utworzone przez Anna Zamojcin | paź 27, 2022
RODO w procesie rekrutacji
Bez względu na to, w jaki sposób pracodawca będzie poszukiwał kandydatów do pracy, proces rekrutacji zawsze będzie wiązał się z pozyskiwaniem przez niego danych osobowych zawartych w dokumentach rekrutacyjnych (CV, listach motywacyjnych, świadectwach pracy, listach referencyjnych, zaświadczeniach itd.).
Podczas tego procesu musisz kierować się kilkoma zasadami:
- Pracodawca powinien przetwarzać tylko takie dane, które są niezbędne ze względu na cel ich zbierania – pamiętaj więc aby w ogłoszeniu prosić tylko o takie dane które są zasadne do poprawnej oceny kandydata, zakres tych danych został wyraźnie wskazany w art. 22 Kodeksu pracy.
- Dane osobowe nie mogą być zbierane na zapas – oznacza to, że nie możesz zbierać CV jeśli nie prowadzisz aktualnie naboru na konkretne stanowisko.
- Żądanie przez pracodawcę od kandydatów do pracy informacji wykraczających poza to, co przede wszystkim przewidują przepisy prawa pracy może naruszać prywatność kandydata np. prośba o podanie kontaktu do byłego pracodawcy w celu uzyskania opinii.
Jakich danych może żądać pracodawca od kandydata w toku rekrutacji
Zakres danych wskazany został w art. 22 Kodeksu pracy
- identyfikacyjne (imię, nazwisko, imiona rodziców, data urodzenia);
- kontaktowe (adres zamieszkania)
- dane o wykształceniu, umiejętnościach, doświadczeniu zawodowym (ukończonych szkołach oraz studiach, przebytych szkoleniach i kursach, poprzednich pracodawcach, zajmowanych stanowiskach oraz obowiązkach zawodowych)
Jest to katalog danych, których pracodawca może żądać od kandydata do pracy, w celu podjęcia działań zmierzających do zawarcia z nim umowy. Co istotne,
z uwagi na specyfikę procesu rekrutacji, do zawarcia tej umowy wcale nie musi ostatecznie dojść. RODO w procesie rekrutacji.
Jakich danych pracodawca nie może żądać od kandydata do pracy?
- danych wykraczających poza zakres, który został wskazany w przepisach prawa,
- danych nadmiarowych, w szczególności takich, które nie mają związku z celem, jakim jest zatrudnienie pracownika (np. danych o stanie cywilnym, wyznaniu, poglądach religijnych czy orientacji seksualnej).
Wyjątki określone prawem np. wymóg niekaralności
- nauczyciele (art. 10 ust. 8a ustawy – Karta Nauczyciela),
- straż graniczna (art. 31 ust. 1 ustawy o Straży Granicznej),
- detektywi (art. 29 ust. 2 ustawy o usługach detektywistycznych),
- osoby ubiegającej się o zatrudnienie w podmiotach sektora finansowego
rodo w procesie rekrutacji wymaga dostosowania do wielu przepisów także sektorowych
Czy pracodawca musi poinformować kandydatów do pracy o przetwarzaniu ich danych osobowych?
Tak, tego wymaga RODO w procesie rekrutacji. Każdy potencjalny pracodawca, który zbiera dane od kandydatów do pracy, jest zobowiązany poinformować te osoby o:
- pełnej nazwie i adresie swojej siedziby,
- danych kontaktowych inspektora ochrony danych (o ile go wyznaczył),
- celu przetwarzania danych oraz podstawie prawnej przetwarzania,
- znanych mu w chwili gromadzenia danych odbiorcach danych (rozumianych szeroko) lub ich kategoriach,
- zamiarze transgranicznego przetwarzania danych (o ile taki istnieje),
- okresie, przez który dane będą̨ przetwarzane bądź kryteriach ustalania tego okresu,
- przysługujących jej prawach do żądania dostępu do danych, w tym otrzymania ich kopii, ich sprostowania, usunięcia lub ograniczenia ich przetwarzania,
- prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność́ z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem (jeżeli dane są zbierane na podstawie zgody),
- prawie wniesienia skargi do Prezesa UODO,
- dobrowolności lub obowiązku podania danych i konsekwencjach ich nie podania.
Pracodawca ma obowiązek poinformować kandydata do pracy o tych okolicznościach w chwili pozyskiwania tych danych w sposób jasny, czytelny i łatwo dostępny dla kandydata. Może to zrobić np. w treści ogłoszenia o pracę lub w informacji zwrotnej bezpośrednio po otrzymaniu od kandydata aplikacji do pracy. Pamiętaj zatem aby w Twojej dokumentacji systemowej znalazł się wzór klauzuli informacyjnej dla kandydatów do pracy.
Czy kandydat musi wyrazić zgodę na przetwarzanie danych osobowych?
NIE. Dotychczasowe praktyki polegające na umieszczeniu na CV przez kandydata zgody na przetwarzanie jego danych osobowych nie są prawidłowe. Dane kandydata przetwarzane są na podstawie przepisów prawa (art 6.1.b) zawartych w Kodeksie Pracy w art. 22, a nie na podstawie wyrażonej zgody.
