Zasada czystego biurka, czyli ochrona danych w miejscu pracy
Rozważania na temat ochrony danych osobowych najczęściej dotyczą szeregu dokumentacji, prowadzenia specjalnych rejestrów, zgód na przetwarzanie danych. Rzadko jednak zdajemy sobie sprawę, że problem może leżeć nie u szczytu – wspomnianej dokumentacji, ale już na niższych szczeblach, a mianowicie – stanowiskach pracowników. Przyznajmy się szczerze – kto z nas, pracujących, i kto z nas, pracodawców wprowadza tzw. politykę „clean desk” (zasada czystego biurka) oraz inne zasady mające na celu ograniczyć niebezpieczeństwo naruszenia ochrony danych?
W tym artykule znajdziesz:
Clean Desk Policy (CDP) – co to znaczy?
Clean desk policy, czyli zasada czystego biurka, to zespół zasad stanowiących o tym, jak pracownicy powinni pozostawiać miejsce pracy po jej zakończeniu. Z punktu widzenia CDP niedopuszczalne jest pozostawianie na biurku jakichkolwiek dokumentów zawierających dane osobowe. Dokumenty niepotrzebne należy zniszczyć w niszczarce, a pozostałe schować do miejsca, w którym docelowo są przechowywane, najlepiej miejsca zabezpieczonego zamknięciem na klucz.
Kliknij i napisz do nas. Zapraszamy na konsultacjeZasada czystego biurka – czy jest niezbędna?
Oczywiście, zasada czystego biurka należy do reguł korporacyjnych, a więc wyznaczanych przez pracodawców, czy zarządzających, nie przez przepisy prawa – a może raczej nie wprost przez przepisy prawa. Możemy więc powiedzieć: ok, skoro nie trzeba, to po co się tym przejmować i reorganizować panujące reguły?
Takie stanowisko nie jest jednak do końca słuszne. O ile w przepisach nigdzie nie jest wprost określony nakaz stosowania CDP, o tyle – jeśli przyjrzymy się celom, jakie ma spełniać ochrona danych osobowych – bardzo szybko zorientujemy się, jak duży wpływ na ochronę danych może mieć pozostawianie czystych biurek.
Integralność i poufność
Jedną z naczelnych zasad przetwarzania danych osobowych jest zasada integralności i poufności. Zgodnie z art. 5 ust. 1 pkt f RODO przetwarzanie danych musi odbywać się w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Jak ma się zaś pozostawianie dokumentów na biurkach do zachowania odpowiedniego bezpieczeństwa danych? Ile razy pracownikowi zdarzyło się coś zgubić ze względu na pozostawianie wszystkich dokumentów zmieszanych ze sobą na biurku zamiast odkładanie na miejsce? I w tym miejscu możemy stwierdzić: ok, ale co z tego? Jego wina. Niestety, na gruncie przepisów RODO to administrator jest odpowiedzialny za przestrzeganie zasad integralności i poufności, a ponadto musi być w stanie wykazać ich przestrzeganie! Właśnie dlatego zasada czystego biurka jest czymś niezwykle istotnym.
Kliknij i napisz do nas. Zapraszamy na konsultacjeZasada czystego biurka – jak jest w rzeczywistości
Z pozoru całkowicie normalna sytuacja pozostawiania dokumentów na biurku, odkładania niszczenia niepotrzebnych już dokumentów „na później”, przypadkowe pozostawianie dokumentów na drukarce, czy włączonych komputerów z dostępem do danych osobowych może bardzo poważnie naruszyć bezpieczeństwo tych danych. Każda nieuprawniona osoba, która przejdzie obok (jak chociażby klient), może zapoznać się z zawartymi w dokumentach danymi osobowymi. Nierzadko ma miejsce również sytuacja przyjmowania klientów w pokojach pracowników, gdzie wszystkie, w żaden sposób niezabezpieczone dokumenty leżą na widoku. Stanowi to bezpośrednie naruszenie podstawowych zasad ochrony danych osobowych!
Clean Desk Policy jest naprawdę warte rozważenia – to przykład środków organizacyjnych mających na celu zachowanie bezpieczeństwa ochrony danych osobowych. Zawarcie tych reguł w polityce bezpieczeństwa – i oczywiście nadzór nad ich przestrzeganiem pomoże administratorowi wykazać, że rzeczywiście przedsięwziął środki celem zapewnienia bezpieczeństwa.
Zapisz się na newsletter