Edit Content

O nas

Jesteśmy profesjonalną agencją zatrudnienia KS Service, specjalizującą się w dostarczaniu kompleksowych rozwiązań z zakresu rekrutacji, doradztwa zawodowego oraz zarządzania zasobami ludzkimi. Znajdziesz Nas w Szczecinie, Łodzi i Poznaniu

Dane kontaktowe

Przegląd danych osobowych wart wykonania

Przegląd danych osobowych wart wykonania

Zasadniczo początek roku jest tym momentem, gdy warto wykonać przegląd danych osobowych, szczególnie pod kątem podstaw do ich przetwarzania. Warto pamiętać, iż niektóre przepisy wprost zobowiązują administratora danych do usunięcia tych danych, które nie są już niezbędne do celu w jakim zostały zgromadzone. Poniżej uwagi i spostrzeżenia jakie w tym aspekcie ma Agata Majewska, radca prawny w Kancelarii Ślązak, Zapiór i Partnerzy.

O czym warto pamiętać w kontekście przeglądu danych osobowych?

Co do zasady rozliczalność jest jedną z podstawowych zasad przetwarzania danych osobowych, jakie wymienia rozporządzenie Parlamentu Europejskiego i Rady 2016/679 z 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwane dalej RODO.

O tym, iż owa rozliczalność jest kluczowa, wskazują chociażby kolejne decyzje prezesa Urzędu Ochrony Danych Osobowych (UODO), które coraz większy nacisk kładą na transparentność procesów przetwarzania zarówno pod kątem zakresu gromadzonych danych, jak i czasu ich przetwarzania.

Stąd też istotna jest cykliczna weryfikacja danych osobowych w organizacji, bowiem im mniej mamy ich w posiadaniu, tym mniej wysiłku i nakładów wymaga ich fizyczne zabezpieczenie, co oszczędza czas i środki każdego przedsiębiorstwa. W tym kontekście początek roku jest bardzo dobrym momentem na przegląd tego jakie dane osobowe przetwarza dana organizacja, pod kątem ich aktualności oraz istnienia ważnej podstawy do ich przetwarzania.

W powyższym kontekście RODO wyraźnie określa, iż przetwarzanie danych osobowych ponad dopuszczalnie przyjęty okres jest przetwarzaniem bez podstawy prawnej, rodząc ryzyko odpowiedzialności za naruszenie przepisów rozporządzenia. Warto pamiętać, iż częściowo okres retencji danych zebranych w konkretnym celu określają właściwe przepisy, jak chociażby w przypadku monitoringu pracowniczego czy też dokumentacji pracowniczej, a w pozostałym zakresie ustalenie tego okresu jest zadaniem administratora. W praktyce ustalenie tego jak długo konkretne dane osobowe będą niezbędne dla celu, dla którego są one gromadzone, sprawia administratorom sporo problemów i tu zapewne przydatne byłoby wsparcie specjalisty w obszarze ochrony danych osobowych.

Jednocześnie warto weryfikować czy w każdym przypadku gromadzenia danych na potrzeby danego przedsięwzięcia okres ich przechowywania został wyraźnie ustalony i jest obiektywnie uzasadniony, a w razie potrzeby warto dokonać niezbędnych korekt w tym zakresie. Kolejnym elementem wartym sprawdzenia powinna być weryfikacja tego jak w praktyce wygląda przestrzeganie przyjętego okresu retencji, a więc tego, czy po jego upływie zbędne dane osobowe, zgromadzone chociażby w bazie CV, w bazie klientów lub w bazie subskrybentów, są faktycznie w całości usuwane, czy też część z nich w jakiejkolwiek postaci pozostaje w obiegu.

Warte podkreślenia jest to, co często umyka uwadze administratorów, że przetwarzaniem danych osobowych jest również samo ich przechowywanie, jak chociażby w skrzynce mailowej, na pulpicie, serwerze czy też nawet w archiwum. Nawet, jeśli nie wiąże się to z ich przeglądaniem, przesyłaniem między działami czy też innym aktywnym działaniem. W tym kontekście dobrym rozwiązaniem byłoby opracowanie i stosowanie procedury określającej proces usuwania lub niszczenia danych osobowych, co pozwoli nie tylko na jego ujednolicenie, lecz zapewnienie realizacji zasady rozliczalności.

Na co jeszcze warto zwrócić uwagę w kontekście przetwarzania danych osobowych?

Zasadniczo warto pamiętać, iż niektóre przepisy wprost zobowiązują administratora do cyklicznego przeglądu danych i usunięcia tych, które nie są już niezbędne do celu, w jakim zostały zgromadzone. Przykładem są tutaj przepisy ustawy z 4 marca 1994 roku o zakładowym funduszu świadczeń socjalnych (Dz.U. z 2023 r. poz. 998, ze zm.), wymuszające wręcz coroczny przegląd danych osobowych zgromadzonych w celu przyznania ulgowej usługi, świadczenia oraz dopłaty z funduszu i ustalania ich wysokości, zebranych przez pracodawcę. Celem takowego przeglądu jest ustalenie niezbędności ich dalszego przechowywania, a obowiązek analogicznego przeglądu przepisy nakładają również na zarząd kasy zapomogowo-pożyczkowej, w odniesieniu do danych osobowych członków kasy.

