Zasady bezpiecznego przechowywania dokumentacji ochrony danych osobowych wynikają nie tylko z przepisów prawa, ale także dobrych praktyk. Sprawdź, jakie 8 kroków należy podjąć, żeby dokumentacja ochrony danych była bezpieczna. Dowiedz się, jakie rozwiązania zastosować.
Każdy administrator danych zobowiązany jest zapewnić środki techniczne i organizacyjne gwarantujące ochronę przetwarzanych danych osobowych. W szczególności powinien zabezpieczać dane przed ich:
Stosowane przez administratora danych środki ochrony powinny być proporcjonalne do zagrożeń, jakie mogą wystąpić, oraz kategorii przetwarzanych danych. Wraz z rozpoczęciem stosowania ogólnego rozporządzenia o ochronie danych administrator danych zobowiązany będzie do przeprowadzenia analizy ryzyka już na etapie projektowania procesu przetwarzania danych, po to, by na tej podstawie zastosować odpowiednie zabezpieczenia.
1. Określ obszar przetwarzania danych
Aby zapewnić bezpieczeństwo dokumentacji ochrony danych osobowych, administrator danych powinien w pierwszej kolejności określić obszar, w którym przetwarzane są dane osobowe.
2. Zastosuj fizyczne zabezpieczenia
Wszystkie pomieszczenia powinny zostać właściwe zabezpieczone przed dostępem osób nieupoważnionych, np. poprzez zastosowanie drzwi zamykanych na klucz. W przypadku gdy pomieszczenia obszaru przetwarzania znajdują się na parterze, warto zastosować dodatkowe zabezpieczenia, np. w postaci rolet antywłamaniowych lub krat. Coraz częściej administratorzy danych decydują się także na wprowadzenie elektronicznego systemu kontroli dostępu, który stanowi dodatkową ochronę przed nieuprawnionym dostępem.
3. Upoważnij osoby przetwarzające dane osobowe
W pomieszczeniu, w którym znajdują dane osobowe, mogą przebywać wyłącznie osoby posiadające upoważnienia do przetwarzania danych osobowych. Chociaż ustawodawca nie wskazał, w jakiej formie powinno być ono wydane, najczęściej przybiera formę pisemną. Wraz z upoważnieniem pracownik powinien poświadczyć, że zachowa w tajemnicy dane osobowe oraz sposoby ich zabezpieczenia. Wszystkie inne osoby, które nie mają upoważnień, mogą przebywać w pomieszczeniach obszaru przetwarzania danych wyłącznie w obecności osoby upoważnionej.
Dane osobowe w formie papierowej powinny być przechowywane w szafach zamykanych na klucz. W ten sposób zostanie ograniczony dostęp do dokumentów wyłącznie do upoważnionych do tego osób. Oczywiście warunek ten zostanie spełniony, jeżeli klucz do szaf nie będzie znajdował się w zamku lub innym widocznym miejscu.
4. Nadaj uprawnienie do przetwarzania danych w systemie informatycznym
Jeśli dane osobowe są przetwarzane w formie elektroniczne, każdy pracownik przed przystąpieniem do przetwarzania danych powinien uzyskać od administratora danych uprawnienie dostępu do zasobów informatycznych w postaci loginu lub hasła.
5. Wymuszaj zmianę hasła
Każdy komputer powinien zostać wyposażony w program wymuszający zmianę hasła co 30 dni. Hasła powinny składać się z co najmniej 8 znaków (małe, wielkie litery, przynajmniej jedna cyfra lub znak specjalny). Niestety nadal zdarzają się przypadki, w których pracownicy umieszczają hasło na karteczkach przylepionych do pulpitu komputera, wychodząc z założenia, że na komputerze służbowym nie ma żadnych cennych informacji. Równie często hasło udostępnimy koleżance lub koledze „na wszelki wypadek”.
6. Stosuj program antywirusowy i szyfruj wiadomości
Każdy komputer powinien zostać wyposażony w legalny, licencjonowany program antywirusowy oraz zaporę firewall. Coraz częściej spotykaną praktyką jest także przesyłanie danych osobowych w postaci zaszyfrowanych wiadomości e-mailowych, co gwarantuje, że dostęp do niej ma wyłącznie osoba dysponująca hasłem. Każdy komputer powinien mieć automatyczny wygaszacz ekranu, w przypadku czasowego przestoju pracy, tak by chociaż przy krótkiej nieobecności pracownika osoba nieuprawniona nie miała możliwość dostępu do danych.
7. Przestrzegaj zasady czystego biurka i pulpitu
Do dobrych praktyk, które zapewniają bezpieczeństwo danych osobowych, należy stosowanie zasad czystego biurka i czystego pulpitu. Pracownik powinien mieć na biurku wyłącznie te dokumenty, na których pracuje. Po zakończeniu pracy wszystkie dokumenty powinny być chowane do szafy zamykanej na klucz, tak by nie pozostawiać żadnych danych zawierających dane osobowe na biurku.
Podobnie w przypadku danych osobowych przetwarzanych w systemie teleinformatycznym. Na pulpicie komputera powinny znajdować się tylko bieżące pliki, na których pracuje pracownik. W przypadku robienia regularnie kopii zapasowych nie ma potrzeby pozostawiania plików, z których nie korzystamy.
8. Nie gromadź dokumentów „na zapas”
Zgodnie z zasadą celowości administrator danych zobowiązany jest przetwarzać dane osobowe tak długo, jak jest to niezbędne do realizacji określonego celu. Niezależnie jednak od tego, przepisy innych ustaw mogą nakładać na administratora danych obowiązek przechowywania ich przez określony czas.
Bezpieczeństwo danych osobowych wymaga, by unikać sytuacji niepotrzebnego gromadzenia dokumentów. Dlatego najwłaściwszą praktyką jest niszczenie dokumentów na bieżąco, a nie odkładanie tego na później. Jeżeli więc nie mamy obowiązku archiwizować danych, dokumenty zawierające dane osobowe powinny być niszczone w niszczarkach uniemożliwiających odtworzenie treści dokumentu.
Jeżeli administrator danych decyduje się na wynajęcie firmy zewnętrznej profesjonalnie trudniącej się niszczeniem dokumentów, musi pamiętać o podpisaniu umowy o powierzeniu przetwarzania danych. Podmiot, któremu administrator danych zleca zniszczenie dokumentów, powinien wystawić nam dokument potwierdzający ich zniszczenie.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
