Zastanawiając się nad bezpieczeństwem informacji w kontekście serwisów sprzątających należałoby rozważyć kilka kwestii. Zasada czystego biurka, czyli nie zostawianie dokumentów na stanowisku pracy jest jedną kwestią, drugą trzymanie tych dokumentów w szafie zamkniętej na klucz. W roztargnieniu i natłoku obowiązków, na biurku mogą, chociaż nie powinny, pozostać dokumenty zawierające dane osobowe lub inne ważne dla organizacji informacje. Jednym z elementów zapewniającym bezpieczeństwo danych, będzie realizowanie dobrych praktyk w stosunku do pracowników serwisów sprzątających. W zasadzie możemy mówić tutaj o kategorii szerszej aniżeli tylko ochrona danych osobowych,  czyli o bezpieczeństwie informacji.

Dla przypomnienia, sam wgląd w dane osobowe to już ich przetwarzanie. Zdarza się, że osoba sprzątająca może mieć dostęp do danych osobowych wykonując swoje obowiązki służbowe, co oczywiście nie jest zamierzone. Szczególnie trzeba uważać na to, do czego ma dostęp personel sprzątający, zwłaszcza jeżeli sprzątanie odbywa się po godzinach pracy i bez nadzoru osób uprawnionych.

Osoba wykonująca sprzątanie co do zasady nie przetwarza danych osobowych, a co za tym idzie nie nadaje jej się upoważnienia do przetwarzania danych. Z tej samej przyczyny z serwisem sprzątającym nie sporządza się również umowy powierzenia przetwarzania danych osobowych. Zapisy dotyczące bezpieczeństwa informacji,  w tym bezpieczeństwo danych osobowych, dobrze jest umieścić w umowie z serwisem sprzątającym. Zapisy te powinny zawierać następujące informacje:

Pracownicy firm mogą przebywać w pomieszczeniach przetwarzania danych osobowych tylko i wyłącznie podczas wykonywania swojej pracy. Przebywanie w pomieszczeniach musi mieć związek z wykonywanymi zadaniami.

Pracownicy firmy Serwis Sprzątający ABC przebywając w pomieszczeniach przetwarzania danych zobowiązują się do:

• zachowania w tajemnicy wszystkich informacji zdobytych podczas wykonywania pracy;
• nieujawniania informacji na temat zabezpieczeń pomieszczeń jak i budynku;
• nieujawniania informacji na temat przetwarzanych informacji w firmie;
• niepozostawiania pomieszczeń/budynku otwartego po skończonej pracy;
• zamykania pomieszczenia na klucz i okien za każdym razem gdy wychodzi z pokoju, który jest aktualnie sprzątany;
• zamykanie drzwi wejściowych i balkonowych jeżeli sprzątanie odbywa się po godzinach pracy;
• niepozostawiania budynku otwartego podczas przerw w pracy.

Właściciel firmy Serwis Sprzątający ABC zobowiązany jest do poinformowania wszystkich pracowników, którzy będą uczestniczyć w pracach o powyższych zasadach oraz o tym, że ich dane osobowe będą przetwarzane przez firmę XYZ w celu prowadzenia ewidencji osób wykonujących zadania wynikające z umowy. Przetwarzane będą tylko i wyłącznie dane osobowe niezbędne do identyfikacji osób i nie będą wykorzystywane do innych celów. Każdy pracownik będzie miał prawo wglądu do swoich danych i ich kontroli.

Do pracy mogą być dopuszczone tylko i wyłącznie osoby zgłoszone przez Serwis Sprzątający ABC.

Właściciel firmy XYZ lub osoba przez niego upoważniona (Inspektor Ochrony Danych) mają prawo skontrolować skład pracowników przebywających w firmie podczas wykonywania prac.

Gdy wymagana jest zmiana pracowników wykonujących pracę właściciel firm lub osoba przez niego upoważniona informuje upoważnioną osoba po stronie XYZ nie później niż dzień przed planowaną zmianą.

Stosując powyższe zapisy, poza formalnym zabezpieczaniem, organizacja w jasny i czytelny sposób przekazuje komunikat, że przykłada uwagę do bezpieczeństwa informacji i zależy jej, żeby pracownicy firmy, z którą podpisano umowę, również przywiązywali do tego uwagę. Zleceniobiorca powinien zaznajomić pracowników firmy sprzątającej z zasadami postępowania z danymi osobowymi oraz informacjami stanowiącymi tajemnicę przedsiębiorstwa.

