Poznaj 8 zasad bezpiecznego przechowywania dokumentacji ochrony danych

Każdy administrator danych zobowiązany jest zapewnić środki techniczne i organizacyjne gwarantujące ochronę przetwarzanych danych osobowych. W szczególności powinien zabezpieczać dane przed ich:

• udostępnieniem osobom nieupoważnionym,
• zabraniem przez osobę nieuprawnioną,
• przetwarzaniem z naruszeniem ustawy oraz
• zmianą, utratą, uszkodzeniem lub zniszczeniem (art. 36 ustawy o ochronie danych osobowych).

Stosowane przez administratora danych środki ochrony powinny być proporcjonalne do zagrożeń, jakie mogą wystąpić, oraz kategorii przetwarzanych danych. Wraz z rozpoczęciem stosowania ogólnego rozporządzenia o ochronie danych administrator danych zobowiązany będzie do przeprowadzenia analizy ryzyka już na etapie projektowania procesu przetwarzania danych, po to, by na tej podstawie zastosować odpowiednie zabezpieczenia.

1. Określ obszar przetwarzania danych

Aby zapewnić bezpieczeństwo dokumentacji ochrony danych osobowych, administrator danych powinien w pierwszej kolejności określić obszar, w którym przetwarzane są dane osobowe.

2. Zastosuj fizyczne zabezpieczenia

Wszystkie pomieszczenia powinny zostać właściwe zabezpieczone przed dostępem osób nieupoważnionych, np. poprzez zastosowanie drzwi zamykanych na klucz. W przypadku gdy pomieszczenia obszaru przetwarzania znajdują się na parterze, warto zastosować dodatkowe zabezpieczenia, np. w postaci rolet antywłamaniowych lub krat. Coraz częściej administratorzy danych decydują się także na wprowadzenie elektronicznego systemu kontroli dostępu, który stanowi dodatkową ochronę przed nieuprawnionym dostępem.

3. Upoważnij osoby przetwarzające dane osobowe

W pomieszczeniu, w którym znajdują dane osobowe, mogą przebywać wyłącznie osoby posiadające upoważnienia do przetwarzania danych osobowych. Chociaż ustawodawca nie wskazał, w jakiej formie powinno być ono wydane, najczęściej przybiera formę pisemną. Wraz z upoważnieniem pracownik powinien poświadczyć, że zachowa w tajemnicy dane osobowe oraz sposoby ich zabezpieczenia. Wszystkie inne osoby, które nie mają upoważnień, mogą przebywać w pomieszczeniach obszaru przetwarzania danych wyłącznie w obecności osoby upoważnionej.

4. Nadaj uprawnienie do przetwarzania danych w systemie informatycznym

Jeśli dane osobowe są przetwarzane w formie elektroniczne, każdy pracownik przed przystąpieniem do przetwarzania danych powinien uzyskać od administratora danych uprawnienie dostępu do zasobów informatycznych w postaci loginu lub hasła.

5. Wymuszaj zmianę hasła

Każdy komputer powinien zostać wyposażony w program wymuszający zmianę hasła co 30 dni. Hasła powinny składać się z co najmniej 8 znaków (małe, wielkie litery, przynajmniej jedna cyfra lub znak specjalny). Niestety nadal zdarzają się przypadki, w których pracownicy umieszczają hasło na karteczkach przylepionych do pulpitu komputera, wychodząc z założenia, że na komputerze służbowym nie ma żadnych cennych informacji. Równie często hasło udostępnimy koleżance lub koledze „na wszelki wypadek”.

6. Stosuj program antywirusowy i szyfruj wiadomości

Każdy komputer powinien zostać wyposażony w legalny, licencjonowany program antywirusowy oraz zaporę firewall. Coraz częściej spotykaną praktyką jest także przesyłanie danych osobowych w postaci zaszyfrowanych wiadomości e-mailowych, co gwarantuje, że dostęp do niej ma wyłącznie osoba dysponująca hasłem. Każdy komputer powinien mieć automatyczny wygaszacz ekranu, w przypadku czasowego przestoju pracy, tak by chociaż przy krótkiej nieobecności pracownika osoba nieuprawniona nie miała możliwość dostępu do danych.

7. Przestrzegaj zasady czystego biurka i pulpitu

Do dobrych praktyk, które zapewniają bezpieczeństwo danych osobowych, należy stosowanie zasad czystego biurka i czystego pulpitu. Pracownik powinien mieć na biurku wyłącznie te dokumenty, na których pracuje. Po zakończeniu pracy wszystkie dokumenty powinny być chowane do szafy zamykanej na klucz, tak by nie pozostawiać żadnych danych zawierających dane osobowe na biurku.

Podobnie w przypadku danych osobowych przetwarzanych w systemie teleinformatycznym. Na pulpicie komputera powinny znajdować się tylko bieżące pliki, na których pracuje pracownik. W przypadku robienia regularnie kopii zapasowych nie ma potrzeby pozostawiania plików, z których nie korzystamy.

8. Nie gromadź dokumentów „na zapas”

Zgodnie z zasadą celowości administrator danych zobowiązany jest przetwarzać dane osobowe tak długo, jak jest to niezbędne do realizacji określonego celu. Niezależnie jednak od tego, przepisy innych ustaw mogą nakładać na administratora danych obowiązek przechowywania ich przez określony czas.

Bezpieczeństwo danych osobowych wymaga, by unikać sytuacji niepotrzebnego gromadzenia dokumentów. Dlatego najwłaściwszą praktyką jest niszczenie dokumentów na bieżąco, a nie odkładanie tego na później. Jeżeli więc nie mamy obowiązku archiwizować danych, dokumenty zawierające dane osobowe powinny być niszczone w niszczarkach uniemożliwiających odtworzenie treści dokumentu.