Kategorie
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Przypomnij hasło
Witaj
Usuń konto
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.

Ochrona danych osobowych - błędy działów HR

Karolina Kołakowska
adwokat w Kancelarii Brzezińska Narolski Adwokaci (http://bnadwokaci.pl/), ekspert z zakresu indywidualnego i zbiorowego prawa pracy oraz ochrony danych osobowych, trener i szkoleniowiec
Ochrona danych osobowych - najczęstsze błędy działów HR wynikające z decyzji UODO.
Ochrona danych osobowych - najczęstsze błędy działów HR wynikające z decyzji UODO.
ShutterStock
Ochrona danych osobowych leży przede wszystkim po stronie działów HR. Jakie błędy popełniają? Decyzje UODO wskazują na 4 podstawowe błędy. Jak uniknąć sankcji ze strony UODO?

Potencjalne błędy działów HR w ochronie danych osobowych w oparciu o decyzje UODO

Decyzje wydane przez Urząd Ochrony Danych Osobowych są cenną wskazówką dla pracodawców w zakresie ochrony danych osobowych pracowników. Wynika z nich, z którymi obowiązkami administratorzy danych nie radzą sobie w takim stopniu, że konieczne było wymierzenie kary pieniężnej. Wnioski pozwalają opracować listę potencjalnych błędów, które mogą popełniać działy HR i pomogą uniknąć dotkliwych sankcji ze strony UODO.

Niezależnie od tego, jaką działalność przedsiębiorca prowadzi, jednym z cenniejszych aktywów, które jest zobowiązany chronić są dane osobowe jego pracowników. Na działach HR, zwykle we współpracy z działami IT, spoczywa szczególny obowiązek staranności w wykonywaniu obowiązków administratora danych osobowych.

Jeszcze w styczniu analitycy donosili, że rok 2021 był rekordowy pod względem liczby cyberataków. Ich liczba zwiększyła się w porównaniu do poprzedniego roku o ponad połowę. Teraz, po wybuchu wojny w Ukrainie, zagrożenie jest jeszcze większe i przedsiębiorcy muszą liczyć się z faktem, że celem ataków hakerskich nie muszą być tylko agendy rządowe i wojskowe.

Oto błędy popełniane przez działy HR, które skutkowały wymierzeniem kary pieniężnej przez UODO:

Okresowa weryfikacja podmiotu przetwarzającego

Jeśli dział HR zamawia identyfikatory dla pracowników, przekazując firmie produkującej plakietki imiona, nazwiska, stanowiska pracowników albo zleca obsługę płacową podmiotowi zewnętrznemu, w relacji między administratorem danych osobowych (pracodawcą) a zleceniobiorcą, dochodzi do powierzenia przetwarzania danych osobowych. Sytuacja ta wymaga zawarcia umowy powierzenia przetwarzania danych osobowych, której konieczne postanowienia określa RODO. Przepisy rozporządzenia przewidują między innymi, że administrator danych osobowych musi mieć zapewnioną możliwość przeprowadzania w podmiocie przetwarzającym audytów i inspekcji, co ma służyć sprawdzeniu, czy powierzając dane osobowe podmiotowi zewnętrznemu, administrator nadal zapewnia im odpowiedni poziom ochrony (cały czas jest za dane osobowe odpowiedzialny).

Problem polega jednak na tym, że często po podpisaniu umowy powierzenia przetwarzania danych osobowych, administrator „zapomina”, że sam fakt zawarcia umowy nie zwalnia go z dbałości o bezpieczeństwo danych. W konsekwencji, dopasowując skalę sprawdzenia podmiotu przetwarzającego do zakresu i okoliczności powierzenia danych osobowych, potrzebna jest okresowa weryfikacja, czy podmiot przetwarzający zapewnia odpowiedni poziom ochrony, np.: poprzez czynności sprawdzające w siedzibie podmiotu, czy przeprowadzenie ankiety bezpieczeństwa.

