Dane mogą wyciekać na różne sposoby, a świadomość tych zagrożeń jest kluczowa dla skutecznej ochrony informacji. Czasem zapominamy, że niemal połowa naruszeń ochrony danych wciąż dotyczy dokumentów papierowych, które są zagubione, kradzione lub pozostawiane w niezabezpieczonych miejscach. Brak odpowiednich procedur i polityki zarządzania ryzykiem może prowadzić do poważnych konsekwencji, w tym kar finansowych i utraty zaufania klientów. Rozpoznanie tych zagrożeń i redukcja niepotrzebnie przechowywanych dokumentów to klucz do skutecznej ochrony danych.
Czy na pewno wiemy, jak chronić dane?
Temat ochrony danych zagościł na dobre w świadomości społecznej po wprowadzeniu na poziomie europejskim Rozporządzenia o Ochronie Danych Osobowych (tzw. RODO). Mimo już ponad 6 lat obowiązywania jego przepisów, nadal nie czujemy się pewnie i nie zawsze wiemy, jak skutecznie działać, jeśli chodzi o rozpoznawanie zagrożeń, ich unikanie i przeciwdziałanie szkodliwym skutkom naruszeń.
Niestety ten stan dotyczy również firm i instytucji. W Teście Dojrzałości Cyfrowej, który polscy przedsiębiorcy mogą przeprowadzić dzięki narzędziu PFR, najniższy wynik uzyskują oni właśnie w kategorii „Zarządzanie danymi”, wykazując jedynie 37% dojrzałości cyfrowej w tym zakresie.
Powyższy wynik pozwala uświadomić sobie, jak złożony jest to proces. Najpierw musimy ocenić naszą sytuację, zidentyfikować, jakie dane posiadamy, które z nich powinniśmy przechowywać, a dopiero w kolejnym kroku możemy pojąć działania zmierzające do poprawy sytuacji.
W ocenie sytuacji wyjściowej należy uwzględnić, że znaczącą część danych przechowujemy wciąż w dokumentach papierowych. Cyfryzacja danych to ważny krok w rozwoju przedsiębiorstwa, ale jeśli nie potrafimy dbać o nasze dane zapisane w formie tradycyjnej, to bagaż złych praktyk nie zniknie wraz z wzrostem ucyfrowienia firmy, wręcz przeciwnie może przybrać poważniejsze formy .
Ludzki błąd i tradycyjna dokumentacja to nadal istotne źródła naruszeń ochrony danych
Zazwyczaj myśląc o zagrożeniach dla danych, przywołujemy w głowie wielkie wycieki on-line związane z cyberatakami. Tymczasem według badań aż do 90% naruszeń ochrony danych nie jest celowa i wynika z błędu ludzkiego. Dzieje się tak zwłaszcza w dużych przedsiębiorstwach, co być może związane jest z coraz lepszym przeszkoleniem pracowników w zakresie ochrony przed celowymi atakami i wyłudzeniami danych. Niestety liczba naruszeń intencjonalnych rośnie, a skutki tego odczuwają zwłaszcza małe i średnie firmy.
Warto podkreślić natomiast, że według raportów średni wskaźnik naruszeń dotyczących dokumentów papierowych, mimo postępującej cyfryzacji, wynosi nadal aż 43%.
Choć to dane dla rynku amerykańskiego, sytuacja w Polsce nie różni się znacząco, jak pokazują raporty Prezesa UODO. W raporcie za rok 2022 cztery najczęstsze naruszenia na osiem dotyczą właśnie dokumentacji tradycyjnej. Były to:
- nieprawidłowe zaadresowanie korespondencji zarówno w formie tradycyjnej jak i elektronicznej;
- udostępnienie danych niewłaściwej osobie – polegające na wydaniu dokumentów nieuprawnionej osobie;
- zagubienie korespondencji przez operatora pocztowego lub otwarcie korespondencji przed zwróceniem jej do nadawcy;
- zagubienie, kradzież lub pozostawienie w niezabezpieczonej lokacji dokumentacji papierowej.
Jak widać, wiele z nich wynika z niefrasobliwości pracowników, a ta często jest wynikiem ogólnej kultury organizacyjnej oraz braku procedur zarządzania danymi.
To właśnie brak polityki zarządzania ryzykiem w zakresie danych ma często opłakane skutki w postaci naruszeń, braku ich rozpoznania i zgłoszenia, a co za tym idzie dotkliwych kar finansowych i utraty zaufania klientów.
