Sprawdź, jak należy przechowywać dokumentację zawierającą dane osobowe

W przepisach dotyczących ochrony danych osobowych nie ma szczegółowych wytycznych dotyczących przechowywania dokumentów zawierających dane osobowe. W związku z tym wielu administratorów bezpieczeństwa informacji zadaje sobie pytania: jak postępować z dokumentacją papierową zawierającą dane osobowe i jakie stosować na tę okoliczność środki bezpieczeństwa?

Jest sporo rekomendacji i zaleceń co do postępowania z dokumentacją zawierającą dane osobowe. Jednak żaden przepis nie nakazuje wprost np. zastosowania drzwi antywłamaniowych czy szaf pancernych. Trzeba rozsądnie, odpowiednio do wartości danych oraz do ewentualnych zagrożeń stosować adekwatne zabezpieczenia. Administrator danych jest zobowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną (art. 36 ustawy o ochronie danych osobowych). W szczególności powinien zabezpieczyć je przed:

• udostępnieniem osobom nieupoważnionym,
• zabraniem przez osobę nieuprawnioną,
• przetwarzaniem z naruszeniem ustawy,
• zmianą,
• utratą,
• uszkodzeniem lub
• zniszczeniem.

Do zagrożeń, jakie mogą wystąpić, należy na przykład kradzież, pożar, powódź, nieuprawniony dostęp. To jakie zabezpieczenia należy zastosować na daną okoliczność, powinno wynikać z analizy ryzyka.

O analizie ryzyka i obowiązku zabezpieczenia danych mówi rozporządzenie Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych dotyczących działalności podmiotów realizujących zadania publiczne (Dz.U. 2012 poz. 526). Zgodnie z nim: „zarządzanie bezpieczeństwem informacji realizowane jest przez przeprowadzanie okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy oraz zabezpieczenie informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie” (§ 20 ust. 2 pkt 3 i 9).

Niestety tutaj też nie ma konkretnych wytycznych co do postępowania z dokumentacją z danymi osobowymi. Ważne jest jednak, aby tak zabezpieczyć pomieszczenie i szafy, w których przechowywane są dokumenty podlegające ochronie, aby dostęp do nich miały jedynie osoby uprawnione.

Dobrą praktyką jest też zastosowanie polityki czystego biurka dla dokumentów papierowych i nośników elektronicznych. W praktyce oznacza to, że w przypadku dłuższej nieobecności przy stanowisku pracy lub po jej zakończeniu pracownik jest zobowiązany do umieszczenia wszelkich dokumentów i nośników zawierających dane osobowe w bezpiecznym miejscu, np. zamykanej szafce. Ma to uniemożliwić dostęp do nich osobom nieuprawnionym. Nie należy również zostawiać dokumentów i nośników w łatwo dostępnych miejscach, np. przy urządzeniach drukujących. Ważne jest to przede wszystkim wtedy, kiedy pomieszczenia są sprzątane po godzinach pracy, zwłaszcza przez zewnętrzne firmy sprzątające.

Nie jest ważne, czy szafy są metalowe, czy nie i jakie mają zamki. Metody zabezpieczenia muszą być przede wszystkim skuteczne. Należy też panować nad gospodarką kluczami. Nie jest dobrą praktyką, a niestety często stosowaną, chowanie kluczyka do szafek lub pomieszczeń w „umówionym miejscu”, którym najczęściej jest doniczka lub kubek z długopisami. Zasady te warto spisać w formie procedur, które będą dostępne dla wszystkich pracowników.

Klucze powinny być przechowywane w kasetach lub skrzynkach zamykanych na szyfr. Pokoje, w których przechowywane są dane, trzeba zabezpieczyć przed dostępem osób nieuprawnionych. Ich przebywanie w takich pomieszczeniach jest dopuszczalne jedynie za zgodą administratora danych lub w obecności osoby upoważnionej do przetwarzania danych osobowych. Nie pozostawiajmy więc kluczy w zamkach od strony korytarza, nie zostawiajmy interesanta samego w pokoju.

Dokumentację medyczną należy zabezpieczyć przed zniszczeniem, uszkodzeniem lub utratą i dostępem osób nieupoważnionych. Jako że mamy tu do czynienia z danymi wrażliwymi, należy zastosować dodatkowe środki bezpieczeństwa. Mogą to być metalowe lub niemetalowe szafy zamykane na klucz, ale z takim zamkiem, którego nie da się otworzyć przypadkowym kluczykiem czy agrafką. Z pomocą przychodzą też niektóre normy ISO. Warto zwłaszcza korzystać z tych dotyczących bezpieczeństwa. Znajdziemy tam rozwiązania i podpowiedzi adekwatne do obecnych zagrożeń. Zwłaszcza co do bardzo newralgicznych i wręcz krytycznych pomieszczeń, jakimi są serwerownia i archiwum.

Serwerownia i archiwum powinny być wyodrębnione i przeznaczone tylko do jednego celu. W serwerowni nie można trzymać kanapek, a archiwum nie jest składzikiem na materiały biurowe czy reklamowe. Dostęp do nich musi być pod ścisłą kontrolą i muszą być szczególnie zabezpieczone przed włamaniem, zalaniem, pożarem. Warto więc zastosować mocniejsze drzwi, zamek kodowany lub kartę dostępu, monitoring, odpowiednią gaśnicę, klimatyzację, a przynajmniej miernik temperatury i wilgotności.

Dane osobowe powinny być przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, jednak nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania (art. 26 ustawy o ochronie danych osobowych). Oznacza to, że nie można przechowywać dokumentów, które identyfikują osobę fizyczną, jeśli minął już cel, dla którego zostały zebrane. Najczęściej cele i okresy przechowywania określają szczegółowe przepisy branżowe.

Dokumentację osobową pracownika należy przechowywać przez cały okres zatrudnienia oraz przez 50 lat, licząc od dnia zakończenia pracy u danego pracodawcy, a dokumentację płacową 50 lat, licząc od dnia jej wytworzenia. Po zakończeniu zatrudnienia pracownika jego akta osobowe należy przekazać z upływem roku kalendarzowego, w którym zakończył się stosunek pracy do archiwum zakładowego.

Dokumentacją pracowniczą nie jest CV kandydata do pracy, który nie został przyjęty. Takie dokumenty powinny być usuwane, bez możliwości wykorzystania danych w nich zawartych do innych celów. Dokumentacja medyczna, w zależności od sytuacji, musi być przechowywana przez 20 lub 30 lat. Faktury, rachunki, paragony przez 5 lat. Arkusz ocen ucznia, który ukończył lub opuścił szkołę, przechowuje się w archiwum szkoły przez okres co najmniej 50 lat.

Po zakończeniu wymaganych okresów przechowywania dokumenty należy skutecznie usunąć. Na tę okoliczność powinna funkcjonować odpowiednia procedura brakowania dokumentów, protokoły zniszczenia, a w przypadku korzystania z usług firm zewnętrznych – odpowiednia umowa. Zawsze musimy wiedzieć, co, za jaki okres i w jaki sposób zostało zniszczone. Przez usuwanie danych rozumie się zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą.

Jeśli osoba zobowiązana do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, ponosi odpowiedzialność administracyjną, dyscyplinarną, finansową, a nawet karną. Nawet za nieumyślne naruszenie obowiązku zabezpieczenia danych przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem administratorowi danych osobowych grozi grzywna, kara ograniczenia wolności albo pozbawienia wolności do roku.