W jednej z jednostek publicznych wprowadzono prostą zasadę: wszystkie zgłoszenia dotyczące zdarzeń BHP trafiają do wspólnego arkusza online, do którego dostęp mają kierownicy kilku działów. Cel był rozsądny — szybszy obieg informacji, lepsza kontrola terminów i łatwiejsze raportowanie. Problem pojawił się wtedy, gdy do arkusza zaczęły trafiać szczegółowe informacje o stanie zdrowia pracowników, przyczynach absencji czy opisach urazów.
Takie rozwiązanie może prowadzić do naruszenia zasad RODO oraz podstawowych zasad bezpieczeństwa informacji. Przepisy nie posługują się już pojęciem „danych szczególnie chronionych”, ale nadal wyróżniają szczególne kategorie danych osobowych, do których należą m.in. dane dotyczące zdrowia. Ich przetwarzanie wymaga szczególnej ostrożności, ograniczenia dostępu i jasnego określenia celu.
W praktyce problem często wynika nie ze złej woli, lecz z nadmiernie „wygodnych” rozwiązań organizacyjnych. Wspólny arkusz dostępny dla wielu osób może naruszać zasadę minimalizacji danych oraz zasadę ograniczenia dostępu wyłącznie do osób, które rzeczywiście potrzebują konkretnych informacji do realizacji swoich obowiązków.
Co można zrobić lepiej? Warto rozdzielić informacje operacyjne od danych dotyczących zdrowia. Kierownicy powinni otrzymywać tylko taki zakres informacji, jaki jest niezbędny do podjęcia działań organizacyjnych, bez zbędnych szczegółów medycznych. Pomocne są również jasno określone role, odpowiednio nadane uprawnienia, procedury zgłaszania zdarzeń oraz regularny przegląd tego, czy zakres przetwarzanych danych pozostaje adekwatny do celu. :pushpin:
Czasem największe ryzyko nie wynika z cyberataku, ale z procesu, który „tak po prostu działa od lat”. Jeśli chcesz uporządkować podobne procesy i lepiej przygotować organizację do obowiązków sprawozdawczych, zapraszamy na nasze spotkania sprawozdawcze. Skontaktuj się z nami przez naszą stronę — link znajdziesz w komentarzu.