LexDigital

Zasada czystego biurka

Brzmi banalnie prawda? Polityka czystego biurka, zasada czystego ekranu, a może procedura czystej drukarki czy czystego samochodu? Każde z tych miejsc jest istotną przestrzenią, w której przetwarzamy dane osobowe i która wymaga stworzenia zasad postępowania, aby zapewnić tym danym odpowiedni poziom bezpieczeństwa.

Zasada czystego biurka

Oczywiście żadna z polityk czy procedur nie będzie antidotum na każdy przypadek, jednak jej wdrożenie oraz przeszkolenie pracowników pomoże zminimalizować ryzyko naruszenia praw i wolności osób. Artykuł przedstawia elementy, które należy wziąć pod uwagę, tworząc politykę czystego biurka w swojej firmie (niektóre zapisy możecie nawet wprost skopiować:)).

workbench, macbook, table

Cel procedury czystego biurka

Celem procedury czystego biurka jest ochrona danych osobowych w organizacji. Poufne informacje klientów, kontrahentów oraz pracowników mają być chronione przed niepowołanym dostępem, który polega na wglądzie do dokumentów, przetwarzanych na stanowisku pracy lub ich utratą w wyniku ich przywłaszczenia lub zagubienia dokumentów pozostawionych na stanowisku pracy.

Za realizację procedury odpowiedzialni są wszyscy pracownicy i współpracownicy, którzy mają dostęp do danych osobowych w formie papierowej lub elektronicznej i przetwarzają je w miejscu narażonym na dostęp do danych osobowych przez osoby nieupoważnione.

Odpowiedzialność osoby zatrudnionej

Pracownik przetwarzający dane osobowe:

  • dba o stosowanie procedury czystego biurka ,
  • dba o bezpieczeństwo dokumentów zawierających dane osobowe,
  • prowadzi nadzór nad dokumentami w trakcie nieobecności innego pracownika, jeżeli przejął nad nimi nadzór,
  • informuje bezpośredniego przełożonego o braku stosowania procedury,
  • informuje osobę odpowiedzialną za bezpieczeństwo danych o incydentach.chart, graph, finance

Jak wygląda proces bezpiecznego przetwarzania danych przy biurku?

Wyobrażmy sobie sytuację: w biurze firmy pracuje kilka osób i są one uprawnione do dostępu do wszystkich danych osobowych przetwarzanych w tym pomieszczeniu. Jeśli któryś z pracowników planuje odejść od biurka na czas krótszy, niż do końca dnia, powinien on:

  1. przenieść dokumentację, zawierającą dane osobowe do swojej szafki zamykanej na klucz i zamknąć ją, zabierając klucz ze sobą,. Następnie wyłączyć stację roboczą i upewnić się, że żadne nośniki z danymi nie są pozostawione w miejscu widocznym. (Szczególną uwagę należy zwrócić na telefon podłączony do ładowania.);
  2. w przypadku powzięcia decyzji o zbyt uporczywych konsekwencjach organizacyjnych powyższej operacji (np. w przypadku prowadzenia wielodniowych operacji przetwarzania dokumentacji w postaci papierowej), zatrudniony może poprosić innego pracownika danej firmy o sprawowanie nadzoru koleżeńskiego;
  3. prośba taka musi zostać jasno wyartykułowana, może mieć postać ustną lub pisemną, w tym elektroniczną;
  4. w przypadku powzięcia decyzji o zwróceniu się o nadzór koleżeński pracownik, chcący opuścić stanowisko pracy, musi określić dokładnie czas planowanej nieobecności;
  5. pracobiorca, który rozważa przyjęcie na siebie obowiązku nadzoru koleżeńskiego, musi rozważyć zarówno swoją dostępność we wskazanym czasie, jak i charakter prac, który spodziewa się wówczas realizować ze szczególnym uwzględnieniem czynności, które mogłyby zmusić go do opuszczenia pomieszczenia;
  6. w przypadku przyjęcia obowiązku nadzoru koleżeńskiego osoba, która się go podjęła, traktuje stanowisko nadzorowane w sposób identyczny, jak swoje własne;
  7. dokumenty powinny być przekazywane do rąk własnych, a w czasie ich przenoszenia należy umieścić je w zaklejanej kopercie lub nieprzezroczystej teczce.

