Ochrona danych osobowych w obrocie dokumentów RODO

Archiwizacja dokumentów a RODO – na co zwrócić uwagę?

Archiwizacja dokumentów jest realizowana od wielu lat, a wypracowane standardy pochodzą jeszcze z czasów, w których nikt nie słyszał o ryzyku wycieku danych osobowych i ochronie, jaką zapewnia RODO. Dlatego też w nowej rzeczywistości trzeba całkowicie zweryfikować te metody i dostosować je do nowych wymogów i potrzeb. Nie jest to proste, jeśli weźmie się pod uwagę fakt, że liczba jednostek archiwalnych jest liczona w milionach, a w niemal każdym dokumencie znajdują się wrażliwe dane.

Innym poważnym problemem związanym z przestrzeganiem zasad RODO jest stopień złożoności procesu archiwizacji. Przebiega on w wielu etapach, a na każdym z nich istnieje ryzyko wycieku danych. Dlatego każdy wymaga opracowania specjalnych procedur, dzięki którym poszczególne czynności będą realizowane zgodnie z wymogami przepisów o ochronie danych osobowych. Na archiwizowanie dokumentów składają się:

  • kwalifikacja akt,
  • opracowanie dokumentacji,
  • porządkowanie dokumentacji,
  • oznaczenie akt,
  • właściwa archiwizacja dokumentacji,
  • brakowanie akt,
  • niszczenie akt,
  • nadanie topografii.

Każdy z wymienionych kroków wiąże się z wykonywaniem fizycznych czynności z udziałem jednostek archiwalnych. Są one zdejmowane z półek, wyciągane z segregatorów i teczek w celu oceny zawartości i dokonania opisu. W tym procesie uczestniczy ogromna rzesza pracowników, którzy muszą znać i przestrzegać zasady RODO. Jednym z wielu ograniczeń we wdrażaniu ich w życie jest fakt, że elektroniczne systemy gromadzenia danych pojawiły się dopiero kilkadziesiąt lat temu. Gromadzona znacznie dłużej dokumentacja archiwalna to w większości przypadków jednostki papierowe.

Rozporządzenie o ochronie danych osobowych a dokumentacja papierowa

Rozporządzanie o Ochronie Danych Osobowych Unii Europejskiej, które weszło w życie 25 maja 2018 roku nakłada na administratorów i podmioty przetwarzające dane osobowe dodatkowe obowiązki. Mają one na celu zagwarantowanie pełnego bezpieczeństwa przetwarzanych danych osobowych oraz udzielać właścicielom danych osobowych specjalnych praw, między innymi tak zwanego prawa do zapomnienia. Przyjrzymy się zatem, jak realizowana powinna być ochrona danych osobowych w oparciu o RODO, ze szczególnym uwzględnieniem dokumentacji papierowej.

Duże agencje, takie jak Price-Waterhouse-Coopers wydały w ostatnim czasie raporty dotyczące przetwarzania dokumentacji papierowej. Udało się wykazać, że ponad 30% wszystkich incydentów związanych z wyciekiem danych osobowych związanych było z dokumentacją papierową. Istniejące uprzednio przepisy bardzo solidnie regulowały kwestie bezpieczeństwa danych w sieciach komputerowych, pozostawiając jednakowoż sferę dokumentacji papierowej nieco zaniedbaną. W warunkach polskich, może to być uznane za spore uchybienie, gdyż wciąż w wielu sferach życia brakuje pełnej informatyzacji przepływu dokumentacji. W Polsce trzeba zwracać więc wytężoną uwagę na bezpieczeństwo dokumentacji, która bardzo często podlega zaniedbaniu, a zawarte w nich informacje stają się przedmiotem wycieku danych osobowych.

Jak efektywnie zabezpieczać dokumentację papierową zgodnie z RODO?

W organach administracji publicznej swojego czasu powszechnym rodzajem przeciwdziałania występowania wycieku danych osobowych było stosowanie tak zwanej analizy ryzyka. Pod uwagę brane były punkty kluczowe, które mogą stwarzać ryzyko dezintegracji dokumentacji, nieuprawnionego dostępu lub też utraty całości danych osobowych. Obecnie analiza ryzyka przy przechowywaniu dokumentacji papierowej dotyczyć ma również podmiotów prywatnych, które będą same musiały podjąć się działań mających na celu kompletne zabezpieczenie integralności i tajności dokumentacji papierowej.

Od analizy ryzyka do praktycznych wytycznych

Opracowane wyniki na podstawie analizy ryzyka służyć mogą bez wątpienia do stworzenia integralnych systemów zachowań oraz zarządzania dostępem i przetwarzaniem danych osobowych zawartych w dokumentacji papierowej. Zabezpieczenie fizyczne, poprzez zastosowanie na przykład szaf pancernych nie jest jednakowoż wystarczające. Przepisy RODO instruują, jakiego rodzaju praktyki powinny zostać wdrożone w podmiocie administrującym danymi lub przetwarzającymi je dla różnych celów. Chodzi tutaj między innymi o zastosowanie odpowiedniej klasy niszczarek dokumentów, ścisłe przestrzeganie terminów przechowywania dokumentacji papierowej oraz bezpieczne jej archiwizowanie. Zwraca się również uwagę na pozytywne praktyki w zakresie postępowania z dokumentacją papierową, a więc tak zwaną zasadę czystego biurka. Polega ona na tym, iż w żadnym podmiocie przetwarzającym dane osobowe nie można pozwolić na to, aby na wierzchu pozostawały niezabezpieczone dokumenty. Przestrzeganie tych praktyk pozwala nie tylko uchronić dane osobowe, ale i gwarantuje wyższe bezpieczeństwo tajemnic przedsiębiorstwa oraz danych wrażliwych z punktu widzenia konkurencji na rynku.

Brakowanie dokumentów a RODO

Jednym z problemów związanych z gromadzeniem i przechowywaniem dokumentacji jest jej późniejsze brakowanie i niszczenie. Wiele wrażliwych archiwaliów, takich jak dokumenty kadrowo-płacowe czy z zakresu rachunkowości, musi być przechowywanych przez określoną liczbę lat. Po tym czasie są one poddawane kolejnej ocenie pod kątem przydatności, a następnie brakowane, czyli usuwane ze zbioru archiwalnego. Na tym etapie dochodzi do głosu wspomniane wcześniej prawo właściciela danych osobowych do zapomnienia.

W przeszłości umowy, akta osobowe i inne takie dokumenty były wyrzucane do śmietnika, po wcześniejszym zakreśleniu wrażliwych informacji czarnym markerem. Obecnie ten sposób jest nie tylko nieefektywny, ale również zbyt czasochłonny. Trudno też byłoby wyznaczyć pracownika, który precyzyjnie określi, które informacje należy ukryć. Rozwiązaniem są nowoczesne niszczarki dostępne w kilku klasach skuteczności niszczenia dokumentów. Klasyfikacja odbywa się w odniesieniu do cięcia papieru na odpowiednio małe elementy. Np. w klasie P-7 powierzchnia pojedynczych ścinków nie przekracza 5 mm2.