Archiwalny

Sprawdź, jak należy przechowywać dokumentację zawierającą dane osobowe

Piotr Glen

Autor: Piotr Glen

Dodano: 30 maja 2017
Dokument archiwalny
Sprawdź, jak należy przechowywać dokumentację zawierającą dane osobowe

Za zaniedbania w zakresie przechowywania danych osobowych grozi odpowiedzialność karna. Niestety ustawa o ochronie danych osobowych nie daje wytycznych, które pomogłyby w odpowiednim przechowywaniu dokumentacji zawierającej dane osobowe. Trzeba więc odwołać się do przepisów szczegółowych.

W przepisach dotyczących ochrony danych osobowych nie ma szczegółowych wytycznych dotyczących przechowywania dokumentów zawierających dane osobowe. W związku z tym wielu administratorów bezpieczeństwa informacji zadaje sobie pytania: jak postępować z dokumentacją papierową zawierającą dane osobowe i jakie stosować na tę okoliczność środki bezpieczeństwa?

Zastosowane zabezpieczenia muszą być odpowiednie

Jest sporo rekomendacji i zaleceń co do postępowania z dokumentacją zawierającą dane osobowe. Jednak żaden przepis nie nakazuje wprost np. zastosowania drzwi antywłamaniowych czy szaf pancernych. Trzeba rozsądnie, odpowiednio do wartości danych oraz do ewentualnych zagrożeń stosować adekwatne zabezpieczenia. Administrator danych jest zobowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną (art. 36 ustawy o ochronie danych osobowych). W szczególności powinien zabezpieczyć je przed:

  • udostępnieniem osobom nieupoważnionym,
  • zabraniem przez osobę nieuprawnioną,
  • przetwarzaniem z naruszeniem ustawy,
  • zmianą,
  • utratą,
  • uszkodzeniem lub
  • zniszczeniem.

Do zagrożeń, jakie mogą wystąpić, należy na przykład kradzież, pożar, powódź, nieuprawniony dostęp. To jakie zabezpieczenia należy zastosować na daną okoliczność, powinno wynikać z analizy ryzyka.

Przeprowadź analizę ryzyka

O analizie ryzyka i obowiązku zabezpieczenia danych mówi rozporządzenie Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych dotyczących działalności podmiotów realizujących zadania publiczne (Dz.U. 2012 poz. 526). Zgodnie z nim: „zarządzanie bezpieczeństwem informacji realizowane jest przez przeprowadzanie okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy oraz zabezpieczenie informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie” (§ 20 ust. 2 pkt 3 i 9).

Niestety tutaj też nie ma konkretnych wytycznych co do postępowania z dokumentacją z danymi osobowymi. Ważne jest jednak, aby tak zabezpieczyć pomieszczenie i szafy, w których przechowywane są dokumenty podlegające ochronie, aby dostęp do nich miały jedynie osoby uprawnione.

Wprowadź politykę czystego biurka

Dobrą praktyką jest też zastosowanie polityki czystego biurka dla dokumentów papierowych i nośników elektronicznych. W praktyce oznacza to, że w przypadku dłuższej nieobecności przy stanowisku pracy lub po jej zakończeniu pracownik jest zobowiązany do umieszczenia wszelkich dokumentów i nośników zawierających dane osobowe w bezpiecznym miejscu, np. zamykanej szafce. Ma to uniemożliwić dostęp do nich osobom nieuprawnionym. Nie należy również zostawiać dokumentów i nośników w łatwo dostępnych miejscach, np. przy urządzeniach drukujących. Ważne jest to przede wszystkim wtedy, kiedy pomieszczenia są sprzątane po godzinach pracy, zwłaszcza przez zewnętrzne firmy sprzątające.

Nie jest ważne, czy szafy są metalowe, czy nie i jakie mają zamki. Metody zabezpieczenia muszą być przede wszystkim skuteczne. Należy też panować nad gospodarką kluczami. Nie jest dobrą praktyką, a niestety często stosowaną, chowanie kluczyka do szafek lub pomieszczeń w „umówionym miejscu”, którym najczęściej jest doniczka lub kubek z długopisami. Zasady te warto spisać w formie procedur, które będą dostępne dla wszystkich pracowników.

Klucze powinny być przechowywane w kasetach lub skrzynkach zamykanych na szyfr. Pokoje, w których przechowywane są dane, trzeba zabezpieczyć przed dostępem osób nieuprawnionych. Ich przebywanie w takich pomieszczeniach jest dopuszczalne jedynie za zgodą administratora danych lub w obecności osoby upoważnionej do przetwarzania danych osobowych. Nie pozostawiajmy więc kluczy w zamkach od strony korytarza, nie zostawiajmy interesanta samego w pokoju.

