Firma zewnętrzna musi zapewnić, że osoby przez nią zatrudnione, mające dostęp do danych, których administratorem jest pracodawca, zobowiążą się do zachowania ich w poufności. Ponadto musi ona współpracować z pracodawcą, organami nadzoru, a w określonych sytuacjach także bezpośrednio z osobami, których dane dotyczą. Natomiast po zakończeniu świadczenia usług związanych z przetwarzaniem – zależnie od decyzji pracodawcy (administratora) – ma obowiązek usunąć wszystkie dane osobowe lub zwrócić wszelkie dane osobowe oraz ich kopie.
V. Rejestr czynności przetwarzania
RODO nie precyzuje obowiązków dokumentacyjnych administratorów danych osobowych. Rejestr czynności przetwarzania to jeden z nielicznych wyjątków. Mimo dość szczegółowej regulacji (art. 30 RODO), wprowadzenie rejestru nie jest proste z uwagi na brak zdefiniowania pojęcia „czynności przetwarzania danych osobowych".
Pracodawcy, którzy prowadzili już rejestry zbiorów danych osobowych, w pewnym stopniu mogą z nich skorzystać, aby wskazać procesy, w toku których dochodzi do przetwarzania danych. W procesach kadrowych powinni jednak dążyć do ich uogólniania w miejsce tworzenia zbyt rozbudowanych rejestrów. Chcąc wymieniać każdy proces kadrowy z osobna, otrzymalibyśmy dokument zbyt szczegółowy i mało przejrzysty. Należy poruszać się w ramach trzech głównych obszarów: rekrutacja, etap zatrudnienia, przechowywanie danych byłych pracowników.
Rejestr czynności przetwarzania powinien zawierać:
- dane kontaktowe administratora i inspektora ochrony danych (jeśli został powołany),
- cele przetwarzania,
- opis kategorii danych osobowych oraz kategorii osób, których te dane dotyczą,
- informacje o odbiorcach, którym dane zostały udostępnione.
W rejestrze należy też zamieścić – jeśli jest to możliwe – planowane terminy usunięcia poszczególnych kategorii danych oraz ogólny opis środków technicznych stosowanych do zabezpieczenia danych.
VI. Ochrona i bezpieczeństwo
Zgodnie z art. 32 RODO, pracodawca będący administratorem danych ma obowiązek wdrożyć odpowiednie środki techniczne i organizacyjne dla zapewnienia odpowiedniego stopnia ich bezpieczeństwa. Jako kryteria doboru właściwych środków RODO wymienia:
- stan wiedzy technicznej,
- koszt wdrażania,
- charakter, zakres i cel przetwarzania,
- ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia o wadze zagrożenia.
Wśród środków technicznych i organizacyjnych RODO wymienia np.:
1) pseudonimizację i szyfrowanie danych osobowych,
2) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
3) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Administrator powinien dążyć do zapewnienia stopnia bezpieczeństwa danych osobowych odpowiadającego ryzyku naruszenia praw i wolności osób fizycznych.
RODO nie daje konkretnych wskazówek co do rozwiązań, jakie należy wdrożyć w celu zabezpieczenia danych osobowych. Wskazuje cel, do jakiego pracodawca ma dążyć, ale nie podaje metody jego osiągnięcia. Określa się to jako neutralność technologiczną.
Nie ma jednolitego wskazania, jak często należy zmieniać hasło do komputera pracownika ani zakazu korzystania z pamięci przenośnych. W niektórych przypadkach wystarczające jest odpowiednie zabezpieczenie pomieszczenia, w którym przechowywane są dane oraz wyznaczenie osoby odpowiedzialnej za dostęp do nich. W innych przypadkach – gdy przetwarzane są dane szczególnej kategorii (np. dotyczące zdrowia) – zabezpieczenie technologiczne powinno być znacznie bardziej zaawansowane. Aby to ustalić, konieczne jest przeprowadzenie oceny ryzyka. Jednak zgodnie z przewidzianym w RODO podejściem opartym na analizie ryzyka, nie zawsze obowiązkowe będzie tzw. przeprowadzenie oceny skutków dla ochrony danych. Jest ono konieczne wyłącznie wtedy, gdy przetwarzanie danych osobowych „może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych" (art. 35 RODO).