Zarządzanie ryzykiem. Dojrzałość w zakresie bezpieczeństwa danych
Podstawowym warunkiem, aby ograniczyć ryzyko naruszeń ochrony danych w firmie, jest to, aby w ogóle nim zarządzać.
Zwróćmy uwagę na to, że naruszeniem ochrony danych jest nie tylko sytuacja, w której dostaną się one w niepowołane ręce lub zostaną wykorzystane w złej intencji, lecz także sytuacja, w której administrator nie jest w stanie wykluczyć, że osoba nieupoważniona nie miała dostępu do danych. Takie stanowisko przyjmuje też przy rozpatrywaniu skarg prezes UODO, jak pisaliśmy o tym, analizując bezpieczeństwo przesyłek z dokumentami.
Zarządzanie ryzykiem obejmuje także ustalenie procedur postępowania w wypadku zaistnienia naruszeń. Należy wtedy ocenić skalę i stopień zagrożenia i zdecydować, czy konieczne jest informowanie organu nadzorczego, co dla wielu firm wciąż stanowi wyzwanie.
Rzetelna ocena ryzyka jest możliwa, gdy znamy stan naszych zasobów oraz posiadamy odpowiednie procedury. Zagubienie dokumentu to również naruszenie, które może być wzięte pod lupę przez organ nadzorczy. Przykładem spółka, którą Prezes UODO ukazał za zgubienie świadectwa pracy pracownika. W uzasadnieniu tej decyzji odnajdujemy kilka elementów procedur, które powinny stanowić składnik zarządzania bezpieczeństwem danych, a których w tym przypadku zabrakło:
- właściwa ocena ryzyka – należy dobrze ocenić ryzyko naruszenia praw i wolności osoby poszkodowanej, a z tym niestety firmy często mają problem
- czas reakcji – incydenty wymagające zgłoszenia należy raportować do organu nadzorczego w ciągu 72h, co daje szansę osobom poszkodowanym na chronienie się przed skutkami naruszeń. Tymczasem wg raportu RadarFirst czas na pierwsze powiadomienie po odkryciu incydentu wynosi aż 21,5 dnia.
Dobrze udokumentowany proces powiadomienia organów nadzorczych daje nam szanse na ochronę przed karami.
Niestety często przechowywanych dokumentów nie archiwizujemy prawidłowo, co skutkuje wielogodzinnymi, stresującymi poszukiwaniami. (W powyżej opisanym przypadku dokument nie został w ogóle odnaleziony!).
Przykładowo: dokumentu sprzed kilku lat może od nas zażądać chociażby urząd skarbowy lub ZUS. Jeśli akta zostały zdeponowane w archiwum zewnętrznego dostawcy, ale bez przeprowadzenia lub zlecenia ich ewidencji, może to oznaczać kilkudniowe poszukiwania, za których każdą godzinę będziemy oczywiście musieli zapłacić. To i tak stosunkowo korzystna sytuacja i „niski wymiar kary”. Niewiele lepiej jest w sytuacji, w której nasze dokumenty są „pod ręką” w siedzibie firmy, ale są niezabezpieczone i nieuporządkowane. Możemy nigdy nie odnaleźć brakującego „papieru”, a to oznacza kłopoty zarówno skarbowe, jak i te związane z naruszeniem ochrony zagubionych danych.
Dlatego przechowywanie dokumentów w niezabezpieczonej lokalizacji czy brak jasnych kryteriów dotyczących uprawnień dostępu stwarzają ogromne ryzyko naruszeń i w konsekwencji kar i strat wizerunkowych.
Zachowanie porządku w dokumentacji, ograniczenie ryzyka błędu ludzkiego, sprawny proces wykrywania i raportowania naruszeń – to wszystko kluczowe zasady działania, ale wykonanie ich będzie utrudnione, jeśli danych będziemy przechowywać po prostu za dużo. Dlatego ograniczenie ilości posiadanych danych, na każdym etapie ich przetwarzania, to podstawa, która ułatwi nam wszystkie inne działania.
Zasada minimalizacji – na czym polega?
Zasada minimalizacji danych to nienowy koncept, który jest coraz powszechniej rozpoznawany, choć nadal niestety rzadko konsekwentnie stosowany w praktyce biznesowej.
Przepisy RODO wskazują między innymi na to, że dla każdej przetwarzanej danej musimy posiadać wskazany cel jej przetwarzania. Innymi słowy, nie powinniśmy zbierać danych klientów, które „może kiedyś” nam się przydadzą, ale dla każdej informacji musimy umieć wskazać, po co ją pozyskujemy.
