Poradnik Przedsiębiorcy

Wyciek danych osobowych pracowników - warto wiedzieć!

Ochrona danych osobowych powinna stanowić ważny element dobrze zorganizowanego przedsiębiorstwa. W szczególności należycie przeszkoleni pracownicy w zakresie RODO mogą zapobiec sytuacji, w której nastąpi wyciek danych osobowych pracowników z firmy. Zatem rzetelna wiedza dotycząca ochrony danych osobowych to nie tylko posiadanie uprawnień w tej kwestii, lecz przede wszystkim obowiązki pracowników związane z przetwarzaniem danych osobowych. Pracodawca powinien wyznaczyć zasady i procedury zgodne z ustawą RODO, z którymi zapoznają się pracownicy w celu należytego postępowania z danymi osobowymi.

Dane osobowe pracownika niezbędne w procesie rekrutacji i na dalszym etapie podjęcia pracy

Warto przypomnieć, że zgodnie z art. 221 Kodeksu pracy pracodawca może pobierać dane osobowe niezbędne w procesie rekrutacji, w szczególności: imię i nazwisko, datę urodzenia, miejsce zamieszkania i adres do korespondencji, wykształcenie oraz przebieg dotychczasowego zatrudnienia. W dalszym etapie w przypadku zatrudnienia pracodawca może oczekiwać od pracownika podania numeru PESEL, danych dziecka lub męża/partnera w celu objęcia prywatnym ubezpieczeniem zdrowotnym i numeru rachunku bankowego, na który będzie przelewane wynagrodzenie. Powyższe dane pracodawca może udostępniać instytucjom i urzędom wskazanym w przepisach prawa pracy i innym ustawom. Na przykład dane pracowników są przekazywane do Zakładu Ubezpieczeń Społecznych czy właściwego urzędu skarbowego.

Pracodawca powinien stworzyć rzetelne instrukcje i procedury w zakresie ochrony przetwarzanych danych osobowych w firmie

Zgodnie z RODO pracodawca, który jest administratorem danych osobowych, wskazuje cele i środki przetwarzania danych osobowych. Ponadto powinien on zadbać o stworzenie zasad i procedur w celu ochrony danych osobowych, ale także postępowania w przypadku naruszenia ochrony danych osobowych. Pewne dane pracowników będą udostępniane w sferze publicznej. Pracownicy powinni być przygotowani na to, że ich służbowy adres e-mail, numer telefonu komórkowego i zdjęcie będą dostępne na stronie internetowej firmy, dla której pracują czy też w stopce maila. Powinni oni zapoznać się z zasadami bezpieczeństwa przetwarzania danych osobowych oraz podpisać odpowiednie zgody i upoważnienia.

Na stronie internetowej przedsiębiorstwa można zawrzeć informacje, jak sprawdzić lub usunąć swoje dane osobowe

Pracownicy powinni znać zasady postępowania w przypadku przetwarzania danych osobowych klientów firmy. Warto pamiętać, że w przypadku klientów i osób współpracujących przedsiębiorca powinien również poinformować o podstawie prawnej i celu przetwarzania ich danych, dodatkowo o przysługującym im prawie dostępu do ich danych oraz możliwość ich poprawiania. W celu przetwarzania danych osobowych swoich klientów przedsiębiorca lub wytypowani pracownicy powinni pobrać odpowiednie zgody w związku z przetwarzaniem danych osobowych. Informacje o przetwarzaniu danych osobowych, celu i podstawy ich przetwarzania, sposobu dostępu do tych danych, wniosku o poprawienie, usunięcie, przeniesienie do innego administratora danych osobowych mogą zostać zawarte na stronie internetowej firmy. 

Pracownicy, którzy doprowadzili do wycieku danych, poniosą konsekwencje

Zgodnie z przepisami Kodeksu pracy pracownicy, którzy na skutek niewykonania lub nierzetelnego wykonania swoich obowiązków pracowniczych doprowadzili do naruszenia przepisów RODO, mogą odpowiadać za szkody spowodowane takim zachowaniem. Mogą zostać zobowiązani do zapłaty odszkodowania ustalonego w kwocie do wysokości wyrządzonej szkody, jednak nie więcej niż trzykrotność wynagrodzenia, które pracownik otrzymuje. W przypadku wyrządzenia szkody umyślnie pracownik będzie zobowiązany do jej naprawienia i zwrotu w pełnej wysokości za powstałe naruszenie. 

Warto przypomnieć, że kary, jakie mogą być nałożone na pracodawcę w związku z naruszeniem przepisów o ochronie danych osobowych, są ogromne. Zatem szkoda powstała na skutek niedopełnienia obowiązków przez pracownika w związku z wyciekiem danych osobowych najbardziej dotkliwa jest dla pracodawcy. Dlatego tak ważne jest odpowiednie stosowanie przez pracowników procedur i zasad bezpieczeństwa ochrony danych osobowych w miejscu pracy. Również zgłaszanie przez pracowników błędów zapobiegających wyciek danych osobowych pracowników, które zostaną zauważone w trakcie świadczenia pracy, może pomóc w umocnieniu ochrony przetwarzanych danych osobowych. 

Pierwsze kroki, które warto podjąć, gdy nastąpi wyciek danych osobowych pracowników

W przypadku pojawienia się zagrożenia wycieku danych osobowych niezwykle ważne jest szybkie działanie, pracodawca jako administrator danych osobowych zgodnie z przepisami RODO ma bowiem 72 godziny na powiadomienie UODO o wystąpieniu naruszenia. 

