Sprawdź, jak zabezpieczać papierową dokumentację z danymi osobowymi

Data: 04-10-2016 r.

Dobrze zabezpieczona dokumentacja to gwarancja, że dane osobowe nie dostaną się w ręce osób nieupoważnionych. Pamiętaj, żeby zastosować zabezpieczenia, które będą odpowiednie do kategorii danych, jakie przetwarzasz, i zagrożeń, które mogą ich dotyczyć. Sprawdź, jak należy zabezpieczyć papierowe dokumenty z danymi osobowymi, i działaj zgodnie z przepisami.

Jako administrator danych osobowych jesteś zobowiązany stosować takie środki techniczne i organizacyjne, które zapewniają ochronę przetwarzanym danym osobowym odpowiednią do zagrożeń oraz kategorii danych objętych ochroną.

Musisz więc nadzorować przetwarzanie danych osobowych. Sprowadza się to do bieżącego monitorowania, jakie dane są przetwarzane, czy są przetwarzane dane wrażliwe i w jaki sposób może dojść do ich wycieku. W zależności od wyników tego monitoringu, jako administrator danych osobowych powinieneś wybrać metody zabezpieczenia danych adekwatne do zagrożenia.

Przykład:

Urzędniczka w Wydziale Gospodarki Komunalnej Urzędu Miasta w Ł. poprosiła obsługiwaną przez siebie osobę o podanie jej danych osobowych. Petent zapisał je na karteczce i podał urzędniczce do wpisania, aby uniknąć błędów przy dyktowaniu tych informacji. Po wpisaniu danych do komputera urzędniczka zniszczyła karteczkę w niszczarce.

Takie postępowanie było prawidłowe. Doszło tu nie do przetwarzania danych osobowych w zbiorze danych (bo urzędniczka nie gromadziła w osobnym segregatorze wszystkich karteczek od petentów), ale do pracy na pojedynczym dokumencie papierowym, który zawierał dane osobowe.

Urzędniczka prawidłowo także zastosowała reguły zabezpieczania danych osobowych (nigdzie nie udostępniła karteczki ani nie pozostawiła jej bez opieki), a po tym, jak wykorzystała je w doraźnym celu, zniszczyła nośnik danych.

Kiedy przetwarzanie jest elektroniczne, a kiedy tradycyjne

Wiele dokumentów papierowych powstaje obecnie z użyciem komputera. Do jego pamięci wprowadzana jest treść dokumentu, w tym dane osobowe. Jednak jeżeli tylko wprowadzasz dane osobowe do edytora tekstów czy arkusza kalkulacyjnego, a następnie drukujesz tak przygotowany dokument, nie musi to jeszcze oznaczać, że przetwarzasz dane osobowe z użyciem systemu informatycznego.

Programy te nie są systemami informatycznymi. W związku z tym, jeżeli tylko utworzysz dokument na komputerze, a następnie wydrukujesz go i będziesz przechowywał wyłącznie w formie papierowej, to przetwarzasz dane osobowe jedynie w formie papierowej, a nie elektronicznej. Oczywiście nie zwalnia Cię to z obowiązku zachowania podstawowych zasad zabezpieczania danych osobowych. Jeżeli dokument elektroniczny po wydrukowaniu nie jest Ci już potrzebny, bezzwłocznie skasuj go z pamięci komputera.

Czy akta pracownicze to zbiory danych osobowych

Ministerstwo Rozwoju pracuje nad wprowadzeniem możliwości przechowywania akt pracowniczych wyłącznie w formie elektronicznej. Jednak dopóki nie zacznie obowiązywać żaden konkretny akt prawny, nadal musisz prowadzić dokumentację pracowniczą przede wszystkim w formie papierowych akt osobowych.

Generalny Inspektorat Pracy w stanowisku z 9 kwietnia 2010 r. (GPP-87-4560-29/1/PE/RP) podkreślił, że „w obecnym stanie prawnym brakuje podstaw do stosowania przez pracodawców nośników elektronicznych jako wyłącznej formy prowadzenia i przechowywania akt osobowych pracownika”.

Dokumentacja pracownicza naturalnie jest zbiorem danych osobowych, który dotyczy konkretnego pracownika. W związku z tym osoby odpowiedzialne w Twoim podmiocie za sprawy kadrowe, ale i przede wszystkim za zapewnienie prawidłowości przetwarzania danych, powinny pilnować, aby akta osobowe były prowadzone w formie tradycyjnej.

Samo wprowadzenie danych osobowych do edytora tekstów czy arkusza kalkulacyjnego, a następnie wydrukowanie dokumentu, nie oznacza przetwarzania danych osobowych z użyciem systemu informatycznego.

Marcin Sarna, radca prawny, ekspert z zakresu ochrony danych osobowych

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Opinie czytelników

data:

1. W myśl art. 7 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, przetwarzanie danych osobowych to wykonywanie jakichkolwiek operacji na danych osobowych, takich jak np. zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. 2. System informatyczny: Pojęcie systemu informatycznego określone zostało w art. 7 pkt 2a ustawy o ochronie danych osobowych. Zgodnie z brzmieniem tego artykułu systemem informatycznym jest „zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych”. Wniosek: wpisanie do komputera listy pracowników z innymi danymi jest już przetwarzaniem (przechowywanie), a drukowanie to przetwarzanie. Tak jak przetwarzaniem jest przyjęcie danych osobowych w wersji papierowej. 3. Wpisywanie danych osobowych do komputera i ich kasowanie to jest przetwarzanie. Komputer ten musi być ujęty w dokumentacji firmy dot. przetwarzania danych osobowych. Takie rozumowanie to obejście uoodo. Lepiej wpisać na maszynie do pisania. Wtedy nikt „nie zapomni” skasować danych.

Ocena użytkownika:
1
Zgłoś naruszenie regulaminu

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

10 sprytnych trików na szybkie obliczenia w Excelu

pobierz

Polecane artykuły

Array ( [docId] => 39562 )
Array ( [docId] => 39562 )