W obu tych przypadkach mogą to być chociażby informacje dotyczące zdrowia, sytuacji rodzinnej, materialnej i socjalnej, a więc ścisłe przestrzeganie cyklicznego przeglądu i redukowania ich do niezbędnego zakresu jest tym bardziej uzasadnione.

Warto również sprawdzić, czy w ramach poszczególnych procesów przetwarzania danych osobowych w danej organizacji nie istnieją przepisy, które nakładają obowiązek regularnych przeglądów oraz ustalania ich dat, w zależności od zakresu gromadzonych danych raz w roku bądź też częściej, by zrealizować zasadę przejrzystości. Z przeglądu takiego powinien zostać sporządzony raport, określający zakres daty brakowania danych, które nie są już niezbędne do przyjętych celów.

Kolejnym elementem, na który warto zwrócić uwagę jest to, iż w CV, kwestionariuszu osobowym kandydata, kwestionariuszu osobowym pracownika czy osobnych arkuszach dotyczących korzystania z poszczególnych uprawnień bądź ulg związanych zatrudnieniem, tak naprawdę powielają się te same dane osobowe. Pomimo rozwijających się rozwiązań paperless oraz tego, że przepisy nie wymuszają na pracodawcy prowadzenia tak obszernej dokumentacji pracowniczej, w wielu organizacjach można zauważyć, wynikającą często z zaszłości, słabość do mnożenia dokumentów. Dotyczy to jednak nie tylko obszaru HR, lecz również działań marketingowych czy też kontaktów z klientami i kontrahentami. Dużym problemem dla zachowania poufności i integralności danych okazać się może nadmiar papierowych dokumentów, o czym zapewne przekonał się już każdy, kto w gąszczu akt próbował odnaleźć jeden zagubiony dokument.

W powyższym aspekcie nie mniejszym kłopotem okazać się może aktualizacja danych osobowych konkretnej osoby w sytuacji, gdy trudno określić w ilu miejscach i na ilu nośnikach dane te zostały zgromadzone, a w szczególności, gdy w obiegu pozostają dokumenty z nieaktualnymi danymi takiej osoby. Wówczas dobrym krokiem, który ułatwić integralność danych, jest wdrożenie rozwiązań paperless, pozwalających na cyfryzację zasobów danego przedsiębiorstwa. Warto podkreślić, że na odchodzenie od rozwiązań papierowych pozwalają coraz częściej przepisy, stopniowo dopuszczające alternatywne postacie dokumentów pracowniczych.

Tak naprawdę zastąpienie papierowego obiegu dokumentów komunikacją elektroniczną pozwala z jednej strony sprostać zasadom przetwarzania danych, określonym w RODO, a z drugiej strony po prostu ułatwia pracę, jak i ułatwia rozwiązania przestrzenne, ze względu na brak konieczności wygospodarowania odpowiednio zabezpieczonych przed dostępem osób niepowołanych pomieszczeń na przechowywanie dokumentów.

Warte podkreślenia w tym kontekście jest to, iż rozwiązania paperless nie wymagają zakupu specjalistycznego oprogramowania, a często zastąpić je może komunikacja mailowa bądź też prowadzona za pośrednictwem stosowanych już w danym przedsiębiorstwie do innych celów komunikatorów bądź też podobnych narzędzi. W tym aspekcie cykliczna kontrola spełniania wymogu minimalizacji danych sprowadzać się będzie przede wszystkim do weryfikacji tego, czy liczba dokumentów, czy też innych nośników oraz zgromadzonych tam danych osobowych, jest niezbędna i adekwatna do przyjętego celu oraz czy korzystniejszym rozwiązaniem, dla zachowania odpowiedniego poziomu bezpieczeństwa, nie byłoby ograniczenie danych do koniecznego minimum.

O czym jeszcze warto pamiętać w kontekście zasad przetwarzania danych osobowych w przedsiębiorstwie?

Niewątpliwie zauważyć warto, iż na przestrzeni lat obowiązywania zasad RODO dostrzec można tendencję do ograniczania zakresu przedmiotowego i czasowego danych osobowych personelu, jakie przetwarzać może pracodawca. Pomimo nowelizacji kodeksu pracy z 2019 roku, która znacząco odchudziła przepisy dotyczące danych, których podania od kandydata bądź pracownika żądać może pracodawca, w praktyce część pracodawców nadal oczekuje ujawniania przez nich imion rodziców, nazwiska rodowego matki czy też adresu zameldowania.

