RODO w procesie rekrutacji

RODO w procesie rekrutacji

Bez względu na to, w jaki sposób pracodawca będzie poszukiwał kandydatów do pracy, proces rekrutacji zawsze będzie wiązał się z pozyskiwaniem przez niego danych osobowych zawartych w dokumentach rekrutacyjnych (CV, listach motywacyjnych, świadectwach pracy, listach referencyjnych, zaświadczeniach itd.).

Podczas tego procesu musisz kierować się kilkoma zasadami:

  • Pracodawca powinien przetwarzać tylko takie dane, które są niezbędne ze względu na cel ich zbierania – pamiętaj więc aby w ogłoszeniu prosić tylko o takie dane które są zasadne do poprawnej oceny kandydata, zakres tych danych został wyraźnie wskazany w art. 22 Kodeksu pracy.
  • Dane osobowe nie mogą być zbierane na zapas – oznacza to, że nie możesz zbierać CV jeśli nie prowadzisz aktualnie naboru na konkretne stanowisko.
  • Żądanie przez pracodawcę od kandydatów do pracy informacji wykraczających poza to, co przede wszystkim przewidują przepisy prawa pracy może naruszać prywatność kandydata np. prośba o podanie kontaktu do byłego pracodawcy w celu uzyskania opinii.

Jakich danych może żądać pracodawca od  kandydata w toku rekrutacji

Zakres danych wskazany został w art. 22 Kodeksu pracy

  • identyfikacyjne (imię, nazwisko, imiona rodziców, data urodzenia);
  • kontaktowe (adres zamieszkania)
  • dane o wykształceniu, umiejętnościach, doświadczeniu zawodowym (ukończonych szkołach oraz studiach, przebytych szkoleniach i kursach, poprzednich pracodawcach, zajmowanych stanowiskach oraz obowiązkach zawodowych)

Jest to katalog danych, których pracodawca może żądać od kandydata do pracy, w celu podjęcia działań zmierzających do zawarcia z nim umowy. Co istotne,
z uwagi na specyfikę procesu rekrutacji, do zawarcia tej umowy wcale nie musi ostatecznie dojść. RODO w procesie rekrutacji.

Jakich danych pracodawca nie może żądać od kandydata do pracy?

  • danych wykraczających poza zakres, który został wskazany w przepisach prawa,
  • danych nadmiarowych, w szczególności takich, które nie mają związku z celem, jakim jest zatrudnienie pracownika (np. danych o stanie cywilnym, wyznaniu, poglądach religijnych czy orientacji seksualnej).

Wyjątki określone prawem np. wymóg niekaralności

  • nauczyciele (art. 10 ust. 8a ustawy – Karta Nauczyciela),
  • straż graniczna (art. 31 ust. 1 ustawy o Straży Granicznej),
  • detektywi (art. 29 ust. 2 ustawy o usługach detektywistycznych),
  • osoby ubiegającej się o zatrudnienie w podmiotach sektora finansowego

rodo w procesie rekrutacji wymaga dostosowania do wielu przepisów także sektorowych

Czy pracodawca musi poinformować kandydatów do pracy o przetwarzaniu ich danych osobowych?

Tak, tego wymaga RODO w procesie rekrutacji. Każdy potencjalny pracodawca, który zbiera dane od kandydatów do pracy, jest zobowiązany poinformować te osoby o:

  • pełnej nazwie i adresie swojej siedziby,
  • danych kontaktowych inspektora ochrony danych (o ile go wyznaczył),
  • celu przetwarzania danych oraz podstawie prawnej przetwarzania,
  • znanych mu w chwili gromadzenia danych odbiorcach danych (rozumianych szeroko) lub ich kategoriach,
  • zamiarze transgranicznego przetwarzania danych (o ile taki istnieje),
  • okresie, przez który dane będą̨ przetwarzane bądź kryteriach ustalania tego okresu,
  • przysługujących jej prawach do żądania dostępu do danych, w tym otrzymania ich kopii, ich sprostowania, usunięcia lub ograniczenia ich przetwarzania,
  • prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność́ z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem (jeżeli dane są zbierane na podstawie zgody),
  • prawie wniesienia skargi do Prezesa UODO,
  • dobrowolności lub obowiązku podania danych i konsekwencjach ich nie podania.

Pracodawca ma obowiązek poinformować kandydata do pracy o tych okolicznościach w chwili pozyskiwania tych danych w sposób jasny, czytelny i łatwo dostępny dla kandydata. Może to zrobić np. w treści ogłoszenia o pracę lub w informacji zwrotnej bezpośrednio po otrzymaniu od kandydata aplikacji do pracy. Pamiętaj zatem aby w Twojej dokumentacji systemowej znalazł się wzór klauzuli informacyjnej dla kandydatów do pracy.

Czy kandydat musi wyrazić zgodę na przetwarzanie danych osobowych?

