Najważniejsze wymagania przy przechowywaniu dokumentów w związku z RODO

Wraz z wprowadzeniem dnia 25 maja 2018 roku Rozporządzenia o Ochronie Danych Osobowy – RODO, wiele przedsiębiorstw musiało wdrożyć nowe normy przechowywania dokumentów zawierających dane osobowe będące w ich posiadaniu. Celem rozporządzenia było zwiększenie bezpieczeństwa wrażliwych danych oraz informacji o osobach fizycznych tym samym ochraniając ich podstawowe prawo i wolność w szczególności prawo do ochrony danych osobowych. Konsekwencją wprowadzenia omawianego rozporządzenia unijnego był przymus wprowadzenia nowych procedur działających w myśl nowych przepisów. Sama ustawa nie określa konkretnie form zabezpieczeń jakie wprowadzić musi administrator danych osobowych. W Polsce, urzędem wspomagającym i opisującym procedury jest Urząd Ochrony Danych Osobowych. Parafrazując interpretacje UODO można nakreślić główne założenia obejmujące najważniejsze wymagania przy przechowywaniu dokumentów zgodnie z RODO.

Okres przechowywania informacji

Na mocy ustawy w myśl interpretacji dokonanej przez UODO, administrator danych osobowych zobowiązany jest określić czas przechowywania informacji lub wyznaczyć kryteria ustalania tego okresu. Ma to zapobiegać przetrzymywania informacji o osobach fizycznych dłużej, niż jest to konieczne w celu ich przetwarzania. Normy określające czas przechowywania danych różnią się w zależności od branży oraz prowadzonej działalności. W przypadku podmiotów publicznych źródłem przepisów jest instrukcja kancelaryjna. W przypadku podmiotów nieposiadających szczegółowych regulacji w tym zakresie administrator powinien sam określić długość użyteczności przetwarzanych przez niego danych osobowych. Ponad to rozporządzenie o ochronie danych osobowych wspomina o tzw. „Prawie do bycia zapomnianym” oznaczającym możliwość osoby fizycznej do usunięcia jej danych z bazy administratora.
Istotnym elementem jest również wiążący się z konsekwencjami prawnymi obowiązek administratora do poinformowania osób fizycznych o wszelkich wypadkach związanych z przetwarzaniem ich danych takich jak kradzież czy jej prawdopodobieństwo. Właściciel danych osobowych ma prawo do pełnych informacji o ich stanie.

Sposób przechowywania informacji

RODO odnosi się też do ogólnych norm jakie muszą zostać zachowane przy przechowywaniu danych osobowych osób fizycznych. Podzielić je można na kilka kategorii:
• Obszar – miejsce, w którym przetwarzane są dane osobowe powinno być odpowiednio zabezpieczone przed wtargnięciem osób postronnych.
• Sprzęt umożliwiający bezpieczne operowanie danymi osobowymi oparty na:

  • uwierzytelnianiu pracowników upoważnionych do przetwarzania danych,
  • programach typu firewall chroniący bazy danych od ataków z zewnątrz,
  • szyfrowaniu plików zawierających dane osoby
  • pseudonimizację uniemożliwiającą tworzenia powiązań tożsamości osoby fizycznej z bazą danych.

• Organizacja mogąca mieć formę szkoleń uświadamiających pracowników o istniejących normach oraz przepisach odnoszących się do przetwarzania danych osobowych. Istotna jest też w tym punkcie sporządzenie rejestru osób zajmujących się tymi procesami w firmie. Dodatkowo powinno się je poinformować o obowiązku zachowaniu tajemnicy o sposobie zabezpieczenia danych.
• Nie mniej istotne jest upewnienie się, że układ miejsca pracy uniemożliwia osobom postronnym wgląd w bazy danych. W ten podpunkt wpisują się praktyczne zagospodarowania przestrzeni takie jak układ monitorów czy zagospodarowanie oddzielnego pomieszczenia do przetwarzania danych osobowych.
Wiele firm oraz przedsiębiorstw korzysta z archiwum zewnętrznego działającego na podstawie outsourcingu. Wtedy większość obowiązków skojarzonych z wyżej wymienionymi podpunktami spada na archiwizatora. Do roli korzystających z usług takich przedsiębiorstw należy odpowiednie oznakowanie oraz zabezpieczenie wysyłanych informacji. W postaci papierowej są to zazwyczaj znakowane pudła z specjalistycznymi plombami z kodem kreskowym. Pliki cyfrowe podlegają szyfrowaniu.

Ogólne założenia RODO

Unia Europejska wprowadzając rozporządzenie o ochronie danych osobowych realizowała plan zmiany przepisów chroniących dane osobowe tak, by ich właściciel oraz ich administrator należycie zadbali o ich rozprzestrzenianie. Ma to ułatwić przepływ danych osobowych między zaufanymi organizacjami oraz przedsiębiorstwami w sposób bezpieczny dla osób zainteresowanych oraz ułatwiający posługiwanie się nimi w celach prowadzenia działalności. EU postawiła na celu zmniejszenie biurokratyzacji oraz ujednolicenie przepisów w obrębie krajów członkowskich. Wpisuje się to w misję Unii Europejskiej mówiącej o swobodnym przepływie danych, informacji, towarów i ludzi. Dlatego tak istotne jest dostosowywanie się do najważniejszych wymagań przy przechowywaniu dokumentów w związku z RODO.