Odcięcie byłych pracowników od dostępu do danych osobowych

Działalność współczesnego działu HR w dużej mierze opiera się na dostępie do nowych technologii. Zdarza się, że pracownicy mają zdalny dostęp do systemu kadrowo – płacowego albo do platform takich, jak zusowy Płatnik, czy praca.gov.pl, na których podejmują czynności w imieniu pracodawcy. Każdy pracownik wykonujący w imieniu administratora danych osobowych czynności z danymi osobowymi (np.: wprowadzanie nowych pracowników do systemu), powinien być wyposażony w upoważnienie, które określa zakres czynności, czy kategorii danych, z którymi pracuje pracownik. Przykładowo, pracownik, który ma dostęp do Płatnika powinien mieć upoważnienie do przetwarzania danych o stanie zdrowia pracowników, którymi są dane o zwolnieniach lekarskich zamieszczanych na platformie ZUS. Może się zdarzyć, że potrzeba dostępu do takich danych wygaśnie jeszcze w trakcie trwania stosunku pracy, na przykład w wyniku zmiany stanowiska pracy, a zawsze wygaśnie z chwilą zakończenia stosunku pracy. Najpóźniej w tym dniu pracownikowi muszą zostać odebrane wszelkie dostępy do danych osobowych pracowników, na przykład na zewnętrznych platformach. Pominięcie tej czynności i pozostawienie byłemu pracownikowi dostępu do zbiorów danych pracodawcy prowadzi do naruszenia danych, polegającego na tym, że dostęp do nich ma osoba nieupoważniona.

Niezabezpieczone nośniki danych

W przeszłości dane osobowe były gromadzone tylko w kartotekach, w pomieszczeniach, do których dostęp miały jedynie wyznaczone osoby. Obecnie zabieramy ze sobą całe zbiory danych – czy to przechowywanych w laptopie, w telefonie, czy na pendrive, łączymy się z serwerami danych z dowolnego miejsca na świecie. Powoduje to, że ryzyko przypadkowej utraty nośnika danych czy dostępu do nich przez osobę nieupoważnioną, gwałtownie rośnie. Przepisy o ochronie danych osobowych opierają się na zasadzie, że stopień stosowanych zabezpieczeń musi być adekwatny do stopnia ryzyka. Jeśli zatem na nośnikach danych, które mogą być wynoszone poza obszar, w którym mają do nich dostęp tylko upoważnione osoby są dane osobowe, to odpowiednio do rodzaju tych danych muszą być zapewnione środki bezpieczeństwa, polegające chociażby na stosowaniu oprogramowania szyfrującego. Organizacyjnym środkiem bezpieczeństwa może z kolei być określenie zasad dopuszczalności stosowania zewnętrznych nośników danych.

Zaniechanie dokumentowania naruszeń

Obowiązek dokumentowania naruszeń ochrony danych osobowych jest wprost sformułowany w przepisach RODO. Administratorom danych zdarza się jednak zapomnieć, że obowiązek ten dotyczy nie tylko tych zdarzeń, które skutkowały zawiadomieniem UODO lub osób, których naruszenie dotyczyło. Tzw. „rejestr naruszeń” powinien dokumentować wszystkie zdarzenia, które wiązały się na naruszeniem zasad przetwarzania danych osobowych, a więc nawet wysłanie maila do niewłaściwej osoby, czy przypadkowe usunięcie folderu z danymi, nawet jeśli szybko dało się je przywrócić z kopii zapasowej. Jest to narzędzie, które pozwala wewnętrznie monitorować obszary, na których potencjalnie może dojść do takiego zdarzenia, które doprowadzi np. do rozpowszechnienia danych o wynagrodzeniach pracowników. W konsekwencji, pozwala reagować i dostosować stosowane zabezpieczenia (techniczne i organizacyjne).

Podsumowanie

Kilka lat obowiązywania RODO pokazało, że nadal potrzebne jest kształtowanie świadomości, iż ochrona danych osobowych to proces ciągły, którego w zasadzie nigdy nie będzie można nazwać zamkniętym. To podejście wymusza na wszystkich członkach organizacji szczególną czujność i wykorzystywanie wiedzy o stosowanych przez administratora środkach bezpieczeństwa. Działy HR w większości firm, nawet takich, których ośrodkiem działania nie jest praca z danymi osobowymi, są kluczowym elementem w strukturze, która ma zapewnić bezpieczeństwo danych. W konsekwencji to właśnie na tych działach spoczywa szczególny obowiązek nieustannej weryfikacji zgodności działalności z zasadami ochrony danych.

