Zostaw swoje dane, a skontaktujemy się z Tobą jak najszybciej

to pole jest wymagane
to pole jest wymagane
to pole jest wymagane
to pole jest wymagane
Zgoda jest wymagana
Zgoda jest wymagana
Zgoda jest wymagana
Zgoda jest wymagana

Klauzula informacyjna BIG InfoMonitor

Wyciek danych osobowych pracowników - co oznacza i jak się przed nim chronić?

Oceń artykuł:
5/5

2023-08-31

Spis treści

  1. Przetwarzanie danych osobowych pracowników: jakie informacje są potrzebne pracodawcy?
  2. Pracodawca jako administrator danych osobowych: jakie są jego obowiązki?
  3. Wyciek danych osobowych, czyli co?
  4. Co zrobić, gdy zostało naruszone bezpieczeństwo danych osobowych?
  5. Lepiej zapobiegać niż leczyć, czyli ochrona danych osobowych to podstawa

Ochrona danych osobowych pracowników jest jednym z obowiązków pracodawcy. Co jednak stanie się, gdy dojdzie do ich wycieku? Co w ogóle oznacza to pojęcie? Jak zadbać o bezpieczeństwo danych osobowych członków zespołu i co robić, gdy nastąpił incydent związany z naruszeniem ich ochrony? Wyjaśniamy.

Przetwarzanie danych osobowych pracowników: jakie informacje są potrzebne pracodawcy?

Zacznijmy od najważniejszego, a zatem od określenia, jakie dane osobowe może pobierać pracodawca od pracownika. Ich zakres będzie się różnić na etapie rekrutacji do firmy i podczas zatrudnienia.

I tak, w procesie danych osobowych pracodawca, jako administrator danych, może potrzebować:

  • imienia i nazwiska potencjalnego pracownika;

  • jego daty urodzenia i miejsca zamieszkania;

  • adresu korespondencyjnego;

  • informacji o wykształceniu czy przebiegu zatrudnienia;

  • danych kontaktowych, np. numeru telefonu czy adresu mailowego.

Prawo do pobrania tych danych przysługuje mu na mocy art. 22[1] Kodeksu pracy. Dopiero po zatrudnieniu przedsiębiorca może oczekiwać przekazania informacji takich jak np.:

  • numer PESEL,

  • dane współmałżonka czy dzieci, jeśli jest np. potrzeba objęcia ich prywatnym ubezpieczeniem medycznym;

  • numer konta do przesyłania wynagrodzeń.

Dane te powinny być przekazane za zgodą pracownika. Musi on zatem podpisać stosowne oświadczenie zgodne z przepisami RODO. Na mocy przepisów ma on też prawo wglądu do informacji o sobie, ich poprawiania czy usunięcia.

Pracodawca jako administrator danych osobowych: jakie są jego obowiązki?

Pracodawca jest z założenia administratorem danych osobowych swoich pracowników. Jest w konsekwencji odpowiedzialny za ich bezpieczne przechowywanie — tak, aby nie nastąpiła ich kradzież czy wyciek. Istotne jest więc zadbanie o wdrożenie odpowiednich procedur. Podstawa to dobrze zabezpieczone systemy informatyczne, w których przechowywane są takie dane, a także "fizyczna" ochrona akt osobowych w firmowych archiwach.

Jednak równie ważny jak zabezpieczenia jest... czynnik ludzki. W wielu sytuacjach to on jest przyczyną, dla której dane wyciekły. Wystarczy wysłanie maila z listą płac do kontrahenta zamiast do księgowego albo przypadkowe wyrzucenie dokumentów, które nie zostały wcześniej przepuszczone przez niszczarkę. Dlatego bardzo istotne jest staranne wypracowanie procedur związanych z ochroną danych. Pozwalają one znacznie zmniejszyć ryzyko poważnych konsekwencji.

Wyciek danych osobowych, czyli co?

