Informacja o incydencie, który miał miejsce na początku listopada 2019 w Szkole Głównej Gospodarstwa Wiejskiego w Warszawie (SGGW), obiegła całą Polskę. Mowa tu o kradzieży laptopa, który należał do pracownika uczelni. Na komputerze znajdowały się dane kandydatów na studia oraz studentów z ostatnich pięciu lat.
Jak poinformowała uczelnia, pracownik nielegalnie kopiował dane na swój prywatny komputer. Wśród nich znajdowały się: numery PESEL, serie i numery dowodów osobistych, adresy, numery telefonów. Osoby, które zostały narażone na szkodę, zamierzają zbiorowo starać się o zadośćuczynienie.
Niestety, w dobie Internetu możliwości wycieku danych jest wiele. Jak się przed tym zabezpieczyć i wdrożyć przepisy RODO w firmie? Przedstawiamy kilka najważniejszych zasad.
Pracownicy, którzy wykonując swoje obowiązki, przetwarzają dane, powinni odbyć szkolenie z zakresu RODO, a jeśli nie ma takiej możliwości, zapoznać się z materiałami dostępnymi na przykład na stronie Urzędu Ochrony Danych Osobowych.
Pracodawca powinien przyjrzeć się procesowi przetwarzania danych w firmie i określić, jakie informacje są przetwarzane, w jakim celu oraz ile osób ma do nich dostęp. Szczegółowa analiza pozwoli zdefiniować słabe punkty firmowego systemu.
Aby uniknąć problemów, należy ograniczyć pozyskiwanie danych do niezbędnego minimum.
Przykład: nie ma już obowiązku umieszczania miejsca urodzenia na zaświadczeniach po szkoleniach okresowych, kadry nie muszą już tych informacji pozyskiwać i przetwarzać.
Ścieżka przetwarzania danych powinna być również jak najkrótsza - dobrze, aby dostęp do wrażliwych informacji miała jak najmniejsza liczba pracowników.
Jeśli pracodawca przekazuje dane pracowników zewnętrznym firmom - na przykład świadczącym usługi szkoleniowe, księgowe, medyczne - powinien podpisać z nimi umowę RODO.
Inspektora wyznacza administrator danych. IOD pełni rolę pośrednika między podmiotami – Urzędem Ochrony Dany Osobowych, podmiotem przetwarzającym dane oraz osobą, która swoje dane udostępnia.
W każdej firmie powinien być stworzony dokument o nazwie “Polityka bezpieczeństwa”. Jest to ogół zasad obowiązujących w danej instytucji czy zakładzie pracy, dotyczących zabezpieczenia informacji.
Nawet pomimo szczerych chęci i starań, w trakcie wykonywania zadań służbowych zdarzają się błędy.
Przykład: pracownik może zrobić literówkę w mailu odbiorcy i dane trafią w niepowołane ręce. Wtedy dochodzi do naruszenia, a administrator danych ma obowiązek “bez zbędnej zwłoki”, najlepiej w ciągu 72 godzin, zgłosić ten fakt Prezesowi Urzędu Ochrony Danych Osobowych.
Pracodawca zarówno wobec kandydatów do pracy, jak i pracowników musi wypełnić obowiązek informacyjny - określić w jakim celu, na jakiej podstawie prawnej przetwarza dane i kto jest ich administratorem.
W czasach zdominowanych przez urządzenia elektroniczne przechowywanie i przetwarzanie danych nie odbywa się już w teczkach i na kartkach papieru. Większość firm posiada specjalne systemy informatyczne. Pracodawca powinien dołożyć wszelkich starań, aby jak najlepiej zabezpieczyć komputery i serwery przed wyciekiem danych.
Sytuacji takich, jaka miała miejsce w SGGW można uniknąć w prosty sposób - blokując możliwość kopii danych z komputerów służbowych na urządzenia zewnętrzne.
Podsumowując, ochrona danych osobowych to kwestia, za którą odpowiada pracodawca – udostępniając pracownikom odpowiednie narzędzia, szkoląc ich w zakresie przepisów RODO, ale również pracownik, który musi być czujny i przestrzegać wyznaczonych zasad.