Na temat cyberbezpieczeństwa w działach HR będziemy rozmawiać podczas śniadania biznesowego w Łodzi w ramach cyklu „HR FRIDAY”. Pierwsza okazja do spotkania z adw. Karoliną Kołakowska już 25 marca, godz. 9:00-11:00 w Łodzi! Bliższe informacje o wydarzeniu i zapisy: link.

Serdecznie zapraszamy do bezpłatnego udziału!

Przygotuj się do stosowania nowych przepisów!
Przygotuj się do stosowania nowych przepisów!

Poradnik prezentuje praktyczne wskazówki, w jaki sposób dostosować się do zmian w podatkach i wynagrodzeniach wprowadzanych nowelizacją Polskiego Ładu.

Tyko teraz książka + ebook w PREZENCIE
Przygotuj się do stosowania nowych przepisów!
Przygotuj się do stosowania nowych przepisów!

Poradnik prezentuje praktyczne wskazówki, w jaki sposób dostosować się do zmian w podatkach i wynagrodzeniach wprowadzanych nowelizacją Polskiego Ładu.

Tyko teraz książka + ebook za 98 zł
Źródło: INFOR
Czy ten artykuł był przydatny?
tak
nie
Dziękujemy za powiadomienie
Jeśli nie znalazłeś odpowiedzi na swoje pytania w tym artykule, powiedz jak możemy to poprawić.
UWAGA: Ten formularz nie służy wysyłaniu zgłoszeń . Wykorzystamy go aby poprawić artykuł.
Jeśli masz dodatkowe pytania prosimy o kontakt

Komentarze(0)

Pokaż:

Uwaga, Twój komentarz może pojawić się z opóźnieniem do 10 minut. Zanim dodasz komentarz -zapoznaj się z zasadami komentowania artykułów.
    QR Code

    © Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

    Święta i dni wolne od pracy w Polsce
    certificate
    Jak zdobyć Certyfikat:
    • Czytaj artykuły
    • Rozwiązuj testy
    • Zdobądź certyfikat
    1/10
    Dniami wolnymi od pracy zgodnie z ustawą z dnia 18 stycznia 1951 r. o dniach wolnych od pracy są:
    poniedziałki
    środy
    piątki
    niedziele
    Następne
    Kadry
    Zapisz się na newsletter
    Zobacz przykładowy newsletter
    Zapisz się
    Wpisz poprawny e-mail
    90 mln zł od ZUS na poprawę bezpieczeństwa pracy
    Trwa nabór wniosków w konkursie ZUS dla firm na dofinansowanie projektów poprawiających bezpieczeństwo pracy. Budżet konkursu wynosi 90 mln zł. Wnioski o dofinansowania można składać do 8 lipca – przypomina rzecznik ZUS Paweł Żebrowski.
    Zmiany w Kodeksie pracy: kontrola trzeźwości pracownika
    Jedną z planowanych zmian w Kodeksie pracy jest umożliwienie pracodawcom prewencyjnej kontroli trzeźwości pracowników. Jakie rozwiązania zaproponował Rząd w projekcie ustawy?
    Osadzeni pracują
    "Prawie każdy osadzony, który może wykonywać pracę, na którego nie są nałożone kary i obostrzenia, pracuje" - poinformował wiceminister sprawiedliwości Michał Woś. Poziom zatrudnienia osadzonych osiągnął w ubiegłym tygodniu rekordowy poziom 88 proc.
    Dekada z PUE
    Platforma Usług Elektronicznych ZUS (PUE) to pierwszy w Polsce e-urząd. Umożliwia dostęp online do wielu usług ZUS, jest źródłem informacji i daje możliwość samodzielnego tworzenia dokumentów.
    Analiza potrzeb pracowników jako baza pod wdrożenie nowego modelu pracy w firmie
    Komentarz Doroty Osieckiej, Partner w Colliers i Dyrektor platformy Colliers Define.
    Plan urlopów - czy gwarantuje dotrzymanie terminu?
    Czy zatwierdzony przez pracodawcę plan urlopów jest dla pracownika gwarancją jego otrzymania? Co z przesunięciem terminu urlopu?
    Webinarium „Nowe prawo pracy 2022 – przygotuj się do zmian”
    Zapraszamy na praktyczne webinarium „Nowe prawo pracy 2022 – przygotuj się do zmian” z gwarantowanym imiennym certyfikatem, które odbędzie się 4 lipca 2022 roku. Polecamy!
    Ponad ćwierć miliona obywateli Ukrainy zatrudnionych w ramach uproszczonej procedury
    Ponad ćwierć miliona obywateli Ukrainy zatrudniono w ramach uproszczonej procedury. Usprawniło to proces zatrudniania.
    Zasady pracy zdalnej - Sejm nad nimi debatuje
    Sejm debatuje nad zasadami pracy zdalnej. Co nowego w Kodeksie pracy?
    Więcej kobiet z wykształceniem wyższym niż mężczyzn
    Na 52 proc. kobiet z wykształceniem wyższym w wieku 25-35 lat przypada 32 proc. mężczyzn z wyższym wykształceniem - przekłada się na proces tworzenia nowych rodzin.
    Urlop ojcowski ma zostać przedłużony
    Ministerstwo Rodziny i Polityki Społecznej pracuje nad przedłużeniem czasu trwania tzw. urlopu ojcowskiego. Na jakim etapie jest projekt ustawy?
    Jaka jest kondycja finansowa FUS?
    Wskaźniki makroekonomiczne okazały się lepsze, niż przewidywali ekonomiści. Pozytywnie wpłynęło to także na kondycję finansową Funduszu Ubezpieczeń Społecznych (FUS). Poziom pokrycia bieżących wydatków wpływami ze składek pozwala na obiektywną ocenę utrzymania zdolności FUS do wypłaty świadczeń.
    Zmiany w Kodeksie pracy. Kto skorzysta?
    Jakie zmiany przewiduje nowa wersja rządowego projektu nowelizacji Kodeksu pracy?
    Niedziela handlowa – lipiec 2022
    Lipiec 2022 ma 5 niedziel. Czy 3 lipca, 10 lipca, 17 lipca, 24 lipca lub 31 lipca to niedziela handlowa? Kiedy wypada najbliższa niedziela handlowa?
    E-ZLA do kontroli
    Tylko w I kwartale 2022 r. Zakład Ubezpieczeń Społecznych na Dolnym Śląsku skontrolował ponad 9 tys. zwolnień lekarskich, z czego zakwestionowanych zostało prawie 600 e-ZLA na kwotę 407 tys. zł. W analogicznym czasie w całej Polsce przeprowadzonych zostało 100,4 tys. kontroli osób posiadających zaświadczenie o czasowej niezdolności do pracy.
    Polacy rzadziej na L4
    W 2021 r. chorowaliśmy znacznie rzadziej w porównaniu z dwoma wcześniejszymi latami mimo pandemii Covid-19. To dobre wieści dla pracodawców – pisze czwartkowa „Rzeczpospolita”.
    Wprowadzenie elastycznych form zatrudnienia w Kodeksie pracy