Daleki jestem od stwierdzenia, że osoba z personelu sprzątającego nie potrafi zachować w tajemnicy danych, z którymi się zetknie lub każdego kto sprząta należy podejrzewać o szpiegostwo przemysłowe. Jednakże tego typu sytuacje się zdarzają, a przeciwdziałanie nim jest elementem uzupełniającym system ochrony danych osobowych oraz bezpieczeństwa informacji w organizacji. Znany jest przypadek organizacji, która zainwestowała sporo w nowoczesny system dostępu do pokoi. Każdy z pracowników miał kartę, która po zbliżeniu do czytnika przy drzwiach, otwierała tylko drzwi do tego pokoju, do którego dany pracownik miał dostęp. Z drugiej jednak strony, dla ułatwienia pracy serwisowi sprzątającemu, pracownicy serwisu mieli klucz uniwersalny otwierający wszystkie drzwi, także pomieszczenie kadr, archiwum i serwerowni. Zorganizowane było to w taki sposób, ponieważ sprzątanie odbywało się po godzinach pracy. W tym przypadku zabezpieczenia techniczne zdecydowanie i niepotrzebnie wyprzedziły zabezpieczenia organizacyjne.

Praktyką, która nie bez powodu jest często stosowana, jest podpisywanie przez pracowników firmy sprzątającej oświadczeń o zachowaniu poufności. Odpowiednie zapisy chronią organizację w przypadku np. ujawnienia danych osobowych, do których dana osoba miała dostęp. Skoro osoba zapoznała się z zasadami bezpieczeństwa i pisemnie potwierdza, że zachowa poufność, a doszłoby do tego rodzaju naruszenia, organizacja, jest w znacznie korzystniejszej sytuacji. Konstruując zapisy należy pamiętać by były tam zawarte poniższe informacje:

• Zobowiązuję się do zachowania w tajemnicy wszelkich informacji udzielonych ustnie, pisemnie, drogą elektroniczną lub w inny dostępny sposób, w tym w szczególności danych osobowych, do których mogę mieć dostęp w trakcie wykonywania usługi / zatrudnienia u Administratora. 
• Obowiązek ten jest nieograniczony w czasie. 
• Świadomy praw i obowiązków oświadczam, że znane są mi przepisy: 
  • dotyczące ochrony danych osobowych – Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku  
    z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE oraz Ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych  
  • 266 ustawy z dnia 6 czerwca 1997 r. Kodeks karny „Kto, wbrew przepisom ustawy lub przyjętemu na siebie zobowiązaniu, ujawnia lub wykorzystuje informację, z którą zapoznał się w związku z pełnioną funkcją, wykonywaną pracą, działalnością publiczną, społeczną, gospodarczą lub naukową, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.” 
  • 267 ustawy z dnia 6 czerwca 1997 r. Kodeks karny „Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.” 

Zewnętrzne firmy sprzątające powinny zagwarantować, chociażby w umowie na usługę, że ich personel jest odpowiednio przeszkolony i zobowiązany do zachowania poufności. Jeżeli są to pracownicy organizacji, powinni przejść szkolenie w zakresie ochrony danych osobowych. Może nie w pełnej wersji jak to ma miejsce dla pracowników, których zadaniem jest przetwarzanie danych osobowych, ale w wersji uproszczonej, skupiającej się na kwestiach poufności. Następnie zalecam sporządzenie z takim pracownikiem klauzuli poufności.

Kolejną dobrą praktyką jest sporządzenie „zakresu czynności”, obejmujący usługę, gdzie wskazać można czy sprzątanie odbywa się po godzinach pracy, jakie czynności wykonuje się, w których pomieszczeniach oraz, patrząc z perspektywy bezpieczeństwa organizacji: obowiązek zamknięcia drzwi, okien i włączeniu alarmu po zakończonej pracy; albo konieczność zamykania organizacji od wewnątrz podczas sprzątania; otwieranie jedynie drzwi pomieszczenia, w którym w danej chwili odbywa się sprzątanie. Katalog zapisów, które można dodawać jest otwarty i powinien być dostosowany do potrzeb organizacji.

Przy tej okazji zachęcam również do zastanowienia się, do jakich pomieszczeń osoba sprzątająca powinna mieć dostęp tylko w towarzystwie pracownika organizacji. W mojej ocenie takim właśnie pomieszczeniem, w który nie powinny przebywać bez nadzoru osoby nieupoważnione, są „kadry”, archiwum, serwerownia.

Powyższe zasady mają również zastosowanie dla pracowników wykonujących w organizacji różnego rodzaju prace, np. dla elektryka usuwającego usterkę w sieci, przebywającego w pomieszczeniu, w którym na co dzień odbywa się praca z danymi osobowymi. Proponuję mieć je na uwadze w przypadkach, gdy w obszarach przetwarzania danych osobowych mogą przebywać osoby, których zadaniem nie jest przetwarzanie tych danych, ale ze względu na charakter swojej pracy, mogą mieć z tymi danymi styczność.

Autor: Arkadiusz Kępski
Inspektor Ochrony Danych, Kierownik Projektu w CompNet Sp. z o.o.

 

© Copyright by CompNet Sp. z o. o