Są jednak pewne wyjątki kiedy zgoda jest wymagana:
- Przetwarzanie danych wrażliwych dotyczących stanu zdrowia (o ile administrator nie legitymuje się przepisem prawa, który zobowiązuje go do ich przetwarzania tego typu danych np. policja)
- Wykorzystanie CV kandydata do celu jakim jest przyszła rekrutacja.
Ważne jest aby kandydat został poinformowany o możliwości i sposobie wycofania zgody. Sposób wycofania zgody powinien być równie łatwy, jak było jej wyrażenie. Zgoda na przetwarzanie danych np. w celu kolejnych rekrutacji może być wycofana w dowolnym momencie. W takiej sytuacji pracodawca traci uprawnienie do dalszego przetwarzania tych danych i powinien niezwłocznie je usunąć. O prawie do wycofania zgody pracodawca powinien poinformować́ kandydata w momencie pozyskania jego danych.
O co więc chodzi z tymi formułkami RODO na CV?
Jest to pozostałość z poprzednich regulacji z 1997 roku, w ramach których wymagało się umieszczenia zgody na życiorysie kandydata, pod rygorem niewykorzystania przez pracodawcę CV w procesie rekrutacji. Aktualnie przepisy nie wymagają już zgody kandydata na wykorzystanie jego danych, gdyż odbywa się to na innej podstawie prawnej tj. na zapisach Kodeksu Pracy.
Oczywiście zdarza się, że kandydat umieści w swoim CV dane ponad to czego się od niego wymaga i co jest przewidziane przepisami prawa, np. zdjęcie czy datę urodzenia, a odpowiedzią na to jest odpowiednio opracowana klauzula informacyjna. Wystarczy dodać w niej zapis o treści: „Podanie innych danych w zakresie nieokreślonym przepisami prawa, zostanie potraktowane jako zgoda ( 6 ust. 1 lit a RODO) na przetwarzanie tych danych osobowych. Wyrażenie zgody w tym przypadku jest dobrowolne, a zgodę tak wyrażoną można odwołać w dowolnym czasie.” Widzisz więc, że RODO w procesie rekrutacji nie jest zbyt skomplikowane i wystarczy znać kilka podstawowych zasad którymi należy się kierować podczas poszukiwania praciwników.
Jeśli prowadzisz firmę i nie posiadasz jeszcze pakietu dokumentów w którym znajdziesz min. instrukcje i dokumenty związane z procesem rekrutacji, to zajrzyj do naszego sklepu online w którym znajdziesz dokumentację przygotowaną przez specjalistów zgodną z obowiązującym prawem.
Tu mnie znajdziesz:
Dołącz do mnie na Facebooku
Nie omieszkaj wbić się na instagram
YT A tu obejrzysz porady wideo
utworzone przez Anna Zamojcin | paź 12, 2021
Służbowa Komórka i laptop a RODO
W ostatnich latach głośnym echem przez media przeszła sprawa aplikacji FaceApp pozwalającej na modyfikację wizerunku osoby ze zdjęcia. Niezwykle popularna stała się funkcja pozwalająca zobaczyć, jak osoba ze zdjęcia może wyglądać za 20-30 lat. Odezwały się głosy urzędników z Ministerstwa Cyfryzacji o niebezpieczeństwie utraty danych z telefonu, czy specjalistów od bezpieczeństwa z Niebezpiecznika o tym, jak sprzedajemy swoje dane w zamian za darmowe aplikacje.
A co jeżeli w taki sam nierozważny sposób używamy służbowego telefonu? Czy narażamy się na wyciek danych, incydent przetwarzania, kary i utratę reputacji? Zdecydowanie tak, dlatego musisz zmienić swoje przyzwyczajenia i na początek wdrożyć proste zasady używania komórki i laptopa.
Zanim zajmę się samymi aspektami korzystania ze służbowego telefonu, muszę jasno odpowiedzieć na bardzo często powtarzające się pytanie – kiedy mówimy o przetwarzaniu danych osobowych? Odpowiedź jest prosta: zawsze, chyba że mamy do czynienia z jednym z wyłączeń zdefiniowanych w RODO. Zatem bardziej słuszne jest pytanie – kiedy nie przetwarzasz danych osobowych? Nie przetwarzasz danych osobowych używając komórki prywatnej do prywatnych celów.
Prywatny sprzęt do celów służbowych
Pojęcie „służbowy telefon” czy „służbowy laptop” bardzo często pojawia się w słowniku osób zatrudnionych w korporacjach. Wiele z nich kusiło możliwością wykorzystywania sprzętu służbowego do celów prywatnych, stosując to jako zachętę do podjęcia pracy. Natomiast osoby pracujące w modelu b2b często do pracy wykorzystywały swoje urządzenia, a nie te dostarczone przez zleceniodawcę. Doprowadzało to do sytuacji w której dane prywatne były przechowywane razem z danymi służbowymi.
