Szkolenie w zakresie świadomości informacyjnej
Pytania, na które należy odpowiedzieć
Ustawa o ochronie danych osobowych zapewnia ochronę pracownikom i określa zasady, których pracodawcy muszą przestrzegać podczas gromadzenia prywatnych informacji o pracownikach. Każda organizacja powinna posiadać program zgodności z przepisami, który powinien oferować pracownikom szkolenie na temat wszystkich przepisów ustawy o ochronie danych osobowych. Należy zauważyć, że ustawa o ochronie danych osobowych określa zasady w sposób ogólny. Każda organizacja powinna określić swoje własne wymagania dotyczące zgodności z przepisami w oparciu o własne środowisko. Istnieje wiele pytań, na które należy odpowiedzieć, co pozwoli pracownikom i pracodawcom mieć jasne pojęcie o ich prawach i obowiązkach.
Czy istnieją jakieś ograniczenia wprowadzone przez RODO w związku z gromadzeniem danych?
Przewiduje się, że organizacja lub osoba fizyczna, która przetwarza dane osobowe, musi skrupulatnie przestrzegać następujących trzech zasad.
Gromadzenie danych powinno odbywać się w sposób uczciwy i musi być zgodne ze wszystkimi przepisami prawa.
Należy jasno określić cel, dla którego ma zostać zebrane dane.
Należy zbierać tylko te dane, które są istotne dla danego zagadnienia.
Czy jest obowiązek informowania osób, których dane są zbierane?
Tak, to jest niezmienne ze strony pracodawcy, aby poinformować ludzi o tym, że ich dane są zbierane. Powinni oni również wiedzieć, dlaczego są one zbierane. W rzeczywistości ustawa przewiduje, że powiadomienie powinno być dokonane przed zbieraniem danych. Osoby powinny wiedzieć, co dokładnie firma zrobi z zebranymi w ten sposób danymi. Powiadomienie powinno być w języku zrozumiałym dla pracownika.
Czy zebrane w ten sposób informacje mogą być ujawnione innym osobom?
Nie, ustawa o ochronie danych osobowych zabrania ujawniania informacji innym stronom. Istnieją pewne wyjątki prawne, w przypadku których ujawnienie jest dozwolone. Prawo jest bardzo jasne, że osoba fizyczna musi być specjalnie poinformowana przed udostępnieniem danych stronom trzecim, w tym policji, jak również systemowi ubezpieczeń społecznych. Prawo wyraźnie określa, że przed ujawnieniem danych organom ścigania oraz nowym pracodawcom wymagane jest specjalne upoważnienie od kierownictwa wyższego szczebla. Kolejnym ważnym aspektem jest to, że ujawnienie danych powinno być adekwatne do wymagań organizacji, która o nie prosi. Procedury ujawniania danych mogą się różnić w zależności od organizacji.
Jak należy zapewnić bezpieczeństwo tak zgromadzonych danych osobowych?
Powinien istnieć dobrze opracowany dokument polityki, który powinien zawierać wykaz procedur, jakie należy stosować w celu ochrony zgromadzonych danych. Środki bezpieczeństwa powinny być zgodne z międzynarodowymi standardami określonymi przez prawo danego kraju. Wiele razy dane są zbierane do celów marketingowych poprzez strony internetowe e-commerce. Takie dane również powinny podlegać środkom bezpieczeństwa. Każdy rodzaj gromadzenia danych wchodzi w zakres stosowania ustawy o ochronie danych.
Jaki powinien być status zbierania danych?
Na pracodawcy spoczywa główny obowiązek zadbania o to, by zbiór danych był w miarę możliwości aktualizowany. Może się zdarzyć, że pracownik mógł zmienić adres zamieszkania. Aktualizacja danych powinna być dokonywana w miarę możliwości.
Czy istnieją jakieś ramy czasowe dotyczące przechowywania danych osobowych?
Prawo wyraźnie stanowi, że dane osobowe powinny być przechowywane tylko tak długo, jak jest to konieczne. Dlatego przewiduje się, że ci, którzy gromadzą dane, powinni mieć jasno określoną politykę przechowywania danych. Należy również zapewnić, że po upływie wymaganego okresu dane powinny zostać trwale usunięte.
Kto powinien wiedzieć i w jakim zakresie?
Gromadzenie danych powinno mieć określony cel. Na przykład bank lub instytucja finansowa zajmująca się przetwarzaniem pożyczek będzie wymagała pewnych dodatkowych danych osobowych, których nie wymagałaby firma marketingowa. Tym samym wymóg firmy zajmującej się przetwarzaniem pożyczek byłby inny niż wymóg firmy zajmującej się marketingiem pożyczkowym. Nadmierne udostępnianie informacji jest zabronione przez prawo. Jest tak tym bardziej, jeśli poszukiwane informacje są z powodów etnicznych. Kwestie polityczne i religijne są delikatne i dlatego powinny być ostrożnie traktowane. Podobnie kwestie związane ze zdrowiem lub preferencjami seksualnymi muszą być traktowane w inny sposób, aby nie urazić żadnych uczuć.
W jaki sposób należy zapewnić, że dane przechowywane w komputerach lub innych urządzeniach przenośnych są bezpieczne i odporne na manipulacje?
Najlepszym sposobem zabezpieczenia danych przechowywanych w formie elektronicznej jest ich zaszyfrowanie. W ten sposób stają się one odporne na manipulacje i nie mogą być w łatwy sposób przechwycone. Firma zbierająca dane powinna również zadbać o to, aby takie mechanizmy bezpieczeństwa były stale aktualizowane, gdyż technologia rozwija się w ogromnym tempie. Dane takie mogą być również przechowywane na serwerze w chmurze, dzięki czemu ich odzyskanie staje się łatwe w przypadku kradzieży lub uszkodzenia urządzenia.
Czy w przypadku pracowników właściwe jest monitorowanie ich ruchów za pomocą telewizji przemysłowej lub skanerów poczty elektronicznej?
Aktywność pracowników może być monitorowana, ale należy pamiętać, że przepisy ustawy DPA będą miały zastosowanie i pracodawca nie powinien naruszać prawa do prywatności pracownika. Tak, telewizja przemysłowa, jak również skanery poczty elektronicznej mogą być używane pod warunkiem, że są zgodne z zasadami i przepisami, które zostały określone przez DPA. Nie trzeba dodawać, że pracownicy powinni być zaznajomieni z takimi środkami monitorowania. Dopiero gdy uczciwość personelu wydaje się podejrzana, pracodawca może uciec się do ukrytego monitorowania. W tym celu ustanowiono szczegółowe zasady i należy ich przestrzegać pod każdym względem.
Przed sięgnięciem po ukryty monitoring warto zasięgnąć porady prawnej. 10. Jak należy postępować w przypadku naruszenia danych pomimo podjęcia wszelkich procedur? Zapewnienie bezpieczeństwa zbioru danych osobowych jest podstawowym obowiązkiem administratorów danych. Jeśli chodzi o zgłaszanie naruszeń, nie ma twardej i szybkiej zasady, komu należy zgłaszać naruszenie danych. Zawsze lepiej jest, gdy naruszenie zostanie zgłoszone do ICO.
Wniosek
Były to pewne pytania, które wymagały natychmiastowego wyjaśnienia w związku z kwestiami gromadzenia danych osobowych.