Wskazówki co do tego, co może stanowić ryzyko wiążące się z przetwarzaniem danych, zawiera motyw 75 RODO. Wymienia przykładowe sytuacje stanowiące zagrożenie dla praw i wolności podmiotów danych. Na jego podstawie można wskazać następujące ryzyka naruszenia praw i wolności:
1. przetwarzanie danych osobowych może prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności jeżeli może ono poskutkować:
- dyskryminacją,
- kradzieżą tożsamości lub oszustwem dotyczącym tożsamości,
- stratą finansową,
- naruszeniem dobrego imienia,
- naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji lub wszelką inną znaczną szkodą gospodarczą lub społeczną,
2. osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi,
3. przetwarzane są dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania światopoglądowe lub przynależność do związków zawodowych oraz jeżeli przetwarzane są dane genetyczne, dane dotyczące zdrowia lub dane dotyczące seksualności lub wyroków skazujących i naruszeń prawa lub związanych z tym środków bezpieczeństwa,
4. oceniane są czynniki osobowe, w szczególności analizowane lub prognozowane aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się – w celu tworzenia lub wykorzystywania profili osobistych,
5. przetwarzane są dane osobowe osób wymagających szczególnej opieki, w szczególności dzieci,
6. przetwarzanie dotyczy dużej ilości danych osobowych i wpływa na dużą liczbę osób, których dane dotyczą.
VII. Gotowość na wypadek kontroli
Bardzo istotne jest, aby od strony organizacyjnej pracodawca był przygotowany na ewentualność wszczęcia kontroli lub na konieczność zawiadomienia Prezesa Urzędu Ochrony Danych Osobowych oraz podmiotów danych o fakcie naruszenia ochrony danych osobowych.
Zgodnie z obowiązującą od 25 maja ustawą o ochronie danych osobowych postępowanie kontrolne może być prowadzone zgodnie z zatwierdzonym planem kontroli, ale może też być zainicjowane „informacją" otrzymaną przez Prezesa Urzędy Ochrony Danych Osobowych (PUODO). Kontrolujący działający z ramienia PUODO nie ma obowiązku uprzedzenia o kontroli. W jej ramach jest uprawniony m.in. do:
- wstępu na teren kontroli w godzinach 6.00 – 22.00,
- wglądu do dokumentów i informacji mających bezpośredni związek z zakresem przedmiotowym kontroli.
Z tej perspektywy warto zwrócić uwagę na dwie kwestie. Po pierwsze określenie przedmiotowego zakresu kontroli stanowi obowiązkowy element imiennego upoważnienia do przeprowadzenia kontroli, z którym pracodawca powinien się zapoznać. Po drugie, kontrolowany musi obecnie wskazać osobę upoważnioną do reprezentowania go w trakcie kontroli. Podejmowanie czynności zmierzających do wyłonienia takiej osoby i udzielenia jej pisemnego upoważnienia w czasie, gdy w firmie już jest prowadzona kontrola, może wywołać niepotrzebne zamieszanie.
Odpowiednie przygotowanie organizacji do takiej kontroli jest istotne również ze względu na presję, jaką może powodować wprowadzenie odpowiedzialności karnej m.in. za utrudnianie kontrolującemu prowadzenia postępowania (art. 108 ustawy).
VIII. Prewencja na wypadek incydentów naruszenia
Gdy dojdzie do naruszenia ochrony danych osobowych, administrator ma obowiązek „bez zbędnej zwłoki" – w miarę możliwości nie później niż w ciągu 72 godzin po stwierdzeniu naruszenia – zgłosić ten fakt Prezesowi Urzędu Ochrony Danych Osobowych. W razie zgłoszenia po tym terminie, należy wyjaśnić przyczyny opóźnienia. Administrator nie musi jednak zgłaszać incydentu dotyczącego danych osobowych, jeśli jest mało prawdopodobne, aby skutkował on naruszeniem praw lub wolności osób fizycznych.
W pierwszej kolejności pracodawca powinien zatem odpowiedzieć na pytanie, czy doszło do naruszenia danych osobowych, a jeśli doszło – czy skutkowało to ryzykiem naruszenia praw lub wolności osób fizycznych.
