Organizacja ochrony informacji wrażliwych w świetle uregulowań obowiązujących przepisów prawa

Elżbieta Krzyżak
Departament Bezpieczeństwa i Administracji
Wydział Bezpieczeństwa
Bank Polskiej Spółdzielczości Spółka Akcyjna

     Przedmiotem niniejszych rozważań jest kwestia organizacji ochrony informacji wrażliwych obowiązujących w komercyjnych jednostkach organizacyjnych w oparciu o aktualne przepisy prawne. Nie jest możliwe przybliżenie tej tematyki bez znajomości rodzajów tajemnic występujących w poszczególnych jednostkach, w tym w bankach niepaństwowych.

     Zagadnienia dotyczące ochrony informacji były w Polsce na przestrzeni wielu lat bagatelizowane przez instytucje finansowe. Kiedy w krajach wysoko rozwiniętych postrzegano informację jako cenny towar podlegający ochronie, w naszym kraju dopiero od niedawna tematyka ochrony informacji zaczęła nabierać znaczenia.

Obecnie obowiązujące akty prawne mają swoją podstawę w Konstytucji RP z 1997r., która zawiera przepisy nakazujące rozwinięcie problematyki ochrony informacji w ustawodawstwie zwykłym zarówno w tematyce ochrony życia prywatnego (art. 47 Konstytucji), w tym sytuacji majątkowej, posiadanych rachunków bankowych oraz dokonywanych transakcji bankowych, jak i prawa zachowania w tajemnicy informacji dotyczących własnej osoby (art. 51 Konstytucji) rozwiniętego obecnie w ustawie z 29 sierpnia 1997 r. o ochronie danych osobowych, a także zasadę ochrony konstytucyjnych wolności i praw (art. 31 Konstytucji), ochrony tajemnicy komunikowania się, czyli dostępu poszczególnych podmiotów do określonych informacji (art. 49 Konstytucji). Zgodnie z konstytucją ograniczenie wolności człowieka i prawa dostępu do informacji może nastąpić jedynie w drodze ustawy.
W przypadku naruszenia wolności i praw można ich dochodzić w drodze sądowej (art. 77 ust. 2 Konstytucji).

     Prawo do prywatności gwarantuje również Europejska Konwencja o Ochronie Praw Człowieka i Podstawowych Wolności ratyfikowana przez Polskę 15 grudnia 1992 r. Zgodnie z orzecznictwem Europejskiego Trybunału Praw Człowieka dotyczącym w/w Konwencji jednym z elementów prywatności jest sytuacja finansowa i gospodarcza osoby fizycznej i prawnej. W jej ramach mieszczą się zatem stosunki klienta z bankiem – stąd konieczność ochrony informacji dotyczących tych stosunków.

     Sfera ochrony informacji poruszana jest również w innych przepisach prawnych takich jak np. Kodeks Cywilny, jednak dla ochrony informacji bankowych praktyczne znaczenie mają uregulowania dotyczące w sposób bezpośredni działalności banków i instytucji finansowych, a mianowicie:
  1. Ustawa z 29 sierpnia 1997 r. „Prawo bankowe” – tekst jednolity Dz. U. nr 72, poz. 665 z 2002 r.,
  2. Ustawa z 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji – Dz. U. nr 47, poz. 211 z 1993 r. z późn. zm.,
  3. Ustawa z 29 września 1994 r. o rachunkowości – Dz. U. nr 121, poz. 591 z 1994 r. z późn. zm.,
  4. Ustawa z 15 września 2000 r. Kodeks Spółek Handlowych – Dz. U. nr 102, poz. 1117 z 28 listopada 2000 r.,
  5. Ustawa z 26 czerwca 1974 r. Kodeks Pracy - Dział IV (Obowiązki pracodawcy i pracownika) Rozdział II (Obowiązki pracownika) i II a (Zakaz konkurencji) – Dz. U. nr 21, poz. 94 z 1998 r. z późn. zm.,
  6. Ustawa z 21 sierpnia 1997 r. Prawo o publicznym obrocie papierami wartościowymi – Dz. U. nr 118, poz. 754 z 1997 r. z późn. zm.,
  7. Ustawa z 22 maja 1997 r. o zmianie ustawy o adwokaturze, ustawy o radcach prawnych oraz niektórych innych ustaw – Dz. U. nr 75, poz. 471,

