Polityka czystego biurka i RODO

Praktyczne aspekty ochrony danych osobowych zgodnie z RODO[1] budzą wiele wątpliwości, mimo że te regulacje prawne obowiązują już prawie 2 lata. Jedną z najbardziej spornych kwestii jest tzw. polityka czystego biurka, czyli nakaz pracodawcy, aby każdego dnia po zakończeniu pracy pracownik pochował wszystkie dokumenty (zawierające dane osobowe) do szaf. Szafy są zamykane na klucze i sposób postępowania z kluczem jest także ściśle określony.

Integralność i poufność

Art. 5 ust. 1 lit. f RODO stanowi, że dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem za pomocą odpowiednich środków technicznych lub organizacyjnych. Jednocześnie analiza motywu 39 preambuły RODO prowadzi do wniosku, że dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym ochronę przed nieuprawnionym dostępem do nich i do sprzętu służącego do ich przetwarzania oraz przed nieuprawnionym korzystaniem z tych danych i z tego sprzętu. Skoro integralność i poufność są podstawowymi zasadami przetwarzania danych osobowych, to powinny być przestrzegane na każdym etapie procesu przetwarzania. Zatem zarówno zbieranie danych osobowych, przetwarzanie, jak i tylko ich posiadanie w celach archiwalnych czy przyszłych powinno odbywać się w taki sposób, aby ryzyko nieuprawnionego dostępu do danych osobowych było jak najmniejsze. Ponadto trzeba chronić nośniki danych (w tym dokumenty) przed zniszczeniem lub kradzieżą.

Integralność i poufność danych osobowych nie są nowymi instytucjami prawnymi. Do dnia 24 maja 2018 r. wszystkie podmioty przetwarzające dane osobowe miały obowiązek zachowania danych osobowych w tajemnicy i podejmowania działań w celu ograniczenia możliwości ich utraty, zniszczenia itp.

Ryzyko naruszenia praw i wolności

Ogólnie brzmiąca zasada integralności i poufności jest bliżej opisana w dalszych przepisach RODO. Przykładowo, administrator zobowiązany jest wdrożyć odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO i aby móc to wykazać. W wyborze środków ochrony danych osobowych admi­nistrator powinien kierować się charakterem, zakresem, kontekstem i celami przetwarzania oraz ryzykiem naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia. Co do zasady środki ochrony danych osobowych powinny być poddawane przeglądom i uaktualniane. RODO podkreśla, że administrator ma obowiązek wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, przy czym powinno to uwzględniać stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania.

Z przepisów art. 24 ust. 1 i art. 32 ust. 1 RODO wynika obowiązek powiązania ryzyka naruszenia praw i wolności osoby fizycznej, której dane dotyczą, oraz stosowanych środków technicznych i organizacyjnych.

„Oparcie przetwarzania na szacowaniu ryzyka staje się więc jednym z kluczowych elementów zapewniania zgodności z przepisami RODO i wymaga starannej analizy procesów przetwarzania danych przez administratora. Ocena ta odbywa się z perspektywy ryzyka naruszenia praw i wolności osób, których dane są przetwarzane, a nie ryzyka związanego z przetwarzaniem danych, na które jest narażony administrator. Chodzi tu o zdiagnozowanie sytuacji powstania szkody na skutek utraty przez człowieka kontroli nad własnymi danymi, kradzieży lub sfałszowania tożsamości, naruszenia dobrego imienia, naruszenia poufności danych objętych tajemnicą zawodową itp. Jest to dość złożony proces, który w efekcie pozwoli na wybór niezbędnych środków i działań w celu ograniczenia ryzyka (np. pseudonimizacja danych, szyfrowanie danych, szkolenia personelu)”[2]. Innymi słowy, natura danego procesu przetwarzania danych osobowych oraz stwierdzone ryzyka naruszenia praw i wolności osoby, której dane dotyczą, determinują wybór odpowiednich środków technicznych i organizacyjnych.

Jak chronić dokumenty?

Można wyobrazić sobie bardzo różne środki techniczne lub organizacyjne ochrony danych osobowych zawartych w dokumentach. Osoba, która decyduje o środkach ochrony danych osobowych, powinna mieć na uwadze także funkcjonalność przyjętych rozwiązań. Nowe rozwiązania ochrony danych osobowych nie powinny...

Dalsza część jest dostępna dla użytkowników z wykupionym planem