Kompendium RODO dla pracownika

Kompendium najważniejszych informacji z zakresu RODO dla pracownika

Dokument wprowadza w zagadnienia związane z ochroną danych osobowych, a także określa odpowiedzialność oraz obowiązki osób, które będą miały dostęp do tych danych, na podstawie otrzymanego upoważnienia. Kompendium stanowi uzupełnienie polityki ochrony danych osobowych, której postanowienia obowiązują każdą osobę upoważnioną.

Dane osobowe

Dane osobowe to dowolne informacje, które umożliwiają bezpośrednią lub pośrednią identyfikację osoby fizycznej. Pośrednia identyfikacja oznacza, że informacja, którą się posiada, umożliwia przy wykorzystaniu dodatkowych narzędzi (np. wyszukiwarki internetowej, bazy danych), ustalenie tożsamości osoby fizycznej. W praktyce identyfikacja jest możliwa już na podstawie samego adresu e-mail, wizerunku, 512345678, czy 92051200567. Zatem każda z tych informacji, stanowi dane osobowe. Pamiętaj: Lista obecności uczestników szkolenia, zdjęcie z pracowniczej wycieczki czy lista odbiorców newslettera zawierają dane osobowe.

Przetwarzanie danych osobowych

To każde działanie, które wykonuje się na danych osobowych. Przetwarzaniem są m.in.: zbieranie danych, przesyłanie, edytowanie, wgląd, udostępnienie, kopiowanie, przechowywanie, usuwanie.

Pamiętaj: Przetwarzanie zaczyna się w momencie zbierania danych, a kończy po ich usunięciu / zniszczeniu lub anonimizacji (przekształceniu, które uniemożliwia identyfikację osoby fizycznej).

Administrator

Administratorem danych osobowych jest Firma Przykładowa Sp. z o.o.. Odpowiada za zapewnienie ochrony przetwarzanych danych osobowych, decyduje o ich celach i sposobach przetwarzania. Decyduje o tym kto, kiedy i w jakim zakresie zostaje upoważniony do przetwarzania danych osobowych.

Upoważnienie

Uprawnienie od administratora do przetwarzania danych osobowych w zakresie wskazanym w upoważnieniu. Upoważnienie jest nadawane niezależnie od formy współpracy, tzn. pracownikom, współpracownikom, praktykantom, stażystom, pracownikom tymczasowym, wolontariuszom; którzy z racji swoich zadań, muszą przetwarzać dane osobowe.

Pamiętaj: Jeśli będziesz mieć dostęp do danych osobowych, musisz wcześniej otrzymać upoważnienie do ich przetwarzania.

Naruszenie

Naruszenie ochrony danych osobowych to zdarzenie, które powoduje utratę poufności, integralności lub dostępności danych osobowych.

Najczęstsze naruszenia:

• wysłanie wiadomości e-mail / tradycyjnego listu z danymi osobowymi do złego odbiorcy;

• zgubienie listu z danymi przez pocztę;

• brak dostępu do danych na skutek awarii systemu lub wirusa;

• wyrzucenie dokumentów z danymi osobowymi do kosza;

• kradzież lub zgubienie laptopa / pendrive / dysku zewnętrznego / CD;

• nieodebranie dostępu do systemu byłemu pracownikowi;

• udostępnienie praktykantowi swojego konta w systemie;

• pozostawienie gościa w pomieszczeniu z dokumentami, do których może mieć dostęp podczas nieobecności pracownika.

Jeśli naruszenie może powodować negatywne skutki dla osoby, której dotyczy, np. ktoś może spróbować podszyć się pod nią i wziąć pożyczkę na jej dane, administrator musi je zgłosić do Inspektora Ochrony Danych w ciągu 72 godzin od stwierdzenia.

Należy zgłaszać każde podejrzenie naruszenia swojemu przełożonemu oraz do Inspektora Ochrony Danych od razu, gdy po jest zauważeniu. Szybkie zgłoszenie pozwoli podjąć skutecznej działanie.

Pamiętaj: zgłoszenie to tylko czynność techniczna, nie obawiaj się informować administratora o każdym podejrzeniu naruszenia (incydencie). Więcej szkody może spowodować zignorowanie zdarzenia lub jego ukrycie, niż zgłoszenie. Świadome ukrywanie naruszenia może być uznane za działanie na szkodę administratora.