NIE. Dotychczasowe praktyki polegające na umieszczeniu na CV przez kandydata zgody na przetwarzanie jego danych osobowych nie są prawidłowe. Dane kandydata przetwarzane są na podstawie przepisów prawa (art 6.1.b) zawartych w Kodeksie Pracy w art. 22, a nie na podstawie wyrażonej zgody.

Są jednak pewne wyjątki kiedy zgoda jest wymagana:

  • Przetwarzanie danych wrażliwych dotyczących stanu zdrowia (o ile administrator nie legitymuje się przepisem prawa, który zobowiązuje go do ich przetwarzania tego typu danych np. policja)
  • Wykorzystanie CV kandydata do celu jakim jest przyszła rekrutacja.

Ważne jest aby kandydat został poinformowany o możliwości i sposobie wycofania zgody. Sposób wycofania zgody powinien być równie łatwy, jak było jej wyrażenie. Zgoda na przetwarzanie danych np. w celu kolejnych rekrutacji może być wycofana w dowolnym momencie. W takiej sytuacji pracodawca traci uprawnienie do dalszego przetwarzania tych danych i powinien niezwłocznie je usunąć. O prawie do wycofania zgody pracodawca powinien poinformować́ kandydata w momencie pozyskania jego danych.

O co więc chodzi z tymi formułkami RODO na CV?

Jest to pozostałość z poprzednich regulacji z 1997 roku, w ramach których wymagało się umieszczenia zgody na życiorysie kandydata, pod rygorem niewykorzystania przez pracodawcę CV w procesie rekrutacji. Aktualnie przepisy nie wymagają już zgody kandydata na wykorzystanie jego danych, gdyż odbywa się to na innej podstawie prawnej tj. na zapisach Kodeksu Pracy.

Oczywiście zdarza się, że kandydat umieści w swoim CV dane ponad to czego się od niego wymaga i co jest przewidziane przepisami prawa, np. zdjęcie czy datę urodzenia, a odpowiedzią na to jest  odpowiednio opracowana klauzula informacyjna. Wystarczy dodać w niej odpowiedni zapis o treści: „Podanie innych danych w zakresie nieokreślonym przepisami prawa, zostanie potraktowane jako zgoda ( 6 ust. 1 lit a RODO) na przetwarzanie tych danych osobowych. Wyrażenie zgody w tym przypadku jest dobrowolne, a zgodę tak wyrażoną można odwołać w dowolnym czasie.”

Jeśli prowadzisz firmę i nie posiadasz jeszcze pakietu dokumentów w którym znajdziesz min. instrukcje i dokumenty związane z procesem rekrutacji, to zajrzyj do naszego  sklepu online w którym znajdziesz dokumentację przygotowaną przez specjalistów zgodną z obowiązującym prawem.

 

Tu mnie znajdziesz:

moje konto Dołącz do mnie na Facebooku

zamówienie Nie omieszkaj wbić się na instagram

YT A tu obejrzysz porady wideo

Monitoring zgodny z RODO cz. 1

Monitoring zgodny z RODO

Monitoring wizyjny nie jest czymś niezwykłym. Przedsiębiorcy wprowadzają go, aby podnieść bezpieczeństwo obiektu czy jako materiał dowodowy w przypadku konfliktu czy naruszeń jakie miały miejsce na terenie firmy czy instytucji.

Czy monitoring podlega RODO?

Niezależnie od celu, w jakim monitoring jest wdrożony, jest on narzędziem, w którym przetwarzamy biometryczne dane wizerunku różnych osób, zatem monitoring musi być zgodny z RODO. Wyzwaniem jest nie tyle odpowiednie rozmieszczenie kamer, ile prawidłowe postępowanie z nagraniami. Ważna informacja dla właścicieli monitoringu to taka, że w opinii Prezesa Urzędu Ochrony Danych Osobowych „przepisy o monitoringu nie zezwalają na nagrywanie dźwięku towarzyszącego zdarzeniom. Takie uprawnienia posiadają jedynie służby porządkowe i specjalne na podstawie ustaw regulujących ich działalność

Gdzie umieścić rejestrator monitoringu?

Kamery monitoringu prawie zawsze są podłączone do systemu, który pozwala na nagrywanie obrazu. Każdy sprzedawca tego typu rozwiązań oferuje swoje produkty, które najczęściej są zgodne z powszechnymi standardami. Jednym z nich jest zapis nagrań w postaci plików DAW. Lokalne rejestratory to urządzenia z odpowiednie dużymi i szybkimi dyskami oraz specjalistycznym oprogramowaniem do przechowywania, odtwarzania i zarządzania zapisanymi danymi.

Podstawowy problem z tego typu urządzeniami polega na tym, że większość z nich nie szyfruje danych zapisywanych na dyskach. Oznacza to, że niepowołana osoba, która uzyska dostęp do dysków, może podłączyć je do innego rejestratora tego samego producenta, lub nawet do zwykłego domowego komputera, uzyskując tym samym dostęp do zapisanych nagrań. Wymiana rejestratora na nowy model może być kosztowna, a czasem niemożliwa. W takim przypadku przedsiębiorcy powinni skupić się na fizycznej ochronie dostępu do samego rejestratora.

