2023-08-31
Ochrona danych osobowych pracowników jest jednym z obowiązków pracodawcy. Co jednak stanie się, gdy dojdzie do ich wycieku? Co w ogóle oznacza to pojęcie? Jak zadbać o bezpieczeństwo danych osobowych członków zespołu i co robić, gdy nastąpił incydent związany z naruszeniem ich ochrony? Wyjaśniamy.
Zacznijmy od najważniejszego, a zatem od określenia, jakie dane osobowe może pobierać pracodawca od pracownika. Ich zakres będzie się różnić na etapie rekrutacji do firmy i podczas zatrudnienia.
I tak, w procesie danych osobowych pracodawca, jako administrator danych, może potrzebować:
imienia i nazwiska potencjalnego pracownika;
jego daty urodzenia i miejsca zamieszkania;
adresu korespondencyjnego;
informacji o wykształceniu czy przebiegu zatrudnienia;
danych kontaktowych, np. numeru telefonu czy adresu mailowego.
Prawo do pobrania tych danych przysługuje mu na mocy art. 22[1] Kodeksu pracy. Dopiero po zatrudnieniu przedsiębiorca może oczekiwać przekazania informacji takich jak np.:
numer PESEL,
dane współmałżonka czy dzieci, jeśli jest np. potrzeba objęcia ich prywatnym ubezpieczeniem medycznym;
numer konta do przesyłania wynagrodzeń.
Dane te powinny być przekazane za zgodą pracownika. Musi on zatem podpisać stosowne oświadczenie zgodne z przepisami RODO. Na mocy przepisów ma on też prawo wglądu do informacji o sobie, ich poprawiania czy usunięcia.
Pracodawca jest z założenia administratorem danych osobowych swoich pracowników. Jest w konsekwencji odpowiedzialny za ich bezpieczne przechowywanie — tak, aby nie nastąpiła ich kradzież czy wyciek. Istotne jest więc zadbanie o wdrożenie odpowiednich procedur. Podstawa to dobrze zabezpieczone systemy informatyczne, w których przechowywane są takie dane, a także "fizyczna" ochrona akt osobowych w firmowych archiwach.
Jednak równie ważny jak zabezpieczenia jest... czynnik ludzki. W wielu sytuacjach to on jest przyczyną, dla której dane wyciekły. Wystarczy wysłanie maila z listą płac do kontrahenta zamiast do księgowego albo przypadkowe wyrzucenie dokumentów, które nie zostały wcześniej przepuszczone przez niszczarkę. Dlatego bardzo istotne jest staranne wypracowanie procedur związanych z ochroną danych. Pozwalają one znacznie zmniejszyć ryzyko poważnych konsekwencji.
Zanim omówimy procedury postępowania przy wycieku danych osobowych, warto wyjaśnić, czym w ogóle jest taka sytuacja. Mówiąc najprościej, chodzi o niepożądane umożliwienie dostępu do aktywów osobom, systemom lub procesom, które nie mają do tego prawa. W jego wyniku dochodzi do utraty lub ujawnienia danych osobowych, które co do zasady powinny być chronione. Jeżeli dojdzie do takiego zdarzenia, pracodawca, jako administrator danych, musi szybko zareagować.
Co zrobić, jeśli nastąpił wyciek danych? Oto schemat postępowania, którym możesz podążać.
Czym różnią się te dwa zjawiska?
Incydent jest zdarzeniem lub serią zdarzeń, które mogły stworzyć zagrożenie dla bezpieczeństwa informacji i np. ułatwić kradzież danych. Może to być np. awaria oprogramowania czy utrata telefonu służbowego pracownika.
Naruszenie ochrony danych osobowych to natomiast znacznie poważniejsza sytuacja, w której doszło do zniszczenia, zmodyfikowania lub nieuprawnionego ujawnienia danych w wyniku złamania zasad bezpieczeństwa danych. Może ono nastąpić, np. gdy pracownik HR przypadkowo wyśle bazę danych zatrudnionych do kontrahenta.
W przypadku wycieku danych najczęściej konieczne będzie zgłoszenie tego faktu do UODO. Administrator ma na to 72 h po stwierdzeniu naruszenia. Wyjątkiem jest sytuacja, w której wyciek danych był nieznaczny, a ryzyko naruszenia praw lub wolności osób fizycznych w jego wyniku jest bardzo małe.
Zgłoszenia wycieku danych można dokonać elektronicznie, za pośrednictwem stron rządowych.
Istotne jest także poinformowanie ofiar wycieków danych, że informacje o nich zostały ujawnione. Dzięki temu pracownicy będą mogli podjąć stosowne działania zabezpieczające. Przygotuj się też na to, że każdy pracownik, którego dane osobowe zostały wykradzione lub utracone, może zażądać wyjaśnień i informacji związanych z naruszeniem. Może on też złożyć skargę do PUODO.
Jak widać, wyciek danych osobowych może się wiązać z wieloma problemami formalnymi, a przede wszystkim z narażeniem na pogorszenie wizerunku firmy. Pojawiają się też problemy finansowe, np. wynikające z kradzieży tożsamości. Dlatego tak ważne jest zadbanie o ochronę przed konsekwencjami wycieku danych osobowych. Inwestycja w odpowiednie systemy, a przede wszystkim w kompleksowe przeszkolenie pracowników się opłaca.
Posiada niemal 15-letnie doświadczenie w branży. Tematyka windykacji należności, finansów i bankowości oraz prawa jest jej szczególnie bliska. Jest autorką licznych publikacji poświęconych m.in. prawom dłużnika i wierzyciela oraz instrumentom finansowym różnych typów.
Zostaw swoje dane, a skontaktujemy się z Tobą jak najszybciej
Informacja o Administratorze danych, celu przetwarzania oraz przysługujących Państwu prawach. więcej...
Napisz do nas msp@big.pl
Zadzwoń (22) 486 56 91 pn-pt: 8:00 - 16:00
Administratorem Państwa danych osobowych jest Biuro Informacji Gospodarczej InfoMonitor S.A. z siedzibą w Warszawie, ul. Zygmunta Modzelewskiego 77a, 02-679 Warszawa (dalej: „BIG InfoMonitor”). więcej...