Stało się! W firmie ulega uszkodzeniu komputer, na którym przetwarzane są dane osobowe oraz znajdują się informacje mogące stanowić tajemnicę przedsiębiorstwa. Czy naprawą sprzętu może zająć się firmowy informatyk? Co zrobić, jeśli komputer musi trafić do serwisu zewnętrznego? Jak uniknąć niemiłych niespodzianek?
Naprawa sprzętu przez lokalnego informatyka
Jeżeli zaistniał problem, z którym nie potrafimy sobie poradzić we własnym zakresie po prostu wzywamy firmowego informatyka, który w ramach swoich codziennych obowiązków zajmie się urządzeniem. W świetle przepisów Ustawy o Ochronie Danych Osobowych z dn. 29 sierpnia 1997 r. warunkiem koniecznym do realizacji procesu naprawy sprzętu przez taką osobę zatrudnioną na podstawie umowy o pracę bądź umowy cywilno-prawnej jest uprzednie nadanie mu upoważnienia do przetwarzania danych osobowych. Warto również zadbać o to, aby w przedmiotowej umowie lub innych dokumentach określających rodzaj współpracy dołączyć zapisy dotyczące zachowania przez niego poufności danych.
Naprawa sprzętu przez informatyka zewnętrznej firmy w siedzibie organizacji
Zgodnie z UoODO w takim przypadku przed jakimkolwiek udostępnieniem służbowego sprzętu powinniśmy zadbać o to, aby w umowie z firmą świadczącą tego rodzaju usługi zawrzeć stosowne zapisy dotyczące powierzenia przetwarzania danych osobowych Ustawodawca daje nam jednak możliwość pominięcia tego wymogu wprowadzając do Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dn. 29 kwietnia 2004 r. stosowny zapis. Część A Rozdziału VI pkt. 2 wskazuje, iż „(…) urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do naprawy – pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej (…)”. Zgodnie z treścią zacytowanego dokumentu jeżeli naprawa realizowana jest w siedzibie naszej organizacji, a z firmą zewnętrzną nie mamy podpisanej umowy powierzenia przetwarzania danych, serwisant nie może być pozostawiany bez nadzoru osoby upoważnionej.
Naprawa sprzętu przez informatyka zewnętrznej firmy poza siedzibą organizacji
Jeśli jednak komputera nie uda naprawić się na miejscu i koniecznym okaże się odesłanie go do serwisu, wówczas niezbędne będzie zawarcie odpowiedniej umowy lub całkowite pozbawienie urządzenia danych w sposób uniemożliwiający ich odzyskanie. Według opinii grupy roboczej art. 29 ds. Ochrony Danych proces bezpiecznego usuwania danych osobowych wymaga, aby nośniki urządzeń zostały zniszczone lub rozmagnetyzowane albo dane osobowe zostały skutecznie usunięte poprzez ich kilkukrotne nadpisanie (co najmniej 3 krotne). Oczywiście jeżeli sytuacja na to pozwala, najwygodniejszym rozwiązaniem jest przesłanie urządzenia do podmiotu zewnętrznego, z którym nie posiadamy podpisanej umowy dotyczącej powierzenia przetwarzania danych bez przedmiotowego nośnika. Warto zaznaczyć, że z powyższych kroków można zrezygnować pod warunkiem, że dysk takiego urządzenia przed wysłaniem do serwisu zewnętrznego zostanie zaszyfrowany. Wówczas możemy mieć pewność, że żadna osoba nieupoważniona nie uzyska do niego dostępu.
Zachowanie szczególnej ostrożności po odbiorze sprzętu z serwisu zewnętrznego
Nigdy nie możemy mieć pewności kto zajmował się naprawą naszego urządzenia oraz co mogło być na nim zainstalowane. W związku z tym po odbiorze sprzętu z serwisu zewnętrznego ważne jest podjąć stosowane środki minimalizujące ryzyko zainfekowania sieci organizacji oraz wycieku poufnych informacji. Po przeprowadzonej konserwacji, czy naprawie przed ponownym uruchomieniem komputera w sieci produkcyjnej należy skontrolować urządzenie w celu weryfikacji, czy nie zostało ono zmanipulowane oraz nie realizuje żadnych szkodliwych funkcji. W tym celu na zagrożonym komputerze należy wykonać pełne skanowanie programem antywirusowym.