     Jak widać katalog aktów prawnych regulujących kwestie tajemnic obowiązujących w bankach niepaństwowych jest bardzo szeroki. Elementem wspólnym tych wszystkich aktów prawnych jest zabezpieczenie właściwych, z punktu widzenia ustawodawcy lub uprawnionego podmiotu, danych i informacji przed ich nieuprawnionym ujawnieniem.
Nie ma w tym katalogu Ustawy z 22 stycznia 1999 r. o ochronie informacji niejawnych ogłoszonej w Dz. U. nr 11, poz. 95 z dnia 08 lutego 1999 r., która weszła w życie 08 marca 1999 r. Przyczyna takiego stanu rzeczy jest prosta i tkwi w samej ustawie, a polega na wykluczeniu banków komercyjnych niepaństwowych albo nie wykonujących zadań na rzecz obronności i bezpieczeństwa państwa z katalogu podmiotów mających prawo stosować przedmiotową Ustawę. Art. 1 ust. 2 Ustawy podaje zamknięty katalog podmiotów, do których mają zastosowanie uregulowania ustawy, a są to:

  1. organy władzy publicznej w szczególności:
    a) Sejm i Senat RP,
    b) Prezydent RP,
    c) Organy administracji rządowej,
    d) Organy jednostek samorządu terytorialnego,
    e) Sądy i trybunały,
    f) Organy kontroli państwowej i ochrony państwa,
  2. Siły Zbrojne RP,
  3. NBP i banki państwowe,
  4. państwowe osoby prawne i inne niż wymienione w pkt. a-c państwowe jednostki organizacyjne,
  5. przedsiębiorcy, jednostki naukowe lub badawczo – rozwojowe ubiegające się o zawarcie lub wykonujące umowy związane z dostępem do informacji niejawnych albo wykonujące na podstawie przepisów prawa zadania na rzecz obronności i bezpieczeństwa państwa, związane z dostępem do informacji niejawnych (Dz.U. z 1998 r. Nr 119, poz. 773).

W obliczu powyższego jest rzeczą oczywistą, że banki niepaństwowe nie spełniające określonych warunków - nie podlegają w/w Ustawie, zaś informacje są w tych jednostkach chronione na podstawie aktów prawnych wymienionych wcześniej.
Sama Ustawa o ochronie informacji niejawnych z art. 1 ust. 3 wskazuje podstawę ochrony tych informacji:
"3. Przepisy ustawy nie naruszają przepisów innych ustaw o ochronie tajemnicy zawodowej lub innych tajemnic prawnie chronionych”.
Ustawa o ochronie informacji niejawnych jest jedną z ustaw, które zgodnie z Konstytucją RP ogranicza wolność człowieka i jego prawo do swobodnego dostępu do informacji.
Zgodnie z art. 20 ust. 1 „Informacje niejawne, którym przyznano określoną klauzulę tajności, z zastrzeżeniem ust. 2, są chronione zgodnie przepisami ustawy, które dotyczą informacji niejawnych oznaczonych daną klauzulą tajności. Oznacza to w szczególności, że informacje takie:
"1) mogą być udostępniane wyłącznie osobie uprawnionej do dostępu do informacji niejawnych o określonej klauzuli tajności, …”

     Na podstawie przedstawionego powyżej stanu rzeczy widać, jak wiele przepisów reguluje zagadnienia ochrony informacji w bankach niepaństwowych. Są one rozrzucone w co najmniej kilku aktach prawnych.
Aby doprecyzować kwestie ochrony tajemnicy oraz zaadoptować przepisy rangi ustawowej na potrzeby poszczególnych instytucji należy opracować regulacje wewnętrzne w postaci instrukcji, których celem będzie stworzenie w tych instytucjach podstawy do dalszej pracy poprzez wprowadzenie pewnych mechanizmów postępowania w danej jednostce dostosowanych do indywidualnych potrzeb wynikających ze specyfiki działania instytucji. Konieczność stworzenia regulacji wewnętrznych w poszczególnych bankach niepaństwowych podkreślił również Związek Banków Polskich, który chcąc pomóc tym instytucjom odnaleźć się w obowiązującym stanie prawnym wystosował do tychże jednostek rekomendacje mające na celu ujednolicenie procedur stosowanych w bankach niepaństwowych, a odnoszących się do ochrony informacji. Rekomendacje, o których mowa powyżej zostały wypracowane przez ZBP w oparciu o prace przeprowadzone przez Komitet ds. Bezpieczeństwa Banków przy ZBP oraz ankietę przeprowadzoną wśród większości polskich banków komercyjnych.
Efektem prac była propozycja stosowania do określenia informacji chronionych w bankach niepaństwowych określenia „informacje wrażliwe” oraz dwóch rodzajów klauzul, tj.:
- „poufne bankowe”,
- „do użytku służbowego”,
jak również wprowadzanie określonych zastrzeżeń na dokumentach zawierających informacje wrażliwe, tzn. umieszczenie w stopce dokumentu adnotacji: „materiał zawiera informacje prawnie chronione Banku przeznaczone jedynie dla osób uprawnionych”, zaś na kopertach tzw. „wewnętrznych”: „materiał zawiera informacje prawnie chronione Banku przeznaczone wyłącznie do użytku służbowego adresata”.

