Polityka czystego biurka – RODO i nie tylko

W związku z nie tak dawnymi zmianami w prawie, słowa „dane osobowe”, „RODO” i „kara grzywny” były odmieniane przez wszystkie przypadki. W całym zamieszaniu z tworzeniem umów powierzenia, klauzul informacyjnych i rejestrów przetwarzania, można było łatwo zapomnieć o ochronie danych osobowych na poziomie codziennej pracy. Polityka czystego biurka to szereg działań, które ma podejmować każdy pracownik w ciągu dnia pracy, aby zapewnić bezpieczeństwo przetwarzania danych, by uniemożliwić przypadkowe (lub celowe) zapoznanie się z danymi osobowymi przez osoby do tego nieupoważnione.

Jeżeli każdy pracownik w biurze posiada takie samo upoważnienie do przetwarzania danych od administratora danych osobowych, problem ten ma marginalne znaczenie, choć zaznaczyć się może wówczas kwestia konieczności i celowości przetwarzania (np. w razie przypadkowego zapoznania się z danymi przez pracownika, któremu te dane nie były do niczego potrzebne). Trudniejsza sytuacja nastąpi, gdy w biurze pojawią się osoby nieposiadające upoważnienia do przetwarzania danych, lub o innym upoważnieniu niż reszta pracowników.

Takimi osobami mogą być znajomi i rodzina, którzy przyszli kogoś odwiedzić, klient, lub przedstawiciel handlowy który przyszedł na spotkanie czy personel sprzątający, konserwujący i naprawczy lub pomoc IT, a także pracownik innego działu, który zajmując się innymi zadaniami, nie ma dostępu do określonych danych, czy zwyczajny przechodzień za oknem.

Polityka czystego biurka jest częścią polityki ochrony danych osobowych wdrożonej przez administratora. Jako szczególną podstawę prawną można wskazać art. 23 ust 1 i 2 RODO, oraz § 4 pkt 5) Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (przed uchyleniem tego Rozporządzenia). Wobec zasady rozliczalności określonej w art. 5 ust. 2 RODO, stworzyć można dokument określający zasady polityki czystego biurka i rozesłać pracownikom biura, wywiesić, lub skompletować podpisy pracowników potwierdzające zapoznanie się z nim, aby móc później w razie kontroli wykazać wdrożenie tej polityki.

Oprócz ochrony danych osobowych, polityka czystego biurka, chroni także tajemnice przedsiębiorstwa, w którym jest wdrażana, w tym informacje handlowe i organizacyjne przedsiębiorstwa, oraz zapewnia ochronę przed naruszeniami związanymi ze szpiegostwem gospodarczym, co może być dodatkową zachętą dla przedsiębiorców by wdrażać ją w swoich firmach.

Komputer

Na służbowym komputerze przechowywane może być wszystko, w tym najwrażliwsze dane osobowe naszych klientów. Te dane wyświetlane są na monitorze, na którym każdy może je zobaczyć i zapoznać się z nimi nawet bez naszej wiedzy, po prostu zerkając w stronę monitora i mimowolnie odczytując wyświetloną na nim treść. Jedną z podstawowych zasad polityki czystego biurka będzie tu wygaszanie monitora, lub zamykanie laptopa przy odchodzeniu od miejsca pracy. Jeżeli bowiem odejdziemy ze stanowiska, a pozostawimy dane osobowe wyświetlone na monitorze, nie mamy kontroli nad tym, kto z danymi się zapoznaje.

Pojawia się też problem ustawienia monitora. Należy upewnić się ze ekran zwrócony jest w takim kierunku, z którego nikt niepowołany nie powinien móc odczytać danych. Zatem wykluczone powinno być ustawienie monitora w stronę wejścia do biura, przeszklonej sali konferencyjnej lub okna wychodzącego na zewnątrz, jeśli biuro znajduje się na parterze. Niekiedy rozkład stanowisk w biurze będzie uniemożliwiał pełną ochronę danych – należy wówczas zadbać, by podjęte zostały jak najdalej idące środki, by dane chronić (choć oczywiście w granicach rozsądku). Przemyśleć można przestawienie biurek do określonej konfiguracji, lub postawienie ścianek działowych. Ten problem można niekiedy zauważyć w placówkach prywatnej opieki medycznej, gdzie stanowiska rejestracyjne często ułożone są w taki sposób, że niezwykle łatwo jest odczytać dane z monitorów, które przecież jako dane o stanie zdrowia pacjenta, stanowią dane najwrażliwsze, podlegające najszerszej ochronie.

Dokumenty

Polityka czystego biurka ma też swoje zastosowanie w posługiwaniu się dokumentami. Potencjalnie na każdym dokumencie mogą znajdować się dane podlegające ochronie. Pracownicy powinni na bieżąco weryfikować, jakie dokumenty znajdują się na ich biurku i dopilnować, żeby leżały tam tylko te dokumenty, które są aktualnie potrzebne do pracy. Pozostałe należy albo w sposób właściwy zarchiwizować, albo zniszczyć w sposób przewidziany u administratora, jeśli nie podlegają archiwizacji. Nie powinno się także pozostawiać dokumentów leżących na widoku bez nadzoru (wydaje się, że należy przynajmniej upewnić się, że któryś ze współpracowników znajduje się obok stanowiska pracy i ma biurko nieobecnego pracownika „na oku”).

Wyjście z pracy

Podnosi się także, że częścią polityki czystego biurka jest, oprócz powyższych środków, przed wyjściem z pracy: wylogowanie się z systemów biurowych takich jak sieci typu intranet, i wyłączenie komputera, ułożenie dokumentów w sposób odpowiedni i włożenie ich do zabezpieczonej szafy lub przynajmniej szuflady w biurku, starcie tablicy przed wyjściem z pracy jeśli się ją posiada i z niej korzystało, a także odpowiednie zabezpieczenie biura, jeżeli jest się ostatnią osobą wychodzącą z biura. Rozumie się przez to zamknięcie szaf z dokumentami (na klucz, jeśli taka jest polityka administratora), oraz drzwi wejściowych i uruchomienie systemu antywłamaniowego. Problem ten aktualizuje się szczególnie w większych biurowcach, gdzie często w nocy do biura wchodzi personel sprzątający lub wynajęta ochrona budynku.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *