Nieuprawnione ujawnienie tych danych rodzi odpowiedzialność przed prezesem UODO. Do takich zdarzeń może dojść szczególnie podczas przekazywanie informacji związkom zawodowym.

rozwiń

Dane osobowe kandydatów do pracy, członków zespołu i byłych pracowników to jeden z najbardziej wrażliwych i narażonych na naruszenie poufności obszarów w każdej firmie – niezależnie od przedmiotu jej działalności. Nieuprawnione ujawnienie tych danych rodzi nie tylko odpowiedzialność pracodawcy przed prezesem UODO, ale również w relacji z samym zatrudnionym, który może się okazać podmiotem najbardziej dotkniętym skutkami takiego naruszenia.

Oto najważniejsze kwestie, na jakie w tym obszarze zwrócić uwagę powinien każdy pracodawca administrator, zarówno w codziennym funkcjonowaniu organizacji, jak i w sytuacji, gdy dojdzie już do naruszenia poufności danych osoby potencjalnie, obecnie lub w przeszłości zatrudnionej.

1. Kto powinien mieć dostęp do danych osobowych pracowników?

Odpowiednie zarządzanie dostępem do danych osobowych i uprawnieniami do ich przetwarzania to jedno z kluczowych zadań administratora. Dane pracownicze, niezależnie od profilu i działalności firmy, to obszar wrażliwy i wymagający szczególnego zabezpieczenia – zarówno w procesach wewnętrznych, jak i w relacjach w zewnętrznymi podmiotami.

Odpowiednio usystematyzowane i przejrzyste zasady dostępu do danych osobowych pracowników mają na celu zminimalizowanie ryzyka naruszenia ich poufności, a także realizację zasady rozliczalności wobec podmiotu danych i organu nadzoru. Staje się to szczególnie istotne w razie kontroli inspektorów UODO, jak również potencjalnego incydentu naruszenia bezpieczeństwa.

Decyzje w zakresie zarządzenia dostępem do danych osobowych powinny znaleźć odzwierciedlenie w odpowiednio nadanych upoważnieniach do ich przetwarzania. Powinny być one skorelowane ze stanowiskiem zajmowanym przez danego pracownika, zakresem jego obowiązków i uprawnień w strukturze organizacji oraz zaangażowaniem w poszczególne procesy, jakie się w niej odbywają. Współgrać z nimi powinny również zasady udzielania dostępów do systemów informatycznych zarządzanych przez administratora. Nie budzi bowiem wątpliwości, że w dzisiejszych realiach to za ich pośrednictwem przetwarzana jest większość danych kadrowych, w tym procesy rekrutacji, elektroniczna dokumentacja pracownicza, prowadzenie ZFŚS itp.

Tym samym inny zakres dostępu do danych zatrudnionych powinna mieć osoba w dziale HR, zajmująca się na co dzień kwestiami związanymi z zatrudnieniem i rozliczeniem pracowników, inny specjalista ds. bhp, a jeszcze inny kierownik określonej komórki, którego dostęp w niezbędnym zakresie powinien dotyczyć tylko osób należących do jego działu.

Ważne, by zakres dostępu poszczególnych osób do danych odpowiadał również zasadzie minimalizacji, a więc ograniczał się wyłącznie do osób, których zaangażowanie jest niezbędne dla realizacji określonego celu przetwarzania. Dotyczy to danych przetwarzanych nie tylko w procesie rekrutacji, lecz także podczas np.: badania trzeźwości, zwolnień grupowych, udzielaniu wsparcia w ramach ZFŚS itp.

Pamiętajmy też o regulacjach (np. przepisy o zakładowym funduszu świadczeń socjalnych, przepisy kodeksu pracy w odniesieniu przetwarzania danych szczególnych kategorii), które wprost nakładają obowiązek pisemnego upoważnienia osób mających do nich dostęp.

2. Czym jest naruszenie poufności danych osobowych pracowników?

O naruszeniu poufności danych osobowych mówimy w przypadku ich nieautoryzowanego ujawnienia, czyli umożliwienia ich przetwarzania (nawet poprzez sam wgląd) osobie, która nie jest do tego uprawniona.

Praktyka pokazuje, że dane osobowe w obszarze HR narażone są na takie ujawnienie najczęściej np. poprzez wysłanie pracownikowi listy płac całego działu, wydanie świadectwa pracy lub zaświadczenia o zarobkach (np. na cele kredytowe) nie temu pracownikowi, którego dokument ten dotyczy, uzyskanie dostępu do PUE ZUS pracodawcy jako płatnika przez nieuprawnionego pracownika, co powoduje dostęp do danych ubezpieczeniowych innych osób, lub chociażby ujawnienie danych dotyczących jego zdrowia lub zajęć komorniczych osobom nieuprawnionym.

Jak widać, do sytuacji takich w codziennym funkcjonowaniu organizacji może dochodzić stosunkowo często. Nie zmienia to jednak faktu, że każdy tego typu przypadek powinien zostać potraktowany indywidualnie ze szczególnym uwzględnieniem tego: jakiego rodzaju dane zostały ujawnione, jakiemu kręgowi osób (wewnątrz organizacji, wobec osób zobowiązanych do zachowania poufności, czy na zewnątrz – nieustalonej liczbie osób), a także tego, jak długi był czas ich ekspozycji na nieautoryzowany dostęp.

3. Czy naruszenie poufności np. danych kontaktowych należy traktować tak samo jak danych dotyczących zdrowia?

W zależności od kontekstu, zakresu i charakteru ujawnionych danych ryzyko dla interesów pracownika jest różne, a tym samym reakcja po stronie pracodawcy powinna być adekwatna do niego.

Jeśli dojdzie do omyłkowego ujawnienia prywatnego e-maila pracownika np. klientowi firmy, ryzyko takie ocenić można co do zasady jako wyłącznie potencjalne, a tym samym wystarczające może okazać się wyłącznie wewnętrzne działanie zapobiegające tego typu zdarzeniom w przyszłości. Jeśli jednak dojdzie np. do ujawnienia innym osobom informacji o zajęciach komorniczych z wynagrodzenia danej osoby, ryzyko naruszenia jego dóbr osobistych – np. poprzez ujawnienie tej informacji wśród współpracowników, firmowy ostracyzm itp. – może być istotne i nieść za sobą daleko idące negatywne skutki. Dlatego też kontekst ujawnienia danych powinien zostać uwzględniony przez pracodawcę przy ocenie tego, jakie środki działania będą w danych okolicznościach adekwatne i wystarczające oraz czy konieczne jest niezwłoczne powiadomienie o naruszeniu organu nadzoru i samego zainteresowanego.

Na poufność danych osobowych pracowników szczególną uwagę należy zwrócić w kontekście wracającego tematu ochrony sygnalistów. W tym obszarze ryzyko negatywnych konsekwencji ujawnienia tożsamości osoby zgłaszającej naruszenie prawa może być szczególnie dotkliwe i skutkować nie tylko niedozwolonymi działaniami odwetowymi, ale również krzywdą niematerialną takiej osoby.

4. Na co zwracać szczególną uwagę?

Obowiązkiem pracodawcy jako administratora danych jest zachowanie zdolności do ciągłego zapewnienia poufności, integralności i dostępności do przetwarzanych przez niego danych. Służyć temu powinny odpowiednie środki techniczne i organizacyjne, zapewniające stopień bezpieczeństwa odpowiadający istniejącym w tym zakresie ryzykom.

Ważne jest jednak nie tylko wyposażanie się w odpowiednie procedury i systemy IT zapewniające poufność danych na zewnątrz organizacji. Równie istotne jest pogłębianie świadomości pracowników, by w codziennej pracy zwracali uwagę m.in. na zabezpieczanie hasłem wysyłanych plików zawierających dane kadrowe, minimalizację danych gromadzonych na potrzeby udzielania wsparcia ze środków ZFŚS, wzmożoną ostrożność w trakcie wydawania świadectwa pracy, przechowywania dokumentacji pracowniczej czy realizacji przelewów wynagrodzeń.

Nie mniejszym ryzykiem obarczone jest np. zagubienie laptopa, na którym znajdują się dane byłych lub obecnych pracowników lub kandydatów do pracy. W zależności od stanu faktycznego również takie zdarzenie może się okazać naruszeniem poufności, skutkującym obowiązkiem powiadomienia organu nadzoru oraz samych zainteresowanych.

