Co w Prawie Piszczy | RODO w firmie – audyt danych osobowych w poszczególnych działach
7228
post-template-default,single,single-post,postid-7228,single-format-standard,ajax_fade,page_not_loaded,,wpb-js-composer js-comp-ver-5.0.1,vc_responsive

RODO w firmie – audyt danych osobowych w poszczególnych działach

Wspominaliśmy w poprzednich odsłonach, że pierwszym krokiem do wdrożenia RODO jest lepsze poznanie swojej firmy i zachodzących w niej procesów (wewnętrzny audyt) a następnie zidentyfikowanie, jakie dane, w jakim celu i w jakim zakresie są przetwarzane.

RODO wymusza, aby przedsiębiorca lepiej poznał i przeanalizował procesy przepływu danych i informacji w firmie. Dopiero taka wiedza i rozeznanie pozwoli ocenić skalę koniecznych przygotowań do RODO w danym przedsiębiorstwie.

Gdzie szukać danych osobowych w firmie? Spora ich część jest przetwarzana w dziale HR (dane pracowników), dziale zakupów i marketingu (dane klientów i kontrahentów). Z pewnością warto też zajrzeć do działu IT/bezpieczeństwa, który często ma dostęp do większości danych w firmie.

W dzisiejszym wpisie przejdziemy wspólnie przez najważniejsze komórki w firmie, podpowiadając na co zwrócić szczególną uwagę.

Dział HR

W większości firm dział HR jest miejscem, gdzie znajduje się największa ilość danych osobowych. W praktyce zaczynają one spływać do firmy już na etapie rekrutacji, potem są przetwarzane w ramach stosunku pracy, a po jego zakończeniu lądują w firmowym archiwum. Należy przyjrzeć się szczegółowo każdemu z powyższych etapów i ocenić czy stosowane praktyki odpowiadają nowym wymogom i zapewniają odpowiedni poziom bezpieczeństwa.

Zaczynając od przetwarzania danych osobowych kandydatów do pracy w ramach rekrutacji warto zwrócić uwagę na obowiązujące praktyki w zakresie:

– kanałów zbierania danych osobowych kandydatów – bezpośrednio (strona www /e-mail / biuro spółki), czy też za pośrednictwem zewnętrznej agencji / spółki z grupy? (jak uregulowane są te kwestie pomiędzy podmiotami? czy zawarte zostały umowy powierzenia danych do przetwarzania?)

– danych wymaganych od kandydatów do pracy – czy firma wymaga przedstawienia dokumentów potwierdzających kwalifikacje zawodowe (np. prawo jazdy) lub innych (np. dowód osobisty, zaświadczenie o niekaralności)? czy zakres danych nie jest za szeroki?

– dostępu do przesłanych CV – gdzie są przechowywane? kto ma do nich dostęp? co dzieje się z nimi po zakończeniu rekrutacji?

– przetwarzania danych kandydatów również na potrzeby przyszłych rekrutacji – czy tylko za zgodą danego kandydata?

– realizowania obowiązku informacyjnego administratora wobec kandydatów – czy są oni informowani kto, w jakim celu i czasie będzie przetwarzał ich dane?

Warto prześledzić także co dzieje się z danymi osobowymi pracowników firmy:

– jakiego rodzaju dane firma zbiera od pracowników (już po nawiązaniu stosunku pracy)?

– czy dokumenty potwierdzające uprawnienia pracowników związane ze stosunkiem pracy (np. akt urodzenia dziecka, akt zgonu osoby bliskiej) są od nich odbierane w oryginałach / kserokopiach czy tylko odnotowuje się ich okazanie?

– czy firma przekazuje / udostępnia dane pracowników podmiotom trzecim (spółki z grupy, podmioty świadczące usługi medyczne / sportowe)? czy tylko za zgodą pracownika?

– jak długo firma przechowuje dane pracowników (teczki osobowe) po zakończeniu współpracy? w jaki sposób są niszczone?

– czy stosowany jest monitoring w miejscu pracy? czy pracownicy są o tym informowani? jeśli usługi monitoringu świadczy firma zewnętrzna – czy kwestie danych osobowych zostały odpowiednio uregulowane umownie?

Oczywiście to tylko niektóre z pytań i praktyk, na które warto zwrócić uwagę w ramach audytu w dziale HR, a następnie ocenić ich zgodność z wymogami RODO. Przed samym audytem warto też zapoznać się z projektowanymi zmianami w Kodeksie pracy, w ramach przepisów wprowadzających ustawę o ochronie danych osobowych. W bazach danych pracodawców nie będą już mogły być przechowywane imiona rodziców czy miejsce zamieszkania pracownika (zastąpi je adres do korespondencji), dodane natomiast zostaną takie informacje jak: adres e-mail albo numer telefonu.

Ważną zmianą jest także bezpośrednie wskazanie na możliwość przetwarzania przez pracodawcę danych biometrycznych pracownika (np. odcisk palca), ale tylko za zgodą pracownika (pisemną lub elektroniczną) i oczywiście tylko w celach związanych ze stosunkiem pracy (np. kontrola wejść na teren zakładu pracy).

Proponowane zmiany dotykają też tematu monitoringu miejsc pracy, który będzie mógł być stosowany w celu zapewnienia bezpieczeństwa, ochrony mienia lub zachowania w tajemnicy informacji, ale już niekoniecznie do kontroli pracy pracowników. Rozpoczęcie monitoringu powinno być poprzedzone odpowiednim poinformowaniem o tym pracowników (co najmniej 14 dni wcześniej).

