Zgodnie z art. 32 RODO uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator (ADO) i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.
Choć RODO jest „neutralne technologicznie”, to jednak nakłada na podmioty uczestniczące w przetwarzaniu danych obowiązek właściwego ich zabezpieczenia, nie precyzując konkretnych środków, mających temu służyć. W dobie ciągle zmieniających się środków przetwarzania danych i związanych z tym dla nich zagrożeń, takie podejście europejskiego ustawodawcy jest zrozumiałe.
Trudno byłoby uregulować jednym aktem prawnym często bardzo różnorodne warunki przetwarzania danych osobowych, jednak tak daleko idąca dowolność powoduje, iż ADO bardzo rzadko reguluje w sposób dostateczny kwestię możliwego, niezamierzonego dostępu do danych przez osoby inne niż upoważnione do przetwarzania.
Gdzie się czai niebezpieczeństwo?
Nierzadkie są sytuacje, kiedy pracownicy organizacji przyjmują w pomieszczeniach przeznaczonych do przetwarzania danych osobowych swoich kolegów czy znajomych. Oprócz tego, na terenie organizacji pojawiają się czasem kontrahenci lub ich przedstawiciele, albo różni goście – w zależności od charakteru działalności podmiotu.
Choć w pierwszej chwili nie zauważamy niebezpieczeństwa związanego z obecnością wskazanych osób, to jednak skutki możliwego zapoznania się przez osoby postronne z danymi „luźno” pozostawionymi na biurku czy widocznymi na ekranie komputera możemy odczuć boleśnie, jeszcze długo „po fakcie”. Co, jeśli ktoś zjawiając się np. w kancelarii komorniczej przypadkowo dostrzeże na monitorze dane osobowe swojego znienawidzonego znajomego? Jest duża szansa, że podzieli się uzyskanymi informacjami z innymi, w celu oczernienia znajomego, albo nawet wykorzysta pozyskane dane w sposób bardziej wyrafinowany, np. powiadamiając potencjalnych kontrahentów znajomego-przedsiębiorcy, że została wobec niego wszczęta egzekucja i w związku z tym jest on osobą niegodną zaufania. Konsekwencje takiego incydentu mogłyby zatem być negatywne nie tylko dla wspomnianego znajomego, ale również kancelarii komorniczej jako administratora skompromitowanych danych.
Co ciekawe, wśród kadry zarządzającej wielu firm czy instytucji można się spotkać z przekonaniem, że ekran służbowego sprzętu komputerowego powinien być widoczny dla każdego ze współpracowników, by uniknąć podejrzenia pracownika o korzystanie ze sprzętu w celach niezwiązanych z pracą, np. przeglądania portali społecznościowych. Zatem poufność danych osobowych jest stawiana w hierarchii wartości niżej niż możliwości kontrolowania, kto w firmie „zbija bąki”. Wyjątek stanowią działy finansowo-księgowe, gdzie np. dokonywane są przelewy i świadomość konieczności ochrony informacji jest wyższa, ale i tam poufność jest zachowywana nie ze względu na ochronę danych osobowych, lecz informacje finansowe.
Czyste biurko, czyli sprzątamy nie tylko kubki po kawie
Zasada „czystego biurka” jest prosta – nie należy pozostawiać żadnych dokumentów z danymi osobowymi, podczas naszej nieobecności, przy stanowisku pracy. Co więcej, nawet kiedy jesteśmy przy stanowisku, wokół mogą poruszać się osoby postronne. Przy dużym natężeniu pracy pracownicy, zdając sobie sprawę że nie zdążą skończyć danego dnia zadania, pozostawiają całą dokumentację na biurku, aby zaoszczędzić czas potrzebny na chowanie jej i ponowne wyjmowanie nazajutrz. Taka lekkomyślność może okazać się bardzo kosztowna dla ADO, gdyż najczęściej w dużych firmach biura są sprzątane wieczorem lub nocą, by nie przeszkadzać pracownikom w godzinach pracy. Personel sprzątający może wejść w posiadanie wielu „cennych” danych osobowych, co stwarza jeszcze większe ryzyko w sytuacji, kiedy osoby sprzątające nie podpisały żadnych klauzul o zachowaniu poufności.
Jak ustawić monitory?