Łączenie funkcji telefonu służbowego i prywatnego jest wygodne, ale może być niebezpieczne z punktu widzenia RODO. Dane prywatne i służbowe zaczynają się na nim mieszać. RODO nie jest rozporządzeniem zawierającym detale techniczne, mówiące jak należy wdrażać zawarte w nim zapisy. To przedsiębiorca ma podejmować odpowiednie decyzje, uwzględniając charakter branży, zakres przetwarzanych danych czy zagrożenia. Zatem nie znajdziemy w nim pojęć urządzenia prywatnego czy służbowego. Pracodawca, który wyraził zgodę na wykorzystywanie przez pracownika prywatnych urządzeń do wykonywania obowiązków służbowych musi zastosować odpowiednie procedury, polityki i uwzględnić sytuację w analizie ryzyka.
Poniżej kilka rad, na jakie aspekty przede wszystkim zwracać uwagę i jak wdrożyć proste zasady używania komórki i laptopa u siebie i swoich pracowników.
Jak zabezpieczyć komórkę i laptopa
Na początku zadbaj o bezpieczeństwo fizyczne urządzenia i zapisanych w nim danych. Poniżej znajdziesz zasady, które musisz sobie przyswoić niezależnie od tego, czy to Twoje urządzenie prywatne, czy służbowe:
- Zabezpiecz dostęp do komputera silnym hasłem (co najmniej kilkanaście znaków w tym duże i małe litery, cyfry i znaki specjalne). Jak takie hasło stworzyć możesz przeczytać tutaj. Alternatywnie użyj managera haseł. Pamiętaj by nie stosować tego hasła nigdzie indziej.
- W urządzeniach mobilnych zastosuj również alfanumeryczne hasło. Jeżeli zdecydujesz się na kod PIN, niech będzie on co najmniej 6-cyfrowy. Zastosowanie dodatkowo biometrii, czyli odcisku palca lub rozpoznawania twarzy, także jest bezpieczne. Co do zasady musisz mieć ustawione możliwie najsilniejsze zabezpieczenie. Sprawdź jednak, jak awaryjnie się je wyłącza (np. w iPhone wystarczy 5 razy szybko kliknąć przycisk z prawej strony, którym normalnie blokujesz telefon).
- Jeżeli Twój telefon na to pozwala, włącz opcję przywracania ustawień fabrycznych po 10 nieudanych próbach logowania.
- Włącz szyfrowanie dysków, pamięć telefonu czy wymiennych kart pamięci. Na komputerach musisz je włączyć samodzielnie (BitLocker w Windows, FileVault w MacOS). Pamiętaj, że szyfrowanie nic nie da, jeżeli nadal będziesz komputer usypiać po skończonej pracy. W takim stanie klucze szyfrujące są nadal w pamięci urządzenia. Musisz je albo wyłączyć, albo hibernować.
- Telefony i tablety Apple mają domyślnie włączone szyfrowanie pamięci, tak samo nowsze urządzenia z Androidem. W starych musisz to zabezpieczenie włączyć samodzielnie. Nie zapomnij o wyjmowalnych kartach pamięci!
- W przypadku zgubienia czy kradzieży telefonu skorzystaj z dostarczonych przez producentów narzędzi pozwalających na zlokalizowanie urządzenia. Koniecznie wymuś jego wyczyszczenie i przywrócenie do ustawień fabrycznych zdalnie, gdyby tylko zguba zalogowała się do sieci GSM albo WiFi.
- W żadnym wypadku nie dawaj urządzenia do rąk nieznajomym, a już na pewno, gdy jest ono odblokowane. Odchodząc od komputera pamiętaj by go zablokować, a gdy odchodzisz na dłużej wyłączaj lub hibernuj.
Poczta, kalendarz, kontakty – zasady współdzielenia
Bardzo wygodnym rozwiązaniem jest wykorzystywanie tego samego urządzenia do obsługi prywatnej i służbowej poczty, kalendarza czy książki adresowej. Niemniej chwila nieuwagi może skończyć się incydentem, który co najmniej musisz odnotować w rejestrze incydentów. Wystarczy, że wyślesz e-mail z prywatnej skrzynki zamiast służbowej, lub zapiszesz dane kontaktowe w złej książce adresowej. Dlatego wprowadź proste i czytelne zasady oddzielania danych prywatnych i służbowych.
Aby uniknąć takich sytuacji, postaraj się korzystać z oddzielnych aplikacji do czynności prywatnych i służbowych. Tak robię ja. Do poczty prywatnej na telefonie czy laptopie wykorzystuję Apple Mail, czyli wbudowaną aplikację w MacOS czy iOS. Do służbowej zaś, ponieważ korzystam z pakietu Office365, mam na urządzeniach zainstalowanego klienta Microsoft Outlook. Ty możesz zainstalować dowolną inną aplikację pocztową do swojej skrzynki. W przypadku kalendarza przyjęłam zasadę, że korzystam tylko z usługi z Office365 zarówno do celów prywatnych, jak i służbowych, ewentualnie zapisuje wydarzenia bezpośrednio w wewnętrznym kalendarzu telefonu.
