Dokumenty zawierające dane osobowe – jak je przechowywać

Autor: Piotr Glen
Data: 02-01-2015 r.

Ustawa o ochronie danych osobowych nie wskazuje w jaki sposób należy przechowywać dokumentację zawierającą dane osobowe. Pewne wskazówki można znaleźć w przepisach branżowych. Warto o nich pamiętać, gdyż za zaniedbania w tym zakresie grożą kary.

W przepisach dotyczących ochrony danych osobowych nie ma szczegółowych wytycznych dotyczących przechowywania dokumentów zawierających dane osobowe. W związku z tym wielu Administratorów Bezpieczeństwa Informacji zadaje sobie pytanie jak postępować z dokumentacją papierową zawierającą dane osobowe?

Odpowiednie zabezpieczenia

Jest szereg rekomendacji i zaleceń odnośnie postępowania z dokumentacją zawierającą dane osobowe. Jednak żaden przepis nie nakazuje wprost np. zastosowania drzwi antywłamaniowych, czy szaf pancernych. Trzeba rozsądnie, odpowiednio do wartości danych oraz do ewentualnych zagrożeń, stosować adekwatne zabezpieczenia.

Administrator danych jest zobowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną (art. 36 ustawy o ochronie danych osobowych).

Analiza ryzyka

Zgodnie z nim „zarządzanie bezpieczeństwem informacji realizowane jest przez przeprowadzanie okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy oraz zabezpieczenie informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie” (§ 20 ust. 2 pkt 3 i 9).

Niestety tutaj też nie ma konkretnych wytycznych odnośnie postępowania z dokumentacją z danymi osobowymi. Ważne jest jednak, aby tak zabezpieczyć pomieszczenie i szafy, w których przechowywane są dokumenty podlegające ochronie, aby dostęp do nich miały jedynie osoby uprawnione.

Polityka czystego biurka

Nie należy również zostawiać dokumentów i nośników w łatwo dostępnych miejscach, np. przy urządzeniach drukujących. Ważne jest to przede wszystkim wtedy, kiedy pomieszczenia są sprzątane po godzinach pracy, zwłaszcza przez zewnętrzne firmy sprzątające.

Nie jest ważne czy szafy są metalowe czy nie i jakie mają zamki. Metody zabezpieczenia muszą być przede wszystkim skuteczne. Należy też panować nad gospodarką kluczami. Nie jest dobrą praktyką, a niestety często stosowaną, chowanie kluczyka do szafek lub pomieszczeń w „umówionym miejscu”, którym najczęściej jest doniczka lub kubek z długopisami. Zasady te warto spisać w formie procedur, które będą dostępne dla wszystkich pracowników.

Dane osobowe powinny być przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, jednak nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania (art. 26 uodo). Oznacza to, że nie można przechowywać dokumentów, które identyfikują osobę fizyczną, jeśli minął już cel, dla którego zostały zebrane. Najczęściej cele i okresy przechowywania określają szczegółowe przepisy branżowe.

Usuwanie dokumentów

Po zakończeniu wymaganych okresów przechowywania dokumenty należy skutecznie usunąć. Na tą okoliczność powinna funkcjonować odpowiednia procedura brakowania dokumentów, protokoły zniszczenia, a w przypadku korzystania z usług firm zewnętrznych odpowiednia umowa. Zawsze musimy wiedzieć co, za jaki okres i w jaki sposób zostało zniszczone.

Piotr Glen, Administrator Bezpieczeństwa Informacji, Audytor SZBI wg PN-ISO/IEC 27001

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Biznesplan

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

Polecane artykuły

Polecamy kancelarię:

Array ( [docId] => 36333 )
Array ( [docId] => 36333 )

Array ( [docId] => 36333 )