Instrukcja postępowania z nadmiarowymi danymi osobowymi

Prawo

dane

Kategoria

instrukcja

Klucze

dane osobowe, dokumenty, formularze elektroniczne, instrukcja, iod, minimalizacja danych, nadmiarowe dane, ocena adekwatności, ochrona danych osobowych, postępowanie, przechowywanie danych, przeglądy danych, przetwarzanie, rodo, usuwanie danych, zgoda na przetwarzanie, zgodność z rodo

Instrukcja postępowania z nadmiarowymi danymi osobowymi jest dokumentem określającym zasady postępowania w przypadku zbierania, przechowywania i przetwarzania zbędnych danych osobowych. W dokumencie znajdują się wytyczne dotyczące minimalizacji zbieranych danych, procedur usuwania zbędnych informacji oraz wytyczne dotyczące ochrony poufności danych. Instrukcja ma na celu zapewnienie zgodności z obowiązującymi przepisami dotyczącymi ochrony danych osobowych.

Instrukcja postępowania z nadmiarowymi danymi osobowymi

I. Wprowadzenie

1. Administrator danych, tzn. Firma "Słoneczny Promień" Sp. z o.o., zgodnie z art. 5 RODO ma obowiązek zapewnić, aby dane osobowe przetwarzane w jednostce były adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane ("minimalizacja danych"), a także aby były przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy niż 3 lata, niż jest to niezbędne do celów, w których dane te są przetwarzane ("ograniczenie przechowywania").

2. Instrukcja określa zasady postępowania w przypadku przetwarzania nadmiarowych danych osobowych.

3. Przez nadmiarowe dane należy rozumieć takie dane osobowe, które nie są niezbędne do zrealizowania celu, w jakim zostały zebrane, w szczególności zostały zebrane w zbyt szeroki zakresie lub ustał już cel, w jakim zostały zebrane.

4. Instrukcja w szczególności dotyczy dodatkowych danych, które osoba, której dane dotyczą przekazała z własnej inicjatywy, np. dołączając do przekazywanych jednostce dokumentów.

5. Nadmiarowe dane mogą stanowić element przekazanego dokumentu papierowego lub elektronicznego lub cały dokument.

6. W Instrukcji pod określeniem „pracownik” należy rozumieć zarówno osoby zatrudnione w ramach stosunku pracy, jak i każdą inną osobę upoważnioną przez Administratora do przetwarzania danych osobowych.

II. Ocena adekwatności przetwarzanych danych

1. Każdy pracownik odpowiedzialny za przetwarzanie danych osobowych, jest zobowiązany do przetwarzania tych danych zgodnie z przepisami o ochronie danych osobowych.

2. Osoby, których dane dotyczą często przekazują nadmiarowe dane z własnej inicjatywy, jednakże nie oznacza to, że administrator powinien je przetwarzać.

3. Jeżeli dane są przekazywane poprzez formularz elektroniczny lub na wzorze jednostki, należy wyraźnie wyróżnić pola obowiązkowe oraz nieobowiązkowe, a także wskazać cele i sposób przetwarzania nieobowiązkowych danych, np. w przypadku podania numeru telefonu komórkowego, informacja może zostać dodatkowo przekazana telefonicznie.

4. Osoby tworzące formularze elektroniczne oraz wzory dokumentów są odpowiedzialne za zweryfikowanie zakresu danych wymaganych do realizacji danej czynności z przepisami prawa oraz innymi prawnie uzasadnionymi interesami jednostki, aby wymagać w formularzu tylko i wyłącznie tych danych, do których przetwarzania jednostka jest uprawniona.

5. Jeżeli w jednostce jest wyznaczony IOD lub inna osoba nadzorująca ochronę danych osobowych, należy formularz / wzór dokumentu, skonsultować z tą osobą przed jego publikacją.

6. Otrzymanie danych nadmiarowych, czyli takich które nie są niezbędne do zrealizowania celu, w jakim zostały przekazane, nie oznacza konieczności ich dalszego przechowywania. Administrator powinien niezwłocznie usuwać dane, które nie są mu niezbędne, aby zapewnić zgodność z art. 5 RODO.

III. Usuwanie nadmiarowych danych

1. W momencie gromadzenia danych osobowych, pracownik jest zobowiązany dokonać ich przeglądu w zakresie ich poprawności oraz adekwatności do celu, w jakim zostały przekazane.

2. Jeżeli dokumenty są przekazywane przez sekretariat/biuro podawcze, oceny adekwatności danych oraz ich poprawności dokonuje pracownik merytoryczny, odpowiedzialny za prowadzenie sprawy.

