RODO a wycieki danych pracowników - jak się zabezpieczyć?

Ochrona danych osobowych dotyczy nas wszystkich – nie tylko z punktu widzenia uprawnień, ale i obowiązków. Warto, żebyśmy jako pracownicy zatrudnieni na umowę o pracę, zwrócili uwagę na to, w jaki sposób wykonywać czynności związane z przetwarzaniem danych osobowych i co może się stać w przypadku, gdy nie będziemy postępowali zgodnie z RODO lub wytycznymi pracodawcy.

O jakie dane może mnie prosić pracodawca?

Katalog danych osobowych, jakie pracownik ma obowiązek przekazać (art. 22 [1]), obejmuje dane pobierane jeszcze na etapie rekrutacji, takie jak:

• imię (imiona) i nazwisko  
• datę urodzenia
• miejsce zamieszkania (adres do korespondencji)
• wykształcenie
• przebieg dotychczasowego zatrudnienia

Na etapie zatrudnienia pracodawca może dodatkowo poprosić nas o podanie danych koniecznych ze względu na korzystanie przez nas ze szczególnych uprawnień przewidzianych w prawie pracy, numer PESEL, czy numer rachunku bankowego, na który ma zostać wypłacone wynagrodzenie.

Czy pracodawca może udostępniać moje dane osobowe innym osobom?

Tak, ale w określonym zakresie, który wynika z przepisów prawa lub wykonywania uprawnień pracowniczych. Przykładowo określone informacje, które nas dotyczą, są przekazywane Urzędowi Skarbowemu czy ZUS-owi. Również dane kontaktowe takie, jak nasze imię i nazwisko, e-mail i telefon służbowy mogą zostać udostępnione na stronie internetowej, jeśli to wynika z charakteru naszej pracy.

Pewne wątpliwości pojawiają się natomiast w przypadku zdjęć. Należy tu rozróżnić dwie sfery:

Wewnętrzną

Gdy funkcjonujemy u danego pracodawcy i umieszczenie naszego zdjęcia na identyfikatorze, w stopce maila czy intranecie, może zwiększyć bezpieczeństwo. Np. na wypadek próby posłużenia się cudzą kartą wejściową lub podszycia się pod nas w dużej firmie.

Zewnętrzną

Np. na stronie internetowej – gdzie co prawda nasze zdjęcie może zachęcać potencjalnych klientów, ale co do zasady pracodawca powinien nas poprosić o zgodę na jego umieszczenie.

Jakie obowiązki dotyczące ochrony danych osobowych mam jako pracownik?

Pracodawca jako administrator danych osobowych odpowiada za cele i środki przetwarzania danych osobowych, a tym samym to on określa, co nam wolno, a czego nie, w odniesieniu do danych osobowych. Dosyć powszechną praktyką jest podpisywanie oświadczenia o zapoznaniu się z zasadami przetwarzania danych osobowych w firmie bez rzeczywistego przeczytania, co z pewnością jest błędem. Warto w pierwszej kolejności sprawdzić, czy nie podpisaliśmy zobowiązania do przestrzegania zasad bezpieczeństwa i sprawdzić, czy na co dzień je stosujemy, a jeśli nie, to czy wynika to z charakteru naszej pracy, czy wcześniejszej niewiedzy.

Kolejnymi przykładami naruszenia  zasad bezpieczeństwa jest ciągłe odkładanie aktualizacji programów (np. antywirusowych), czy korzystanie z prywatnych nośników danych (np. pendrive), naruszenia te nie wynikają bezpośrednio z przepisów prawa, lecz przyjętych regulacji u danych pracodawców.

Na co zwracać uwagę codziennie?

Nawet jeśli okaże się, że u nas w firmie nie przyjęto spisanych zasad ochrony danych osobowych, istnieją  pewne fundamentalne zasady, których zawsze należy przestrzegać.

Zasada 1 – Informujmy pracodawcę o incydentach dot. ochrony danych osobowych

Pracodawca ma od momentu wykrycia 72 godziny na powiadomienie organu nadzorczego o incydencie, dlatego należy go poinformować jak najszybciej, ponieważ musi on sporządzić m.in. sformalizowane zgłoszenie incydentu oraz dokonać analizy, czy sam incydent będzie wymagał zgłoszenia do organu nadzorczego.