W powyższym aspekcie niebywale istotne jest to, iż przechowywanie takowych danych w sytuacji, gdy przepisy upoważniające do tego już nie obowiązują, a brak jest innej podstawy prawnej do ich gromadzenia, jest przetwarzaniem danych niezgodnym z przepisami RODO. Tym samym naraża to pracodawcę, będącego administratorem danych, na odpowiedzialność administracyjną, a w tym również finansową, wobec prezesa UODO.

Stąd też zapewne warto śledzić w powyższym kontekście nie tylko bieżące zmiany przepisów, lecz również stanowiska, zarówno polskiego, jak i europejskiego organu nadzoru oraz orzecznictwo sądów administracyjnych oraz Trybunału Sprawiedliwości Unii Europejskiej w obszarze danych osobowych. Tam bowiem znaleźć można wskazówki jakie dane i w jakiej postaci może przetwarzać pracodawca.

Biorąc jednak pod uwagę tempo zmian stanu prawnego, jak i mnogość stanowisk organów nadzorczych, zarówno w kraju jak i na poziomie Unii Europejskiej, dobrze jest przeprowadzać audyt w zakresie aktualnych podstaw prawnych przetwarzania poszczególnych danych, przy czym warto takiego audytu dokonać wspólnie z ekspertem, mającym wiedzę merytoryczną oraz znajomość aktualnych stanowisk organów administracji Unii Europejskiej oraz sądownictwa w obszarze przetwarzania danych osobowych.

Istotne jest to, iż w przedsiębiorstwach powoli rodzi się świadomość tego, iż zgodność z przepisami RODO jest stałym procesem, a nie jednorazowym działaniem. Tak naprawdę takie elementy współczesnego rynku pracy, jak:

  • zmiana narzędzi, jakimi posługujemy się w pracy
  • nowe przedsięwzięcia i projekty
  • podejmowanie współpracy z nowymi kontrahentami
  • coraz nowsze zagrożenia związane z cyberbezpieczeństwem
  • wprowadzenie pracy zdalnej
  • wprowadzenie nowych zasad kontroli trzeźwości

są obszarami wymagającymi bieżącej analizy tego, czy przyjęte sposoby przetwarzania oraz zabezpieczania danych osobowych są adekwatne do ryzyka naruszenia bezpieczeństwa osób, których dane są tutaj przetwarzane.

W praktyce zatem chodzi przede wszystkim o weryfikację takich elementów, jak:

  • adekwatność przyjętych zabezpieczeń informatycznych pod kątem aktualnych ryzyk związanych z chociażby z phishingiem i innymi zagrożeniami cyfrowymi
  • sposób obiegu dokumentów, zapewniający ich poufność oraz integralność

Co jest zatem najistotniejsze w kontekście przetwarzania danych osobowych w danym przedsiębiorstwie?

Co do zasady bieżące dostosowywanie oraz aktualizacja środków bezpieczeństwa są jednymi z najbardziej podstawowych obowiązków każdego administratora danych osobowych. Odnosi się do tego wprost art. 24 RODO, nakazujący poddawanie przeglądom i uaktualnieniom odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odbywało się zgodnie z przepisami RODO i by móc to wykazać z uwzględnieniem charakteru, zakresu, kontekstu oraz celu przetwarzania danych oraz ryzyka naruszenia praw lub wolności podmiotów danych.

W powyższym aspekcie z analogicznym obowiązkiem mamy do czynienia w odniesieniu do analizy skutków dla ochrony danych, która wymaga przeglądu przynajmniej tak często, jak zmieniają się zagrożenia wynikające z konkretnej operacji przetwarzania danych, mogące powodować wysokie ryzyko naruszenia praw czy też wolności osób fizycznych.

W praktyce o tym jak jest to istotny i ważny obowiązek świadczy chociażby kara w wysokości prawie 2 mln zł, nałożona niedawno przez prezesa UODO na koncern Virgin Mobile, której podstawą był brak legalnych, regularnych i kompleksowych testów, pomiarów i oceny skuteczności zastosowania środków bezpieczeństwa danych oraz podejmowanie działań jedynie przy okazji pojawiających się podejrzeń, podatności czy w związku ze zmianami organizacyjnymi, co jak ocenił organ nadzoru, nie pozwalało na zapewnienie stałego, adekwatnego poziomu bezpieczeństwa przetwarzania danych osobowych.

Podsumowując, wraz z początkiem roku na pewno warto dokonać weryfikacji podstaw do przetwarzania danych osobowych. W tym kontekście warto wiedzieć, że niektóre przepisy wprost zobowiązują administratora danych do usunięcia tych, które już nie są niezbędne do celów, w jakich zostały one zgromadzone. Jednocześnie pracodawcy często pomijają, czy też zapominają o fakcie, iż przetwarzaniem danych osobowych jest również samo ich przechowywanie, chociażby w skrzynce mailowej czy na pulpicie, nawet jeśli nie wiąże się ono z ich przeglądaniem, przesyłaniem czy też aktywnym działaniem.