Minimalizacja jest nie tylko ogólną zasadą wpisaną w rozporządzenie o ochronie danych. Interpretacja European Data Protection Board wskazuje wyraźnie, że minimalizacja powinna dotyczyć zarówno ilości zbieranych danych, jak i zakresu ich przetwarzania oraz okresu ich przechowywania i dostępności.
Mówiąc wprost: nie możemy posiadać danych, których nie musimy przechowywać, jeśli dany dokument można zniszczyć, powinniśmy to zrobić – tym właśnie jest minimalizacja w przechowywaniu danych.
W tym ostatnim zakresie firmy mają sobie niestety sporo do zarzucenia. Wynika to często nie ze złych intencji, ale z niewiedzy, która może mieć jednak równie dotkliwe skutki. Bardzo często przechowujemy dokumenty w obawie o konieczność ich przedstawienia, gdy tymczasem prawo nakazuje pozbycie się ich po utracie podstawy do przetwarzania danych.
Tutaj konieczna jest sprawdzona wiedza dotycząca czasu przechowywania dokumentów, takich jak umowy klienckie, dokumenty finansowe czy kadrowe. Ponieważ różne typy dokumentów wymagają odmiennych okresów przechowywania, najczęściej nie możemy pozbyć się całego rocznika dokumentacji. Musimy najpierw przeprowadzić brakowanie, czyli wydzielić z przechowywanego zasobu akta, które można zniszczyć, i oddzielić je od tych, które należy nadal przechowywać.
Zasada minimalizacji, czyli przechowywanie jak najmniejszej ilości dokumentów, to jedno ze skuteczniejszych narzędzi ograniczania ryzyka naruszeń ochrony danych. Jej skuteczne zastosowanie może jednak wymagać pomocy specjalistów.
Jak ograniczyć ilość niepotrzebnie przechowywanych dokumentów?
Podstawową regułą, którą powinieneś się kierować, aby ograniczyć ilość niepotrzebnie przechowywanych dokumentów, jest zbieranie tylko tych informacji, które są Ci niezbędne. Co jednak z tymi, które już znajdują się w firmowym archiwum?
Pierwszą zasadą powinno być przeprowadzenie ewidencji przechowywanych zasobów, dzięki czemu:
- szybko znajdziesz potrzebny dokument,
- łatwo wskażesz, jakie dokumenty posiadasz,
- bez trudu wytypujesz dokumenty przeznaczone do zniszczenia.
Oczywiście równie ważne jest przechowywanie w archiwum dokumentów w jasno określonym porządku. W tym celu konieczne może okazać się sporządzenie instrukcji kancelaryjnej czy przeszkolenie pracowników, które pozwoli im zapoznać się z podstawowymi zasadami archiwizacji i przechowywania dokumentów.
Prawidłowa ewidencja i archiwizacja pozwalają na regularne i skuteczne brakowanie dokumentów. Jeśli posiadasz już znaczny zasób archiwalny, najlepszym rozwiązaniem w tym zakresie może okazać się skorzystanie z usług profesjonalnego partnera. Ważne, aby zajął się on kompleksowo całym procesem, pozwalającym na likwidację niepotrzebnie przechowywanych danych.
W Rhenus Office Systems Poland mamy wieloletnie doświadczenie w prowadzeniu procesu, który pozwoli:
- uporządkować dokumenty,
- przeprowadzić ich ewidencję,
- wskazać dokumenty do zniszczenia,
- bezpiecznie zniszczyć nadmiarowe dokumenty,
- dostarczyć listę i certyfikaty niszczenia dokumentacji.
Pierwsze trzy etapy zostały omówione powyżej, co jednak z ostatnimi? Należy pamiętać, że niszczenie to także rodzaj przetwarzania danych. Dlatego musi być ono prowadzone z zachowaniem wszelkich zasad ochrony danych.
Natomiast w razie pytań ze strony osób, których dane przetwarzamy, lub organu nadzorczego przestawienie dokumentów potwierdzających ich profesjonalne zniszczenie jest nieodpartym dowodem stosowania przez Ciebie zasady minimalizacji i prawidłowego dbania o dane klientów.
Jeśli poszukujesz profesjonalnego wsparcia w bezpiecznym zarządzaniu dokumentami i informacjami, daj nam znać! Pomożemy Ci przeprowadzić procesy, które ograniczą ilość niepotrzebnie przechowywanych danych oraz umożliwią kontrolę nad posiadanym zasobem i regularne dbanie o jego stan.