Konieczne jest więc zabezpieczenie procesów przetwarzania danych zarówno wewnątrz organizacji, jak i w relacji z innymi podmiotami, chociażby ze związkami zawodowymi. Tu należy zauważyć, że niejednokrotnie spotkać można się z praktyką, w której na podstawie przepisów uprawniających je do żądania od pracodawcy informacji niezbędnych do prowadzenia działalności związkowej, w tym dotyczących m.in. warunków pracy i zasad wynagradzania, stanu struktury i przewidywanych zmian zatrudnienia itp., związki zawodowe oczekują dokładnych informacji np. na temat stawek wynagrodzeń poszczególnych pracowników lub ich danych kontaktowych. Tymczasem należy pamiętać – co niejednokrotnie potwierdzało już orzecznictwo sądowe – że zakres danych, jakie pracodawca przekazuje organizacjom związkowym w ramach realizacji obowiązków informacyjnych, nie może naruszać przepisów o ochronie danych osobowych ani dóbr osobistych pracownika. W szczególności bez jego zgody nie jest możliwe przekazywanie stronie społecznej informacji nt. warunków zatrudnienia lub sytuacji osobistej zidentyfikowanej lub możliwej do zidentyfikowania osoby. Takie działanie również należałoby bowiem zakwalifikować jako naruszenie poufności jej danych osobowych.

5. Kiedy należy powiadomić prezesa UODO, a kiedy samego pracownika?

Jeśli już dojdzie do zdarzenia, które można zakwalifikować jako naruszenie poufności danych osobowych pracownika, kolejnym krokiem powinna być niezwłoczna analiza, czy zdarzenie takie pociąga za sobą ryzyko naruszenia jego praw i wolności. W szczególności, czy może ono powodować jego dyskryminację, gorsze traktowanie w środowisku pracy, naruszyć jego dobra osobiste, powodować stres, straty finansowe, narażać na kradzież tożsamości itp.

Jeśli tak, należy podjąć niezwłoczne działania zapobiegające takim naruszeniom lub niwelujące ich skutki (np. poprzez natychmiastowe cofnięcie dostępu dla osoby nieuprawnionej, odzyskanie przekazanego omyłkowo dokumentu itp.). Równolegle należy podjąć działania mające na celu zapobieżenie podobnym zdarzeniom w przyszłości, w szczególności poprzez uszczelnienie aktualnego systemu zabezpieczeń danych (zarówno technicznych, jak i organizacyjnych).

Jeśli stwierdzone ryzyko naruszenia praw lub wolności pracownika jest więcej niż mało prawdopodobne, konieczne jest niezwłoczne zawiadomienie o fakcie naruszenia prezesa Urzędu Ochrony Danych.

Jeśli dodatkowo pracodawca stwierdzi, że ryzyko takiego naruszenia jest wysokie, konieczne jest również natychmiastowe powiadomienie o zdarzeniu i jego potencjalnych skutkach samego pracownika, którego dane uległy ujawnieniu.

6. Jak zapobiegać naruszeniom poufności?

Aby zminimalizować ryzyko naruszenia poufności danych zatrudnionych osób, należy działać prewencyjnie. Ważne jest przede wszystkim opracowanie systemu uprawnień do przetwarzania danych, a co za tym idzie – również uprawnień dostępowych do firmowych i zewnętrznych systemów informatycznych. Tak samo bowiem ważny jest adekwatny dostęp do wewnętrznego systemu kadrowego, jak i platformy PUE ZUS lub systemu bankowości, za pośrednictwem którego wypłacane są wynagrodzenia.

Kluczowe są też stały monitoring takich uprawnień i ich odpowiednia modyfikacja (w tym ograniczenie lub całkowite cofnięcie) stosownie do zmian kadrowych. Jednym z najczęstszych błędów pracodawców w sytuacji rozwiązania umowy o pracę lub zmiany stanowiska jest brak natychmiastowego cofnięcia dostępu do firmowych lub zewnętrznych baz danych.

Biorąc pod uwagę, że w całym systemie ochrony danych osobowych jednym z najsłabszych jest czynnik ludzki, istotnym elementem profilaktyki jest również cykliczne szkolenie członków zespołu i podnoszenie ich świadomości na temat szeroko pojętego bezpieczeństwa informacji.

Pamiętać też należy, że zapewnienie odpowiedniego poziomu bezpieczeństwa zasobów firmy jest ciągłym procesem i powinno podlegać cyklicznej ocenie pod kątem adekwatności do pojawiających się ryzyk, a także posiadanych zasobów i narzędzi służących do ich zabezpieczenia. ©℗