     Omawiając zagadnienie ochrony informacji nie sposób pominąć zarówno pojęcia ochrony informacji wrażliwych, czyli prawnie chronionych, zawartych w dokumencie papierowym, elektronicznym lub materiale (przedmiocie, urządzeniu) albo możliwych do przekazania (uzyskania) w inny sposób, jak i elementów składających się na tę ochronę.
Ochrona informacji polega na:

  1. dopuszczeniu pracownika do dostępu do informacji wrażliwych po nawiązaniu stosunku pracy, przeszkoleniu pracownika z zakresu organizacji ochrony tajemnicy w danej jednostce oraz podpisaniu przez niego oświadczenia o zachowaniu stanu poufności informacji wrażliwych,
  2. zapoznaniu pracownika z rodzajami informacji objętych tajemnicą,
  3. przestrzeganiu procedur ochronnych przewidzianych przez regulacje wewnętrzne, w szczególności dotyczących wytwarzania, klasyfikacji, ewidencjonowania, obiegu, archiwizowania i niszczenia dokumentów zawierających informacje wrażliwe,
  4. ograniczaniu liczby osób mających dostęp do informacji wrażliwych,
  5. kształtowaniu poczucia odpowiedzialności pracowników za ochronę informacji oraz nawyków stosowania zabezpieczeń,
  6. przechowywaniu i zabezpieczaniu dokumentów zawierających informacje wrażliwe w sposób gwarantujący zachowanie stanu poufności informacji zawartych w tych dokumentach,
  7. przestrzeganiu zasad dostępu i przekazywania informacji odbiorcom zewnętrznym,
  8. wprowadzaniu do umów z kontrahentami zapisów zobowiązujących do zachowania w tajemnicy informacji chronionych.

Oczywistym jest fakt, iż sama wiedza na temat pojęcia ochrony nie wystarczy – niezbędna jest dokładna wiedza na temat rodzajów tajemnic występujących w jednostkach organizacyjnych nie będących instytucjami państwowymi.
Na podstawie obowiązujących przepisów prawa możemy wyróżnić kilka rodzajów tajemnic występujących w bankach, a mianowicie:

  1. tajemnica pracodawcy,
  2. tajemnica zawodowa, m.in.:
    a) bankowa,
    b) przedsiębiorstwa,
    c) maklerska,
    d) radców prawnych i adwokatów,
  3. tajemnica handlowa,
  4. tajemnica oparta na prawie spółdzielczym…

     Szczegółowe rozważania na temat wymienionych powyżej typów tajemnic rozpoczniemy od omówienia tajemnica pracodawcy czyli pracowniczej powinności zachowania w tajemnicy, nie objętych ochroną na podstawie odrębnych przepisów, informacji związanych z działalnością pracodawcy, w tym technicznych, technologicznych, handlowych i organizacyjnych, których ujawnienie może narazić pracodawcę na szkodę (art. 100 § 2 pkt. 4 KP). Powyższa definicja dotyczy podstawowej postaci tajemnicy pracodawcy.

