dokumenty

Techniczne aspekty ochrony danych osobowych

Artykuł ten stanowi część większego cyklu poświęconego ochronie danych osobowych.

Techniczne aspekty ochrony danych osobowych

Obowiązki nałożone na przedsiębiorstwa przez Rozporządzenie o Ochronie Danych Osobowych nie dają się spełnić jedynie pustymi obietnicami. Polityka Bezpieczeństwa, umowy powierzenia danych, Instrukcje Zarządzania Systemami Informatycznymi – to jedynie dokumenty. Oprócz nich trzeba faktycznych działań by chronić dane osobowe.

Dlaczego rzeczywista ochrona ma priorytet przed biurokratycznym obowiązkiem?

To oczywiste, prawda? Wszyscy chcemy by dane były faktycznie chronione, a nie jedynie określone w politykach, instrukcjach i raportach. Tyle pięknej teorii, bo w praktyce większość przedsiębiorców chce przede wszystkim chronić własny biznes. Nie ma w tym nic nadzwyczajnego. Na szczęście w przypadku RODO możliwości działania na pokaz zostały bardzo ograniczone.

Przede wszystkim zakres technicznych rozwiązań wykorzystywanych do ochrony danych osobowych nie został jasno określony. Nie ma więc listy zadań które można „odfajkować” i uznać, że temat jest zamknięty. Nie jest i w przypadku ochrony danych – raczej nie będzie. W przypadku kontroli, urzędnik zbada czy dane są należycie chronione. Jeśli okaże się, że pracownik wysłał niezabezpieczoną bazę danych wrażliwych do wszystkich kontrahentów – żadne wcześniejsze dokumenty nie pomogą. Lepiej więc zapobiegać niż leczyć.

Dlatego warto zastanowić się nad konkretnymi rozwiązaniami technicznymi w zakresie ochrony danych osobowych.

Przechowywanie dokumentów papierowych

Mimo postępu technicznego, wciąż drukujemy znaczną część dokumentacji. W przeciwieństwie do danych elektronicznych, bardzo łatwo stwierdzić gdzie papierowe dokumenty są i gdzie być powinny.
W każdej firmie zatrudniającej pracowników należy więc:

  • Określić sposób przekazywania dokumentów papierowych pomiędzy pracownikami, uniemożliwiający dostanie się ich w ręce osób trzecich – Na przykład zostawienie dokumentów na biurku recepcjonisty, gdy ten nie przyszedł jeszcze do pracy nie jest dobrym rozwiązaniem.
  • Wybrać miejsca przechowywania dokumentacji papierowej – Innych niż niezabezpieczona szafa segregatorowa w poczekalni dla klientów, w której nie ma żadnego pracownika.
  • Określić zasady zabezpieczenia dokumentacji przed kradzieżą/skopiowaniem – Nawet szafka zamykana na zwykły kluczyk jest lepsza niż brak zabezpieczenia w ogóle.
  • Określić zasady zabezpieczania dokumentacji przed zniszczeniem – zalaniem, niecelowym wrzuceniem do niszczarki, użyciem jako makulatura.
  • Trzymać się powyższych zasad.

Przewożenie dokumentów papierowych i nośników danych

Przewożenie dokumentów, bez względu na to czy są to wydruki, czy pendrive, zawsze wiąże się z pewnym ryzykiem. Trudno jednak ustalić jasne zasady ich zabezpieczenia czy środki techniczne, które miałby to umożliwić. Niestety, ale kluczowy pozostaje zdrowy rozsądek właściciela firmy i pracowników.
Pewne minimum to umieszczenie przewożonych dokumentów papierowych w teczkach i segregatorach, tak by uniemożliwić wypadnięcie pojedynczej strony. Znamy przypadek gdy właścicielowi firmy przewożącemu niezabezpieczone dokumenty na przednim siedzeniu udało się je stracić z powodu silnego wiatru i niefrasobliwego otwarcia drzwi.
Elektroniczne nośniki danych (pendrive, karty pamięci) są natomiast na tyle małe, że łatwo je zwyczajnie zgubić. Zdecydowanie lepiej jest przewozić je w większych pojemnikach (dyplomatka, nerka) lub nawet w portfelu.

Niszczenie dokumentacji

Przedsiębiorca nie wyrzuca dokumentów. Przedsiębiorca je niszczy.
Warto zapamiętać tę zasadę i zapisać ją w Polityce Bezpieczeństwa.
Wszystkie dokumenty papierowe, które straciły swoją użyteczność dla firmy powinny zostać przepuszczone przez niszczarkę. W ten sposób firma nie tylko chroni się przed wyciekiem danych osobowych, ale też zabezpiecza tajemnicę handlową swoich kontrahentów i swoje dobre imię.
Nie polecamy natomiast palenia dokumentacji – nie tylko z powodu skojarzenia z dawnymi służbami PRL, ale też mając na uwadze względy ochrony środowiska.

Monitoring

W kontekście ochrony danych osobowych monitoring jest zarówno przydatnym narzędziem, jak i istotnym utrudnieniem.
Na pewno pomaga wykryć sprawcę kradzieży tradycyjnych dokumentów. Pomaga też zabezpieczyć obiekt przed osobami trzecimi i kontrolować pracowników.
Jeśli jednak na nagraniach z monitoringu znajdą się dane osobowe, też będą one podlegać ochronie.
Wystarczy więc by kamera została skierowana na monitor pracownika, lub biurko gdzie pracuje on nad dokumentacją by konieczne było dodatkowe zabezpieczenie przed wyciekiem.
Nawet monitoring omijający dokumentację, będzie sposobem na gromadzenie danych osobowych pracowników i klientów odwiedzających lokal.

Porządek na biurku

Zwłaszcza osoby pracujące na wydrukach powinny przemyśleć czy leżące na wierzchu dokumenty nie staną się przyczyną wycieku danych. W Polityce Bezpieczeństwa można określić pewne zasady takie jak na przykład:

  • Pracownicy przyjmujący klientów nie powinni mieć podczas rozmowy z nimi, żadnych dokumentów zawierających dane osobowe osób innych niż aktualnie przebywający w pomieszczeniu klient
  • W sekretariatach, recepcjach i innych pomieszczeniach dostępnych dla osób z zewnątrz (osoby aplikujące do pracy, obnośni sprzedawcy, potencjalni klienci) dokumenty zawierające dane osobowe nie mogą leżeć na biurku.
  • Nie powinno być możliwości zajrzenia w monitor pracownika z zewnątrz budynku. Dotyczy to zwłaszcza biur położonych na parterze.
  • Po zakończeniu pracy, a przed opuszczeniem stanowiska, pracownik powinien schować wszystkie dokumenty zawierające dane osobowe.

Ogólnie warto też dbać o porządek na biurku by nie gubić dokumentów i nie ryzykować ujawnienia danych.