Zasada 2 – Informujmy pracodawcę o żądaniach podmiotów danych

Nie bagatelizujmy wysłanych na naszego firmowego maila żądań dotyczących danych osobowych. Często zdarza się tak, że klienci firmy celowo wysyłają żądania kopii danych, czy udzielenia informacji na różne adresy e-mail w firmie, w celu zaszantażowania pracodawcy, że nie zrealizował on obowiązków wynikających z RODO. Z naszego punktu widzenia najbezpieczniej jest przekazać taką wątpliwą informację do skonsultowania z osobą odpowiadającą za ochronę danych w naszej firmie lub do przełożonego. Pracodawca ma tylko 30 dni na udzielenie odpowiedzi, a często w przypadku gdy przetwarza dane na zlecenie innego podmiotu, okres ten jest umownie skrócony.

Zasada 3 – Nie pozostawiajmy powierzonych nam danych bez opieki

W pierwszej kolejności warto odpowiedzieć sobie na pytanie, czy zawsze, kiedy opuszczamy nasze stanowisko pracy, wyłączamy komputer lub blokujemy korzystanie z niego bez uprzedniego podania hasła. Jeżeli na powyższe pytanie odpowiedzieliśmy przecząco, a nie siedzimy sami w pomieszczeniu, dostęp do danych, za które odpowiadamy, mogą mieć inne osoby. A to już jest potencjalnym naruszeniem.

Podobnie brak ustawienia hasła na komputerze czy pozostawianie niezabezpieczonych dokumentów zawierających dane osobowe po godzinach pracy, do których dostęp mogą mieć np. osoby sprzątające.

Zasada 4 – Bądźmy czujni

Warto zwracać uwagę na podejrzane zachowanie osób odwiedzających nasze biuro i osoby z zewnątrz, które przebywają w pomieszczeniach służbowych bez opieki innego pracownika.

Czy powinienem podpisać z pracodawcą umowę powierzenia?

Nie. Jeżeli jesteś pracownikiem, właściwą formą przekazania określonych uprawnień jest upoważnienie. Dobrą praktyką jest przeszkolenie pracowników z zasad ochrony danych osobowych. W interesie pracownika jest również zapoznanie się z tymi zasadami w dokumentach przekazanych przez pracodawcę.

Jaką odpowiedzialność ponoszę z tytułu naruszenia zasad ochrony danych osobowych jako pracownik?

Zasady odpowiedzialności pracownika z tytułu za szkodę powstałą wskutek niewykonania lub nienależytego wykonania obowiązków pracowniczych określają odpowiednie artykuły (art. 114 – 122) kodeksu pracy. Odszkodowanie ustala się (art. 119) w wysokości wyrządzonej szkody, jednak nie może ono przewyższać kwoty trzymiesięcznego wynagrodzenia przysługującego pracownikowi w dniu wyrządzenia szkody. Jeżeli jednak pracownik umyślnie wyrządził szkodę, jest zobowiązany do jej naprawienia w pełnej wysokości.

Szkody poniesione przez pracodawcę z tytułu naruszenia zasad ochrony danych osobowych mogą być ogromne, dobrze jest więc zapoznać się z zasadami, które ustalił pracodawca i ich przestrzegać, ponieważ (art. 117 k.p.) pracownik nie ponosi odpowiedzialności za szkodę w takim zakresie, w jakim pracodawca lub inna osoba przyczyniły się do jej powstania albo zwiększenia.

Podsumowanie

Jeżeli zauważymy w toku naszej pracy luki w bezpieczeństwie (np. brak aktualnego oprogramowania antywirusowego) dobrze jest je również na bieżąco zgłaszać, ponieważ z jednej strony wzmacnia to ochronę danych u pracodawcy, a z drugiej może nam pomóc zwolnić się z odpowiedzialności, jeśli z powodu braku takiego zabezpieczenia doszłoby do szkody.