Wybór odpowiednich środków ochrony zależy od możliwości przedsiębiorcy i warunków technicznych budynku czy pomieszczenia. Moim zdaniem warte rozważenia są następujące metody:

  • Umieszczenie rejestratora w widocznym, publicznym miejscu. Może być nim na przykład główny hol albo recepcja biura. Dzięki temu każdy dostęp do nagrań będzie odbywał się na oczach innych osób, a podejrzanie zachowanie może zwrócić uwagę pracowników.
  • Zamknij rejestrator w szafie teleinformatycznej i zabezpiecz do niej dostęp dwoma zamkami. Najlepiej niech będą to dwie kłódki. Fabryczny zamek do szaf teleinformatycznych jest dość standardowy i nawet amator w prosty sposób go otworzy. Nie przechowuj kluzy do kłódek w jednym miejscu – najlepiej, aby do otwarcia szafy potrzebna była obecność dwóch osób, z których każda dysponuje tylko jednym z kluczy.
  • Zainstaluj rejestrator w pomieszczeniu z kontrolą dostępu. Może być to zamek elektromagnetyczny otwierany za pomocą karty zbliżeniowej. Jako dodatkowe zabezpieczenie zamykaj pomieszczenie na klucz, który udostępniany jest tylko powołanym osobom wedle ścisłej procedury.

Pamiętaj, że jeżeli nie możesz wyeliminować ryzyka, to należy je zminimalizować.

Rejestracja obrazu z kamer w innej lokalizacji

Często przedsiębiorcy oprócz zapisywania obrazu z kamer lokalnie stosują także systemy pozwalające na przesłanie obrazu do rejestratorów znajdujących się w innej lokalizacji. Jeżeli znajduje się tam fizyczny rejestrator, pamiętaj o wdrożeniu zasad bezpieczeństwa jak dla lokalnego urządzenia. Najczęściej jednak w tego typu rozwiązaniach stosuje się oprogramowanie zainstalowane na zwykłym komputerze czy wirtualnym serwerze. Musisz zatem pamiętać o wszystkich dobrych praktykach związanych z zabezpieczeniem komputera, w tym o odpowiedniej kontroli dostępu, monitorowaniu czy szyfrowaniu dysków, na których zapisywane są jakiekolwiek dane.

Wielu przedsiębiorców zapomina, że należy także odpowiednio zabezpieczyć kanał komunikacji między siedzibą firmy a zdalną serwerownią. Przesyłanie niezabezpieczonego obrazu w sieci lokalnej czy poprzez internet może spowodować jego podsłuchanie. W tym celu zalecane jest szyfrowanie ruchu. Niestety rozwiązanie takie może być dość kosztowne. Im lepszej jakości obraz będzie nagrywany, tym więcej pasma potrzebujesz na jego przesłania. W efekcie im większa będzie jakość obrazu, tym mocniejsze urządzenie do szyfrowania potrzebujesz. Alternatywny rozwiązaniem może być wykupienie usługi transmisji danych pomiędzy łączącymi dwie lokalizacje od operatora telekomunikacyjnego. Usługa taka zapewnia izolowany logicznie kanał komunikacji poprzez sieć operatora. Może to być rozwiązanie tańsze niż samodzielne szyfrowanie ruchu przesyłanego poprzez Internet. monitoring zgodny z rodo

Monitoring wizyjny w chmurze

Bardzo dobrym rozwiązaniem będzie zastosowanie monitoringu wizyjnego w systemie chmurowym, ale czy to da nam pewność, że nasz monitoring jest zgodny z RODO?. Na zestaw taki składają się kamery IP, oprogramowanie, łącze internetowe, serwer w chmurze. polega to na tym, że obraz rejestrowany przez kamery jest automatycznie przesyłany na zewnętrzny serwer  i zapisywany w ramach przyznanego limitu miejsca. Eliminuje to konieczność posiadania własnego rejestratora, a tym samym – przynajmniej teoretycznie – obniża koszt zakupu i wykonania całego systemu monitoringu.

W ten sposób eliminujesz niebezpieczeństwo związane z niepowołanym dostępem osób trzecich do fizycznego rejestratora. Zazwyczaj dostawcy takich rozwiązań bardzo dobrze zabezpieczają cały system czyniąc go bezpiecznym i niezawodnym. Tutaj jedynym zagrożeniem może być utrata danych do logowania, lub pozyskanie ich przez osoby niepowołane, które w ten sposób uzyskają dostęp do nagrań z monitoringu.

Oczywiście jak każde rozwiązanie tak i to ma swoje wady. Po pierwsze żadna usługa chmurowa nie gwarantuje 100% ochrony zapisu i można sobie wyobrazić sytuację, w której obraz z kamer zostaje zniszczony czy przechwycony w celu ustalenia np. stanu posiadania właściciela monitorowanego budynku i po drugie w wersji płatnej, czyli takiej z której możemy korzystać z kilkunastu kamer oraz przechowywać nagrany obraz przez okres dłuższy niż jeden dzień – jest to dość spory wydatek.