Prywatne spotkania i tak wpływają na wydarzenia służbowe, a dzięki temu nie ryzykuję zapisania służbowego spotkania z danymi klienta w prywatnym kalendarzu. Pilnuję jednak, żeby raczej nie wpisywać danych osobowych w prywatne spotkania. W przypadku, gdy zatrudniasz osoby możesz w regulaminie zakazać takiego współdzielenia kalendarza. Stwórz regulamin który będzie zawierać spisane wszystkie zasady korzystania z urządzeń w firmie. Służbowa komórka i laptop a rodo
Uprawnienia aplikacji na telefonie
Jest takie powiedzenie, że jednym z dwóch największych kłamstw Internetu jest stwierdzenie „przeczytałem i akceptuję warunki użytkowania„. Niestety prawda jest taka, że niewiele osób zawraca sobie głowę przeczytaniem polityki prywatności. Często nie jest ona napisana najprostszym językiem, mimo że RODO to narzuca. Prowadzi to do sytuacji, że powierzamy nasze dane, często bardzo osobiste, firmom trzecim i tracimy w ten sposób nad nimi kontrolę, a także naszą prywatność.
Jako społeczeństwo mamy nawyk dość lekkomyślnego zgadzania się na dostęp do zgromadzonych na urządzeniu danych o nas i osobach trzecich. Udostępniamy je aplikacji i jej twórcom bez świadomości co się z nimi będzie działo. Jest to ignorancja która powoduje, że nie zapala nam się w głowie żółta ostrzegawcza lampka, gdy aplikacja kalkulatora prosi o dostęp do książki adresowej czy zdjęć. A powinna, bo przecież po co kalkulatorowi dostęp do tych danych?
Warto zachować czujność, gdy nowo zainstalowana na telefonie aplikacja prosi o dostęp do poczty, książki adresowej, kalendarza, zdjęć lub plików. Niebezpieczna może być też zgoda na monitorowanie wykonywanych na telefonie czynności. Aplikacje bankowe czy pozwalające na zamówienie przewozu często proszą o dostęp do książki adresowej, aby ułatwić przelewy czy wybór miejsca docelowego podróży. Zadaj sobie pytanie czy na pewno tego potrzebujesz. Ja rekomenduję, aby takiej zgody nie udzielać, jeżeli jednak chcesz z tych funkcjonalności korzystać, zadbaj o dopełnienie wszystkich wymogów formalnych, które stawia RODO.
Zarówno w życiu prywatnym, jak i w pracy zawodowej, trzeba z wyprzedzeniem myśleć i rozumieć jak działają aplikacje czy strony, którym przekazujemy jakieś dane. Zwracaj uwagę na to, czy masz uzasadniony cel, w którym je przekazujesz i podpisaną umowę powierzenia. Jeżeli aplikacja prosi o dostęp do zasobów pomyśl, czy na pewno jest to konieczne. W szczególności odmawiaj takiego dostępu, gdy wykorzystujesz ją do celów prywatnych. Łatwo w ten sposób możesz udostępnić dane osobowe klientów czy partnerów biznesowych.
Znane jest powiedzenie „lepiej zapobiegać niż leczyć„. Pasuje ono także do ochrony danych osobowych i samego ich przetwarzania. Lepiej zmienić swoje nawyki i nauczyć się nowych bezpiecznych zachowań, niż usuwać skutki incydentu. Wyciek danych może uszczuplić nie tylko Twój portfel, ale co ważniejsze nadszarpnąć reputację. Karę może nałożyć UODO, zadośćuczynienia domagać może się sam poszkodowany. Dlatego przede wszystkim przejrzyj swój telefon oraz laptop i cofnij uprawnienia aplikacjom, które nie są Ci niezbędne. Z części z nich po prostu zrezygnuj. Możesz też zakupić oddzielne urządzenia i całkowicie odseparować swoje sprawy zawodowe od prywatnych.
Potrzebujesz pomocy w sprawach bezpieczeństwa danych osobowych? Napisz do mnie. Chętnie pomogę Tobie, i Twojej firmie w dostosowaniu do wymogów i przepisów RODO
Jeśli prowadzisz firmę jednoosobową i nie posiadasz jeszcze systemy ochrony danych to tu znajdziesz gotowy pakiet dokumentacji RODO dla jednoosobowej działalności która pozwoli Ci bez wysiłku wdrożyć RODO w Twojej firmie.
Natomiast jeśli zatrudniasz pracowników to odpowiedni będzie dla Ciebie pakiet RODO dla pracodawców w którym znajdziesz dokumentację niezbędną do zachowania zgodności z rozporządzeniem o ochronie danych osobowych.
Tu mnie znajdziesz:
Dołącz do mnie na Facebooku
Nie omieszkaj wbić się na instagram
YT A tu obejrzysz porady wideo
utworzone przez Anna Zamojcin | lip 29, 2021
Co to jest minimalizacja danych
Czy jako przedsiębiorca nie zbierasz zbyt dużo danych od swoich pracowników, klientów, kontrahentów? Czasami wydaje nam się, że jeśli zbierzemy więcej danych to nam się do czegoś przydadzą, jeśli nie od razu to może później. Że dzięki temu nasza wiedza na temat np. Klienta będzie większą i będziemy mogli „lepiej” zrealizować zamówienie, lub zrozumieć potrzeby. Ale czy na pewno takie podejście jest właściwe? Czy nie łamiemy w ten sposób praw osób od których pobieramy dane i czy postępujemy zgodnie z zasadą minimalizacji danych?
