Techniczne aspekty ochrony danych osobowych

Artykuł ten stanowi część większego cyklu poświęconego ochronie danych osobowych.

Techniczne aspekty ochrony danych osobowych

Obowiązki nałożone na przedsiębiorstwa przez Rozporządzenie o Ochronie Danych Osobowych nie dają się spełnić jedynie pustymi obietnicami. Polityka Bezpieczeństwa, umowy powierzenia danych, Instrukcje Zarządzania Systemami Informatycznymi – to jedynie dokumenty. Oprócz nich trzeba faktycznych działań by chronić dane osobowe.

Dlaczego rzeczywista ochrona ma priorytet przed biurokratycznym obowiązkiem?

To oczywiste, prawda? Wszyscy chcemy by dane były faktycznie chronione, a nie jedynie określone w politykach, instrukcjach i raportach. Tyle pięknej teorii, bo w praktyce większość przedsiębiorców chce przede wszystkim chronić własny biznes. Nie ma w tym nic nadzwyczajnego. Na szczęście w przypadku RODO możliwości działania na pokaz zostały bardzo ograniczone.

Przede wszystkim zakres technicznych rozwiązań wykorzystywanych do ochrony danych osobowych nie został jasno określony. Nie ma więc listy zadań które można „odfajkować” i uznać, że temat jest zamknięty. Nie jest i w przypadku ochrony danych – raczej nie będzie. W przypadku kontroli, urzędnik zbada czy dane są należycie chronione. Jeśli okaże się, że pracownik wysłał niezabezpieczoną bazę danych wrażliwych do wszystkich kontrahentów – żadne wcześniejsze dokumenty nie pomogą. Lepiej więc zapobiegać niż leczyć.

Dlatego warto zastanowić się nad konkretnymi rozwiązaniami technicznymi w zakresie ochrony danych osobowych.

Przechowywanie dokumentów papierowych

Mimo postępu technicznego, wciąż drukujemy znaczną część dokumentacji. W przeciwieństwie do danych elektronicznych, bardzo łatwo stwierdzić gdzie papierowe dokumenty są i gdzie być powinny.
W każdej firmie zatrudniającej pracowników należy więc:

  • Określić sposób przekazywania dokumentów papierowych pomiędzy pracownikami, uniemożliwiający dostanie się ich w ręce osób trzecich – Na przykład zostawienie dokumentów na biurku recepcjonisty, gdy ten nie przyszedł jeszcze do pracy nie jest dobrym rozwiązaniem.
  • Wybrać miejsca przechowywania dokumentacji papierowej – Innych niż niezabezpieczona szafa segregatorowa w poczekalni dla klientów, w której nie ma żadnego pracownika.
  • Określić zasady zabezpieczenia dokumentacji przed kradzieżą/skopiowaniem – Nawet szafka zamykana na zwykły kluczyk jest lepsza niż brak zabezpieczenia w ogóle.
  • Określić zasady zabezpieczania dokumentacji przed zniszczeniem – zalaniem, niecelowym wrzuceniem do niszczarki, użyciem jako makulatura.
  • Trzymać się powyższych zasad.

Przewożenie dokumentów papierowych i nośników danych

Przewożenie dokumentów, bez względu na to czy są to wydruki, czy pendrive, zawsze wiąże się z pewnym ryzykiem. Trudno jednak ustalić jasne zasady ich zabezpieczenia czy środki techniczne, które miałby to umożliwić. Niestety, ale kluczowy pozostaje zdrowy rozsądek właściciela firmy i pracowników.
Pewne minimum to umieszczenie przewożonych dokumentów papierowych w teczkach i segregatorach, tak by uniemożliwić wypadnięcie pojedynczej strony. Znamy przypadek gdy właścicielowi firmy przewożącemu niezabezpieczone dokumenty na przednim siedzeniu udało się je stracić z powodu silnego wiatru i niefrasobliwego otwarcia drzwi.
Elektroniczne nośniki danych (pendrive, karty pamięci) są natomiast na tyle małe, że łatwo je zwyczajnie zgubić. Zdecydowanie lepiej jest przewozić je w większych pojemnikach (dyplomatka, nerka) lub nawet w portfelu.