W każdy przypadku trzeba przeanalizować ryzyko oraz przeliczyć ewentualne wydatki oraz określić własne potrzeby jakie wiążą się z każdym systemem monitoringu. Bez względu na to, na co się zdecydujemy należy pamiętać, aby był to monitoring zgodny z RODO. W artykule Hosting zgodny z RODO dowiedz się więcej na temat hostingu i jego zabezpieczenia

 

Jeśli prowadzisz firmę i nie posiadasz jeszcze pakietu dokumentów systemowych RODO, to zajrzyj do naszego  sklepu online w którym znajdziesz dokumentację przygotowaną przez specjalistów zgodną z obowiązującym prawem.

Tu mnie znajdziesz:

moje konto Dołącz do mnie na Facebooku

zamówienie Nie omieszkaj wbić się na instagram

YT A tu obejrzysz porady wideo

Jak skutecznie usunąć dane osobowe?

Jak skutecznie usunąć dane osobowe?

Gdy wygaśnie Twoje prawo do przetwarzania danych osobowych musisz je usunąć. Samo ich przechowywanie jest czynnością przetwarzania, co do której musisz mieć podstawę. Dlatego dane, których przetwarzać już nie możesz – musisz zniszczyć. Ale jak skutecznie usnąć dane osobowe? Czasem będzie się wiązało to z ich anonimizacją, innym razem z fizycznym zniszczeniem samego nośnika. Niszczenie danych lub nośników, na których zostały one zapisane, to czynności, które powinien znać każdy administrator. Musisz zatem poznać bezpieczne i skuteczne metody niszczenia nośników danych. Przyjrzyjmy się sytuacjom, gdy dane zapisaliśmy na papierze, płycie CD czy dysku HDD.

Jak zniszczyć dane papierowe?

Jeżeli przetwarzasz dane w formie papierowej to niszczenie dokumentów najlepiej przeprowadzać w niszczarce. Ceny dobrych niszczarek do dokumentów poufnych rozpoczynają się już od 500 złotych. Niszczarka musi być zgodna z normą DIN 66399. W jej ramach zdefiniowane jest 7 poziomów bezpieczeństwa w niszczeniu dokumentów. Różnią się one między sobą szerokością, długością i powierzchnią paska ścinki powstającego jako wynik niszczenia dokumentu.

Aby skutecznie zniszczyć dane papierowe wybierz niszczarkę stosując się do prostych zasad:

  • Nie stosuj niszczarek o najniższych poziomach bezpieczeństwa P-1 i P-2. Tworzą one paski o praktycznie nielimitowanej długości. Pamiętasz film „Operacja Argo” i scenę, w której dzieci sklejają z pasków w całość dokumenty zniszczone w ambasadzie USA? To właśnie ten typ niszczarki. W dzisiejszych czasach powinno się w nich niszczyć jedynie dokumenty zawierające korespondencję wewnętrzną.
  • Urządzenia o poziomie P-3 i wyższym tworzą ścinki, a nie paski. Ponadto poza dokumentami papierowymi można w nich niszczyć nośniki danych takie jak płyty CD/DVD czy plastikowe identyfikatory. Urządzenia o poziomie P-3 należy używać, gdy niszczone są zwykłe dane osobowe, lub wrażliwe i poufne dokumenty firmowe.
  • Niszczarki o poziomie P-4 należy stosować do trwałego niszczenia dokumentów i nośników danych zawierających szczególne kategorie danych osobowych, na przykład dane medyczne.
  • Urządzenia o poziomie P-5 do P-7 stosuje się do niszczenia dokumentów, którym nadawane są rządowe lub wojskowe klasyfikacje poufności i tajności. Oczywiście nic nie stoi na przeszkodzie, by stosować je także w małej firmie. Pamiętaj jednak, że są to już urządzenia droższe i niekoniecznie najmniejsze.

Jak usunąć dane z komputera z dysku twardego?

O ile płytę CD czy DVD możesz zniszczyć w niszczarce, samodzielne fizyczne zniszczenie dysku twardego z Twojego komputera jest niewykonalne. Rozmontowanie dysku talerzowego na części nie oznacza zniszczenia danych. Są one nadal zapisane w formie magnetycznej na specjalnych talerzach. Zatem samo ich usunięcie z obudowy dysku twardego nie spowoduje zniszczenia zapisanych na nich danych.

Możesz usunąć dane z komputera z dysku twardego poprzez wielokrotne nadpisanie wszystkich sektorów dysku. Inaczej mówiąc nadpisywane są wszystkie miejsca na talerzach dysku, które przechowują dane. Każdy z takich sektorów może przyjąć binarną wartość 0 lub 1. Wszystkie Twoje pliki to dla komputera wielkie uporządkowane zbiory zer i jedynek. Operację usuwania danych przez nadpisywanie należy wykonywać zewnętrznymi programami do tego przeznaczonymi.

