Zasada „czystego biurka” oraz „czystego ekranu”

Dane osobowe wyświetlane na ekranach monitorów i zawarte w dokumentach pozostawionych na biurkach pracowników, w szczególności pod ich nieobecność, powinny być chronione przed dostępem osób nieupoważnionych. W biurze, w którym są przetwarzane dane osobowe, dostęp do pomieszczeń osób nieupoważnionych do ich przetwarzania, w szczególności personelu sprzątającego, konserwacyjnego lub naprawczego, jest nieunikniony. To, jak należy takie osoby traktować z punktu widzenia ochrony danych osobowych, budzi czasem wątpliwości.

Zgodnie z art. 32 RODO uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator (ADO) i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.

Choć RODO jest „neutralne technologicznie”, to jednak nakłada na podmioty uczestniczące w przetwarzaniu danych obowiązek właściwego ich zabezpieczenia, nie precyzując konkretnych środków, mających temu służyć. W dobie ciągle zmieniających się środków przetwarzania danych i związanych z tym dla nich zagrożeń, takie podejście europejskiego ustawodawcy jest zrozumiałe.

Trudno byłoby uregulować jednym aktem prawnym często bardzo różnorodne warunki przetwarzania danych osobowych, jednak tak daleko idąca dowolność powoduje, iż ADO bardzo rzadko reguluje w sposób dostateczny kwestię możliwego, niezamierzonego dostępu do danych przez osoby inne niż upoważnione do przetwarzania.

Gdzie się czai niebezpieczeństwo?

Nierzadkie są sytuacje, kiedy pracownicy organizacji przyjmują w pomieszczeniach przeznaczonych do przetwarzania danych osobowych swoich kolegów czy znajomych. Oprócz tego, na terenie organizacji pojawiają się czasem kontrahenci lub ich przedstawiciele, albo różni goście – w zależności od charakteru działalności podmiotu.

E-learning RODO to już standard!

Pracownicy zdobywają wiedzę o ochronie danych, przystępnie i praktycznie. Testy końcowe potwierdzają efekty szkolenia,a zaświadczenie je dokumentuje.
ZOBACZ WIĘCEJ
Choć w pierwszej chwili nie zauważamy niebezpieczeństwa związanego z obecnością wskazanych osób, to jednak skutki możliwego zapoznania się przez osoby postronne z danymi „luźno” pozostawionymi na biurku czy widocznymi na ekranie komputera możemy odczuć boleśnie, jeszcze długo „po fakcie”. Co, jeśli ktoś zjawiając się np. w kancelarii komorniczej przypadkowo dostrzeże na monitorze dane osobowe swojego znienawidzonego znajomego? Jest duża szansa, że podzieli się uzyskanymi informacjami z innymi, w celu oczernienia znajomego, albo nawet wykorzysta pozyskane dane w sposób bardziej wyrafinowany, np. powiadamiając potencjalnych kontrahentów znajomego-przedsiębiorcy, że została wobec niego wszczęta egzekucja i w związku z tym jest on osobą niegodną zaufania. Konsekwencje takiego incydentu mogłyby zatem być negatywne nie tylko dla wspomnianego znajomego, ale również kancelarii komorniczej jako administratora skompromitowanych danych.

Co ciekawe, wśród kadry zarządzającej wielu firm czy instytucji można się spotkać z przekonaniem, że ekran służbowego sprzętu komputerowego powinien być widoczny dla każdego ze współpracowników, by uniknąć podejrzenia pracownika o korzystanie ze sprzętu w celach niezwiązanych z pracą, np. przeglądania portali społecznościowych. Zatem poufność danych osobowych jest stawiana w hierarchii wartości niżej niż możliwości kontrolowania, kto w firmie „zbija bąki”. Wyjątek stanowią działy finansowo-księgowe, gdzie np. dokonywane są przelewy i świadomość konieczności ochrony informacji jest wyższa, ale i tam poufność jest zachowywana nie ze względu na ochronę danych osobowych, lecz informacje finansowe.

Czyste biurko, czyli sprzątamy nie tylko kubki po kawie

Zasada „czystego biurka” jest prosta – nie należy pozostawiać żadnych dokumentów z danymi osobowymi, podczas naszej nieobecności, przy stanowisku pracy. Co więcej, nawet kiedy jesteśmy przy stanowisku, wokół mogą poruszać się osoby postronne. Przy dużym natężeniu pracy pracownicy, zdając sobie sprawę że nie zdążą skończyć danego dnia zadania, pozostawiają całą dokumentację na biurku, aby zaoszczędzić czas potrzebny na chowanie jej i ponowne wyjmowanie nazajutrz. Taka lekkomyślność może okazać się bardzo kosztowna dla ADO, gdyż najczęściej w dużych firmach biura są sprzątane wieczorem lub nocą, by nie przeszkadzać pracownikom w godzinach pracy. Personel sprzątający może wejść w posiadanie wielu „cennych” danych osobowych, co stwarza jeszcze większe ryzyko w sytuacji, kiedy osoby sprzątające nie podpisały żadnych klauzul o zachowaniu poufności.

CZYTAJ WIĘCEJ:Jak przetwarzać dane?

Jak ustawić monitory?