Zgodnie z punktem 12 art. 4 RODO „naruszenie ochrony danych osobowych" oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Wynika z tego, że pracodawcy powinni szczególnie zadbać o właściwe przechowywanie dokumentacji pracowniczej, której stan nierzadko pozostawia wiele do życzenia. Warto też zweryfikować, czy podmioty świadczące usługi archiwizacji dają należyte gwarancje właściwego przechowywania dokumentacji.
Ryzykiem dla pracodawców jest zarówno ujawnienie danych osobowych podmiotom nieuprawnionym, jak i utrata danych osobowych, które pracodawca powinien przechowywać z uwagi na publicznoprawne obowiązki.
Jeśli dany przypadek naruszenia ochrony danych osobowych powoduje wysokie ryzyko naruszenia praw lub wolności osoby fizycznej, pracodawca ma obowiązek zawiadomić ją o tym naruszeniu. Takie zawiadomienie nie jest konieczne, gdy po incydencie zastosował takie środki, które eliminują wysokie ryzyko naruszenia praw lub wolności, a także wtedy, gdy zawiadomienie wymagałoby niewspółmiernie dużego wysiłku.
Niezależnie od obowiązku informacyjnego, wszystkie stwierdzone przypadki naruszeń trzeba dokumentować. W tym celu należy prowadzić stosowny rejestr, podając w nim:
- okoliczności danego zdarzenia,
- jego skutki,
- podjęte działania zaradcze.
W razie odstąpienia od notyfikacji, zasadne jest zamieszczenie w rejestrze informacji o podstawie podjęcia takiej decyzji. Powołując się na motyw 85 RODO administrator powinien wskazać, z jakich przyczyn uznał za mało prawdopodobne naruszenie praw i wolności osób fizycznych.
Prowadzenia dokumentacji naruszeń nie wolno lekceważyć. Należy ją prowadzić w taki sposób, aby na jej podstawie organ nadzorczy mógł zweryfikować, czy administrator właściwie realizuje obowiązki.
W związku z powyższym pracodawca powinien po pierwsze uświadomić zatrudnione osoby, że jak najwcześniejsze zgłoszenie samych podejrzeń naruszenia ochrony danych osobowych może zniwelować konieczność notyfikacji. Po drugie powinien też wprowadzić obowiązek stosowania się do procedury postępowania.
IX. Wyznaczenie Inspektora Ochrony Danych Osobowych
Z 25 maja br. administratorzy bezpieczeństwa informacji (ABI) stali się z mocy prawa inspektorami ochrony danych osobowych. Na tej podstawie mogą pełnić tę funkcję do 1 września 2018 r. W okresie przejściowym można jednak wyznaczyć inną osobę na to stanowisko. Administrator danych musi zawiadomić Prezesa Urzędu o wybranym IODO w terminie 14 dni od jego wyznaczenia.
Pracodawca może odwołać osobę, która stała się IODO bez zawiadomienia Prezesa Urzędu – ale tylko wówczas, gdy jako administrator danych nie ma obowiązku wyznaczać inspektora.
Administrator danych osobowych, który nie posiadał ABI, a na podstawie RODO musi wyznaczyć IODO, ma na to czas do 31 lipca 2018 r.
RODO nie nakłada obowiązku powoływania inspektora na wszystkich pracodawców. Muszą go wyznaczyć organy publiczne oraz podmioty, których:
1) główna działalność wiąże się z przetwarzaniem danych na dużą skalę, a zakres, charakter i cele tego przetwarzania wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, albo
2) główna działalność wiąże się z przetwarzaniem danych na dużą skalę szczególnych kategorii danych osobowych (wymienionych w art. 9 RODO) lub danych dotyczących wyroków skazujących.
Ustalenie, czy ten obowiązek istnieje, należy do wewnętrznych zadań pracodawcy. Swoją ocenę powinien uzasadnić (udokumentować), biorąc pod uwagę wytyczne unijnej Grupy Roboczej ds. ochrony danych.
