Wyciek danych osobowych pracowników - co oznacza i jak się przed nim chronić?
2023-08-31
Spis treści
- Przetwarzanie danych osobowych pracowników: jakie
informacje są potrzebne pracodawcy?
- Pracodawca jako administrator danych osobowych: jakie
są jego obowiązki?
- Wyciek danych osobowych, czyli co?
- Co zrobić, gdy zostało naruszone bezpieczeństwo
danych osobowych?
- Lepiej zapobiegać niż leczyć, czyli ochrona danych
osobowych to podstawa
Ochrona
danych osobowych pracowników jest jednym z obowiązków
pracodawcy. Co jednak stanie się, gdy dojdzie do ich wycieku? Co w ogóle oznacza to pojęcie? Jak zadbać o bezpieczeństwo danych
osobowych członków zespołu i co robić, gdy nastąpił incydent
związany z naruszeniem ich ochrony? Wyjaśniamy.
Przetwarzanie danych osobowych pracowników: jakie
informacje są potrzebne pracodawcy?
Zacznijmy od najważniejszego, a zatem od określenia,
jakie dane osobowe może pobierać pracodawca od pracownika. Ich
zakres będzie się różnić na etapie rekrutacji do firmy i podczas
zatrudnienia.
I tak, w procesie danych osobowych pracodawca, jako
administrator danych, może potrzebować:
imienia i nazwiska potencjalnego pracownika;
jego daty urodzenia i miejsca zamieszkania;
adresu korespondencyjnego;
informacji o wykształceniu czy przebiegu zatrudnienia;
danych kontaktowych, np. numeru telefonu czy adresu
mailowego.
Prawo do pobrania tych danych przysługuje mu na mocy
art. 22[1] Kodeksu pracy. Dopiero po zatrudnieniu przedsiębiorca
może oczekiwać przekazania informacji takich jak np.:
numer PESEL,
dane współmałżonka czy dzieci, jeśli jest np.
potrzeba objęcia ich prywatnym ubezpieczeniem medycznym;
numer konta do przesyłania wynagrodzeń.
Dane te powinny być przekazane za zgodą pracownika.
Musi on zatem podpisać stosowne oświadczenie zgodne z przepisami
RODO. Na mocy przepisów ma on też prawo wglądu do informacji o sobie, ich poprawiania czy usunięcia.
Pracodawca jako administrator danych osobowych: jakie
są jego obowiązki?
Pracodawca jest z założenia administratorem danych
osobowych swoich pracowników. Jest w konsekwencji odpowiedzialny
za ich bezpieczne przechowywanie — tak, aby nie nastąpiła ich
kradzież czy wyciek. Istotne jest więc
zadbanie o wdrożenie odpowiednich procedur. Podstawa to dobrze
zabezpieczone systemy informatyczne, w których przechowywane są
takie dane, a także "fizyczna" ochrona akt osobowych w firmowych archiwach.
Jednak równie ważny jak zabezpieczenia jest... czynnik
ludzki. W wielu sytuacjach to on jest przyczyną, dla której dane
wyciekły. Wystarczy wysłanie maila z listą płac do kontrahenta
zamiast do księgowego albo przypadkowe wyrzucenie dokumentów, które
nie zostały wcześniej przepuszczone przez niszczarkę. Dlatego
bardzo istotne jest staranne wypracowanie
procedur związanych z ochroną danych.
Pozwalają one znacznie zmniejszyć ryzyko poważnych konsekwencji.
Wyciek danych osobowych, czyli co?
Zanim omówimy procedury postępowania przy wycieku
danych osobowych, warto wyjaśnić, czym w ogóle jest taka sytuacja.
Mówiąc najprościej, chodzi o niepożądane umożliwienie dostępu
do aktywów osobom, systemom lub procesom, które nie mają do tego
prawa. W jego wyniku dochodzi do utraty lub ujawnienia danych
osobowych, które co do zasady powinny być chronione. Jeżeli
dojdzie do takiego zdarzenia, pracodawca,
jako administrator danych, musi szybko zareagować.
Co zrobić, gdy zostało naruszone bezpieczeństwo
danych osobowych?
Co zrobić, jeśli nastąpił wyciek danych? Oto schemat
postępowania, którym możesz podążać.
Oceń, czy wyciek danych do
incydent czy naruszenie
Czym różnią się te dwa zjawiska?
Incydent jest zdarzeniem lub serią zdarzeń, które
mogły stworzyć zagrożenie dla bezpieczeństwa informacji i np.
ułatwić kradzież danych. Może to być np. awaria oprogramowania
czy utrata telefonu służbowego pracownika.
Naruszenie ochrony danych osobowych to natomiast
znacznie poważniejsza sytuacja, w której doszło do zniszczenia,
zmodyfikowania lub nieuprawnionego ujawnienia danych w wyniku
złamania zasad bezpieczeństwa danych. Może ono nastąpić, np.
gdy pracownik HR przypadkowo wyśle bazę danych zatrudnionych do
kontrahenta.
Powiadom o naruszeniu danych
W przypadku wycieku danych najczęściej konieczne
będzie zgłoszenie tego faktu do UODO.
Administrator ma na to 72 h po stwierdzeniu naruszenia. Wyjątkiem
jest sytuacja, w której wyciek danych był nieznaczny, a ryzyko
naruszenia praw lub wolności osób fizycznych w jego wyniku jest
bardzo małe.
Zgłoszenia wycieku danych można dokonać
elektronicznie, za pośrednictwem stron rządowych.
Istotne jest także poinformowanie
ofiar wycieków danych, że informacje o nich zostały ujawnione.
Dzięki temu pracownicy będą mogli podjąć stosowne działania
zabezpieczające. Przygotuj się też na to, że każdy pracownik,
którego dane osobowe zostały wykradzione lub utracone, może
zażądać wyjaśnień i informacji związanych z naruszeniem. Może
on też złożyć skargę do PUODO.
Lepiej zapobiegać niż leczyć, czyli ochrona danych
osobowych to podstawa
Jak widać, wyciek danych osobowych może się wiązać
z wieloma problemami formalnymi, a przede wszystkim z narażeniem na
pogorszenie
wizerunku firmy. Pojawiają się też problemy finansowe, np.
wynikające z kradzieży tożsamości. Dlatego tak ważne jest
zadbanie o ochronę przed konsekwencjami wycieku danych osobowych.
Inwestycja w odpowiednie systemy, a przede wszystkim w kompleksowe
przeszkolenie pracowników się opłaca.
Posiada niemal 15-letnie doświadczenie w branży. Tematyka windykacji
należności, finansów i bankowości oraz prawa jest jej szczególnie
bliska. Jest autorką licznych publikacji poświęconych m.in. prawom
dłużnika i wierzyciela oraz instrumentom
finansowym różnych typów.
Zobacz wszystkie teksty autora
na prowadzenie bezpiecznej firmy*