Niszczenie dokumentacji

Przedsiębiorca nie wyrzuca dokumentów. Przedsiębiorca je niszczy.
Warto zapamiętać tę zasadę i zapisać ją w Polityce Bezpieczeństwa.
Wszystkie dokumenty papierowe, które straciły swoją użyteczność dla firmy powinny zostać przepuszczone przez niszczarkę. W ten sposób firma nie tylko chroni się przed wyciekiem danych osobowych, ale też zabezpiecza tajemnicę handlową swoich kontrahentów i swoje dobre imię.
Nie polecamy natomiast palenia dokumentacji – nie tylko z powodu skojarzenia z dawnymi służbami PRL, ale też mając na uwadze względy ochrony środowiska.

Monitoring

W kontekście ochrony danych osobowych monitoring jest zarówno przydatnym narzędziem, jak i istotnym utrudnieniem.
Na pewno pomaga wykryć sprawcę kradzieży tradycyjnych dokumentów. Pomaga też zabezpieczyć obiekt przed osobami trzecimi i kontrolować pracowników.
Jeśli jednak na nagraniach z monitoringu znajdą się dane osobowe, też będą one podlegać ochronie.
Wystarczy więc by kamera została skierowana na monitor pracownika, lub biurko gdzie pracuje on nad dokumentacją by konieczne było dodatkowe zabezpieczenie przed wyciekiem.
Nawet monitoring omijający dokumentację, będzie sposobem na gromadzenie danych osobowych pracowników i klientów odwiedzających lokal.

Porządek na biurku

Zwłaszcza osoby pracujące na wydrukach powinny przemyśleć czy leżące na wierzchu dokumenty nie staną się przyczyną wycieku danych. W Polityce Bezpieczeństwa można określić pewne zasady takie jak na przykład:

  • Pracownicy przyjmujący klientów nie powinni mieć podczas rozmowy z nimi, żadnych dokumentów zawierających dane osobowe osób innych niż aktualnie przebywający w pomieszczeniu klient
  • W sekretariatach, recepcjach i innych pomieszczeniach dostępnych dla osób z zewnątrz (osoby aplikujące do pracy, obnośni sprzedawcy, potencjalni klienci) dokumenty zawierające dane osobowe nie mogą leżeć na biurku.
  • Nie powinno być możliwości zajrzenia w monitor pracownika z zewnątrz budynku. Dotyczy to zwłaszcza biur położonych na parterze.
  • Po zakończeniu pracy, a przed opuszczeniem stanowiska, pracownik powinien schować wszystkie dokumenty zawierające dane osobowe.

Ogólnie warto też dbać o porządek na biurku by nie gubić dokumentów i nie ryzykować ujawnienia danych.

Umowa powierzenia danych osobowych w małej firmie

Artykuł ten jest częścią większego cyklu poświęconego ochronie danych osobowych.

Umowa powierzenia danych osobowych w małej firmie

Bardzo często dane osobowe nie tylko przechowuje się i przetwarza w ramach działalności gospodarczej, ale też udostępnia podmiotom trzecim. Przepisy wymagają by w każdym takim przypadku zawrzeć umowę powierzenia danych osobowych.

Co powoduje konieczność zawarcia umowy dotyczącej powierzenia danych osobowych?

Zasadniczo kiedy firma przekazuje dane osobowe innej osobie prawnej (innej firmie, organizacji, jednostce samorządu terytorialnego) powinna z nią zawrzeć Umowę powierzenia danych osobowych.
Próba dostosowania się do tego przepisu w wersji nie-zawężonej szybko doprowadzi jednak do całkowitego paraliżu przedsiębiorstwa. Dlaczego? Wyjaśniamy w przykładzie 1.
Przykład 1.

Pani Ola Igrekowska jest przedstawicielem handlowym. Sekretarka umówiła jej spotkanie i prezentację usług informatycznych w siedzibie firmy XyZ. W wiadomości email znalazły się następujące informacje: imię i nazwisko Pani Oli, jej telefon, zakres godzinowy spotkania. Dla potrzeb ochrony budynku XyZ, sekretarka dodała, że Pani Ola podjedzie niebieskim, służbowym Fordem.

