Ochrona danych osobowych, w tym przede wszystkim ogólne rozporządzenie o ochronie danych osobowych (dalej: RODO) oraz ustawa z dnia 10 maja 2018 roku o ochronie danych osobowych, dotyczą danych osób fizycznych. W zakładach pracy najczęściej największa ilość przetwarzanych danych odnosi się do pracowników. Tym samym to osoby zatrudnione w działach HR powinny zwracać szczególną uwagę na sposoby przetwarzania danych oraz na ich ochronę, jako jednych z najcenniejszych aktywów firmy.

Każdy pracownik działu HR, mający dostęp do danych, powinien zostać przeszkolony w zakresie przetwarzania danych osobowych (w szczególności danych pracowniczych), a także otrzymać upoważnienie do przetwarzania danych osobowych od Administratora Danych. Jak jednak odpowiednio chronić dane? Jakich błędów unikać? Podpowiedzi możemy szukać w decyzjach wydanych przez Urząd Ochrony Danych Osobowych (dalej: UODO).

1) Weryfikacja podmiotu przetwarzającego.

W sytuacji, gdy Administrator Danych korzysta z usług podmiotu przetwarzającego (procesora) konieczne jest, aby powierzenie odbyło się na podstawie umowy lub innego instrumentu prawnego¹. Najczęściej podpisywana jest umowa powierzenia, która reguluje wszelkie kwestie związane z powierzeniem danych. Należy jednak pamiętać o art. 28 ust. 1 RODO, mówiącym o korzystaniu wyłącznie z usług takich podmiotów, "które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO". Problemem jest jednak fakt, iż po podpisaniu umowy Administrator Danych nie weryfikuje okresowo procesora, któremu dane powierzył. UODO w ostatnich miesiącach kładzie dość duży nacisk na sprawdzanie podmiotów, którym powierzyło się dane, bo tak naprawdę mimo wynajęcia procesora, to Administrator Danych jest odpowiedzialny za poziom ochrony danych osobowych.

2) Byli pracownicy dalej posiadają dostęp do danych.

Praca w dziale HR wymaga nie tylko dostępu do danych w wersji papierowej, ale również elektronicznej – w tym do specjalistycznych programów komputerowych. Czasem dostęp do programów jest także zdalny, co niesie za sobą dodatkowe obowiązki ale i zagrożenia w zakresie ochrony danych. Najczęstszym błędem w tym aspekcie jest zbyt późne odebranie pracownikowi uprawnień (a czasem nawet nie odebranie) pomimo zakończenia stosunku pracy. Formalnie były pracownik już nie pracuje na danych osobowych, ale w praktyce ma do nich dostęp. Zgodnie z przepisami dotyczącymi ochrony danych, dostęp powinien zostać odebrany najpóźniej w ostatnim dniu pracy.

3) Brak dokumentowania naruszeń.

Obowiązek dokumentowania naruszeń wynika z art. 33 RODO – zarówno w zakresie prowadzenia wewnątrz zakładowej dokumentacji (np. w Polityce Bezpieczeństwa Informacji) jak i zgłaszania naruszenia do Urzędu Ochrony Danych Osobowych (w ciągu 72 godz. od stwierdzenia naruszenia). „Rejestr naruszeń powinien dokumentować wszystkie zdarzenia, które wiązały się na naruszeniem zasad przetwarzania danych osobowych, a więc nawet wysłanie maila do niewłaściwej osoby, czy przypadkowe usunięcie folderu z danymi, nawet jeśli szybko dało się je przywrócić z kopii zapasowej". W praktyce pozwala to na odpowiednie reagowanie i ewentualne wprowadzanie zmian w systemie bezpieczeństwa informacji. Z informacji przekazywanych przez UODO wynika, że nie wszyscy Administratorzy Danych dokumentują występowanie naruszeń.

4) Ryzyko utraty danych podczas transportu

Obecnie duża ilość danych osobowych przetwarzana jest na komputerach przenośnych, tabletach czy telefonach lub pendrive'ach. Ułatwia to pracę szczególnie tym osobom, które pracują także poza siedzibą swojej firmy. Taki sposób przechowywania danych niesie za sobą dodatkowe zagrożenia wynikające z wynoszenia urządzeń mobilnych poza teren zakładu pracy. Przede wszystkim rośnie ryzyko przypadkowej utraty nośnika danych czy nawet samego dostępu do nich przez osobę nieupoważnioną. W takiej sytuacji Administrator Danych powinien podjąć odpowiednie kroki organizacyjne i techniczne, aby sprzęt mobilny posiadał dodatkową ochronę (np. stosowanie oprogramowania szyfrującego). Niestety dane osobowe nie zawsze są odpowiednio chronione.

Powyższe przykłady ukazują, że ochrona danych osobowych na poziomie działów HR nie jest jeszcze w idealnym stanie. Tym bardziej, że ochrona danych jest procesem ciągłym, która wymaga doskonalenia. Najważniejszą kwestią jest fakt, aby Administratorzy Danych zrozumieli, iż to od nich tak naprawdę zależy w jaki sposób są chronione dane osobowe.