W przypadku dostępu pracownika do szczególnie ważnych informacji – pracownicy na szczególnych stanowiskach pracy – mamy do czynienia z kwalifikowaną postacią tajemnicy. Obowiązuje ona także po ustaniu stosunku pracy - art. 101 § 1 kp.
Tajemnica pracodawcy chroni informacje nie objęte ochroną na zasadzie odrębnych przepisów.
Informacja chroniona na zasadzie tajemnicy pracodawcy musi być związana z działalnością pracodawcy, niekoniecznie działalnością gospodarczą, grą konkurencyjną czy rywalizacją na rynku.
Chronione są informacje:

- istotne z punktu widzenia majątkowych interesów podmiotu zatrudniającego,
- nie wchodzące do zakresu informacji, które stanowią element wiedzy ogólnej, wykształcenia czy kwalifikacji pracownika lub jego umiejętności naturalnych albo uzdolnień.

Brak jest wymogu sprecyzowania przez pracodawcę zakresu informacji objętych tajemnicą w danym zakładzie lub na stanowisku (tzw. wykazu informacji chronionych).
Możliwość wyrządzenia szkody – w przypadku ujawnienia tajemnicy pracodawcy - powinna być zobiektywizowana, a nie wynikać z subiektywnego wartościowania pracodawcy.

     Drugą bardzo istotną - o ile nie najistotniejszą - grupą informacji chronionych stanowi tzw. tajemnica zawodowa, czyli powinność zachowania w tajemnicy informacji związanych z pracą określonych grup pracowniczych. Przykładem tego typu tajemnicy jest tajemnica bankowa, przedsiębiorstwa, handlowa, lekarska, autorska, adwokacka, radcowska itd.
Z punktu widzenia działalności instytucji bankowych najważniejszymi i najczęściej spotykanymi rodzajami tajemnic są:

1) tajemnica bankowa - powinność zachowania w tajemnicy informacji dotyczących czynności bankowych i osób będących stroną umowy, uzyskanych w czasie negocjacji oraz związanych z zawarciem umowy z bankiem i jej realizacją, z wyjątkiem informacji, bez ujawnienia których nie jest możliwe należyte wykonanie zawartej przez bank umowy, a także informacji dotyczących osób, które nie będąc stroną umowy z bankiem, dokonały czynności pozostających w związku z zawarciem takiej umowy, z wyjątkiem przypadków, gdy ustawa przewiduje ujawnienie takich czynności, a także dotyczących udzielenia Policji informacji na zasadach określonych w art. 20 ust. 4-10 Ustawy z dnia 06.04.1990 r. o Policji (Dz.U. z 2000 nr 101, poz. 1092 oraz z 2001 r. nr 41, poz. 465, nr 81, poz. 877 i 100, poz. 1084) oraz dotyczące zawiadomienia, o którym mowa w art. 20 ust. 13 tej Ustawy (art. 104 ust. 1 Ustawy Prawo bankowe).
Przypadki zwolnień z obowiązku przestrzegania tej tajemnicy wymienione są w art. 105 w/w Ustawy.
Należy nadmienić, iż katalog podmiotów uprawnionych do wystąpienia z wnioskiem o przekazanie informacji stanowiących tajemnicę bankową jest zamknięty. Określone są także konkretne warunki, w jakich udostępnienie informacji chronionych na podstawie Ustawy Prawo bankowe jest możliwe;

2) tajemnica przedsiębiorstwa - nie ujawnione do wiadomości publicznej informacje techniczne, technologiczne, handlowe oraz organizacyjne przedsiębiorstwa lub inne informacje posiadające wartość gospodarczą, co do których przedsiębiorca podjął niezbędne działania w celu zachowania ich poufności, obowiązuje przez czas trwania stosunku pracy i w okresie trzech lat od jego ustania, chyba że umowa z pracodawcą stanowi inaczej lub ustał stan tajemnicy (art. 11 ust. 4 Ustawy o zwalczaniu nieuczciwej konkurencji; art. 100 & 2 pkt. 5 KP);
Ustawa o zwalczaniu nieuczciwej konkurencji – w art. 2 – precyzuje pojęcie przedsiębiorcy jako osoby fizycznej, prawnej oraz jednostki organizacyjnej nie mającej osobowości prawnej, która prowadząc, chociażby ubocznie, działalność zarobkową lub zawodową uczestniczy w działalności gospodarczej.

