Co to jest „polityka kluczy?
Tak określa się rozwiązania, których celem jest sprawowanie kontroli i prowadzenie ewidencji dostępu do pomieszczeń, w których znajdują się zarówno papierowe, jak i elektroniczne nośniki zawierające dane osobowe. Opracowanie polityki kluczy przez każdą organizację, która dane te gromadzi i przetwarza jest niezwykle istotnym elementem służącym zapewnieniu ich bezpiecznego przechowywania. Powinna oba obejmować zarówno klucze do pomieszczeń pracowników, jak również karty dostępu oraz klucze do szaf i sejfów, które znajdują się w tych pomieszczeniach. Pracownicy organizacji, w której opracowana została polityka kluczy muszą się do niej stosować, ale też powinni być świadomi skutków, jakie może nieść ze sobą pozostawienie niezamkniętego pomieszczenia, szafy, sejfu lub kluczy do nich bez nadzoru. Pracownicy nie mogą też dorabiać własnych kluczy bez wiedzy pracodawcy.
Kto powinien zająć się opracowaniem polityki kluczy?
W wielu organizacjach nie ma żadnej kontroli nad kluczami do pomieszczeń, w których przechowywane są dokumenty zawierające dane osobowe pracowników, klientów, kontrahentów. Tymczasem przygotowanie instrukcji dotyczącej postępowania z kluczami do pomieszczeń pracowników oraz do szaf i sejfów, w których znajdują się dokumenty zawierające dane osobowe należy do kluczowych obowiązków administratora tychże danych. Musi on mieć na uwadze fakt, iż pozostawianie przez pracowników kluczy w drzwiach absolutnie nie może mieć miejsca – takie postępowanie umożliwia dostęp do danych osobowych przez osoby nieuprawnione. Każde pobranie i zdanie kluczy musi być ewidencjonowane – tylko prowadzenie ewidencji umożliwi sprawowanie prawidłowej kontroli nad tym, kto, kiedy oraz w jakim celu miał dostęp do pomieszczeń z dokumentami zawierającymi dane osobowe. Administrator danych osobowych do swojej dyspozycji powinien mieć narzędzia nie tylko organizacyjne, ale także techniczne, które posłużą mu do wyeliminowania ryzyka, że przechowywane w organizacji dane osobowe zostaną utracone, zmienione bądź zniszczone.
Monika Zygmunt-Jakuć (Inspektor ochrony danych)