Monitory powinny być ustawione w taki sposób, by uniemożliwić klientom, interesantom czy osobom trzecim wgląd w dane osobowe na nich wyświetlane. Nie zawsze jest to możliwe ze względu na układ pomieszczeń, szczególnie w małych budynkach urzędowych, gdzie nierzadko w pomieszczeniach o powierzchni 10 m2 pracuje przy komputerach np. 6 osób. Podobnie jest w dużych biurach typu „open space”, gdzie kilkadziesiąt osób pracuje w jednym pomieszczeniu, bez żadnych ścian działowych. Czy w takim razie trudności lokalowe zwalniają ADO z obowiązku zapewnienia poufności danych osobowych? Absolutnie nie. Niestety wielu administratorów danych lekceważy „niewygodne” zasady, często własnoręcznie zatwierdzone w polityce bezpieczeństwa.

Nie ma głupich pytań RODO - są darmowe odpowiedzi!

Co ważne, polityka „czystego ekranu” obejmuje również pliki zamieszczone na pulpicie. Takie pliki mogą bowiem w samych nazwach zawierać dane osobowe, np. gdy aktualnie negocjowane umowy z poszczególnymi klientami nazywamy używając ich imienia i nazwiska. Nazwa pliku „wypowiedzenie_kowalski”, zauważona na pulpicie komputera szefa przez niczego nieświadomego Kowalskiego, może spowodować nieoczekiwane skutki w postaci chęci zemsty za podjętą, ale jeszcze nie przekazaną mu decyzję.

Odchodząc od komputera musimy bezwzględnie pamiętać o jego blokowaniu (np. używając skrótu klawiszowego Windows+L). Bardzo istotne jest również ustawienie automatycznej blokady komputera po np. 5-minutowym przestoju w jego używaniu.

Potrzebny złoty środek

Do ciekawego naruszenia ochrony danych doszło w związku ze …. zbyt rygorystyczną polityką czystego biurka, wdrożoną przez włoskiego operatora call centre. Pracownikom zakazano umieszczać na stanowisku pracy jakichkolwiek prywatnych przedmiotów, co miało zapewniać poufność podczas przetwarzania danych klientów.

Dopuszczone było jedynie, aby na stanowisku pracy pracownik miał przy sobie leki, o ile przedstawił zaświadczenie lekarskie o konieczności ich przyjmowania w trakcie pracy. Taka konieczność musiała być potwierdzona dodatkowo przez lekarza zakładowego. Inne przedmioty, w tym także inne leki, miały być przechowywane w ogólnodostępnej szafie. Związek zawodowy złożył do organu ochrony danych skargę w tej sprawie podnosząc, że pracodawca bezprawnie przetwarza dane dotyczące zdrowia, a dodatkowo informacja o zażywanych przez pracowników lekach jest czytelna dla innych współpracowników. W związku z tym organ nadzorczy wymierzył operatorowi call centre karę w wysokości 20 000 euro.

Podsumowanie

Podsumowując, uważajmy na „swoich” i „obcych”, nie posiadających uprawnień do przetwarzania danych, a mimo to mających możliwość zapoznania się z nimi na naszym biurku i na ekranie naszego komputera. Jako osoby posiadające upoważnienie do przetwarzania danych osobowych, i – przynajmniej w teorii – zaznajomione z właściwymi przepisami i procedurami, odpowiadamy przed administratorem-pracodawcą za mimowolne ujawnienie chronionych informacji. W grę wchodzi nawet odpowiedzialność finansowa, choćby na podstawie przepisów Kodeksu pracy o odpowiedzialności materialnej pracowników (art. 114 KP i następne). Również ustawa o ochronie danych osobowych z 2018 r. wprowadza przepisy karne, włączając art. 107 ust. 1, zgodnie z którym kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch. Sam Kodeks karny sankcjonuje przestępstwa przeciwko ochronie informacji (art. 265 i następne). Wreszcie, musimy pamiętać o zawartej w Kodeksie cywilnym ogólnej przesłance odpowiedzialności deliktowej („Kto z winy swej wyrządził drugiemu szkodę, obowiązany jest do jej naprawienia”).

Czytaj także:

-
4.51/5 (51) 1
Tomasz Ochocki
Tomasz Ochocki
Kierownik zespołu merytorycznego.
Ekspert ds. ochrony danych.
Audytor wiodący systemu zarządzania bezpieczeństwem informacji (ISO/IEC 27001:2013), zarządzania ciągłością działania (ISO 22301) oraz audytor wewnętrzny ISO/IEC 27701. Ukończył podyplomowe studia z zakresu ochrony danych osobowych i informacji niejawnych oraz analizy bezpieczeństwa i zagrożeń terrorystycznych.

Autor oraz prelegent dedykowanych szkoleń pracowniczych z zakresu bezpieczeństwa informacji.

Współautor opracowania: "RODO Nawigator", "DODO Nawigator" oraz książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Adw. Łukasz Pociecha
Adw. Łukasz Pociecha
Ekspert ds. ochrony danych.
Swoje doświadczenie zawodowe zdobywał współpracując z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych. Audytor wiodący ISO/IEC 27001.

Do jego kompetencji należy kompleksowa obsługa klientów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym m.in.: sporządzenie opinii prawnych i umów, prowadzenie szkoleń oraz przeprowadzanie audytów. Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2.

Współautor książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Barbara Matasek
Barbara Matasek
Ekspert ds. ochrony danych
Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego.

Współautorka poradnika: "Jak przygotować się do kontroli".