Tajemnica przedsiębiorstwa dotyczy:

- osób, które świadczą lub świadczyły pracę w ramach stosunku pracy,
- pracowników, którzy „wytworzyli”, „dokonali” poufnej informacji stanowiącej tajemnicę przedsiębiorstwa jak i tych, którzy się z nią zapoznali przy okazji wykonywania swoich obowiązków.
Obowiązek zachowania stanu poufności informacji stanowiących tajemnicę przedsiębiorstwa podlega pewnym ograniczeniom ram czasowych, które wynikają ze względów mających na uwadze ochronę interesów pracowników - jeżeli godzą w interes poszczególnego pracownika np. stanowią przeszkodę uzyskania nowego miejsca pracy lub interes publiczny – blokują wykorzystanie potencjału intelektualnego danej osoby dla dobra społeczności - ograniczenie to wynika z zakazu wykorzystywania prawa w sposób niezgodny z jego gospodarczym przeznaczeniem, zasadami współżycia społecznego oraz celem i właściwością stosunku pracy.
Do wyjątków od obowiązku zachowania tajemnicy przedsiębiorstwa należą również wynalazki lub utwory należące z mocy odpowiednich przepisów ustawowych do twórcy – pracownika.

     W razie sporu dotyczącego obowiązku zachowania stanu poufności informacji stanowiącej tajemnicę przedsiębiorstwa zaistniałego pomiędzy pracodawcą a pracownikiem na pracodawcy spoczywa ciężar dowodu, iż podjął niezbędne kroki w celu określenia granic zachowania tajemnicy przez pracowników, w interesie stron leży więc dokonanie wyraźnych ustaleń w kwestii ochrony tajemnicy przedsiębiorstwa.

     Ustawa o zwalczaniu nieuczciwej konkurencji – w art. 3 ust. 1 rozdziału 1 - określa również, iż działanie sprzeczne z prawem lub dobrymi obyczajami stanowi czyn nieuczciwej konkurencji, gdy zagraża lub narusza interes innego przedsiębiorcy lub klienta. Precyzuje także – w rozdziale 1 i 2 – przypadki naruszeń stanowiących czyny nieuczciwej konkurencji.

     Istotnym rodzajem tajemnicy występującym w jednostkach komercyjnych jest tajemnica handlowa. Obowiązuje ona na podstawie Kodeksu spółek handlowych (Ustawa z 15 września 2000r.) i dotyczy jedynie określonych grup pracowników (władze spółki).

     Z punktu widzenia działalności banków spółdzielczych istotne są uregulowania prawa spółdzielczego, zwłaszcza dotyczące zakazu działalności konkurencyjnej (art. 56 § 1 Ustawy z dnia 16 września 1982 r. Prawo spółdzielcze).

     Na podstawie przedstawionego powyżej materiału oczywistym stał się fakt, iż wejście w życie Ustawy o ochronie informacji niejawnych, z jednoczesnym określeniem zamkniętego katalogu podmiotów mających prawo stosować jej uregulowania, spowodowało niemałą rewolucję w zakresie organizacji ochrony informacji i to zarówno w podmiotach podlegających jej rygorom, jak i instytucjach spoza katalogu zawartego w art. 1 ust. 2 tejże Ustawy.
Wraz z wiedzą z zakresu rodzajów tajemnic obowiązujących w jednostkach organizacyjnych, takich jak jednostki niepaństwowe przyszła refleksja dotycząca możliwości wymiany korespondencji oznaczonej klauzulami wynikającymi z Ustawy o ochronie informacji niejawnych pomiędzy instytucjami mającymi prawo stosować przedmiotowy akt a bankami komercyjnymi. Problem niezwykle zaostrzył się dwa lata po wejściu w życie Ustawy o ochronie informacji niejawnych, gdyż straciły ważność upoważnienia do tajemnicy służbowej i państwowej wydane pracownikom banków niepaństwowych na podstawie przepisów Ustawy o organizacji tajemnicy państwowej i służbowej z 1982 r.
Patowa sytuacja stała się o tyle kłopotliwa, a wręcz niebezpieczna, że nie sposób uniknąć wzajemnych kontaktów instytucji takich jak banki niepaństwowe z Narodowym Bankiem Polskim, czy też jednostkami policji.
Zgodnie z literą prawa osobom nie posiadającym poświadczenia bezpieczeństwa, wydanego w wyniku przeprowadzonego przez uprawnione instytucje (ABW, WSI) postępowania sprawdzającego, nie wolno otwierać ani przechowywać korespondencji sklasyfikowanej jako tajemnica państwowa lub służbowa.
W przypadku wpływu przesyłek oznaczonych klauzulami takimi jak „ściśle tajne”, „tajne”, „poufne” czy „zastrzeżone” należy je odesłać do adresata lub zwrócić się do nadawcy z prośbą o zniesienie klauzuli.
Nie wolno również – zgodnie z przepisami – przechowywać w instytucjach niepaństwowych korespondencji oznaczonej tymi klauzulami, gdyż brak w tych instytucjach kancelarii tajnej spełniającej wymogi Rozporządzenia Rady Ministrów z dnia 09.02.1999 r. w sprawie organizacji kancelarii tajnych.
Zgodnie z Ustawą o ochronie informacji niejawnych – po upływie określonego czasu – dokumenty wytworzone w okresie obowiązywania Ustawy o organizacji tajemnicy państwowej i służbowej sklasyfikowane na jej podstawie jako niejawne stają się jawne.
W wielu przypadkach jednak ich treść jest tak istotna, iż osoby odpowiedzialne za ochronę tajemnicy w jednostkach komercyjnych nie dopuszczają takiego rozwiązania. Jedynym wyjściem z sytuacji zapewniającym zarówno zachowanie stanu poufności danych zawartych w dokumentach, jak i dostosowanie się do wymogów Ustawy o ochronie informacji niejawnych jest zniszczenie tych dokumentów – jeżeli jest to oczywiście możliwe – lub przeklasyfikowanie ich polegające na nadaniu im klauzul zgodnych z obowiązującymi w danej jednostce przepisami wewnętrznymi dostosowanymi do aktualnego stanu prawnego.