3. Jeżeli do dokumentu zostały dołączone dodatkowe dane, inne niż wskazane jako nieobowiązkowe w formularzu/wzorze, np. kopie dowodu osobistego, dodatkowe uwagi dopisane do formularza, zaświadczenie o zarobkach, potwierdzenie przelewu, karta zdrowia; należy ocenić, czy te informacje mają wpływ na sposób realizacji sprawy.

4. Jeżeli przekazane dokumenty nie mają wpływu na realizację sprawy, mimo że zostały przekazane z inicjatywy osoby, której dane dotyczą, należy je zniszczyć mechanicznie, a w przypadku danych w formie elektronicznej usunąć.

5. Jeżeli informacje stanowią część przekazanych dokumentów, np. dopiski w treści; należy dodatkowe informacje zamazać w sposób umożliwiający ich odczytanie w dokumencie lub pliku.

6. Jeżeli dane są przetwarzane w formie elektronicznej, po ich usunięciu należy opróżnić folder kosza.

7. W przypadku wątpliwości w zakresie postępowania, pracownik konsultuje się IOD lub inną osobą nadzorującą ochronę danych osobowych, jeżeli IOD nie został wyznaczony.

IV. Ustanie przydatności danych w trakcie przetwarzania

1. Pracownicy przetwarzający dane osobowe powinni okresowo weryfikować dalszą konieczność przetwarzania danych osobowych do celów, w jakich zostały zebrane.

2. Okresowym przeglądom powinny w szczególności podlegać dane:

a) nieobowiązkowe, podane przez osobę, której dane dotyczą w celu ułatwienia kontaktu – jeżeli sprawa została załatwiona, dane powinny być usuwane;

b) zbierane na potrzeby przyznawania świadczeń z Miejskiego Ośrodka Pomocy Społecznej – jeżeli świadczenie zostało przyznane, dane powinny zostać usunięte, a w dokumentacji pozostawia się jedynie adnotację o ich przekazaniu oraz uwzględnieniu przez Komisję Świadczeń Społecznych;

c) gromadzone na potrzeby realizowania uprawnień pracownika wynikających z Kodeksu Pracy – należy okresowo weryfikować wzory tych dokumentów, a także zakres gromadzonych we wnioskach danych, gdyż często są podawane w zakresie szerszymi niż wymaga tego Kodeks Pracy;

d) rekrutacyjne przekazywane poza procesem rekrutacji – w przypadku otrzymania takiego CV można zwrócić się do osoby, która je przekazała o wyrażenie udokumentowanej (elektronicznej lub pisemnej) zgody na przetwarzanie danych na potrzeby przyszłych procesów rekrutacji, w przypadku braku zgody, dokumenty należy usunąć;

e) aplikacje o pracę przechowywane na potrzeby przyszłych procesów rekrutacji – należy okresowo weryfikować, czy nie ustał już okres 6 miesięcy na jaki została wyrażona zgoda na przetwarzanie danych w tym celu,

f) przetwarzane na podstawie zgody, zwłaszcza w celach marketingowych (np. wysyłki newslettera lub publikacji wizerunku) – dane należy usuwać niezwłocznie, gdy ustanie cel przetwarzania lub ustał okres 1 rok na jaki została wyrażona zgoda lub w przypadku stwierdzenia braku udokumentowanej zgody na przetwarzanie;

g) gromadzone na potrzeby obrony przed roszczeniami – dane powinny być przechowywane tylko w przypadku faktycznej potrzeby obrony przed roszczeniami, a nie na zapas, po przedawnieniu roszeń, należy dane usuwać,

h) z monitoringu, zabezpieczone na potrzeby roszczeń – należy usunąć, gdy ustał ustalony okres 30 dni przechowywania kopii zabezpieczonej na potrzeby Policji, jeżeli nie zgłosiły się po kopię lub w przypadku prawomocnego orzeczenia w sprawie, w której nagranie było dowodem lub gdy nagranie nie jest konieczne w toku postępowania.

3. Pracownik przed usunięciem danych lub dokumentów, weryfikuje czy ich dalsze przetwarzanie nie jest obowiązkiem wynikającym z obowiązujących w jednostce przepisów Regulaminu Organizacyjnego.

Podsumowując, Instrukcja postępowania z nadmiarowymi danymi osobowymi stanowi istotny dokument regulujący sposób gospodarowania zbędnymi informacjami osobowymi. Dzięki zdefiniowaniu klarownych zasad postępowania, dokument ten pomaga organizacjom zapobiegać nadmiernemu gromadzeniu danych, a tym samym chronić prywatność swoich klientów i partnerów.