Minimalizacja danych jest to jedna z zasad, co do których możliwe są najszersze interpretacje, a która też potencjalnie może na przedsiębiorców ściągnąć bolesne konsekwencje finansowe w przypadku stwierdzenia naruszenia. Minimalizacja jest dokładnie w RODO zdefiniowana, dokładny zapis tego punktu brzmi:
Dane osobowe muszą być: c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
RODO, Artykuł 5, punkt 1, lit.c)
W praktyce dla każdego administratora danych osobowych oznacza to tyle, że nie może on gromadzić więcej danych osobowych, niż jest to niezbędne do wykonania danej czynności. Określenie tego zbioru minimalnych danych może stanowić problem lub pole do interpretacji. Ważne jest, aby decyzja była podjęta przez przedsiębiorcę świadomie. Dlatego należy ją poprzedzić analizą tego, jakie czynności w przedsiębiorstwie się wykonuje i jakie dane osobowe są do nich niezbędne.
Przyjrzyjmy się trzem sytuacjom, gdzie minimalizacja zbieranych danych ma znaczenie.
Lista mailowa – zbieramy tylko adres e-mail?
Newsletter, czyli lista mailowa, to jedna z najstarszych i najpopularniejszych metod stałego kontaktu z czytelnikiem i promocji swoich produktów i usług. Teraz zadajmy sobie pytanie, jakie dane osobowe są nam potrzebne, aby zapisać kogoś na newsletter.
Odpowiedź wydaje się oczywista – adres e-mail. Co do tego nie ma żadnych wątpliwości. Jednak na wielu stronach prosi się nie tylko o podanie adresu e-mail, lecz także imienia i nazwiska.
Takie podejście nie jest niezgodne z RODO, jeżeli spełnione są dwa warunki:
- Jasno informujemy klienta, w jakim celu chcemy pobrać dane
- Pozwalamy, w przypadku danych, które nie są niezbędne, na dobrowolność ich podania
Nie zawsze jest tak, że zapisując do listy mailowej sam adres e-mail będzie tym minimalnym zbiorem danych. Załóżmy, że prowadzisz sklep internetowy, który działa na terenie całej Polski, lecz oferta asortymentu jest zależna od województwa, w którym znajduje się zamawiający. Także Twoje newslettery są tworzone z myślą o odbiorcach w danym regionie. W takim wypadku proszenie czytelnika o podanie województwa zamieszkania jest uzasadnione do realizacji celu, dla którego zbierasz dane. Minimalizacja danych w tym wypadku obejmuje już dwie cechy, a nie jedną. O tym jak poprawnie zapisywać na newsletter piszę w artykule „Newsletter z godny z RODO”.
Zakup i dostawa produktu – ile danych potrzebujesz do realizacji zamówienia
Jeżeli prowadzisz sklep internetowy, to musisz od kupującego zebrać pewien zestaw danych osobowych, aby zrealizować transakcję, zgodnie z prawem ją zaksięgować oraz dostarczyć zakupiony produkt. Zatem do zebrania pewnych informacji przedsiębiorca jest zobligowany przepisami prawa. Przykładowo, dane, które musimy umieścić na fakturze, określa art. 106e ust. 1 Ustawy o podatku od towarów i usług. Jeżeli fakturę wystawiamy osobie prywatnej, czy prowadzącej jednoosobową działalność gospodarczą, to bez wątpienia przetwarzamy jej dane osobowe.
Nieco inaczej sytuacja wygląda, jeżeli chodzi o przetwarzanie danych celem dostarczenia towaru. Sprzedający zazwyczaj wymaga podania tych samych danych co do wystawienia faktury (poza numerem NIP), do tego danych kontaktowych – adresu e-mail oraz numeru telefonu. Nie ma wątpliwości, że podanie tych danych jest niezbędne, aby dostarczyć przesyłkę do zamawiającego oraz informować o statusie dostawy lub umożliwić kurierowi kontakt odbiorcą.
A jeżeli pozwalasz na osobisty odbiór zamówienia? W takim przypadku żądanie podania danych adresowych czy kontaktowych należałoby uznać za złamanie zasady minimalizacji. Skoro pozwalasz na odbiór osobisty to jedyne dane, jakie potrzebujesz to imię i nazwisko zamawiającego celem ewentualnego potwierdzenia tożsamości odbierającego. Dane adresowe nie są Ci do tego potrzebne, gdyż one i tak nie znajdują się na dokumentach tożsamości. Z podobną sytuacją mamy do czynienia, gdy klient zamawia dostawę do paczkomatu. Czołowy operator, firma InPost, wymaga jedynie podania adresu e-mail i numeru telefonu odbiorcy (co też budzi pewne wątpliwości, jeżeli chodzi o zasadę minimalizacji) oraz wskazanie paczkomatu, zatem przetwarzanie przez Ciebie większej ilości danych celem wykonania dostawy jest bezzasadne.
Jeżeli dopiero otwierasz sklep internetowy to zwróć uwagę, aby jego system był zgodny z zasadą minimalizacji. W sytuacji, gdy Twój sklep już działa, zapytaj się jego operatora o możliwości jego dostosowania. Zapoznaj się z dokumentacją dla sklepu internetowego w pełni dostosowaną do obowiązujących przepisów prawa.