Istnieje co najmniej kilkanaście standardów pozwalających usunąć dane osobowe przez wielokrotne nadpisanie sektorów dysku twardego. Jednym z nich jest DoD 5220.22-M. Jest to standard opublikowany przez U.S. Department of Defense (DoD). Jego podstawowa wersja zakłada nadpisanie dysku w trzech cyklach. W pierwszym z nich wszystkie sektory nośnika są nadpisywane zerami. W drugim cyklu program czyszczący nadpisuje wszystkie sektory jedynkami. W trzecim zaś ponownie każdy sektor zapisywany jest w sposób losowy zerem lub jedynką. Na koniec wykonywany jest jeszcze czwarty, kontrolny cykl weryfikujący.

Oryginalny standard DoD 5220.22-M składa się zatem z trzech cykli nadpisywania danych. W 2001 roku został on w specyfikacji DoD 5220.22-M ECE rozszerzony do siedmiu cykli. Oba te standardy, bardzo rozpowszechnione, nie są już uważane za w pełni bezpieczne. Co więcej są wysoce nieskuteczne w przypadku dysków SSD. Oryginalny DoD 5220.22-M nie jest uznawany za skuteczny już od 2001 roku. Jego nowsze wydania od 6 maja 2019 roku nie znajdują się w dozwolonych metodach w jednostkach rządowych Stanów Zjednoczonych. Obecnie wymaga się stosowania metod opisanych w NIST SP 800-88.

Kolejnym narzędziem za pomocą którego możemy usunąć dane z dysku magnetycznego jest Hardwipe – bezpłatne narzędzie, z pomocą którego trwale usuniemy poufne dane przechowywane na dysku twardym (bez możliwości ich odzyskania). Możesz również oczyszczanie dysku z danych powierzyć wyspecjalizowanej firmie, która skutecznie zniszczy dane osobowe zmagazynowane na dyskach twardych.

Pamiętaj aby z procesu niszczenia danych osobowych sporządzić raport lub protokół, który spełni zasadę rozliczalności z tego procesu. Wzór takiego raportu znajdziesz tu: protokół zniszczenia

Więcej na temat usuwania danych osobowych oraz wygaśnięcia prawa do ich przetwarzania znajdziesz w innym moim tekście pod tym linkiem

 

Jeśli prowadzisz firmę i nie posiadasz jeszcze pakietu dokumentów systemowych RODO, to zajrzyj do naszego  sklepu online w którym znajdziesz dokumentację przygotowaną przez specjalistów zgodną z obowiązującym prawem.

Tu mnie znajdziesz:

moje konto Dołącz do mnie na Facebooku

zamówienie Nie omieszkaj wbić się na instagram

YT A tu obejrzysz porady wideo

Wysłanie Maila Do Złego Adresata

Wysłanie maila do złego adresata to dość powszechna pomyłka. Każdemu się zdarzyła pewnie nie raz, także i mnie. Czasem błąd polega na wybraniu złego odbiorcy z książki adresowej, innym razem na literówce we wpisywanym ręcznie adresie odbiorcy. Serwer pocztowy odbiorcy może zwrócić wiadomość z komunikatem „odbiorca o danym adresie nie istnieje”. Wtedy spada kamień z serca, bo Twój e-mail nie został do nikogo doręczony. Gdy odbiorca jednak istnieje wtedy masz do czynienie z incydentem związanym z przetwarzaniem danych. Czy oznacza to kłopoty?

Mail wewnętrzny i zewnętrzny

Pomyłka w adresie odbiorcy może dotyczyć zarówno wiadomości wysyłanych wewnątrz firmy jak i poza nią. Zazwyczaj, gdy myślimy o tego typu incydentach, mamy na myśli e-maile, które wysyłasz poza swoją organizację. Jednak także maile będące częścią komunikacji wewnętrznej mogą stanowić naruszenie. Pamiętaj, że jest nim każde ujawnienie danych osobowych osobom nieupoważnionym, niezależnie od miejsca ich przebywania czy pracy. Dlatego wysłanie maila do złego odbiorcy także wewnątrz organizacji może być zaklasyfikowane jako incydent. Jako administrator powinieneś uczulić na to swoich pracowników.

Takie naruszenie przetwarzania danych osobowych może nastąpić w każdej firmie niezależnie od jej wielkości. W dużych korporacjach jeżeli wyślesz e-mail z danymi kontrahenta czy listą osób zapisanych do newslettera do osoby z niewłaściwego pionu czy działu będzie to naruszenie. Programista, który jest odbiorcą tej wiadomości nie miał prawa poznać tych danych. Upoważnienie do ich przetwarzania w ramach tych czynności mają odpowiednio pracownicy działu zamówień i marketingu. W małych firmach naruszeniem może być wysłanie danych osobowych umieszczonych na CV kandydata do pracy do złego pracownika. Zatem pamiętaj, że także pomyłki w wewnętrznej korespondencji stanowią naruszenie.

Czy wysyłka maila do złego adresata to naruszenie danych osobowych?

