie ją archiwizował, porządkował, digitalizował czy niszczył. Na każdym z tych etapów cyklu życia dokumentów muszą być ona maksymalnie chronione. Odpowiedzialność za wybór usługodawcy spada zaś na bank.
W tym kontekście zastanawiające jest, że jeszcze do niedawna brakowało w branży precyzyjnych wytycznych dotyczących profesjonalnego, bezpiecznego i zgodnego z najwyższymi standardami zarządzania cyklem życia dokumentów. Najwięcej problemów sprawiało niszczenie dokumentacji, cyfrowych nośników danych, dysków, taśm LTO czy streamerów. Brakowało wiedzy, jak takie niszczenie powinno wyglądać, a to prowadziło do tego, że banki często niszczyły dokumenty we własnym zakresie albo przekazywały je do papierni. Brakowało pełnej kontroli całego procesu, a nawiązywanie współpracy z firmą zewnętrzną nie było poprzedzone jej szczegółowym sprawdzeniem, dopełnieniem formalności gwarantujących bezpieczeństwo przekazywanych dokumentów. Mało kto korzystał choćby z możliwości szczegółowego audytu zewnętrznego pozwalającego zweryfikować, czy potencjalny partner spełnia podstawowe wymagania dotyczące zasad bezpieczeństwa, posiada odpowiednią polisę ubezpieczeniową itd.
Dzisiaj sytuacja na szczęście się znacząco zmieniła. Wzrosła świadomość w zakresie wymogów bezpieczeństwa i ochrony danych, konieczności profesjonalnego zabezpieczenia procesu zarządzania cyklem życia dokumentów, w tym ich niszczenia i utylizacji nośników cyfrowych danych. Bardzo duże znaczenie miało także sformułowanie szczegółowych przepisów, wytycznych EBA/KNF, które precyzyjnie określiły, jakie obowiązki ma bank, który chce nawiązać współpracę z partnerem zewnętrznym. Banki otrzymały precyzyjną informację: to na was spoczywa obowiązek sprawdzenia potencjalnego usługodawcy oraz dopełnienia z nim odpowiednich formalności definiujących powierzenie przetwarzania danych.
ZANIM PODPISZESZ UMOWĘ
Wytyczne EBA/KNF bardzo wyraźnie wskazują, że outsourcing usług związanych z zarządzaniem cyklem życia dokumentów powinien być poprzedzony kontrolą potencjalnego kontrahenta. Jak wyglądają takie zalecenia?
- Między bankiem a usługodawcą powinna zostać zawarta odpowiednia umowa uwzględniająca PPD (Powierzenie Przetwarzania Danych). Im bardziej szczegółowe jej zapisy, tym lepiej. Komplementarna do umowy powinna być klauzula outsourcingowa.
- Sprawdzić należy sytuację ekonomiczno-finansową kontrahenta. Ważnym elementem z pewnością będzie posiadanie przez niego polisy ubezpieczeniowej o odpowiedniej wysokości na wypadek jakiegokolwiek naruszenia przepisów o ochronie danych.
- Zweryfikować trzeba, czy usługodawca ma plany ciągłości działania na wypadek nieprzewidzianych zdarzeń.
- Warto na samym początku wymusić na usługodawcy zgodę na ewentualną kontrolę z KNF, zobowiązanie się do działania zgodnie z obowiązującymi przepisami prawa i regulacjami, zachowania tajemnicy bankowej, a także stosowania tzw. exit planu. Tego typu zapisy mogą pojawić się w umowie lub dokumentach doprecyzowujących sposób realizacji usługi. Warto zadbać o takie zapisy, ponieważ regulują one codzienną współpracę, a także stanowią zabezpieczenie na wypadek jakiegokolwiek niedotrzymania zobowiązań przez usługodawcę. Nie ma znaczenia, czy chodzi o niszczenie, archiwizację, digitalizację dokumentów. Każdy z tych etapów wiąże się z ryzykiem dostępu ze strony osób nieupoważnionych, któremu trzeba przeciwdziałać na każdy możliwy sposób i zminimalizować go wszelkimi dostępnymi sposobami.
Jak często przede wszystkim niszczenie dokumentów było przeprowadzane w formie dalekiej od wysokich standardów? Wystarczy sprawdzić, jak wiele firm świadczących tego typu usługi wycofuje ofertę dla sektora bankowa właśnie ze względu na niezdolność do spełnienia tych norm. Zawsze warto więc z taką checklistą sprawdzić potencjalnego usługodawcę, poprosić o audyt, zadbać o zapisy w umowie. W przypadku jakichkolwiek problemów dopełnienie tych dobrych praktyk to rodzaj dodatkowego zabezpieczenia dla banku, który ma dowód kontroli usługodawcy przed rozpoczęciem świadczenia usług.
ODPOWIADAMY NA POTRZEBY KLIENTÓW
Dla Rhenus Office Systems Poland spełnienie tych wymagań nie stanowi żadnego problemu. Realizujemy wszystkie zalecenia EBA/KNF, a nasze certyfikaty ISO 27001 i 9001 stanowią tylko tego dodatkowe potwierdzenie. Gwarantujemy bezpieczną drogę dokumentów oraz nośników danych do niszczarni. Dysponujemy odpowiednią flotą pojazdów z GPS, specjalistycznymi bezpiecznymi pojemnikami, a przede wszystkim nie karanymi pracownikami przeszkolonymi z ochrony danych osobowych, którzy gwarantują, że każdy odbiór przeprowadzimy profesjonalnie i bezpiecznie, a nasz klient może spać spokojnie.
Odbieramy od 100 kg do 16 ton dokumentów od naszych klientów z sektora bankowego. Często odwiedzamy centralę, a także oddziały banku. Przy większych jednostkach jest to 5-6 oddziałów, przy mniejszych około 2. Jak często to robimy? Banki z reguły niszczą swoją dokumentację raz do roku, czasami raz na dwa lata, ale pracujemy także w innych modelach. Obsługujemy na przykład wszystkie oddziały i centralę Poznańskiego Banku Spółdzielczego w systemie harmonogramowym co 2 miesiące. Bank Spółdzielczy Pojezierza Międzychodzko-Sierakowskiego w Sierakowie także wymienia u nas swoje worki bankowe co 2 miesiące. Banki korzystają zresztą nie tylko z niszczenia: Bank Spółdzielczy Katowice Silesia posiada w naszym archiwum w Czeladzi kilkaset boxów. W przypadku Mikołowskiego Banku Spółdzielczego jest to ponad 1000 pudeł. Spółdzielcza Kasa Oszczędnościowo - Kredytowa Ruda Śląska zdeponowała już ich ponad 1500. Dla Banku Spółdzielczego w Obornikach Śląskich prowadziliśmy porządkowanie ok. 100mb – to pierwsza taka usługa w tym sektorze.
Chcesz dowiedzieć się więcej o tym, jak profesjonalnie zabezpieczyć dokumenty przeznaczone do niszczenia? Jak wybrać usługodawcę, aby nie narazić się na ryzyko wycieku danych? Skontaktuj się z naszymi ekspertami!
Jan Zych
Kierownik ds. Klienta Strategicznego
Telefon: +48 609 443 283
E-mail: [email protected]
LinkedIn: Jan Zych