Gdzie tu przekazanie danych osobowych? Wszędzie. Tylko na podstawie tego maila można dowiedzieć się, że znana z imienia i nazwiska osoba w danych godzinach będzie w danej lokalizacji. Wystarczy by np.:
– Porwać Panią Olę zanim dojedzie do siedziby XyZ, lub gdy ją opuści.
– Okraść mieszkanie Pani Oli, wiedząc, że w danych godzinach nie ma jej w domu.
Powyższy przykład z jednej strony pokazuje, że niemal każde dane są zarówno danymi osobowymi w rozumieniu RODO, jak i istotnymi informacjami osobistymi w rozumieniu potocznym.
Z drugiej jednak strony Przykład 1 wskazuje na praktyczną niemożliwość zawarcia umów powierzenia danych osobowych z każdą firmą, której się je przekazuje.

W powyższym przykładzie, Pani Ola, która jest przedstawicielem handlowym może mieć umówionych po 5 spotkań dziennie, każde z inną firmą. Samo zawarcie odpowiednich umów powierzenia danych całkowicie sparaliżowałoby jej pracę. Po za tym firma otrzymująca dane tak czy inaczej będzie je chronić by nie złamać przepisów o tajemnicy handlowej.

Z tego względu wydaje się zasadne ograniczenie umów jedynie do przypadków przekazania zbiorów danych osobowych, lub danych szczególnie wrażliwych.
Dobrymi przykładami są na przykład:
– Przekazanie dokumentacji dotyczącej zatrudnienia zewnętrznej firmie księgowej lub kadrowej;
– Przekazanie wyników badań pracowników zewnętrznej firmie ubezpieczeniowej;
– Przekazanie listy uczestników i dodatkowych wymagań związanych z nimi, firmie organizującej wyjazd integracyjny.
– Przekazanie bazy klientów firmie, która podjęła się pośrednictwa w sprzedaży.

W jaki sposób zawierana jest umowa powierzenia danych osobowych?

W umowie dotyczącej powierzenia danych osobowych jedna firma powierza, a druga zobowiązuje się przechowywać i przetwarzać zgodnie z przepisami pewien zbiór danych.

Dla potrzeb dowodowych zdecydowanie lepiej zawrzeć taką umowę na piśmie, nic jednak nie stoi na przeszkodzie zawarciu jej drogą elektroniczną. W praktyce optymalne staje się przygotowanie szablonu umowy powierzenia danych osobowych, w którym będzie się jedynie wypełniało
– Dane firmy/organizacji, której powierza się dane;
– Zakres przekazywanych danych;
– Daty rozpoczęcia i zakończenia umowy;
– Obowiązki firmy, której powierzono dane na wypadek ustania współpracy (np. usunięcie zbiorów).

Z kim zawierać umowy powierzenia danych osobowych?

W praktyce zawieranie umów powierzenia danych osobowych ma sens jedynie z usługodawcami i podwykonawcami.
Nawet jeśli firma przekazuje pewne dane swojemu klientowi, lub potencjalnemu klientowi to niby dlaczego miałby on godzić się na administrowanie danymi?
Umowa jak sama nazwa wskazuje wymaga dobrowolnej zgody dwóch lub więcej stron, więc umowy, w których przedsiębiorstwo powierza dane klientowi będą wyjątkowo rzadkie. Oczywiście może ich wymagać specyfika branży, ale nie będzie to popularne rozwiązanie.

Czy warto skorzystać z dostępnych w sieci szablonów do umów?

W przeciwieństwie do zasad Polityki Bezpieczeństwa czy Instrukcji Zarządzania Systemami Informatycznymi, które mają bardzo indywidualny charakter, umowy powierzenia mogą być dosyć ogólne.
Przedsiębiorstwa zawierające jedynie standardowe umowy dotyczące danych osobowych (np. związane z zewnętrznymi usługami księgowymi, kadrowymi i ubezpieczeniowymi) mogą swobodnie skorzystać z dostępnych szablonów.
Bardzo możliwe też, że wyspecjalizowani dostawcy usług tacy jak spółki ubezpieczeniowe będą mieli po 25 maja własne szablony dla swoich klientów.

Zastrzeżenia umowne

Powierzając dane należy zastrzec cel w jakim mogą one być przetwarzane przez kontrahenta. Nie można określić tego celu szerzej niż wskazują na to uprawnienia jakie ma powierzający.
Przykładowo jeśli pan Zenon Zetowski udostępnił swoje dane firmie XyZ dla potrzeb wykonania zamówienia, to firma XyZ nie może udostępnić ich przedsiębiorstwu kurierskiemu w celach marketingowych.

RODO – Zarys zagadnienia.