Minimalizacja danych w umowach – czy pobrać numer dowodu?
Prowadząc własną firmę, nie unikniesz podpisywania różnych umów. Mogą być to umowy z klientami, dostawcami czy podwykonawcami. Zarówno z osobami fizycznymi, jak i prawnymi. Na każdej umowie musisz zawrzeć jasne informacje jednoznacznie identyfikujące strony umowy. W przypadku firmy będzie to numer NIP czy numer wpisu do KRS. Osoby prowadzące jednoosobową działalność gospodarczą możemy ustalić na podstawie numeru NIP lub REGON. A jak postąpić, gdy mamy do czynienia z osobą fizyczną?
W Polsce nadal istnieje błędne przekonanie, że do zawarcia umowy z drugą osobą trzeba od niej zebrać dużo informacji. Dlatego na wielu umowach pojawiają się taki pola jak imię, nazwisko, adres zameldowania, miejsce zamieszkania, imiona rodziców, numer PESEL, data urodzenia, numer dowodu wraz z datą jego ważności i inne. Widziałem również umowy, w których wymagane było podanie danych z dwóch dokumentów tożsamości. Wszystkie te umowy nie są zgodne z RODO.
Do identyfikacji osoby fizycznej wystarczą trzy informacje – jej imię, nazwisko oraz numer PESEL. Zamiast numeru PESEL można wpisać numer dowodu osobistego lub paszportu. Z praktycznego punktu widzenia PESEL jest jednak wygodniejszy, gdyż w przeciwieństwie do numerów dokumentów się nie zmienia. Jednak pamiętaj, że zbieranie jednocześnie numeru PESEL i numeru dokumentu tożsamości najprawdopodobniej zostanie uznane za złamanie reguły minimalizacji, gdyż wystarczająca jest tylko jedna z nich. W żadnym wypadku nie wolno Ci także w żaden sposób przetwarzać kopii dowodu czy paszportu. Taki skan zwierać będzie nie tylko te trzy wymagane do identyfikacji dane, ale znacznie więcej informacji, w tym dane biometryczne w postaci zdjęcia.
Jeśli prowadzisz firmę jednoosobową i nie posiadasz jeszcze systemy ochrony danych to tu znajdziesz gotowy pakiet dokumentacji RODO dla jednoosobowej działalności która pozwoli Ci bez wysiłku wdrożyć RODO w Twojej firmie.
Natomiast jeśli zatrudniasz pracowników to odpowiedni będzie dla Ciebie pakiet RODO dla pracodawców w którym znajdziesz dokumentację niezbędną do zachowania zgodności z rozporządzeniem o ochronie danych osobowych.
Tu mnie znajdziesz:
Dołącz do mnie na Facebooku
Nie omieszkaj wbić się na instagram
YT A tu obejrzysz porady wideo
utworzone przez Anna Zamojcin | kwi 30, 2021
Skrzynka byłego pracownika a RODO
Wiele przedsiębiorstw tworzy pracownikom konta i adresy e-mail, które zawierają ich imię i nazwisko. Lecz nawet gdy mamy jakąś formę skróconej nazwy lub samo imię to także ten adres stanowi daną osobową. Gdy wygasa lub zostanie rozwiązana umowa z danym pracownikiem powstaje pytanie co dalej z jego adresem i korespondencją zrobić. Czy nadal możemy korzystać ze skrzynki byłego pracownika czy może należy ja usunąć? Jak powinniśmy postąpić aby wszystko było zgodne z przepisami. W poniższym artykule pt. „Skrzynka byłego pracownika a RODO” znajdziecie odpowiedź na te pytania.
Pracownik odchodzi z firmy
Gdy współpraca z daną osobą się kończy, niezależnie od tego czy była to umowa o pracę, umowa-zlecenie czy kontrakt b2b, przedsiębiorca musi odpowiedzieć sobie na dwa pytania:
- Co zrobić z pocztą, która znajduje się w skrzynce byłego pracownika?
- Jak postępować, gdy klienci będą dalej wysyłać wiadomości do tej osoby?
Odpowiedź na pierwsze pytanie powinna być zawarta w regulaminie pracy oraz regulaminie wykorzystania sprzętu IT. Zazwyczaj skrzynka pocztowa jest udostępniana przełożonemu danej osoby, aby możliwe było skopiowanie z niej informacji niezbędnych do dalszego działania firmy. Jeżeli w regulaminie wykorzystania sprzętu IT nie zabroniliśmy wykorzystywania służbowego adresu do korespondencji prywatnej musimy uczulić przełożonych, że prywatna korespondencja nie może być czytana. Gdy wszystkie niezbędne dane zostaną ze skrzynki skopiowane powinna ona zostać zarchiwizowana. Archiwizacja pozwoli na dostęp do niej gdyby w przyszłości okazało się, że znajdują się tam potrzebne nam informacje.
