Dokumenty zawierające dane osobowe – jak je przechowywać

Autor: Piotr Glen
Data: 02-01-2015 r.

Ustawa o ochronie danych osobowych nie wskazuje w jaki sposób należy przechowywać dokumentację zawierającą dane osobowe. Pewne wskazówki można znaleźć w przepisach branżowych. Warto o nich pamiętać, gdyż za zaniedbania w tym zakresie grożą kary.

W przepisach dotyczących ochrony danych osobowych nie ma szczegółowych wytycznych dotyczących przechowywania dokumentów zawierających dane osobowe. W związku z tym wielu Administratorów Bezpieczeństwa Informacji zadaje sobie pytanie jak postępować z dokumentacją papierową zawierającą dane osobowe?

Odpowiednie zabezpieczenia

Jest szereg rekomendacji i zaleceń odnośnie postępowania z dokumentacją zawierającą dane osobowe. Jednak żaden przepis nie nakazuje wprost np. zastosowania drzwi antywłamaniowych, czy szaf pancernych. Trzeba rozsądnie, odpowiednio do wartości danych oraz do ewentualnych zagrożeń, stosować adekwatne zabezpieczenia.

Administrator danych jest zobowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną (art. 36 ustawy o ochronie danych osobowych).

Analiza ryzyka

O analizie ryzyka i obowiązku zabezpieczenia danych mówi rozporządzenie Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych dotyczących działalności podmiotów realizujących zadania publiczne.

Zgodnie z nim „zarządzanie bezpieczeństwem informacji realizowane jest przez przeprowadzanie okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy oraz zabezpieczenie informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie” (§ 20 ust. 2 pkt 3 i 9).

Niestety tutaj też nie ma konkretnych wytycznych odnośnie postępowania z dokumentacją z danymi osobowymi. Ważne jest jednak, aby tak zabezpieczyć pomieszczenie i szafy, w których przechowywane są dokumenty podlegające ochronie, aby dostęp do nich miały jedynie osoby uprawnione.

Polityka czystego biurka

Dobrą praktyką jest też zastosowanie polityki czystego biurka dla dokumentów papierowych i nośników elektronicznych. W praktyce oznacza to, że w przypadku dłuższej nieobecności przy stanowisku pracy lub po jej zakończeniu pracownik jest zobowiązany do umieszczenia wszelkich dokumentów i nośników zawierających dane osobowe w bezpiecznym miejscu, np. zamykanej szafce. Ma to uniemożliwić dostęp do nich osobom nieuprawnionym.

Nie należy również zostawiać dokumentów i nośników w łatwo dostępnych miejscach, np. przy urządzeniach drukujących. Ważne jest to przede wszystkim wtedy, kiedy pomieszczenia są sprzątane po godzinach pracy, zwłaszcza przez zewnętrzne firmy sprzątające.

Nie jest ważne czy szafy są metalowe czy nie i jakie mają zamki. Metody zabezpieczenia muszą być przede wszystkim skuteczne. Należy też panować nad gospodarką kluczami. Nie jest dobrą praktyką, a niestety często stosowaną, chowanie kluczyka do szafek lub pomieszczeń w „umówionym miejscu”, którym najczęściej jest doniczka lub kubek z długopisami. Zasady te warto spisać w formie procedur, które będą dostępne dla wszystkich pracowników.

Pokoje, w których przechowywane są dane trzeba zabezpieczyć przed dostępem osób nieuprawnionych. Ich przebywanie w takich pomieszczeniach jest dopuszczalne jedynie za zgodą administratora danych lub w obecności osoby upoważnionej do przetwarzania danych osobowych. Nie zostawiajmy więc kluczy w zamkach od strony korytarza, nie zostawiajmy interesanta samego w pokoju.

Dane osobowe powinny być przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, jednak nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania (art. 26 uodo). Oznacza to, że nie można przechowywać dokumentów, które identyfikują osobę fizyczną, jeśli minął już cel, dla którego zostały zebrane. Najczęściej cele i okresy przechowywania określają szczegółowe przepisy branżowe.

Usuwanie dokumentów

Po zakończeniu wymaganych okresów przechowywania dokumenty należy skutecznie usunąć. Na tą okoliczność powinna funkcjonować odpowiednia procedura brakowania dokumentów, protokoły zniszczenia, a w przypadku korzystania z usług firm zewnętrznych odpowiednia umowa. Zawsze musimy wiedzieć co, za jaki okres i w jaki sposób zostało zniszczone.

Piotr Glen, Administrator Bezpieczeństwa Informacji, Audytor SZBI wg PN-ISO/IEC 27001

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Opinie czytelników

data:

Odpowiednia ochrona danych osobowych jest kluczowa, szczególnie po wejściu w życie ustawy RODO. O ile z przechowywaniem dokumentów nie ma większych problemów, to ze skutecznym niszczeniem już tak. Chcąc mieć pewność, że dokumenty zostały odpowiednio zutylizowane warto zaopatrzyć się w niszczarkę. Na rynku dostępnych jest wiele urządzeń, które różnią się przede wszystkim parametrami. Przed zakupem warto mieć je na uwadze, gdyż od nich będą zależały kwestie takie jak: stopień niszczenia dokumentów, wydajność, ilość ścinków jakie zmieszczą się w koszu czy głośność pracy urządzenia, a co za tym idzie komfort i szybkość naszej pracy. Więcej przydatnych przy wyborze niszczarki informacji na stronie http://niszczarkaideal.pl

Ocena użytkownika:
5
Zgłoś naruszenie regulaminu

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

10 sprytnych trików na szybkie obliczenia w Excelu

pobierz

Polecane artykuły

Array ( [docId] => 36333 )
Array ( [docId] => 36333 )