     Mając na uwadze konieczność rozwiązania zaistniałego problemu, a przede wszystkim bezpieczeństwo wymienianych informacji Związek Banków Polskich podjął działania zmierzające do doprowadzenia do udrożnienia wzajemnych kontaktów pomiędzy instytucjami państwowymi i niepaństwowymi.
Taki konsensus osiągnięto, czego efektem była informacja przekazana przez ZBP bankom komercyjnym oraz praktyka stosowania przez instytucje państwowe klauzuli „tajemnica bankowa” lub wyraźne zaznaczanie, iż dokument będący przedmiotem wymiany staje się „poufny”, „zastrzeżony” po wpłynięciu do właściwej jednostki, zaś w podmiotach nie podlegających rygorom Ustawy o ochronie informacji niejawnych chroniony jest na podstawie Ustawy Prawo bankowe.

     Omawiając zagadnienie dostępu do informacji chronionych nie sposób pominąć kwestii odpowiedzialności za naruszenia przepisów regulujących kwestię dostępu do określonych informacji. Zagadnienia powyższe uregulowane są w rozdziale XXXIII Ustawy z dnia 06 czerwca 1997 r. Kodeks karny, który wprowadza sankcje za naruszenie zasad ochrony informacji (art. 265, 266 i 267 KK).

     Reasumując należy zaznaczyć, iż zarówno na kadrze kierowniczej, jak i pracownikach jednostek bankowych spoczywają konkretne obowiązki wynikające z przepisów tak rangi ustawowej, jak i regulacji wewnętrznych mających na celu dostosowanie tych przepisów do warunków występujących w konkretnej jednostce, których znajomość i sumienne przestrzeganie jest jedyną drogą do właściwego i bezpiecznego funkcjonowania instytucji, zwłaszcza takiej jak bank.
Niezbędne jest precyzyjne określenie i skrupulatne przestrzeganie procedur dotyczących organizacji ochrony tajemnicy, zwłaszcza wyznaczania osób odpowiedzialnych za przedmiotowe zagadnienia, dopuszczania pracowników do informacji chronionych po przeszkoleniu i podpisaniu stosownych dokumentów (umowa, oświadczenie o zachowaniu tajemnicy), ograniczaniu liczby osób mających dostęp do poszczególnych informacji, właściwej organizacji obiegu dokumentów, sporządzania, klasyfikacji, rejestrowania i ekspedycji korespondencji, wykonywania kopii, odpisów i wyciągów dokumentów oraz ich dystrybucja, archiwizacja i niszczenie.
Niezwykle istotne jest również określenie zasad postępowania w przypadku utraty dokumentów lub ujawnienia informacji chronionych, a nade wszystko dokonywanie regularnych szkoleń pracowników i kontroli wewnętrznych z powyższego zakresu.