Nad bezpieczeństwem danych osobowych czuwa Administrator Danych Osobowych. Kojarzy się to często z szeregiem skomplikowanych procedur i zabezpieczeń. Jednak warto pamiętać, że to codzienne, podstawowe czynności wykonywane przez wszystkich pracowników we właściwy sposób mają ogromny wpływ na poziom bezpieczeństwa całej organizacji. Każdy Administrator danych osobowych, (kierownik jednostki, właściciel firmy), powinien określić w Polityce Bezpieczeństwa Danych – środki techniczne i organizacyjne niezbędne do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
Zgodnie z art. 32 RODO uwzględniając stan wiedzy technicznej, koszt wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator danych (ADO) i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.
Cztery proste zasady: czystego biurka, ekranu, wydruku i kosza skutecznie podnoszą poziom bezpieczeństwa danych osobowych w organizacji. Zasady są łatwe do wdrożenia i uniwersalne, niezależnie od wielkości firmy, kompetencji personelu i posiadanego kapitału a ich wprowadzanie nie wymaga wielu nakładów finansowych, a niejednokrotnie okazuje się zupełnie bezkosztowe, gdyż wiąże się głównie ze zmianą nawyków.
Zasada czystego biurka polega na przechowywaniu dokumentów poza zasięgiem wzroku i dłoni osób postronnych, oraz niepozostawianiu dokumentów bez nadzoru.
Używając słowa „biurko” mamy na myśli całą przestrzeń w której dochodzi do przetwarzania danych, a więc także przestrzeń wokół biurka: szafki, półki, tablice korkowe, samoprzylepne karteczki przyklejane często do monitorów lub pod klawiaturą.
Potencjalnie na każdym dokumencie mogą znajdować się dane podlegające ochronie. Pracownicy powinni na bieżąco weryfikować, jakie dokumenty znajdują się na ich biurku i dopilnować, aby leżały tam tylko dokumenty, które są aktualnie potrzebne do pracy. Pozostałe dokumenty należy albo w sposób właściwy zarchiwizować, albo zniszczyć w sposób przewidziany u administratora, jeśli nie podlegają archiwizacji. Nie powinno się także pozostawiać dokumentów leżących na widoku bez nadzoru.
Zasada czystego biurka obejmuje zarówno dokumenty w wersji papierowej (faktury, umowy, wizytówki, odręczne zapiski), jak i te znajdujące się na nośnikach elektronicznych (płyty CD, USB, dyski zewnętrzne) oraz np. pieczątki. Dobrym zwyczajem w każdej firmie powinno być nie tylko blokowanie urządzeń elektronicznych, ale także dbałość o dokumenty i nośniki zawierających dane.
Zasada „czystego biurka” jest prosta – podczas naszej nieobecności przy stanowisku pracy – nie należy pozostawiać żadnych dokumentów z danymi osobowymi. Dokumenty po zakończonej pracy powinniśmy przechowywać się w miejscach odpowiednio chronionych – np. w szafkach zamykanych na klucz.
Kolejna zasada to zasada czystego ekranu, polegająca na uniemożliwieniu osobom nieupoważnionym wgląd lub wyświetlanie zawartości ekranu komputera.
Ekrany komputerów biurowych często są niewłaściwie ustawione np. skierowane w stronę wejścia, okien lub ciągów komunikacyjnych, a pracownicy odchodząc od stanowiska pracy zostawiają niezabezpieczone komputery. Należy pamiętać, że wygaszacze ekranu nie zdają egzaminu. często bowiem czas, po którym wygaszacz się aktywuje, może wystarczyć, aby nieuprawniona osoba zyskała dostęp do poufnych informacji.
Zasadę czystego ekranu realizuje się poprzez odpowiednie ustawienie monitora, stosowanie filtrów prywatyzujących oraz każdorazowe blokowanie komputera po odejściu od stanowiska (nawet chwilowym). Monitory należy ustawiać w taki sposób, aby zmniejszać możliwość odczytania wyświetlanych na nich informacji przez osoby postronne. Użytkownicy powinni blokować komputer, lub zamykać laptopa za każdym razem gdy odchodzą od stanowiska pracy. Pozostawiając dane osobowe wyświetlone na monitorze, tracimy kontrolę nad tym, kto z danymi się zapoznaje. Polityka „czystego ekranu” obejmuje również pliki zamieszczone na pulpicie, takie pliki mogą bowiem w samych nazwach zawierać dane osobowe.
