Od wejścia w życie RODO[1] minęło wiele miesięcy, a praktyczne aspekty ochrony danych osobowych nadal budzą wiele sporów i wątpliwości. W związku z obowiązywaniem RODO wiele organizacji wydało zarządzenia wewnętrzne nakazujące pracownikom na koniec każdego dnia zamykanie na klucz wszystkich szaf, w których znajdują się dokumenty zawierające dane osobowe, i precyzujące sposób postepowania z tym kluczem. Czy rzeczywiście zamykanie szaf na klucz jest obowiązkowe na gruncie przepisów RODO?

Zasada integralności i poufności

Jedną z podstawowych zasad przetwarzaniach danych osobowych jest zasada integralności i poufności danych osobowych, której mowa w art. 5 ust. 1 lit. f) RODO. Przywołany przepis stanowi, że dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Dodatkowo w Motywie (39) Preambuły RODO wskazano, że dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym ochronę przed nieuprawnionym dostępem do nich i do sprzętu służącego ich przetwarzaniu oraz przed nieuprawnionym korzystaniem z tych danych i z tego sprzętu. W rezultacie, procesy przetwarzania danych osobowych powinny być tak zaplanowane i zorganizowane aby minimalizować prawdopodobieństwo nieuprawnionego dostępu do danych osobowych, chronić nośniki danych (w tym dokumenty) przed zniszczeniem lub kradzieżą.

Obowiązek zachowania poufności i ochrony przetwarzanych danych osobowych nie jest nowym rozwiązaniem wprowadzonym przez RODO. Na gruncie przepisów obowiązujących do dnia 24 maja 2018 r. administratorzy i procesorzy również zobowiązani byli do zachowania danych osobowych w tajemnicy, a także podejmowania działań w celu ograniczenia możliwości ich utraty, zniszczenia itp.

Ryzyko naruszenia praw i wolności

Ogólna zasada integralności i poufności jest bliżej opisana w dalszych przepisach RODO. Na podstawie art. 24 ust. 1 RODO, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Po wtóre, w myśl art. 32 ust. 1 RODO uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku(…).

Z cytowanych wyżej przepisów wynika, że RODO nakazuje powiązać ryzyko naruszenia praw i wolności osoby fizycznej, której dane dotyczą, oraz stosowane środki techniczne i organizacyjne. „Oparcie przetwarzania na szacowaniu ryzyka staje się więc jednym z kluczowych elementów zapewniania zgodności z przepisami RODO i wymaga starannej analizy procesów przetwarzania danych przez administratora. Ocena ta odbywa się z perspektywy ryzyka naruszenia praw i wolności osób, których dane są przetwarzane, a nie ryzyka związanego z przetwarzaniem danych, na które jest narażony administrator. Chodzi tu o zdiagnozowanie sytuacji powstania szkody na skutek utraty przez człowieka kontroli nad własnymi danymi, kradzieży lub sfałszowania tożsamości, naruszenia dobrego imienia, naruszenia poufności danych objętych tajemnicą zawodową itp. Jest to dość złożony proces, który w efekcie pozwoli na wybór niezbędnych środków i działań w celu ograniczenia ryzyka (np. pseudonimizacja danych, szyfrowanie danych, szkolenia personelu)”[2].

Zatem środki techniczne i organizacyjne stosowane w organizacji nie mogą pozostawać w oderwaniu od natury danego procesu przetwarzania danych osobowych oraz stwierdzonego ryzyka naruszenia praw i wolności osoby, której dane dotyczą.

Jak chronić dokumenty?

Środki techniczne lub organizacyjne zabezpieczenia dokumentów zawierających dane osobowe mogą być różne. Do administratora i procesora należy wybór odpowiednich rozwiązań, które zapewnią poziom bezpieczeństwa odpowiedni do stwierdzonego ryzyka i jednocześnie nie będą utrudniać bieżącego funkcjonowania organizacji. Wprowadzanie rozwiązań nadmiernie restrykcyjnych czy zwyczajnie niefunkcjonalnych może bowiem prowadzić do sytuacji, że w praktyce żaden pracownik nie będzie ich przestrzegać. Decyzja o wprowadzeniu konkretnego rozwiązania organizacyjnego powinna także uwzględniać pozostałe środki techniczne i organizacyjne wykorzystywane w danych procesie przetwarzania danych osobowych.

Zamykanie na klucz szaf z dokumentami zawierającymi dane osobowe na koniec każdego dnia pracy i stosowanie procedury przechowywania kluczy są jednym z dopuszczalnym środków organizacyjnych przyczyniających się do przestrzegania zasady integralności i poufności. W niektórych sytuacjach wprowadzenie ww. środka organizacyjnego będzie uzasadnione, a w innych może okazać się zbędne. W pomieszczeniu typu kancelaria, biuro podawcze lub biuro obsługi interesanta i w pokoju nr 23, w którym 2 osoby przygotowują warunki techniczne przyłączenia do sieci wodociągowej, będą zupełnie inne poziomy ryzyka naruszenia praw i wolności osoby fizycznej. Pisma składane do biura podawczego są różnorodne i mogą zawierać więcej danych osobowych niż wnioski o warunki techniczne przyłączenia do sieci. Interesanci i kurierzy mają swobodny dostęp do biura obsługi interesanta, a do działu ds. warunków technicznych obowiązuje szereg zasad np. pracownicy noszą identyfikatory, tylko pracownik imiennie wskazany na liście otrzyma w portierni klucz do pokoju nr 23, po drodze musi otworzyć identyfikatorem 2 pary drzwi, istnieje zakaz wprowadzania członków rodziny i innych osób postronnych na piętra, na korytarzach jest monitoring itp. Analiza ryzyka naruszenia praw osoby w biurze podawczym prawdopodobnie potwierdzi potrzebę zamykania na koniec dnia szaf na klucz i przechowywanie klucza w ściśle określony sposób. Z kolei analiza ryzyka w odniesieniu do procesów przetwarzania mających miejsce w pokoju nr 23 może prowadzić do wniosku, że wobec istnienia 14 innych środków technicznych i organizacyjnych zamykanie szaf zostanie uznane za zbędne.

RODO i zamykanie szaf na klucz

System ochrony danych osobowych powinien być dostosowany do zarówno do specyfiki danej organizacji, ale także do poszczególnych procesów przetwarzania danych osobowych w tej organizacji. Czasami obowiązek zamykania szaf z dokumentami zawierającymi dane osobowe będzie miał pierwszorzędne znaczenie dla ochrony danych osobowych w konkretnych procesie przetwarzania danych osobowych, a czasami – znaczenie ograniczone lub nikłe. Wybór środków technicznych i organizacyjnych zależy bowiem od ryzyka naruszenia praw i wolności, a także charakteru, zakresu, kontekstu i celów przetwarzania.

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

[2] Sakowska-Baryła M. (red.), Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, Uwagi do art. 5, Warszawa 2018, Legalis