Jak zabezpieczać dokumentację medyczną

Dokumentację medyczną należy zabezpieczyć przed zniszczeniem, uszkodzeniem lub utratą i dostępem osób nieupoważnionych. Jako że mamy tu do czynienia z danymi wrażliwymi, należy zastosować dodatkowe środki bezpieczeństwa. Mogą to być metalowe lub niemetalowe szafy zamykane na klucz, ale z takim zamkiem, którego nie da się otworzyć przypadkowym kluczykiem czy agrafką. Z pomocą przychodzą też niektóre normy ISO. Warto zwłaszcza korzystać z tych dotyczących bezpieczeństwa. Znajdziemy tam rozwiązania i podpowiedzi adekwatne do obecnych zagrożeń. Zwłaszcza co do bardzo newralgicznych i wręcz krytycznych pomieszczeń, jakimi są serwerownia i archiwum.

Serwerownia i archiwum powinny być wyodrębnione i przeznaczone tylko do jednego celu. W serwerowni nie można trzymać kanapek, a archiwum nie jest składzikiem na materiały biurowe czy reklamowe. Dostęp do nich musi być pod ścisłą kontrolą i muszą być szczególnie zabezpieczone przed włamaniem, zalaniem, pożarem. Warto więc zastosować mocniejsze drzwi, zamek kodowany lub kartę dostępu, monitoring, odpowiednią gaśnicę, klimatyzację, a przynajmniej miernik temperatury i wilgotności.

Jakie są zasady archiwizowania dokumentów z danymi osobowymi

Dane osobowe powinny być przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, jednak nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania (art. 26 ustawy o ochronie danych osobowych). Oznacza to, że nie można przechowywać dokumentów, które identyfikują osobę fizyczną, jeśli minął już cel, dla którego zostały zebrane. Najczęściej cele i okresy przechowywania określają szczegółowe przepisy branżowe.

Dokumentację osobową pracownika należy przechowywać przez cały okres zatrudnienia oraz przez 50 lat, licząc od dnia zakończenia pracy u danego pracodawcy, a dokumentację płacową 50 lat, licząc od dnia jej wytworzenia. Po zakończeniu zatrudnienia pracownika jego akta osobowe należy przekazać z upływem roku kalendarzowego, w którym zakończył się stosunek pracy do archiwum zakładowego.

Dokumentacją pracowniczą nie jest CV kandydata do pracy, który nie został przyjęty. Takie dokumenty powinny być usuwane, bez możliwości wykorzystania danych w nich zawartych do innych celów. Dokumentacja medyczna, w zależności od sytuacji, musi być przechowywana przez 20 lub 30 lat. Faktury, rachunki, paragony przez 5 lat. Arkusz ocen ucznia, który ukończył lub opuścił szkołę, przechowuje się w archiwum szkoły przez okres co najmniej 50 lat.

Jak bezpiecznie pozbyć się dokumentów

Po zakończeniu wymaganych okresów przechowywania dokumenty należy skutecznie usunąć. Na tę okoliczność powinna funkcjonować odpowiednia procedura brakowania dokumentów, protokoły zniszczenia, a w przypadku korzystania z usług firm zewnętrznych – odpowiednia umowa. Zawsze musimy wiedzieć, co, za jaki okres i w jaki sposób zostało zniszczone. Przez usuwanie danych rozumie się zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą.

Ważne:

Pamiętajmy, że śmieci potrafią bardzo wiele powiedzieć. Uważajmy więc, aby w pojemnikach przeznaczonych na makulaturę nie znalazły się dane osobowe i inne informacje chronione.

Co grozi za nieodpowiednie przechowywanie dokumentów

Jeśli osoba zobowiązana do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, ponosi odpowiedzialność administracyjną, dyscyplinarną, finansową, a nawet karną. Nawet za nieumyślne naruszenie obowiązku zabezpieczenia danych przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem administratorowi danych osobowych grozi grzywna, kara ograniczenia wolności albo pozbawienia wolności do roku.

Podstawa prawna: 
  • ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2016 r. poz. 922),
  • rozporządzenie Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych dotyczących działalności podmiotów realizujących zadania publiczne (Dz.U. 2012 poz. 526).
Piotr Glen

Autor: Piotr Glen

doświadczony administrator bezpieczeństwa informacji pełniący tę funkcję dla wielu firm i instytucji, trener i audytor

WIDEOSZKOLENIA »

Bezpieczne przechowywanie danych w chmurze

Bezpieczne przechowywanie danych w chmurze

Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.

14.06.2024 czytaj więcej »

ZMIANY W PRAWIE »

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x