Ustawa o ochronie danych osobowych nie wskazuje w jaki sposób należy przechowywać dokumentację zawierającą dane osobowe. W związku z powyższym, należy stosować adekwatne zabezpieczenia, odpowiednie do wartości danych oraz ewentualnych zagrożeń. Oczywiście najlepszym rozwiązaniem byłoby przeprowadzenie analizy ryzyka i na podstawie wyników analizy wprowadzić odpowiednie zabezpieczenia zgodnych z planem postępowania z ryzykiem.
Pracodawca, rekruter, kandydat.
RODO w HR.
Na chwilę obecną jedynie podmioty publiczne zobligowane są do analizy ryzyka – Rozporządzenie Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych dotyczących działalności podmiotów realizujących zadania publiczne. Zgodnie z § 20 ust. 2 pkt 3 i 9 ww. rozporządzenia, zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez przeprowadzania okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy oraz zabezpieczenie informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie.
Warto już teraz zaznaczyć, iż od 25 maja 2018 roku również i podmioty sektora prywatnego będą musiały dokonywać analizy ryzyka dostosowując zabezpieczenia do przechowywania dokumentów w postaci papierowej. Z dniem 25 maja 2018 roku będą miały zastosowanie przepisy europejskiego rozporządzenia o ochronie danych osobowych (RODO). Zgodnie z art. 31 RODO uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający będą zobligowane wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.
Jednakże do dnia 25 maja 2018 roku zaleca się przechowywanie dokumentów w wersji papierowej przynajmniej w szafach zamykanych na klucz, aby dostęp do nich miały jedynie osoby uprawnione. W związku z powyższym należy w organizacji stosować politykę czystego biurka dla dokumentów papierowych, czyli w przypadku dłuższej nieobecności przy stanowisku pracy lub po jej zakończeniu pracownik/ współpracownik powinien być zobowiązany do umieszczenia wszelkich dokumentów zawierających dane osobowe w bezpiecznym miejscu, np. właśnie zamykanej szafce, co uniemożliwi dostęp do nich osobom nieuprawnionym.
Warto spojrzeć na sposób przechowywania dokumentów zawierających dane osobowe z szerszej perspektywy. Zazwyczaj tam gdzie i dane osobowe, tam również i tajemnica przedsiębiorstwa. Dlatego też organizacje, które wdrożyły system ochrony danych osobowych, podniosły również bezpieczeństwo informacji w organizacji.
Na marginesie warto również wspomnieć o retencji danych osobowych. Po zakończeniu wymaganych okresów przechowywania dokumenty należy je usunąć/ zniszczyć, a ze zniszczenia powinien powstać protokół. Jeżeli dokumenty niszczymy samodzielnie przy użyciu niszczarki papieru, niszczarka ta powinna spełniać normę DIN 66399 (klasa nie niższa niż P3). Jeżeli organizacja ma zamiar posiłkować się podmiotem zewnętrznym przy niszczeniu dokumentów należy pamiętać o podpisaniu umowy powierzenia danych, z uwagi, iż niszczenie dokumentów zawierających dane osobowe, to również ich przetwarzanie.