Art. 33 RODO wskazuje, że w przypadku naruszenia ochrony danych osobowych administrator bez zbędnej zwłoki, w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, zgłasza je organowi nadzorczemu właściwemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Natomiast podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je administratorowi. Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu zweryfikować przestrzeganie niniejszego artykułu.

Zatem pracownik, który zauważy incydent dotyczący naruszenia danych osobowych, w tym wyciek danych osobowych pracowników, natychmiast powinien poinformować o tym przypadku. Pracodawca powinien mieć czas na ocenę, czy incydent jest takiej wagi, że należy zgłosić go do organu nadzorczego. 

Pracodawca po zebraniu informacji o naruszeniu przepisów o ochronie danych powinien zdecydować, czy naruszenie wpływa na bezpieczeństwo danych w taki sposób, że doszło do niezgodnego z prawem ujawnienia, usunięcia, zniszczenia, zmodyfikowania, nieuprawnionego dostępu do przetwarzanych danych osobowych. Inne przypadki naruszenia przepisów RODO, takie jak brak należytych obowiązków informacyjnych, uzyskania upoważnień od pracowników itd., nie powodują wymogu zgłaszania organowi nadzorczemu ani zawiadamiania o tym osób, których dane dotyczą.

Czas od wykrycia incydentu naruszenia ochrony danych osobowych będzie też istotny w przypadku poinformowania osoby/osób, których ochrona danych osobowych została zagrożona. Warto pamiętać, że zgodnie z przepisami RODO administrator danych osobowych zawiadamia osobę, której dane dotyczą, o naruszeniu ich ochrony. Pracodawca musi też mieć czas na formalne przygotowanie zgłoszenia incydentu do UODO.

Art. 34 RODO nakazuje w przypadku naruszenia ochrony danych osobowych, które może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, że administrator bez zbędnej zwłoki zawiadamia o takim naruszeniu osobę, której dane dotyczą. Pismo powinno w jasnym i prostym języku opisywać charakter naruszenia ochrony danych osobowych oraz zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych, od którego można uzyskać więcej informacji, opisywać możliwe konsekwencje naruszenia ochrony danych osobowych, opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w niektórych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Warto dodać, że powyższe zawiadomienie nie jest wymagane, w następujących przypadkach:

  1. administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;

  2. administrator zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby;

  3. wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

Pracownicy muszą pamiętać, że każdy mail od klienta lub osoby współpracującej z wnioskiem o ujawnienie danych osobowych lub ich usunięcie z bazy firmowej powinien być rzetelnie potraktowany. Pracownik powinien skonsultować dalsze kroki postępowania z takim wnioskiem mailowym z powołanym w danej firmie inspektorem ochrony danych osobowych lub z przełożonym. Przedsiębiorca powinien pamiętać o prowadzeniu rzetelnej dokumentacji zawierającej np. prowadzoną korespondencję z takim klientem czy inną osobą publiczną w celach dowodowych na wypadek przyszłych procesów. Do przetwarzania danych osobowych klientów, którzy zgłoszą wniosek o udostępnienie lub usunięcie ich danych, nie powinno dochodzić przez telefon z uwagi na ryzyko nieprawidłowego przekazania danych i naruszenia zabezpieczeń przed ich wyciekiem. Istnieje prawdopodobieństwo nieprawidłowej identyfikacji, jeśli osoba domaga się podczas rozmowy telefonicznej ujawnienia swoich danych osobowych zgromadzonych w danej firmie. Zgodnie z przepisami pracodawca ma 30-dniowy termin na udzielenie odpowiedzi w powyższym zakresie. Termin ten pozwala na rzetelną identyfikację osoby, która składa taki wniosek, ale też przygotowanie rzetelnej odpowiedzi, w tym przypadku w formie papierowej na adres wnioskodawcy lub w formie elektronicznej.

Pracownicy muszą zabezpieczyć swoje komputery blokadą lub hasłem w celu ochrony zgromadzonych danych osobowych

Pracownicy powinni pamiętać o zabezpieczeniu komputerów i telefonów, przy których pomocy wykonują obowiązki pracownicze. Przede wszystkim zabezpieczenie hasłem powyższych urządzeń przy opuszczeniu biurka powinno być dla nich priorytetowe. Wszystkie te czynności mają na celu zapobiegnięcie sytuacji, w której możliwy jest wyciek danych osobowych pracowników. Takie nawyki pozwolą na właściwe zabezpieczenie przetwarzanych danych osobowych i zabezpieczą przed wyciekiem danych w ten sposób. Pracownicy muszą pamiętać o należytym zabezpieczeniu laptopów i telefonów, jeśli są przewożone poza miejsce pracy. Kradzież laptopa może spowodować wyciek ogromnej ilości danych osobowych nie tylko współpracowników, lecz także klientów firmy. 

Podsumowując, wyciek danych osobowych pracowników jest dotkliwy nie tylko dla osób, których dane zostały ujawnione w nieprzewidzianych sytuacjach,  lecz także dla pracodawcy, któremu grożą ogromne kary pieniężne oraz dla pracowników, którzy przyczynili się do wycieku danych osobowych przez nienależyte wykonanie obowiązków pracowniczych, za które mogą ponosić odpowiedzialność odszkodowawczą. W końcu mają wpływ na wizerunek firmy/przedsiębiorstwa/pracodawcy, który niewłaściwie wdrożył zasady i procedury ochrony przetwarzania danych osobowych.

Warto pamiętać, że w przypadku, w którym po ocenie przez pracodawcę incydentu naruszenia przepisów RODO, na podstawie której stwierdzone zostanie, że naruszenie nie jest wysokie, nie ma obowiązku zawiadomienia osoby, której dane dotyczą.