Ważne dokumenty należy wysyłać listem poleconym za potwierdzeniem odbioru lub korzystać z usług zaufanych podmiotów kurierskich.

secret, top, stamp

Dostęp osoby - gościa, współpracownika – nieposiadającego upoważnienia do przetwarzania danych, do pomieszczenia, w którym są przetwarzane dane.

Co do zasady zabrania się przyjmowania gości w pomieszczeniach, w których są lub mogą być przetwarzane dane osobowe. W wyjątkowych okolicznościach (np. bieżące prace konserwacyjne) umożliwia się dostęp do pomieszczeń osoby nieposiadającej upoważnienia do przetwarzania danych. Odbywa się to w obecności pracownika, posiadającego odpowiednie upoważnienia. O obecności takiej persony należy poinformować innych pracowników pomieszczenia z odpowiednim wyprzedzeniem. Przed wprowadzeniem takiej osoby do pomieszczenia, w którym przetwarzane są dane osobowe, należy upewnić się o braku możliwości wglądu przez nią w dokumenty zawierające dane osobowe.

Zasada czystej drukarki

Osoby upoważnione do przetwarzania danych osobowych, które korzystają ze wspólnych urządzeń drukujących i drukują dokumenty, stanowiące nośniki danych osobowych, obowiązane są do drukowania tych dokumentów w mniejszych partiach. Niedozwolone jest pozostawianie urządzenia w trakcie drukowania/skanowania/kopiowania bez nadzoru, jeżeli materiały znajdujące się w urządzeniu zawierają dane osobowe.

printer, document, machine

Opuszczenie stanowiska pracy

W przypadku każdorazowego opuszczenia stanowiska pracy należy pamiętać, aby zawsze blokować stację roboczą. Należy zadbać, aby komputer miał ustawiony automatyczny wygaszacz ekranu, który po upłynięciu krótkiego czasu bezczynności (np. 30 sekund), blokuje dostęp do danych, jakie się na nim znajdują. Należy dopilnować, aby wznowienie pracy na komputerze było możliwe dopiero po wpisaniu hasła dostępu.

Opuszczając stanowisko pracy, szafki, w których przechowuje się dokumentację papierową, należy obowiązkowo zamknąć na klucz, a klucz zabrać ze sobą.

Zakończenie zmiany w pracy

Po zakończonym dniu pracy należy pozostawić biurko czyste. Każdy dokument papierowy, zawierający dane osobowe, sporządzony jako dokument roboczy należy najpóźniej na koniec dnia pracy zniszczyć.

Ważne 1: Pamiętaj, że kontrola organu nadzorczego może obywać się siedzibie Twojej firmy w godz. od 6:00 do 22:00, dlatego istotne jest, aby po zakończeniu zmiany w pracy mieć pewność, że wszystkie elementy mogące narazić organizację na ryzyko powinny być przez Ciebie zabezpieczone.

Ważne 2: Po zakończeniu pracy w siedzibie firmy mogą pojawić się osoby trzecie np. ochrona budynku, serwis sprzątający czy technicy — oni również nie powinni mieć dostępu do danych osobowych, które znajdują się w obszarze Twojego stanowiska pracy.

background, bucket,

Przykładowe incydenty w obszarze polityki czystego biurka

Poniższej przedstawiono sytuacje, które mogą wystąpić przy realizacji procedury czystego biurka oraz noszą znamiona incydentów. W związku z tym, takie sytuacje wymagają zastosowania procedury postępowania w przypadku wystąpienia incydentu:

  • pozostawienie dokumentów bez nadzoru,
  • dorozumiane powierzenie pod nadzór koleżeński stanowiska pracy z niezabezpieczonymi dokumentami,
  • odejście od stanowiska pracy, nie zabezpieczając stacji roboczej,
  • pozostawienie otwartej szafki przeznaczonej do przechowywania dokumentów,
  • pozostawienie klucza w szafce służącej do przechowywania dokumentów,
  • pozostawienie otwartej szafki bez nadzoru,
  • pozostawienie otwartego pomieszczenia, w którym przetwarzane są dane osobowe bez nadzoru współpracowników.key, castle, security

Zasada czystego biurka najważniejsze zasady

  1. Po zakończeniu pracy schowaj wszystkie dokumenty z biurka w bezpieczne miejsce np. kontenerek zamykany na klucz, szafa zamykana na klucz lub sejf (jednak bez uciekania w absurdy — dostosuj miejsce do poufności informacji i danych, które chcesz chronić).
  2. Nie zostawiaj klucza do szafy w zamku.
  3. Nie zapisuj haseł na karteczkach, które przyklejasz do monitora (nie podklejaj ich też pod klawiaturę).
  4. Dokumenty ważne i poufne drukuj tylko pod nadzorem (od razu zabieraj z drukarki).
  5. Poufne i ważne dokumenty niszcz w niszczarce lub dedykowanych pojemnikach, których zawartość jest niszczona przez firmę zewnętrzną.
  6. Zmazuj notatki z tablicy od razu po zakończeniu spotkania.
  7. Jeżeli odchodzisz od komputera, zablokuj go lub uruchom wygaszacz ekranu.
  8. Jeżeli wychodzisz z biura bez laptopa, schowaj go do szafki.
  9. Nie pij i nie jedz przy komputerze.
  10. Pamiętaj, że dane osobowe znajdują się również na innych nośnikach danych np. dyskach zewnętrznych, pendrive, telefonach, tabletach - chroń je przed dostępem osób nieuprawnionych.email, email marketing, newsletter

Podsumowanie

Dzięki takim procedurom, jak zasada czystego biurka czy zasada czystej drukarki spełnisz nie tylko wymogi reguł ochrony danych osobowych, ale i uchronisz swoją firmę od dotkliwych kar. Polityka czystego biurka chroni Twoich pracowników, klientów i kontrachentów, najbardziej lecz chroni Ciebie. 

Polecane

Podsumowanie listopadowego newslettera Europejskiego Inspektora Ochrony Danych (EIOD/EDPS)

Podsumowanie listopadowego newslettera Europejskiego Inspektora Ochrony Danych (EIOD/EDPS)

​W listopadowym biuletynie informacyjnym Europejskiego Inspektora Ochrony Danych (EIOD/EDPS) czytamy m.in. o: pierwszej Konferencji Nadzoru EIOD współorganizowanej z Eurojustem – Agencją Unii Europejskiej ds. Współpracy Wymiarów Sprawiedliwości w Sprawach Karnych oraz EPPO – Prokuratura Europejska; ochronie danych osobowych przed atakami typu phishing i ransomware; kontrolach przeprowadzonych przez EIOD wśród trzech dużych systemów informatycznych UE.

Standard TISAX

Standard TISAX

Firmy z branży automotive wiedzą o standardzie TISAX. Podłożem standardu jest kompleks wymagań branżowych, które mają zapewnić, że dane i informacje będą bezpieczne. Standard TISAX skupia się na zapewnieniu by przetwarzanie i zarządzanie informacjami odbywało się w sposób bezpieczny i odpowiedzialny.

487 milionów numerów telefonów na sprzedaż: wyciek danych z WhatsApp

487 milionów numerów telefonów na sprzedaż: wyciek danych z WhatsApp

Do sieci wyciekły aktualne numery telefonów komórkowych prawie 500 milionów użytkowników WhatsApp. Jak podaje portal Cybernews, 16 listopada pewien człowiek opublikował reklamę na znanym forum społeczności hakerskiej, twierdząc, że sprzedaje bazę danych z 2022 r. zawierającą 487 milionów numerów telefonów użytkowników WhatsApp.

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency >
<img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk