15 prostych zasad postępowania z danymi osobowymi w firmie

15 prostych zasad postępowania z danymi osobowymi w firmie

 

Pisaliśmy już o tym jak wdrożyć RODO w swojej firmie. W całej procedurze pamiętać należy o racjonalności podejmowanych kroków. Często nie zdajemy sobie sprawy z tego czym są dane osobowe i że w ogóle je przetwarzamy. Przez to powodujemy szereg niebezpiecznych sytuacji, których moglibyśmy uniknąć zwiększając swoją świadomość.

 

Na podstawie obserwacji poczynionych przez nas w trakcie wizytacji przedsiębiorstw przygotowaliśmy listę 15 prostych zasad postępowania z danymi osobowymi. Mają one charakter zaleceń, nakazów bądź zakazów dotyczących określonych zachowań, których stosowanie przez pracowników, w naszym odczuciu, znacząco wpływa na zwiększenie poziomu bezpieczeństwa przetwarzania danych osobowych w firmie. Nawet jeżeli przedstawione poniżej zasady uznają Państwo za oczywiste, zalecamy przyjrzeć się pracy poszczególnych pracowników oraz działów w przedsiębiorstwie. W naszej ocenie fundamentem systemu zarządzania bezpieczeństwem informacji w firmie powinna być odpowiednia świadomość pracowników w zakresie ochrony danych osobowych, a poniższa lista stanowi pierwszy etap jej weryfikacji.

15 prostych zasad postępowania z danymi osobowymi w firmie

  1. Zasada czystego biurka, która nakazuje, by nie zostawiać na wierzchu żadnych dokumentów, kiedy na pewien okres tracimy nad nim kontrolę;
  2. Zasada czystego ekranu odnoszącą się do serwerów, stacji roboczych oraz urządzeń przenośnych, która nakazuje blokować ekran monitora na czas nieobecności włączając wygaszacz ekranu lub wylogowując się z systemu (kombinacja klawiszy: Windows+L) – wyłączenie wygaszacza/ponowne zalogowanie powinno wymagać podania hasła użytkownika;
  3. Obowiązek nadzoru nad listą obecności, która nie powinna znajdować się w widocznym miejscu do którego dostęp mogą uzyskać osoby postronne;
  4. Prawidłowe ustawienie monitorów pracowniczych, tj. w sposób uniemożliwiający niepowołanym osobom dostrzeżenie tego, co się na nich aktualnie znajduje;
  5. Zakaz zapisywania haseł dostępu na karteczkach i pozostawiania ich w widocznych miejscach np. przypiętych do monitora;
  6. Zakaz udostępniania haseł dostępu do systemu innym osobom;
  7. Zakaz wysyłania wiadomości do wielu adresatów za pomocą tzw. „otwartej listy adresowej” – e-maile adresowane do wielu podmiotów spoza przedsiębiorstwa powinny być wysyłane za pośrednictwem tzw. kopii ukrytej (rubryka „UDW”);
  8. Zakaz opuszczania biura przez wszystkich pracowników jednocześnie, aby nieupoważnione osoby nie miały dostępu do pomieszczeń, w których przetwarzane są dane osobowe bez nadzoru upoważnionego pracownika;
  9. Zakaz pozostawiania wydruków na ogólnodostępnych drukarkach;
  10. Zakaz telefonicznego udostępniania danych niezidentyfikowanemu rozmówcy, a także rozmówcy, który jest nieuprawniony do uzyskania danej informacji – aby upewnić się, że faktycznie rozmawiamy z osobą, za którą rozmówca się podaje, można np. zadzwonić na ogólny numer banku czy komisariatu policji i poprosić o połączenie z daną osobą. Jeśli jest to niemożliwe, lub też w wystarczający sposób nie rozwiewa wątpliwości co do tożsamości czy uprawnień danej osoby do pozyskania danych, zawsze można odmówić przekazania informacji drogą telefoniczną. Możemy poprosić o skierowanie oficjalnego zapytania w formie pisemnej;
  11. Nakaz używania niszczarek do niszczenia zbędnych dokumentów;
  12. Wynoszenie sprzętu firmowego wyłącznie na podstawie stosownych upoważnień;
  13. Zakaz podłączania prywatnych nośników danych do służbowych komputerów, aby zminimalizować możliwość zainfekowania sprzętu, na którym pracujemy, a przez to możliwych incydentów w zakresie danych osobowych;
  14. Niefrasobliwe rozmowy – czy to jadąc autobusem, czy czekając na przystanku czy stojąc w kolejce do kasy biletowej w kinie, można się z łatwością dowiedzieć, tego kto ile zarabia, kto dostanie awans, kto zostanie zwolniony, czyje dzieci właśnie wyjeżdżają na zimowisko, itp. Czy na pewno musimy i chcemy rozmawiać o takich sprawach w miejscach publicznych? Jeśli z jakichś powodów odpowiedź będzie twierdząca, postarajmy się przynajmniej nie używać wówczas nazwisk oraz jakichkolwiek innych nazw czy określeń, dzięki którym znacznie ułatwimy identyfikację osób, czy sytuacji, o których rozmawiamy;
  15. Wykazywanie inicjatywy w kontaktach z nieznajomymi – chodzi o to, aby uniknąć sytuacji, w której nieznajomy może samodzielnie podróżować po zakładzie – w takim wypadku wystarczy się przywitać i zapytać: „W czym mogę Pani/Panu pomóc?”.
Trzeba przy tym pamiętać, żeby o prywatność użytkowników dbać już w fazie projektowania, co pozwoli zrealizować promowaną przez RODO zasadę privacy by design.

Jakie są wasze doświadczenia?

W naszym odczuciu powyższe zalecenia pozytywnie wpływają na ochronę danych osobowych. Co więcej są w zasadzie bezkosztowe dla przedsiębiorstwa. W ogólnym szaleństwie RODO wyróżnia je racjonalne podejście. Podzielcie się proszę swoimi doświadczeniami i swoimi zasadami, które wprowadziliście aby należycie chronić dane osobowe. A może wręcz przeciwnie – w waszych firmach zaczęto stosować jakieś nieżyciowe rozwiązania w związku z wejściem w życie nowego rozporządzenia o ochronie danych osobowych?