Bezpieczeństwo danych podczas naprawy sprzętu firmowego

Stało się! W firmie ulega uszkodzeniu komputer, na którym przetwarzane są dane osobowe oraz znajdują się informacje mogące stanowić tajemnicę przedsiębiorstwa. Czy naprawą sprzętu może zająć się firmowy informatyk? Co zrobić, jeśli komputer musi trafić do serwisu zewnętrznego? Jak uniknąć niemiłych niespodzianek?

Bezpieczeństwo danych
podczas naprawy sprzętu firmowego

blog-123

Stało się! W firmie ulega uszkodzeniu komputer, na którym przetwarzane są dane osobowe oraz znajdują się informacje mogące stanowić tajemnicę przedsiębiorstwa. Czy naprawą sprzętu może zająć się firmowy informatyk? Co zrobić, jeśli komputer musi trafić do serwisu zewnętrznego? Jak uniknąć niemiłych niespodzianek?

Naprawa sprzętu przez lokalnego informatyka

Jeżeli zaistniał problem, z którym nie potrafimy sobie poradzić we własnym zakresie po prostu wzywamy firmowego informatyka, który w ramach swoich codziennych obowiązków zajmie się urządzeniem. W świetle przepisów Ustawy o Ochronie Danych Osobowych z dn. 29 sierpnia 1997 r. warunkiem koniecznym do realizacji procesu naprawy sprzętu przez taką osobę zatrudnioną na podstawie umowy o pracę bądź umowy cywilno-prawnej jest uprzednie nadanie mu upoważnienia do przetwarzania danych osobowych. Warto również zadbać o to, aby w przedmiotowej umowie lub innych dokumentach określających rodzaj współpracy dołączyć zapisy dotyczące zachowania przez niego poufności danych.

Naprawa sprzętu przez informatyka zewnętrznej firmy w siedzibie organizacji

Co w sytuacji kiedy organizacja nie posiada żadnej osoby zatrudnionej na stanowisku informatyka, a wsparcie IT zapewnia firma zewnętrzna? Zgodnie z UoODO w takim przypadku przed jakimkolwiek udostępnieniem służbowego sprzętu powinniśmy zadbać o to, aby w umowie z firmą świadczącą tego rodzaju usługi zawrzeć stosowne zapisy dotyczące powierzenia przetwarzania danych osobowych (draft takiej umowy umieszczamy tutaj). Ustawodawca daje nam jednak możliwość pominięcia tego wymogu wprowadzając do Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dn. 29 kwietnia 2004 r. stosowny zapis. Część A Rozdziału VI pkt. 2 wskazuje, iż „(…) urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do naprawy - pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej (…)”. Zgodnie z treścią zacytowanego dokumentu jeżeli naprawa realizowana jest w siedzibie naszej organizacji, a z firmą zewnętrzną nie mamy podpisanej umowy powierzenia przetwarzania danych, serwisant nie może być pozostawiany bez nadzoru osoby upoważnionej.

Naprawa sprzętu przez informatyka zewnętrznej firmy poza siedzibą organizacji

Jeśli jednak komputera nie uda naprawić się na miejscu i koniecznym okaże się odesłanie go do serwisu, wówczas niezbędne będzie zawarcie odpowiedniej umowy lub całkowite pozbawienie urządzenia danych w sposób uniemożliwiający ich odzyskanie. Według opinii grupy roboczej art. 29 ds. Ochrony Danych proces bezpiecznego usuwania danych osobowych wymaga, aby nośniki urządzeń zostały zniszczone lub rozmagnetyzowane albo dane osobowe zostały skutecznie usunięte poprzez ich kilkukrotne nadpisanie (co najmniej 3 krotne). Oczywiście jeżeli sytuacja na to pozwala, najwygodniejszym rozwiązaniem jest przesłanie urządzenia do podmiotu zewnętrznego, z którym nie posiadamy podpisanej umowy dotyczącej powierzenia przetwarzania danych bez przedmiotowego nośnika. Warto zaznaczyć, że z powyższych kroków można zrezygnować pod warunkiem, że dysk takiego urządzenia przed wysłaniem do serwisu zewnętrznego zostanie zaszyfrowany. Wówczas możemy mieć pewność, że żadna osoba nieupoważniona nie uzyska do niego dostępu.

Zachowanie szczególnej ostrożności po odbiorze sprzętu z serwisu zewnętrznego

Nigdy nie możemy mieć pewności kto zajmował się naprawą naszego urządzenia oraz co mogło być na nim zainstalowane. W związku z tym po odbiorze sprzętu z serwisu zewnętrznego ważne jest podjąć stosowane środki minimalizujące ryzyko zainfekowania sieci organizacji oraz wycieku poufnych informacji. Po przeprowadzonej konserwacji, czy naprawie przed ponownym uruchomieniem komputera w sieci produkcyjnej należy skontrolować urządzenie w celu weryfikacji, czy nie zostało ono zmanipulowane oraz nie realizuje żadnych szkodliwych funkcji. W tym celu na zagrożonym komputerze należy wykonać pełne skanowanie programem antywirusowym.

Czytaj także:

-
4.51/5 (43) 1
Tomasz Ochocki
Tomasz Ochocki
Kierownik zespołu merytorycznego.
Ekspert ds. ochrony danych.
Audytor wiodący systemu zarządzania bezpieczeństwem informacji (ISO/IEC 27001:2013), zarządzania ciągłością działania (ISO 22301) oraz audytor wewnętrzny ISO/IEC 27701. Ukończył podyplomowe studia z zakresu ochrony danych osobowych i informacji niejawnych oraz analizy bezpieczeństwa i zagrożeń terrorystycznych.

Autor oraz prelegent dedykowanych szkoleń pracowniczych z zakresu bezpieczeństwa informacji.

Współautor opracowania: "RODO Nawigator", "DODO Nawigator" oraz książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Adw. Łukasz Pociecha
Adw. Łukasz Pociecha
Ekspert ds. ochrony danych.
Swoje doświadczenie zawodowe zdobywał współpracując z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych. Audytor wiodący ISO/IEC 27001.

Do jego kompetencji należy kompleksowa obsługa klientów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym m.in.: sporządzenie opinii prawnych i umów, prowadzenie szkoleń oraz przeprowadzanie audytów. Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2.

Współautor książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Barbara Matasek
Barbara Matasek
Ekspert ds. ochrony danych
Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego.

Współautorka poradnika: "Jak przygotować się do kontroli".