Odpowiedzialność osoby upoważnionej

Każda osoba upoważniona do przetwarzania danych osobowych jest odpowiedzialna za stosowanie zasad ich ochrony, podczas wykonywania swoich zadań. Niezbędna jest szczególna staranność przy zabezpieczaniu danych, ich przesyłaniu czy niszczeniu.

W przypadku niezgłoszenia naruszenia, postępowania w sprzeczności z przyjętymi procedurami ochrony danych osobowych lub celowym naruszeniu ochrony tych danych, działanie może zostać uznane za ciężkie naruszenie podstawowych obowiązków pracowniczych / rażące naruszenie umowy cywilnoprawnej¹.

Pamiętaj: Zgodnie z art. 107 ustawy z 29 sierpnia 1997 roku o ochronie danych osobowych, celowe przetwarzanie danych osobowych poza zakresem upoważnienia (np. wykorzystywanie do celów prywatnych), jest zagrożone karą grzywny, ograniczenia lub pozbawienia wolności.

Obowiązki osoby upoważnionej

1. Każda osoba upoważniona jest zobowiązana zapewnić poufność danych osobowych, do których ma dostęp. Nie wolno tych informacji udostępniać osobom nieuprawnionym (np. nieupoważnieni pracownicy lub domownicy).

2. Zgłaszanie naruszeń – każde zdarzenie, które może stanowić naruszenie, należy od razu zgłaszać (niezależnie od dnia i godziny stwierdzenia zdarzenia).

3. Każdy użytkownik powinien pracować w systemie informatycznym, poprzez swój własny, indywidualny login (nazwę użytkownika). Pamiętaj: Nie udostępniaj swojego konta innym osobom, w tym stażystom lub praktykantom, bo wtedy ponosisz odpowiedzialność za ich działania.

4. Zbędne dokumenty należy zawsze niszczyć w niszczarce (nawet gdy zawierają „niewiele danych”).

5. Dane osobowe można przesłać elektronicznie (np. mailem lub przez system wymiany plików), tylko jeżeli wcześniej zostały zabezpieczone hasłem. Hasło zawsze przekazuje się odbiorcy inną drogą komunikacji (np. SMS lub komunikator internetowy).

6. Należy korzystać tylko z zatwierdzonych przez dział informatyczny urządzeń do przechowywania danych. Jeśli nośnik danych nie został zaszyfrowany, przed przesłaniem na niego plików, należy zabezpieczyć je hasłem.²

7. Dokumenty oraz inne nośniki (CD, pendrive, dysk zewnętrzny) z danymi osobowymi, należy przechowywać w szafce zamykanej na klucz. Pod koniec pracy zamyka się szafkę i chowa klucz w bezpiecznym miejscu.

8. Należy stosować zasadę czystego biurka. Oznacza to, że podczas pracy na biurku znajdują się tylko niezbędne dokumenty. Gdy aktualnie się z nimi nie pracuje – należy odwrócić zadrukowaną stroną do blatu. Po zakończeniu pracy należy uporządkować stanowisko pracy, wyłączyć komputer i schowaj nośniki danych do szafy.

9. Goście zawsze powinni przebywać pod nadzorem. Nie wolno pozostawiać ich samych w pomieszczeniach, w których mogą mieć dostęp do danych osobowych.

10. Nie wolno udostępniać swojego komputera ani hasła do firmowego WiFi gościom.

11. Przed rozpoczęciem nowego projektu wymagającego przetwarzania danych osobowych lub przed zakupem systemu, w którym będą przechowywane dane osobowe, należy zgłosić się do Inspektora Ochrony Danych w celu zweryfikowania, czy nie będzie to mieć negatywnego wpływu na ochronę danych osobowych.

12. Jeśli urządzenie lub system „dziwnie działa” lub zgłasza błędy/ostrzeżenia, należy od razu zgłosić zdarzenie do działu informatyki, gdyż może być zawirusowane.

¹ Zapis powinien być zgodny z przyjętymi procedurami, np. w firmie mogą obowiązywać umowy o zachowaniu poufności z karą umowną, która może mieć zastosowanie w takim wypadku.

² Rekomenduję odwołać się do instrukcji zabezpieczenia plików hasłem, aby być w stanie wykazać, że użytkownik potrafił to zrobić.