Niejednokrotnie właściwe ustawienie monitorów jest trudne ze względu na układ pomieszczeń, szczególnie w małych budynkach urzędowych, podobnie jest w dużych biurach typu „open space”, gdzie kilkadziesiąt osób pracuje w jednym pomieszczeniu, bez żadnych ścian działowych. Trudności lokalowe nie zwalniają jednak ADO z obowiązku zapewnienia poufności danych osobowych. Niestety wielu administratorów danych lekceważy „niewygodne” zasady, mimo tego, iż są one często właściwie uregulowane w polityce bezpieczeństwa.
Zasada czystego wydruku polega na zabieraniu z urządzeń drukujących dokumentów zaraz po ich wydrukowaniu, skserowaniu lub zeskanowaniu.
Szczególną uwagą i ochroną należy objąć komputery przenośne (laptopy), oraz pamięć zewnętrzną USB, używane poza siedzibą firmy lub urzędu. Z uwagi na zagrożenia z tym związane, w celu przeciwdziałania potencjalnym skutkom naruszenia i zapobieżenia utracie poufności danych osobowych znajdujących się na urządzeniu stosownie do przepisów RODO, Administrator jest zobowiązany zastosować dodatkowe zabezpieczenia w postaci np. szyfrowania dysków twardych komputera. Określenie dodatkowych zabezpieczeń powinno nastąpić w wyniku przeprowadzonej analizy ryzyka, po prawidłowej identyfikacji zagrożeń dla danych osobowych przetwarzanych przy użyciu komputerów przenośnych użytkowanych poza siedzibą firmy, urzędu.
Procedura ta jest szczególnie istotna w przypadku wielkopowierzchniowych pomieszczeń oraz współdzielenia biur. Sprzętem, na który należy zwrócić szczególną uwagę, są drukarki sieciowe i kserokopiarki. Tego rodzaju sprzęt często znajduje się w ogólnodostępnym miejscu, a wydrukowane dokumenty zalegają w nich przez nawet kilka godzin, przez co mogą łatwo wpaść w niepowołane ręce. Warto również pamiętać, aby po użyciu skanera usunąć plik z folderu sieciowego.
Pracownicy powinni odbierać wydruki urządzenia możliwie jak najszybciej. Pozwala to bowiem uniknąć sytuacji, w których do dokumentów będą miały dostęp osoby nie posiadające stosownych uprawnień. Pomocnym rozwiązaniem jest system druku podążającego, który umożliwia wydruk dopiero po wpisaniu przez pracownika hasła, bądź przyłożenia karty – identycznej do tej umożliwiającej otwieranie drzwi do biura.
Zasada czystego kosza polega na niszczeniu dokumentów, na których znajdują się poufne informacje, w taki sposób, aby ich odczytanie było niemożliwe. Do tego celu najlepiej używać niszczarki. Bezwzględnie nie można wyrzucać dokumentów do kosza. Pozwoli to uniknąć sytuacji, w której po naszym odejściu od stanowiska, osoba nieupoważniona zyskuje łatwy dostęp do dokumentów.
Kolejna ważna kwestia dotyczy osób lub firm sprzątających. Zgodnie z wytycznymi European Data Protection Board (EDPD) https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor-gdpr_pl, w ramach zawartej z podmiotem sprzątającym umowy, powinniśmy zapewnić aby podmiot taki zobowiązał się do zachowania poufności w przypadku dostępu do danych osobowych znajdujących się w pomieszczeniach obsługiwanych przez taki podmiot.
Powyższe zasady nie wymagają dużego wysiłku, a jedynie systematyczności. Stosując je na pewno zwiększymy bezpieczeństwo posiadanych danych, a ich dostępność dla osób nieupoważnionych zostanie znacznie ograniczona.
Podstawa prawna:
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.)