Dokumenty zawierające dane osobowe – jak je przechowywać

Autor: Piotr Glen
Data: 02-01-2015 r.

Ustawa o ochronie danych osobowych nie wskazuje w jaki sposób należy przechowywać dokumentację zawierającą dane osobowe. Pewne wskazówki można znaleźć w przepisach branżowych. Warto o nich pamiętać, gdyż za zaniedbania w tym zakresie grożą kary.

W przepisach dotyczących ochrony danych osobowych nie ma szczegółowych wytycznych dotyczących przechowywania dokumentów zawierających dane osobowe. W związku z tym wielu Administratorów Bezpieczeństwa Informacji zadaje sobie pytanie jak postępować z dokumentacją papierową zawierającą dane osobowe?

Odpowiednie zabezpieczenia

Jest szereg rekomendacji i zaleceń odnośnie postępowania z dokumentacją zawierającą dane osobowe. Jednak żaden przepis nie nakazuje wprost np. zastosowania drzwi antywłamaniowych, czy szaf pancernych. Trzeba rozsądnie, odpowiednio do wartości danych oraz do ewentualnych zagrożeń, stosować adekwatne zabezpieczenia.

Administrator danych jest zobowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną (art. 36 ustawy o ochronie danych osobowych).

Analiza ryzyka

O analizie ryzyka i obowiązku zabezpieczenia danych mówi rozporządzenie Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych dotyczących działalności podmiotów realizujących zadania publiczne.

Zgodnie z nim „zarządzanie bezpieczeństwem informacji realizowane jest przez przeprowadzanie okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy oraz zabezpieczenie informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie” (§ 20 ust. 2 pkt 3 i 9).

Niestety tutaj też nie ma konkretnych wytycznych odnośnie postępowania z dokumentacją z danymi osobowymi. Ważne jest jednak, aby tak zabezpieczyć pomieszczenie i szafy, w których przechowywane są dokumenty podlegające ochronie, aby dostęp do nich miały jedynie osoby uprawnione.

Polityka czystego biurka

Dobrą praktyką jest też zastosowanie polityki czystego biurka dla dokumentów papierowych i nośników elektronicznych. W praktyce oznacza to, że w przypadku dłuższej nieobecności przy stanowisku pracy lub po jej zakończeniu pracownik jest zobowiązany do umieszczenia wszelkich dokumentów i nośników zawierających dane osobowe w bezpiecznym miejscu, np. zamykanej szafce. Ma to uniemożliwić dostęp do nich osobom nieuprawnionym.

Nie należy również zostawiać dokumentów i nośników w łatwo dostępnych miejscach, np. przy urządzeniach drukujących. Ważne jest to przede wszystkim wtedy, kiedy pomieszczenia są sprzątane po godzinach pracy, zwłaszcza przez zewnętrzne firmy sprzątające.

Nie jest ważne czy szafy są metalowe czy nie i jakie mają zamki. Metody zabezpieczenia muszą być przede wszystkim skuteczne. Należy też panować nad gospodarką kluczami. Nie jest dobrą praktyką, a niestety często stosowaną, chowanie kluczyka do szafek lub pomieszczeń w „umówionym miejscu”, którym najczęściej jest doniczka lub kubek z długopisami. Zasady te warto spisać w formie procedur, które będą dostępne dla wszystkich pracowników.

Pokoje, w których przechowywane są dane trzeba zabezpieczyć przed dostępem osób nieuprawnionych. Ich przebywanie w takich pomieszczeniach jest dopuszczalne jedynie za zgodą administratora danych lub w obecności osoby upoważnionej do przetwarzania danych osobowych. Nie zostawiajmy więc kluczy w zamkach od strony korytarza, nie zostawiajmy interesanta samego w pokoju.

Dane osobowe powinny być przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, jednak nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania (art. 26 uodo). Oznacza to, że nie można przechowywać dokumentów, które identyfikują osobę fizyczną, jeśli minął już cel, dla którego zostały zebrane. Najczęściej cele i okresy przechowywania określają szczegółowe przepisy branżowe.

Usuwanie dokumentów

Po zakończeniu wymaganych okresów przechowywania dokumenty należy skutecznie usunąć. Na tą okoliczność powinna funkcjonować odpowiednia procedura brakowania dokumentów, protokoły zniszczenia, a w przypadku korzystania z usług firm zewnętrznych odpowiednia umowa. Zawsze musimy wiedzieć co, za jaki okres i w jaki sposób zostało zniszczone.

Piotr Glen, Administrator Bezpieczeństwa Informacji, Audytor SZBI wg PN-ISO/IEC 27001

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

10 sprytnych trików na szybkie obliczenia w Excelu

pobierz

Polecane artykuły

Polecamy kancelarię:

  • Kancelaria Radcy Prawnego Małgorzata Suchecka

    al. Grunwaldzka 472D Lokal 1 Olivia Business Centre, Olivia Six (13. piętro), 80-309 Gdańsk

    Wyświetl wizytówkę
  • Kancelaria Prawna Iurisco Edyta Przybyłek

    ul. Zgrzebnioka 28, 40-520 Katowice

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Marcin Majcherczyk

    ul. Stawowa 4 lok. 39, 41-200 Sosnowiec

    Wyświetl wizytówkę
  • Buszan Suchecka Orłowski Adwokat Radcowie Prawni Sp.p.

    ul. Armii Krajowej 22/2, 81-849 Sopot

    Wyświetl wizytówkę
  • THE N.E.W.S. LAW CENTER Kancelaria Adwokatów i Radców Prawnych

    ul. Kazachska 1/89, 02-999 Warszawa

    Wyświetl wizytówkę
  • adwokat Wojciech Rudzki - kancelaria adwokacka

    Józefa Piłsudskiego 40/4 Kraków 31 - 111

    Wyświetl wizytówkę
  • KANCELARIA ADWOKACKA Adwokat Michał Gajda

    ul. Księcia Bogusława X 1/3, 70-440 Szczecin

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Robert Dudkowiak

    ul. Jana Pawła II 11 lok. 5, 62-300 Września

    Wyświetl wizytówkę
  • Kancelaria Adwokacka Adwokata Piotra Sęka

    ul. Narutowicza 44 lok. 20, 90-135 Łódź

    Wyświetl wizytówkę
  • Kancelaria Radców Prawnych ARVE M.Kusztan & R.Ponichtera Sp. K.

    ul. Czysta 4, 50-013 Wrocław

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Marek Foryś

    ul. Słupecka 9/1, Gdynia

    Wyświetl wizytówkę
  • Kancelaria MERITUM

    ulica Westerplatte 13/5, 31-033 Kraków

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Radosław Tymiński

    Łukowska 9 Lok. 126, 04-133 Warszawa

    Wyświetl wizytówkę
Array ( [docId] => 36333 )
Array ( [docId] => 36333 )

Array ( [docId] => 36333 )