Monitory powinny być ustawione w taki sposób, by uniemożliwić klientom, interesantom czy osobom trzecim wgląd w dane osobowe na nich wyświetlane. Nie zawsze jest to możliwe ze względu na układ pomieszczeń, szczególnie w małych budynkach urzędowych, gdzie nierzadko w pomieszczeniach o powierzchni 10 m2 pracuje przy komputerach np. 6 osób. Podobnie jest w dużych biurach typu „open space”, gdzie kilkadziesiąt osób pracuje w jednym pomieszczeniu, bez żadnych ścian działowych. Czy w takim razie trudności lokalowe zwalniają ADO z obowiązku zapewnienia poufności danych osobowych? Absolutnie nie. Niestety wielu administratorów danych lekceważy „niewygodne” zasady, często własnoręcznie zatwierdzone w polityce bezpieczeństwa.
Co ważne, polityka „czystego ekranu” obejmuje również pliki zamieszczone na pulpicie. Takie pliki mogą bowiem w samych nazwach zawierać dane osobowe, np. gdy aktualnie negocjowane umowy z poszczególnymi klientami nazywamy używając ich imienia i nazwiska. Nazwa pliku „wypowiedzenie_kowalski”, zauważona na pulpicie komputera szefa przez niczego nieświadomego Kowalskiego, może spowodować nieoczekiwane skutki w postaci chęci zemsty za podjętą, ale jeszcze nie przekazaną mu decyzję.
Odchodząc od komputera musimy bezwzględnie pamiętać o jego blokowaniu (np. używając skrótu klawiszowego Windows+L). Bardzo istotne jest również ustawienie automatycznej blokady komputera po np. 5-minutowym przestoju w jego używaniu.
Potrzebny złoty środek
Do ciekawego naruszenia ochrony danych doszło w związku ze …. zbyt rygorystyczną polityką czystego biurka, wdrożoną przez włoskiego operatora call centre. Pracownikom zakazano umieszczać na stanowisku pracy jakichkolwiek prywatnych przedmiotów, co miało zapewniać poufność podczas przetwarzania danych klientów.
Dopuszczone było jedynie, aby na stanowisku pracy pracownik miał przy sobie leki, o ile przedstawił zaświadczenie lekarskie o konieczności ich przyjmowania w trakcie pracy. Taka konieczność musiała być potwierdzona dodatkowo przez lekarza zakładowego. Inne przedmioty, w tym także inne leki, miały być przechowywane w ogólnodostępnej szafie. Związek zawodowy złożył do organu ochrony danych skargę w tej sprawie podnosząc, że pracodawca bezprawnie przetwarza dane dotyczące zdrowia, a dodatkowo informacja o zażywanych przez pracowników lekach jest czytelna dla innych współpracowników. W związku z tym organ nadzorczy wymierzył operatorowi call centre karę w wysokości 20 000 euro.
Podsumowanie
Podsumowując, uważajmy na „swoich” i „obcych”, nie posiadających uprawnień do przetwarzania danych, a mimo to mających możliwość zapoznania się z nimi na naszym biurku i na ekranie naszego komputera. Jako osoby posiadające upoważnienie do przetwarzania danych osobowych, i – przynajmniej w teorii – zaznajomione z właściwymi przepisami i procedurami, odpowiadamy przed administratorem-pracodawcą za mimowolne ujawnienie chronionych informacji. W grę wchodzi nawet odpowiedzialność finansowa, choćby na podstawie przepisów Kodeksu pracy o odpowiedzialności materialnej pracowników (art. 114 KP i następne). Również ustawa o ochronie danych osobowych z 2018 r. wprowadza przepisy karne, włączając art. 107 ust. 1, zgodnie z którym kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch. Sam Kodeks karny sankcjonuje przestępstwa przeciwko ochronie informacji (art. 265 i następne). Wreszcie, musimy pamiętać o zawartej w Kodeksie cywilnym ogólnej przesłance odpowiedzialności deliktowej („Kto z winy swej wyrządził drugiemu szkodę, obowiązany jest do jej naprawienia”).
Z Marcinem Kuźniakiem porozmawiasz nie tylko o zasadzie czystego biurka. Skontaktuj się z nim, jeśli szukasz praktycznych wskazówek dotyczących RODO.