Gdy już stwierdzisz, że wystąpił incydent związany z przetwarzaniem danych osobowych to musisz podjąć decyzję o dalszym postępowaniu. Tu nie masz dużego wyboru, konkretne obowiązki nakłada na Ciebie wprost RODO. Każdą taką sytuację musisz odnotować w rejestrze naruszeń który znajdziesz się w pakiecie RODO dla firm jednoosobowych oraz Pakiecie RODO dla firm zatrudniających pracowników. Jest to jeden z dokumentów, które każde przedsiębiorstwo musi prowadzić. Reguluje to artykuł 33 w punkcie 5.

Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania niniejszego artykułu.

Artykuł 33, punkt 5

Ponadto incydent musisz zgłosić do organu nadzorczego, czyli Urzędu Ochrony Danych Osobowych, chyba że jest mało prawdopodobne, by incydent skutkował ryzykiem naruszenia praw lub wolności osób fizycznych. Jeżeli żadna z tych przesłanek nie jest spełniona masz 72 godziny na poinformowanie UODO. Wtedy też bez zbędnej zwłoki, zgodnie z zapisami artykułu 34 RODO, musisz poinformować o tym zdarzeniu osobę poszkodowaną, której dane zostały ujawnione. Samo odnotowanie w rejestrze naruszeń nie wystarczy.

Pamiętaj, jeśli w treści wysłanej wiadomości e-mali lub w załączniku do tej wiadomości, umieszczone były dane osobowe, które mogłyby być wykorzystane przez nieuprawnioną osobę i spowodować jej szkodę, to należy taki zdarzenie zakwalifikować jako incydent naruszenia bezpieczeństwa i jak najszybciej podjąć kolejne kroki. Kolejna ważna rzecz – jeśli wsród wysłanych danych znalazły się te wymienione w art. 9 RODO, czyli w mailu znajdują się dane wrażliwe typu pochodzenie etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych lub dane genetyczne, dotyczące zdrowia lub życia seksualnego, to należy automatycznie uznać, że występuje duże prawdopodobieństwo wystąpienia takiej szkody.

O tym czy wysłanie maila do złego odbiorcy zostanie zaklasyfikowane jako incydent decyduje administrator. Tak samo jest to jego decyzja czy należy powiadomić o zdarzeniu organ nadzorczy i osoby, których dane ujawniono. Jako właściciel przedsiębiorstwa musisz ją podjąć po dokonaniu odpowiedniej oceny zdarzenia. Niektóre sytuacje, jak ujawnienie danych z dowodu osobistego, na pewno będą wymagały takiego zgłoszenia i powiadomienia poszkodowanych. Inne mogą wymagać jedynie dokonania wpisu w rejestrze incydentów. Sprawdź artykuł „72 godziny na zgłoszenie naruszenia” w którym znajdziesz kilka pomocnych przykładów. Zawiera on także rekomendacje, w jaki sposób przedsiębiorca może się przygotować na wystąpienie incydentu. Dowiesz się z niego w jaki sposób przygotujesz swoją firmę na wypadek wystąpienia naruszenia.

Tu mnie znajdziesz:

moje konto Dołącz do mnie na Facebooku

zamówienie Nie omieszkaj wbić się na instagram

YT A tu obejrzysz porady wideo

Skrzynka byłego pracownika a RODO

Skrzynka byłego pracownika a RODO

Wiele przedsiębiorstw tworzy pracownikom konta i adresy e-mail, które zawierają ich imię i nazwisko. Lecz nawet gdy mamy jakąś formę skróconej nazwy lub samo imię to także ten adres stanowi daną osobową. Gdy wygasa lub zostanie rozwiązana umowa z danym pracownikiem powstaje pytanie co dalej z jego adresem i korespondencją zrobić. Czy nadal możemy korzystać ze skrzynki byłego pracownika czy może należy ja usunąć? Jak powinniśmy postąpić aby wszystko było zgodne z przepisami. W poniższym artykule pt. „Skrzynka byłego pracownika a RODO” znajdziecie odpowiedź na te pytania.

Pracownik odchodzi z firmy

Gdy współpraca z daną osobą się kończy, niezależnie od tego czy była to umowa o pracę, umowa-zlecenie czy kontrakt b2b, przedsiębiorca musi odpowiedzieć sobie na dwa pytania:

  1. Co zrobić z pocztą, która znajduje się w skrzynce byłego pracownika?
  2. Jak postępować, gdy klienci będą dalej wysyłać wiadomości do tej osoby?

Odpowiedź na pierwsze pytanie powinna być zawarta w regulaminie pracy oraz regulaminie wykorzystania sprzętu IT. Zazwyczaj skrzynka pocztowa jest udostępniana przełożonemu danej osoby, aby możliwe było skopiowanie z niej informacji niezbędnych do dalszego działania firmy. Jeżeli w regulaminie wykorzystania sprzętu IT nie zabroniliśmy wykorzystywania służbowego adresu do korespondencji prywatnej musimy uczulić przełożonych, że prywatna korespondencja nie może być czytana. Gdy wszystkie niezbędne dane zostaną ze skrzynki skopiowane powinna ona zostać zarchiwizowana. Archiwizacja pozwoli na dostęp do niej gdyby w przyszłości okazało się, że znajdują się tam potrzebne nam informacje.