Uzasadniony interes administratora
Nie spotkałam się jeszcze z przypadkiem, by firma informowała swoich klientów czy partnerów handlowych, że zakończyła współpracę z danym pracownikiem. Powstaje zatem problem co zrobić z nowymi wiadomościami, które osoby zarówno z naszej firmy jak i spoza organizacji mogą nadal wysyłać na adres tej osoby. Jednym z rozwiązań jest skonfigurowanie na serwerze pocztowym stałego przekierowania poczty przychodzącej na adres innej osoby. Nigdy nie byłam zwolennikiem tej metody – długoterminowo prowadzi ona do problemów ze spójnością konfiguracji usługi poczty. Może też prowadzić do ujawnienia prywatnych informacji o odchodzącej osobie innemu pracownikowi – nawet jeżeli zabronimy w regulaminie wykorzystywania poczty do celów prywatnych nie oznacza to, że wszyscy pracownicy się zastosują.
Urząd Ochrony Danych Osobowych rekomenduje inne podejście jako zgodne z RODO. Po pierwsze w komunikacie Prezes urzędu zauważa, że dalsze przetwarzanie danych osobowych odchodzącego pracownika ma swoje uzasadnienie prawne. Jest nim tak zwany uzasadniony interes administratora. Taka interpretacja jest też logiczna – to że pracownik odchodzi nie znaczy, że firma ma tracić wypracowane przez niego relacje biznesowe. Urząd wskazuje jednak, że właściwe rozwiązanie w takiej sytuacji to odrzucenie przychodzących wiadomości i ustawienie automatycznej wiadomości zwrotnej, informującej nadawcę o nowej osobie kontaktowej.
Zadbaj o procedury
Po pierwsze miej przygotowany stały plan postępowania w takiej sytuacji. Rotacja kadrowa nie jest niczym nadzwyczajnym nawet w małych przedsiębiorstwach. Ważne aby wszystkie czynności wykonywać sprawnie i krok po kroku. Zwróć uwagę na takie rzeczy:
- Jeżeli zwalniasz pracownika lub on sam rozwiązał umowę o pracę to w okresie wypowiedzenia monitoruj jakie pliki będzie otwierał czy kopiował. Jeżeli to możliwe sprawdź logi z ostatnich kilku tygodni. Próby wyniesienia firmowych danych nie są niestety sytuacją marginalną.
- Wyloguj pracownika ze wszystkich usług na wszystkich urządzeniach. Większość usług chmurowych (Google G Suite, Microsoft Office365 i inne usługi internetowe) pozwalają na wykonanie tej czynności z panelu administratora.
- Zablokuj wszystkie konta pracownika by uniemożliwić mu ponowne logowanie. Nie kasuj ich jednak od razu. Skasowanie konta może spowodować usunięcie danych.
- Ustaw odpowiedni komunikat zwrotny dla nowo przychodzącej poczty
- Wykonaj kopię niezbędnych danych z każdego serwisu.
- W możliwie krótkim terminie przełożony pracownika powinien przejrzeć zabezpieczone dane i skopiować te niezbędne do dalszej pracy.
- Na koniec usuń wszystkie konta pracownika
Pamiętaj, że to tylko niektóre z czynności jakie musisz wykonać. Zadbaj o to by procedura była klarowna i zawsze aktualna. W razie potrzeby skonsultuj się ze swoim prawnikiem, aby upewnić się, że czynności które podejmujesz są zgodne z prawem.
Jeśli prowadzisz firmę jednoosobową i nie posiadasz jeszcze systemy ochrony danych to tu znajdziesz gotowy pakiet dokumentacji RODO dla jednoosobowej działalności która pozwoli Ci bez wysiłku wdrożyć RODO w Twojej firmie.
Natomiast jeśli zatrudniasz pracowników to odpowiedni będzie dla Ciebie pakiet RODO dla pracodawców w którym znajdziesz dokumentację niezbędną do zachowania zgodności z rozporządzeniem o ochronie danych osobowych.
Tu mnie znajdziesz:
Dołącz do mnie na Facebooku
Nie omieszkaj wbić się na instagram
YT A tu obejrzysz porady wideo
utworzone przez Anna Zamojcin | sty 25, 2021
Hosting zgodny z RODO
Czasy własnych serwerów pod biurkiem w domu czy biurze to już historia. Obecnie usługi utrzymania strony internetowej, niezależnie czy jest to strona statyczna czy cały system CMS taki jak WordPress, stanowią marginalny koszt dla większości przedsiębiorców. Ale co to takiego ten Hosting zgodny z RODO?
Z firmą, która świadczy na naszą rzecz tego typu usługę dzielimy się zarówno zadaniami jak i odpowiedzialnością. Powierzamy jej obszerny zbiór danych osobowych, często bardzo cennych dla naszej działalności gospodarczej. Gdy wybieramy hosting odpowiedni do potrzeb naszej firmy musimy wybrać firmę, która oferuje odpowiednie podejście do przetwarzania danych osobowych – zarówno to techniczne, jak i poprzez odpowiednie umowy.
Nie powinno być to dla nikogo zaskoczeniem, że hosting naszego serwisu wiąże się z przetwarzaniem danych osobowych. A jednak wielu przedsiębiorców, z którymi rozmawiam, nie widzi od razy tego związku. Powiązanie takie niewątpliwie istnieje i to na dwóch obszarach.
