Niezależnie od charakteru prowadzonej działalności w każdej firmie istnieje równorzędny obowiązek przechowywania dokumentacji firmowej w siedzibie przedsiębiorstwa, jego oddziale lub specjalnie przystosowanego do tych celów miejsca. Ważne, aby na stosowne wezwanie organów kontroli bądź w razie potrzeby można było szybko i sprawnie odnaleźć potrzebne dokumenty. Obowiązek przechowywania akt różnych typów jest z góry określony odpowiednimi ustawami prawa polskiego, a w przypadku dokumentacji zawierającej dane osobowe, także postanowieniami RODO. Najważniejsze jednak, aby dokumenty były odpowiednio zabezpieczone przed uszkodzeniem, zniszczeniem oraz przed dostępem osób trzecich.
Jak powinno wyglądać przetwarzanie dokumentacji w świetle RODO?
Od zeszłego roku w życie weszło europejskie Rozporządzenie o Ochronie Danych Osobowych, które reguluje kwestie związane z przetwarzaniem dokumentacji zawierającej dane osobowe. RODO jasno nakazuje wdrożenie odpowiednich procedur bezpieczeństwa w siedzibach wszystkich firm i instytucji mających do czynienia z danymi osobowymi. Choć za niestosowanie się do nakładanych obowiązków, mogą czekać nas sankcje w postaci kar finansowych, RODO nie mówi wprost, jakie mechanizmy zastosować, aby osiągnąć wytyczone cele. Oznacza to, że każdy przedsiębiorca powinien samemu ustalić, a następnie wprowadzić odpowiednie procedury, które spełnią ogólne założenia RODO.
Jakie są główne zasady przetwarzania dokumentacji zgodnie z RODO?
- zgodność z prawem, rzetelność i przejrzystość – dane muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty,
- ograniczenie celu – dane muszą być zbierane w konkretnych i prawnie uzasadnionych celach oraz wykorzystywane tylko do wskazanych celów,
- minimalizacja danych – dane muszą być adekwatne do celów, w których są przetwarzane,
- prawidłowość – dane muszą być prawidłowe i w razie potrzeby uaktualniane; nieprawidłowe dane powinny zostać sprostowane lub usunięte,
- ograniczenie przechowywania – dane muszą być przechowywane przez okres nie dłuższy, niż jest to niezbędne do realizacji celów, w których są przetwarzane,
- integralność i poufność – dane muszą być przetwarzane w sposób zapewniający bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przed zniszczeniem lub uszkodzeniem przy za pomocą odpowiednich środków technicznych i/lub organizacyjnych.
Kto powinien mieć dostęp do dokumentacji?
Kontrola dostępu do dokumentacji jest bardzo istotna zwłaszcza po wejściu w życie RODO. Na mocy jego postanowień dostęp do dokumentacji zawierającej dane osobowe powinny mieć wyłącznie osoby zajmujące się przetwarzaniem danych osobowych, administrator danych osobowych, a także osoby, które uzyskały stosowne pełnomocnictwa od administratora danych osobowych. Jednakże w praktyce jest to trudniejsze do osiągnięcia, niż może się wydawać. Jeżeli dokumenty nie są odpowiednio zabezpieczone lub nie zostały zniszczone zgodnie z obowiązującymi normami, mogą mieć do nich dostęp osoby niepowołane. W warunkach biurowych najczęściej są to osoby sprzątające, które podczas pełnienia swoich obowiązków mogą mieć nieuprawniony dostęp do dokumentacji firmowej w formie papierowej, która nie została zamknięta w szafkach na dokumenty zamykanych na klucz lub nie została poprawnie zniszczona, a jedynie wyrzucona do kosza.
Jak ograniczyć dostęp do dokumentacji w firmie?
W tej materii najważniejsze będzie wyznaczenie odpowiednich standardów postępowania odnośnie przetwarzania dokumentacji oraz wdrożenie nadzoru nad tymi procesami i edukowanie pracowników. Niezbędna może okazać się pomoc firm zajmujących się oceną ryzyka i audytami RODO, która dostosuje odpowiednie instrukcje do profilu przedsiębiorstwa. Nie mniej ważne powinno być wyznaczenie miejsc przechowywania dokumentów, a sama dokumentacja papierowa powinna być chowana w szafkach zamykanych na klucz oraz niszczona w taki sposób, aby nie było możliwe ponowne jej odczytanie – do tych celów najlepiej wykorzystać niszczarkę zgodną z norma DIN 66399 lub zlecić zadanie firmie profesjonalnie niszczącej dokumenty.