Zanim omówimy procedury postępowania przy wycieku danych osobowych, warto wyjaśnić, czym w ogóle jest taka sytuacja. Mówiąc najprościej, chodzi o niepożądane umożliwienie dostępu do aktywów osobom, systemom lub procesom, które nie mają do tego prawa. W jego wyniku dochodzi do utraty lub ujawnienia danych osobowych, które co do zasady powinny być chronione. Jeżeli dojdzie do takiego zdarzenia, pracodawca, jako administrator danych, musi szybko zareagować.

Co zrobić, gdy zostało naruszone bezpieczeństwo danych osobowych?

Co zrobić, jeśli nastąpił wyciek danych? Oto schemat postępowania, którym możesz podążać.

Oceń, czy wyciek danych do incydent czy naruszenie

Czym różnią się te dwa zjawiska? 

  • Incydent jest zdarzeniem lub serią zdarzeń, które mogły stworzyć zagrożenie dla bezpieczeństwa informacji i np. ułatwić kradzież danych. Może to być np. awaria oprogramowania czy utrata telefonu służbowego pracownika.

  • Naruszenie ochrony danych osobowych to natomiast znacznie poważniejsza sytuacja, w której doszło do zniszczenia, zmodyfikowania lub nieuprawnionego ujawnienia danych w wyniku złamania zasad bezpieczeństwa danych. Może ono nastąpić, np. gdy pracownik HR przypadkowo wyśle bazę danych zatrudnionych do kontrahenta.

Powiadom o naruszeniu danych

W przypadku wycieku danych najczęściej konieczne będzie zgłoszenie tego faktu do UODO. Administrator ma na to 72 h po stwierdzeniu naruszenia. Wyjątkiem jest sytuacja, w której wyciek danych był nieznaczny, a ryzyko naruszenia praw lub wolności osób fizycznych w jego wyniku jest bardzo małe.

Zgłoszenia wycieku danych można dokonać elektronicznie, za pośrednictwem stron rządowych.

Istotne jest także poinformowanie ofiar wycieków danych, że informacje o nich zostały ujawnione. Dzięki temu pracownicy będą mogli podjąć stosowne działania zabezpieczające. Przygotuj się też na to, że każdy pracownik, którego dane osobowe zostały wykradzione lub utracone, może zażądać wyjaśnień i informacji związanych z naruszeniem. Może on też złożyć skargę do PUODO.

Lepiej zapobiegać niż leczyć, czyli ochrona danych osobowych to podstawa

Jak widać, wyciek danych osobowych może się wiązać z wieloma problemami formalnymi, a przede wszystkim z narażeniem na pogorszenie wizerunku firmy. Pojawiają się też problemy finansowe, np. wynikające z kradzieży tożsamości. Dlatego tak ważne jest zadbanie o ochronę przed konsekwencjami wycieku danych osobowych. Inwestycja w odpowiednie systemy, a przede wszystkim w kompleksowe przeszkolenie pracowników się opłaca.


Magda Pułym

Posiada niemal 15-letnie doświadczenie w branży. Tematyka windykacji należności, finansów i bankowości oraz prawa jest jej szczególnie bliska. Jest autorką licznych publikacji poświęconych m.in. prawom dłużnika i wierzyciela oraz instrumentom finansowym różnych typów.

Zobacz wszystkie teksty autora

Masz pytania?
Potrzebujesz więcej informacji?

Zostaw swoje dane, a skontaktujemy się z Tobą jak najszybciej

to pole jest wymagane
to pole jest wymagane
to pole jest wymagane
to pole jest wymagane
Zgoda jest wymagana
Zgoda jest wymagana
Zgoda jest wymagana
Zgoda jest wymagana

Informacja o Administratorze danych, celu przetwarzania oraz przysługujących Państwu prawach. więcej...

Napisz do nas msp@big.pl

Zadzwoń (22) 486 56 91 pn-pt: 8:30 - 16:30

Oferta specjalna!

Rabat20% na 20-lecie BIG InfoMonitor*

GRATIS Certyfikat Wiarygodności

* Oferta rabatowa skierowana jest do nowych klientów

Sprawdź szczegóły