Obsługa klienta i marketing

Dane osobowe krążą też w działach firmy zajmujących się szeroko pojętą obsługą klienta i marketingiem. To tutaj dochodzi do pozyskania klienta, pierwszego kontaktu, zebrania jego danych kontaktowych, przekazania danych pracowników firmy zajmujących się danym tematem, a potem zawarcia umowy współpracy. W tym zakresie także warto zweryfikować zakres, celowość i rodzaj pobieranych i przetwarzanych danych (czy do realizacji umowy na pewno potrzebny jest nam nr PESEL i nr dowodu klienta?), ale też przejrzeć prowadzone rejestry (np. rejestr reklamacji / zwrotów, ewidencję umów i faktur).

Także prowadząc aktywny marketing wobec obecnych i potencjalnych klientów łatwo popełnić błędy związane z ochroną danych osobowych i szerzej regulacjami dotyczącymi świadczenia usług drogą elektroniczną. W tym zakresie warto sprawdzić:

– czy zgody marketingowe, np. na newsletter mailowy są / były pobierane zgodnie z obecnymi przepisami (tj. zgody dobrowolne, świadome i konkretne)? czy nie były ukryte w treści umów / innych dokumentów?

– czy firma posiada osobną zgodę na reklamę kontrahentów / partnerów handlowych?

– czy komunikacja marketingowa ograniczona jest do kanału, na który klient wyraził zgodę? (np. tylko adres e-mail, ale już nie sms)

– czy komunikacja marketingowa opiera się na profilowaniu?

Wdrażanie RODO to też dobry moment na przegląd i odświeżenie treści zgód i informacji przekazywanych przez administratora danych (np. w ramach strony www pod checkboxami ze zgodami). Firmy, które prowadzą szeroko zakreśloną działalność marketingową, zarówno drogą tradycyjną, jak i elektroniczną (e-mail / sms / telefon) mogą skorzystać z możliwości jakie daje RODO (również w związku z projektowanymi zmianami przepisów polskich). Wydaje się, że na ich podstawie można przyjąć, że od 25 maja 2018 r. możliwe będzie łączenie kanałów komunikacji w ramach jednej zgody, co może mocno wpłynąć na obecną praktykę pobierania osobnych zgód na marketing mailowy i telefoniczny.

Dział IT i bezpieczeństwo

Zarówno obecne przepisy jak i RODO wymagają przestrzegania wielu standardów dotyczących zabezpieczeń fizycznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych. Standardy te muszą być stosowane na każdym etapie przetwarzania danych osobowych, od ich zbierania, przez przekazywanie, a na końcu niszczenie. W przeciwieństwie jednak do obecnych regulacji, RODO nie określa jakie konkretnie poziomy ochrony mają być zapewnione, zostawiając te kwestie do decyzji każdemu administratorowi danych.

Z praktycznego punktu widzenia wdrożenie RODO w dziale IT i bezpieczeństwa może okazać się najtrudniejsze, bo wymaga także współpracy informatyków czy analityków. W pierwszej kolejności należy zastanowić się jakie programy wykorzystywane są w firmie do przetwarzania danych osobowych. Najczęściej będą to programy księgowe, kadrowo-płacowe czy wewnętrzne extranety. Analizując szczegółowo każdy z nich warto zwrócić uwagę:

– czy dostęp do systemów jest uwierzytelniany za pomocą identyfikatora i hasła? czy system wymusza okresową zmianę hasła?

– czy zapewniona jest gradacja dostępów do danych osobowych? (zapewnienie dostępu do konkretnych obszarów tylko określonym pracownikom, np. czy tylko pracownicy z danego zespołu widzą, że kolega jest na zwolnieniu lekarskim, czy cała firma)

– czy odnotowywane są wejścia i wyjścia z systemu oraz konkretne operacje przetwarzania i możliwe jest przypisanie konkretnych działań do konkretnej osoby?

Niezależnie od rodzaju i ilości stosowanych w firmie systemów informatycznych, administrator danych powinien zapewnić odpowiedni poziom bezpieczeństwa przetwarzanych danych osobowych. Podstawowe kwestie to:

– odpowiednie zabezpieczenie serwerów: informatyczne (programy antywirusowe, firewall) i fizyczne (sejfy, drzwi, przeciwpożarowe, monitoring),

– wykonywanie kopii bezpieczeństwa (odpowiednie ich przechowywanie),

– regularne przeprowadzanie testów bezpieczeństwa systemów,

– szyfrowanie urządzeń przenośnych,

– wdrożenie polityki czystego biurka.

Na koniec warto raz jeszcze podkreślić, że wdrożenie RODO w firmie to nie jednorazowe działanie, które będzie można zrealizować i „odhaczyć”. To stały i ciągły proces, który wymaga wdrożenia wśród pracowników wewnętrznego poczucia współodpowiedzialności za toczące się w firmie procesy przetwarzania danych. W praktyce warto pomyśleć o zaangażowaniu w ten projekt od samego początku wybranych pracowników każdego z działów firmy, którzy będą uczestniczyć w audycie, a potem wdrażaniu RODO i staną się „agentami” ochrony danych osobowych w swoich obszarach, rozumiejąc zachodzące w ich ramach procesy.

Autor: Magdalena Kaleta-Maniak

SENIOR CONSULTANT

T: (+48) 22 12 35 236
E: magdalena.kaleta@olesinski.com

Więcej

Zaproponuj znajomym
Brak komentarzy.

skomentuj