    Z badań i rozmów z młodymi ludźmi wynika, że konieczne jest wprowadzenie elastycznych form zatrudnienia – powiedziała w czwartek w TVP 1 szefowa ministerstwa rodziny i pracy Marlena Maląg, odnosząc się do procedowanego w Sejmie projektu noweli Kodeksu pracy.
    Przepisy o pracy zdalnej w Sejmie
    Na obecnym posiedzeniu Sejm zajmuje się m.in. przepisami dotyczącymi pracy zdalnej, a także obywatelskim projektem liberalizującym przepisy dotyczące aborcji. Ponadto przysięgę złożył wybrany na drugą kadencję prezes NBP Adam Glapiński.
    Lipcowe wynagrodzenia a nowelizacja Polskiego Ładu
    Zmiany w Polskim Ładzie wchodzą w życie 1 lipca 2022 roku, a wśród nich oczekiwana obniżka podatku PIT z 17% do 12%. Wielu podatników zastanawia się z tej okazji, czy w lipcowej wypłacie zostanie rozliczona nadwyżka podatku dochodowego opłaconego za okres od 1 stycznia do 30 czerwca bieżącego roku.
    Zatrudnienie osób niepełnosprawnych w Polsce na niskim poziomie - potrzebne zmiany
    Wskaźnik aktywności zawodowej osób niepełnosprawnych wynosi 32 proc. i jest to bardzo słaby wynik jak na Europę - wskazał we wtorek pełnomocnik rządu do spraw osób niepełnosprawnych Paweł Wdówik. Jak dodał, bierność osób niepełnosprawnych na rynku pracy wynika m.in. z "pułapki świadczeniowej".
    Podnoszenie kompetencji i kwalifikacji wśród młodych ludzi, to wyzwania rynku pracy
    Wiceminister rodziny i polityki społecznej Stanisław Szwed na Forum Wizja Rozwoju w Gdyni wskazywał, że największe wyzwania na rynku pracy, to podnoszenie kompetencji i kwalifikacji w przygotowaniu młodych ludzi do pracy. Dodatkowym wyzwaniem jest też brak rąk do pracy w branżach, w których zatrudniano pracowników z Ukrainy.
    Zarobki IT w polskich startupach
    Na co powinien zwrócić uwagę rekruter szukający programistów dla polskich startupów? Jacy specjaliści są poszukiwani w tego rodzaju firmach? Jakie stawki oferować? Odpowiedzi na te pytania znajdziemy w raporcie przygotowany przez fundusz bValue venture capital we współpracy z portalem publikującym oferty pracy dla programistów Just Join IT.
    Jakie dokumenty potwierdzają ważność badania lekarskiego przeprowadzonego u poprzedniego pracodawcy
    Pracownik jest zatrudniany do pracy do nowego pracodawcy i ma ważne aktualne badania okresowe wykonane np. w 2021 roku i czynniki szkodliwe występujące na obecnym jak i przyszłym stanowisku pracy są identyczne (stanowisko jest analogiczne). Natomiast pracownik nie dysponuje oryginałami (bo np. je zagubił) skierowania na badania oraz orzeczenia lekarskiego, a do nowego pracodawcy przedstawia kopie tych dokumentów, kopie te pozyskał od aktualnego pracodawcy. Czy nowy pracodawca może uznać ważność tych badań i nie kierować nowozatrudnianego pracownika na badania wstępne, bazując na otrzymanych od pracownika kopiach w/w dokumentów.? Czy zatem aby uznać ważność badań od poprzedniego pracodawcy, nowy pracodawca musi wymagać oryginałów dokumentów (skierowania oraz orzeczenia lekarskiego), a jeśli takowych pracownik nie posiada to nowy pracodawca powinien go raz jeszcze skierować na badania lekarskie, mimo iż u poprzedniego pracodawcy badania są jeszcze ważne?
    Pracodawcom udaje się zaangażować w pracę tylko połowę Zetek
    Jak wynika z badań Kincentric Polska, tylko 50% pracowników przed 25 rokiem życia czuje się angażowanych przez swojego pracodawcę mimo, że to właśnie Zetki najlepiej poradziły sobie ze zmianami, jakie przyniosła pandemia i praca zdalna. Młodzi przede wszystkim nie czują wpływu na to, co dzieje się w firmie. Od pracodawcy oczekują większego przyzwolenia na eksperymentowanie i uczenie się na błędach oraz swobody w sposobie wykonywania pracy. Bardzo ważna jest dla nich również odpowiedzialność firmy za wpływ na klimat i lokalne społeczności.
    Do 30 czerwca 2022 r. można składać wnioski o zgodę na opłacenie składek na dobrowolne ubezpieczenia po terminie
    Ważna zmiana dla przedsiębiorców i innych płatników składek, którzy korzystają z dobrowolnych ubezpieczeń (chorobowego, emerytalnego i rentowych) i opłacili składki po terminie za listopad 2021 r. Jeżeli chcą zachować ciągłość ubezpieczeń, powinni złożyć do ZUS wniosek o zgodę na opłacenie składek po terminie. Wniosek można złożyć na formularzu US-9 tylko do 30 czerwca 2022 r.