Uzasadniony interes administratora

Nie spotkałam się jeszcze z przypadkiem, by firma informowała swoich klientów czy partnerów handlowych, że zakończyła współpracę z danym pracownikiem. Powstaje zatem problem co zrobić z nowymi wiadomościami, które osoby zarówno z naszej firmy jak i spoza organizacji mogą nadal wysyłać na adres tej osoby. Jednym z rozwiązań jest skonfigurowanie na serwerze pocztowym stałego przekierowania poczty przychodzącej na adres innej osoby. Nigdy nie byłam zwolennikiem tej metody – długoterminowo prowadzi ona do problemów ze spójnością konfiguracji usługi poczty. Może też prowadzić do ujawnienia prywatnych informacji o odchodzącej osobie innemu pracownikowi – nawet jeżeli zabronimy w regulaminie wykorzystywania poczty do celów prywatnych nie oznacza to, że wszyscy pracownicy się zastosują.

Urząd Ochrony Danych Osobowych rekomenduje inne podejście jako zgodne z RODO. Po pierwsze w komunikacie Prezes urzędu zauważa, że dalsze przetwarzanie danych osobowych odchodzącego pracownika ma swoje uzasadnienie prawne. Jest nim tak zwany uzasadniony interes administratora. Taka interpretacja jest też logiczna – to że pracownik odchodzi nie znaczy, że firma ma tracić wypracowane przez niego relacje biznesowe. Urząd wskazuje jednak, że właściwe rozwiązanie w takiej sytuacji to odrzucenie przychodzących wiadomości i ustawienie automatycznej wiadomości zwrotnej, informującej nadawcę o nowej osobie kontaktowej.

Zadbaj o procedury

Po pierwsze miej przygotowany stały plan postępowania w takiej sytuacji. Rotacja kadrowa nie jest niczym nadzwyczajnym nawet w małych przedsiębiorstwach. Ważne aby wszystkie czynności wykonywać sprawnie i krok po kroku. Zwróć uwagę na takie rzeczy:

  1. Jeżeli zwalniasz pracownika lub on sam rozwiązał umowę o pracę to w okresie wypowiedzenia monitoruj jakie pliki będzie otwierał czy kopiował. Jeżeli to możliwe sprawdź logi z ostatnich kilku tygodni. Próby wyniesienia firmowych danych nie są niestety sytuacją marginalną.
  2. Wyloguj pracownika ze wszystkich usług na wszystkich urządzeniach. Większość usług chmurowych (Google G Suite, Microsoft Office365 i inne usługi internetowe) pozwalają na wykonanie tej czynności z panelu administratora.
  3. Zablokuj wszystkie konta pracownika by uniemożliwić mu ponowne logowanie. Nie kasuj ich jednak od razu. Skasowanie konta może spowodować usunięcie danych.
  4. Ustaw odpowiedni komunikat zwrotny dla nowo przychodzącej poczty
  5. Wykonaj kopię niezbędnych danych z każdego serwisu.
  6. W możliwie krótkim terminie przełożony pracownika powinien przejrzeć zabezpieczone dane i skopiować te niezbędne do dalszej pracy.
  7. Na koniec usuń wszystkie konta pracownika

Pamiętaj, że to tylko niektóre z czynności jakie musisz wykonać. Zadbaj o to by procedura była klarowna i zawsze aktualna. W razie potrzeby skonsultuj się ze swoim prawnikiem, aby upewnić się, że czynności które podejmujesz są zgodne z prawem.


Jeśli prowadzisz firmę jednoosobową i nie posiadasz jeszcze systemy ochrony danych to tu znajdziesz gotowy pakiet dokumentacji RODO dla jednoosobowej działalności która pozwoli Ci bez wysiłku wdrożyć RODO w Twojej firmie.

Natomiast jeśli zatrudniasz pracowników to odpowiedni będzie dla Ciebie pakiet RODO dla pracodawców w którym znajdziesz dokumentację niezbędną do zachowania zgodności z rozporządzeniem o ochronie danych osobowych.

 

Tu mnie znajdziesz:

moje konto Dołącz do mnie na Facebooku

zamówienie Nie omieszkaj wbić się na instagram

YT A tu obejrzysz porady wideo

Jak usunąć dane osobowe

Jak usunąć dane osobowe w poprawny sposób. Takie pytanie zadasz sobie w momencie, kiedy nie będziesz mógł już przetwarzać zebranych danych osobowych, które zapisałeś w chmurze, na dyskach komputerów czy na kartkach zgromadzonych w segregatorze. Gdy wygaśnie podstawa do ich przetwarzania, nie wystarczy po prostu je ignorować. RODO nakłada na Ciebie konkretne obowiązki. Jeżeli to możliwe warto zaplanować, co zrobisz z danymi, najlepiej już na etapie projektowania procesu ich przetwarzania. Pamiętaj, że przechowywanie danych samo w sobie jest czynnością przetwarzania. Usunięcie ich to minimum tego, co musisz zrobić. Czasem jednak będzie to niewystarczające.