Dobrowolne wyznaczenie kompetentnego inspektora może być pomocne. Jego wsparcie merytoryczne ułatwi przestrzeganie przepisów, pomoże przygotować wymaganą dokumentację i zapewni bieżący kontakt z organami nadzorczymi. Jednak z drugiej strony RODO gwarantuje inspektorom duży zakres niezależności i swobody, utrudniając pracodawcom np. odwołanie inspektora i pociągnięcie go do odpowiedzialności. Jednocześnie inspektora należy informować o sprawach wiążących się z danymi osobowymi, zapewnić jego udział w spotkaniach i konsultować bieżące kwestie, bez możliwości wpływania na jego opinie. Przyczyny działań niezgodnych z zalecaniami inspektora administrator musi uzasadniać. Gdy dodać do tego konieczność poniesienia nakładów na organizację pracy i widmo konfliktu interesów, potencjalne korzyści mogą się okazać mniejsze niż ryzyka.
Dane kontaktowe IODO należy podać do ogólnej wiadomości osób, których dane osobowe firma przetwarza.
X. Monitoring na nowych zasadach
Nowa ustawa o ochronie danych osobowych wprowadziła do kodeksu pracy przepisy dotyczące monitorowania pracowników, w tym stosowania monitoringu wizyjnego oraz monitorowania poczty elektronicznej, a także innych nie wymienionych wprost w przepisach form monitoringu (np. GPS, monitoring aktywności w sieci itp.). Nowe przepisy określają enumeratywnie, w jakich celach prowadzenie monitoringu przez pracodawców jest legalne. Nakładają też obowiązek uregulowania zagadnień związanych z monitoringiem w aktach legislacji wewnętrznej. O wprowadzeniu monitoringu należy poinformować pracowników.
Monitoring został zdefiniowany jako szczególny nadzór nad terenem zakładu pracy lub terenem wokół zakładu pracy w postaci środków technicznych umożliwiających rejestrację obrazu. Pracodawca może go wprowadzić, jeśli jest to niezbędne do zapewnienia:
- bezpieczeństwa pracowników lub
- ochrony mienia lub
- kontroli produkcji lub
- zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę.
Monitoring nie może obejmować pomieszczeń sanitarnych, szatni, stołówek, palarni oraz pomieszczeń udostępnianych zakładowej organizacji związkowej. Wyjątkiem jest sytuacja, gdy jego stosowanie w tych pomieszczeniach jest niezbędne do realizacji celów, o których mowa powyżej, i nie naruszy to godności ani innych dóbr osobistych pracownika, a także zasady wolności i niezależności związków zawodowych.
Co istotne, monitoring można wprowadzić jedynie wówczas, gdy jest niezbędny dla realizacji prawnie usprawiedliwionych celów pracodawcy. Ponadto należy oznaczyć teren i pomieszczenia monitorowane za pomocą odpowiednich znaków najpóźniej na jeden dzień przed jego uruchomieniem. Na obszarze objętym monitoringiem trzeba umieścić np. odpowiednie piktogramy.
Nagrania z monitoringu wolno przechowywać nie dłużej niż 3 miesiące od dnia nagrania. Jeśli jednak stanowią one dowód w postępowaniu lub pracodawca powziął wiadomość, iż mogą stanowić taki dowód – wówczas okres przechowywania ulega przedłużeniu do czasu prawomocnego zakończenia postępowania.
Z kolei monitoring poczty elektronicznej można wprowadzić, jeśli jest to niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy. Rozwiązania stosowane przez pracodawców w tym zakresie powinny jednak gwarantować zatrudnionym przestrzeganie tajemnicy korespondencji. Nawet jeśli z wewnętrznych regulacji przyjętych przez pracodawcę wynika zakaz korzystania z poczty służbowej do celów prywatnych, nie oznacza to, że pracodawca może dowolnie zapoznawać się z treścią prywatnej komunikacji.
Ustawodawca zdecydował, że do innych form monitoringu (np. stron internetowych) stosuje się odpowiednio regulacje dotyczące monitoringu poczty elektronicznej.
Pracodawca ma obowiązek poinformować pracowników o wprowadzeniu monitoringu nie później niż 2 tygodnie przed jego uruchomieniem. Nie dotyczy to jednak przypadków, gdy monitoring już jest stosowany. Przy czym obowiązek informacyjny zawsze dotyczy nowych pracowników – przed dopuszczeniem do pracy pracodawca musi przekazać im informacje dotyczące stosowanego monitoringu na piśmie.
dr Dominika Dörre-Kolasa radca prawny, partner w Kancelarii Raczkowski Paruch
Grzegorz Larek prawnik w Kancelarii Raczkowski Paruch