Do jakich danych ma dostęp hostingodawca
Po pierwsze hostingodawca posiada dostęp do treść samej strony internetowej. Informacje, które zamieszczamy na naszej witrynie mogą zawierać przeróżne dane osobowe. Najczęściej będą to dane kontaktowe do wybranych pracowników, często także ich zdjęcia. Fotografii może tam być o wiele więcej. Popularne jest umieszczanie zdjęć z organizowanych przez firmę wydarzeń. Dane osobowe możemy nie tylko udostępniać za pomocą strony internetowej, ale też i pozyskiwać. Wykorzystuje się do tego systemy komentarzy wbudowane w silnik WordPress-a, ankiety, czy formularze kontaktowe. Wiele z nich zapisuje zebrane dane w bazie lub plikach, które przechowywane są na serwerze dostawcy.
Ale nawet jeżeli dopilnujemy by na naszej stronie nie znalazły się wspomniane powyżej treści, to prawie na pewno w samym silniku CMS będziemy przechowywali dane osobowe osób zarządzających treściami na stronie. Wystarczy, że będzie to służbowy imienny adres e-mail powiązany z lokalnym kontem administratora czy moderatora.
Drugi obszar przetwarzania danych osobowych przez dostawcę hostingu jest nieco mniej oczywisty dla osób, które nie znają technicznych aspektów świadczenia usługi. Obowiązkiem dostawcy tego typu usługi jest zapewnienie najwyższej jakości jej działania. Równie ważne są jego zobowiązania w zakresie bezpieczeństwa świadczonej usługi i przechowywanych w niej danych. Jego obowiązkiem jest stosowana reakcja na incydenty związane z bezpieczeństwem, w tym także w zakresie współpracy choćby z uprawnionymi organami ścigania.
Aby wypełnić te zobowiązania operator hostingu między innymi zbiera informacje na temat połączeń z utrzymywanymi serwisami. Takie logi zawierają adres IP urządzenia, z którego nastąpiła próba połączenia. W świetle RODO adres IP jest daną osobową, gdyż na jego podstawie można ustalić konkretnego użytkownika, mimo że niekoniecznie jest to proste.
Zadbaj o Hosting zgodny z RODO
Niewątpliwie firma oferująca hosting dla naszego serwisu będzie przetwarzać dane osobowe. Najczęściej występować będzie ona w roli podmiotu przetwarzającego, czyli firmy, która przetwarza powierzone nam dane osobowe. Wykonywane jest ono na nasze żądanie i jest związane z realizowaniem przez nas wskazanego celu przetwarzania. Takim celem jest choćby marketing naszych usług lub produktów poprzez stronę WWW, czy kontakt z potencjalnymi klientami poprzez formularz na stronie. W przypadku takiej relacji wymagane jest abyśmy podpisali umowę powierzenia, która ureguluje zakres przekazywanych danych i cel ich przetwarzania. Muszą znaleźć się w niej także zapisy o odpowiedzialności każdej ze stron.
Firma hostingowa jest także administratorem danych na przykład w odniesieniu do danych kontaktowych związanych z realizacją usługi hostingowej. Mogą to być na przykład dane kontaktowe do osoby odpowiedzialnej za utrzymanie strony WWW w naszej firmie. W przypadku jednoosobowych działalności gospodarczych będą to dane samej firmy. W tym wypadku odpowiednie formalności najlepiej dopełnić poprzez uważne przeczytanie i zaakceptowanie regulaminu usługi. Jeżeli firma hostingowa zbiera dane o adresach IP jedynie na własny użytek zazwyczaj będzie też w odniesieniu do nich administratorem danych osobowych.
Nieco inaczej sytuacja wygląda, gdy do informacji od adresach IP masz także dostęp ty jako klient. Możesz wtedy wykorzystywać tą informację także na swoje potrzeby na przykład do prowadzenia własnych statystyk. W takiej sytuacji do wskazanych czynności zarówno Twoja firma jak i firma hostingowa jesteście współadministratorami. Wymaga ona podpisania specjalnej umowy, która w szczegółach będzie opisywać relację pomiędzy firmami, cele przetwarzania czy obowiązki każdej ze stron. Więcej o tej formie współpracy przeczytasz w moim artykule „Współadministrator to brzmi odpowiedzialnie„.
Polityka prywatności
Nie zapomnij o umieszczeniu odpowiednich informacji o tym komu udostępniasz dane w swojej polityce prywatności. Nie zalecam odsłaniania swojego warsztatu pracy i ujawniania szczegółowych informacji o firmach, które realizują na twoją rzecz usługi. Najlepiej gdy w polityce prywatności opiszemy jakiego typu usługi podwykonawcy dla nas realizują. Możemy też wymienić jakie kategorie danych osobowych im przekazujemy. Bardziej szczegółowego opisania wymagać będzie sytuacja, w której jesteście wspólnie współadministratorami.
Jeśli prowadzisz firmę i nie posiadasz jeszcze pakietu dokumentów w którym znajdziesz min. umowę powierzenia przetwarzania danych osobowych to zajrzyj do naszego sklepu online w którym znajdziesz dokumentację przygotowaną przez specjalistów zgodną z obowiązującym prawem.
Tu mnie znajdziesz:
Dołącz do mnie na Facebooku
Nie omieszkaj wbić się na instagram
YT A tu obejrzysz porady wideo