Kiedy wygasa prawo do przetwarzania danych

Danych osobowych nie można przetwarzać w nieskończoność. Istnieje kilka powodów, gdy wygasa Twoje prawo do przetwarzania danych osobowych, najczęściej spotykane to:

  • Wycofana zostanie zgoda na przetwarzanie. O ile zgoda nie wynika z innych przepisów wycofanie jej przez osobę, która powierzyła Ci dane osobowe, wymaga od Ciebie zaprzestania ich przetwarzania.
  • Osoba złoży żądanie usunięcia danych. Oczywiście tak jak w przypadku wycofania zgody przetwarzanie nie może być wymagane innymi przepisami.
  • Nie są już niezbędne do celów, w których zostały zebrane.
  • Upłynął okres, który został wyznaczony na przetwarzanie danych.
  • Dane są przetwarzane niezgodnie z prawem. Obecnie taka sytuacja powinna mieć jedynie miejsce, gdy nastąpi zmiana prawa. Jeżeli przetwarzasz dane zebrane niezgodnie z RODO, to od ponad roku przetwarzasz je nielegalnie

Usunięcie, a niszczenie danych osobowych

Jeżeli ustało Twoje prawo do przetwarzania danych osobowych, to w jakiś sposób musisz się ich pozbyć. Inaczej będziesz miał trupa w szafie, który może sprowadzić na Ciebie kłopoty. Dane możesz usunąć albo zniszczyć.

Jak usunąć dane osobowe.  

Jest to operacja polegająca na ich trwałym skasowaniu z nośnika, na którym są one przechowywane. W przypadku danych cyfrowych mówimy o takich operacjach jak skasowanie odpowiednich plików z dysku twardego, czy usunięciu rekordów z bazy danych. W dokumentach papierowych odpowiednikiem tej operacji będzie anonimizacja polegająca na zamazaniu danych, których przetwarzać już nie wolno. Pamiętaj, że samo przechowywanie danych osobowych jest czynnością przetwarzania.

Niszczenie danych to proces, w którym destrukcji ulega nośnik, na którym dane są zapisane, oczywiście wraz z tymi danymi.

Procedurę niszczenia i usuwania danych osobowych znajdziesz w pakietach dokumentacji RODO dla firm. Jeśli prowadzisz jednoosobową firmę to optymalny będzie Pakiet dokumentacji RODO dla jednoosobowej firmy, natomiast dla przedsiębiorców zatrudniających pracowników odpowiedni będzie Pakiet dokumentacji RODO dla firm zatrudniających pracowników.

Polityka niszczenia danych osobowych powinna być ujednolicona. Dobra praktyką jest sporządzanie protokołów zniszczenia z procesu niszczenia danych osobowych zwłaszcza jeśli robimy to zbiorczo. Wtedy zabezpieczymy się przed ewentualnymi roszczeniami i zarzutami.

Kiedy niszczyć dane osobowe, a kiedy usunięcie danych osobowych wystarczy?

W zależności od sytuacji i potrzeb należy wybrać jeden z tych dwóch sposobów. W większości przypadków trwałe usunięcie danych osobowych będzie wystarczające. Jest jednak kilka sytuacji, w których zniszczenie jest rekomendowaną, lub jedyną metodą:

  • Sprzęt komputerowy lub sam nośnik danych w Twojej firmie zostanie przeznaczony do likwidacji z powodu jego uszkodzenia lub gdy stanie się on zbędny.
  • Zaistnieje konieczność zniszczenia dokumentacji papierowej, w przypadku gdy wszystkie dane na niej zapisane nie są już przetwarzane
  • Nośnik jednorazowego zapisu z kopią zapasową zawierać będzie dane, których firma nie ma podstaw już do przetwarzania (na przykład płyta CD/DVD)
  • Uszkodzeniu ulegnie nośnik wielokrotnego zapisu z kopią zapasową lub stanie się on dla firmy nieprzydatny z innych powodów (na przykład nośniki oparte o taśmę magnetyczną)
  • Urządzenia pamięci przenośnej przestaną być potrzebne na skutek ich uszkodzenia lub zużycia (na przykład pendrive)

Podjęcie decyzji czy dane zostaną usunięte czy zniszczony cały nośnik zawsze musi być podyktowana ochroną informacji, które zostały na nim zapisane. Jeżeli istnieją uzasadnione obawy, że zapisane na nim dane mogą zostać po skasowaniu, odzyskane należy nośnik odpowiednio zniszczyć. Usunięcie danych będzie w takich sytuacjach nieskuteczne.

 

Tu mnie znajdziesz:

moje konto Dołącz do mnie na Facebooku

zamówienie Nie omieszkaj wbić się na instagram

YT A tu obejrzysz porady wideo