Dokumenty na śmietniku, czy może to spotkać Ciebie?
Dokumenty na śmietniku – nie u mnie w firmie – wielu powie. Wydawać mogłoby się, iż w dobie komputeryzacji, dostępności sprzętu, ten problem nas nie dotyczy. Jednak, czy tak jest …?
Wyszukiwarka google pokazuje skalę problemu.
Rzeczywistość jednak jest brutalna. Krótki sprawdzian. Wpisane do wyszukiwarki google hasło „dokumenty w śmietniku” dało nam w wynikach pokaźną liczbę 442 000. Warto dodatkowo zwrócić uwagę na autorów publikacji oraz kategorie danych i rodzaje podmiotów, o których traktują internetowe doniesienia.
Kogo interesuje temat dokumentów nieprawidłowo zniszczonych.
Tematem interesuję się głównie media lokalne, w tym prasa, telewizja, radio oraz media społecznościowe. To zrozumiałe sensacja napędza oglądalność a o to chodzi w polityce informacyjnej. Pierwsze pytanie, jakie powinieneś sobie postawić brzmi: Czy chcesz zyskać, taki rozgłos w mediach?
Jakie dokumenty wzbudzają największe emocje.
Niestety zainteresowanie wzbudzają te najbardziej wrażliwe dokumenty.
- urzędnicze,
- nawet sądowe,
- dotyczące pracowników,
- odnoszące się do finansów firm,
- powstałe w podmiotach leczniczych.
Niszczysz, kiedy nie powinieneś, to też źle.
Zagadnienie skutecznego usuwania danych z nośników ma dwie strony medalu. Nie tylko istotne jest to, w jaki sposób, czy skutecznie usuwamy dane. Ważne jest też to, czy realizując proces niszczenia dokumentów nie jesteśmy w tym zakresie ograniczeni przepisami prawa. Najprościej rzecz ujmując, czy podejmując decyzję o zniszczeniu dokumentacji nie czynimy tego przedwcześnie. Prawidłowo funkcjonujące archiwum. Personel przygotowany do wykonywania powierzonych mu zadań w zakresie oceny poprawności procesu niszczenia dokumentów. Są to elementy, o które każdy ADO powinien zadbać. Dynamicznie zmieniające się przepisy w zakresie retencji nie zwalniają bowiem żadnego ADO z obowiązku respektowania przepisów.
Niszczenie dokumentów to też przetwarzanie danych.
Zgodnie z art. 4 pkt. 2) Rozporządzenia RODO cyt.: “(…) przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie (…)”. Co oznacza tyle, iż proces niszczenia dokumentów zapisanych na papierowych nośnikach, ale także np. na płytach CD, jest czynnością przetwarzania, która podlega także reżimom wynikającym z przepisów o ochronie danych osobowych. Z tego względu niszczarki dokumentów dla powinny być narzędziem codziennej pracy. Procedura niszczenia dokumentów natomiast powinna być dokumentem wdrożonym i stosowanym.
Z życia wzięte, czyli coś co może spotkać Ciebie.
W trakcie jednego ze szkoleń przez nas organizowanych, uczestnik wskazał na przypadek, który wystąpił w znanym mu podmiocie medycznym. Rzecz na pozór prozaiczna. Kto przejmuje się śmieciami spakowanymi do worków, czy też znajdującymi się już w śmietniku. Niestety przypadek naszego rozmówcy pokazał, że nieprawidłowości wystąpić mogą na każdym stanowisku, nawet na takim, które nie kojarzy nam się z przetwarzaniem danych. Zbieg wydarzeń doprowadził do tego, iż nieprawidłowo zniszczone dokumenty, umieszczone zostały w koszu na śmieci, a następnie wyniesione poza obiekt, pozostały tam aż do czasu, kiedy nieustalona osoba rozrzuciła zawartość worków po okolicy. Oczywiście mogło to być także zwierze. Efekt jednak był taki, że osoby nieuprawnione, po prostu przechodnie, mieli możliwość zapoznania się z treścią danych zawartych na dokumentach.
Co zawiniło w opisywanym przypadku.
Przeprowadzone przez ADO postępowanie wyjaśniające doprowadziło do ustalenia nw. faktów:
- personel medyczny, w gabinetach nie używał niszczarek do dokumentów, do niszczenia dokumentacji, która okazała się być nadmiarową (np. zawierającą błędy z wydruku), potargane jedynie dokumenty wrzucane były do koszy na śmieci – przeprowadzono szkolenie personelu medycznego,
- osoby sprzątające pozostawiły poza obszarem wskazanym, worki ze śmieciami, co przyczyniło się do powstania możliwości ich rozrzucenia po okolicy – również przeprowadzono stosowne rozmowy dyscyplinujące z personelem sprzątającym.
Niestety test „zawartości pojemników na śmieci” (odpady nie medyczne) przeprowadzony po 2 tygodniach od zdarzenia wykazał brak zrozumienia tematu przez personel. Nadal dokumentacja niszczona była, bez użycia niszczarek, w które wyposażona była jednostka.
Co więc powinni robić administratorzy danych.
- Wdrożenie samych procedur to za mało, należy systematycznie uświadamiać personel i utwierdzać go w konieczności stosowania dobrych praktyk.
- Kontrole są narzędziem nie tylko dyscyplinującym, ale i pozwalającym na prewencję, powinny być stosowane.
- Zaangażowanie kierowników, pracowników w proces organizacji pracy, tak aby mieli możliwość zgłaszania swoich uwag, jest rozwiązaniem, które może dać zaskakujące pozytywne efekty.
- Zacząć jednak należy od uświadomienia sobie tego, że polityka odpadami, nie ma charakteru polityki śmieciowej, a prawidłowo zorganizowany proces utylizacji pozwala uniknąć szeregu problemów temat dokumenty na śmietniku – nie będzie wówczas nas dotyczył.