5 wyzwań RODO dla organizacji w 2024 r.

Początek roku to dobry moment na sprawdzenie tego, czy nasza organizacja spełnia wymagane standardy w obszarze ochrony danych osobowych. Oto checklista pięciu najważniejszych punktów jakie warto uwzględnić, by bezpiecznie wejść w nowy rok pełen biznesowych wyzwań. 

1. Cykliczny przegląd danych osobowych 

To, że RODO limituje okres przechowywania danych osobowych zebranych dla konkretnego celu wydaje się być oczywiste. Praktyka jednak często odbiega od tego założenia. Bolesne skutki zaniechania w tym obszarze mogą wyjść na jaw dopiero na etapie kontroli inspektorów UODO lub incydentu ochrony danych. Dlatego cykliczny przegląd danych osobowych powinien stać się coroczną tradycją każdej organizacji. Powinien obejmować przede wszystkim: 

• Weryfikację dokumentów ZFŚS – zgodnie z ustawą o ZFŚS, pracodawca ma obowiązek co najmniej corocznego przeglądu danych osobowych zebranych w celu przyznania wsparcia ze środków Funduszu i ustalenia jego wysokości. Dane te, w zakresie w jakim nie są już niezbędne do tych celów ani do dochodzenia praw lub roszczeń powinny zostać w sposób trwały usunięte. 
• Przegląd CV – początek roku to dobry moment na sprawdzenie jak w praktyce funkcjonuje proces przechowywania i usuwania dokumentów rekrutacyjnych. Warto zweryfikować w szczególności, czy faktycznie są one usuwane bezpośrednio po upływie przyjętego okresu przechowywania (i czy nie przyjęliśmy zbyt krótkiego lub długiego okresu retencji), czy wszystkie CV w bazie kandydatów posiadają odpowiednie zgody na ich zachowanie na potrzeby kolejnych rekrutacji, a w końcu – czy wszystkie pozyskane od kandydatów informacje (jak np. stan cywilny czy zamiłowanie do kitesurfingu) są nam niezbędne do oceny ich zgłoszenia. 
• Nagrania monitoringu – 3 miesiące od momentu rejestracji to co do zasady maksymalny okres przez jaki pracodawca może przetwarzać dane osobowe zgromadzone w ramach prowadzonego monitoringu. Chodzi tu nie tylko o monitoring wizyjny, ale również obserwację korzystania z sieci, poczty elektronicznej, nagrania rozmów telefonicznych pracowników czy rejestratorów GPS. Przełom roku to dobry moment, żeby zweryfikować i – w razie potrzeby – skorygować okresy retencji.  
• Dokumentacja pracownicza – praktyka pokazuje, że dokumentacja pracownicza zawiera w sobie niezmierzone pokłady informacji, do których pracodawca nigdy albo już dawno nie powinien mieć dostępu. Najczęściej są to kopie (lub nawet oryginały) dokumentów niezwiązanych z pracą, informacje o zatartych karach porządkowych itp. Tymczasem RODO wyraźnie nakłada na administratora obowiązek minimalizacji danych i gromadzenia ich wyłącznie w zakresie adekwatnym do celu. Temat ten urasta na znaczeniu po zeszłorocznych zmianach KP, na podstawie których pracodawcy gromadzą dane zebrane w toku kontroli i badania trzeźwości, pracy zdalnej czy korzystania z nowych uprawnień rodzicielskich. Cykliczny przegląd pozwoli więc za zachowanie zgodności z zasadą minimalizacji danych oraz transparentności.  

 2. Nowe rozwiązania? Uwzględnij RODO 

Digitalizacja procesów wewnątrz firmy, wprowadzenie nowych narzędzi do rejestracji czasu pracy, zapewnienie pracownikom nowego benefitu, otwarcie nowego kanału sprzedaży lub akcji marketingowej? 

Każda z tych inicjatyw wymaga uwzględnienia aspektów związanych z zapewnieniem odpowiedniej ochrony danych osobowych – zgodnie z zasadą Privacy by design wyrażoną w RODO. Biorąc pod uwagę, że aktualnie większość procesów, jakie odbywają się w organizacji wiąże się z przetwarzaniem danych osobowych, bieżąca współpraca z IOD lub zewnętrznym prawnikiem staje się kluczowa, by uniknąć ryzyka niezgodności z przepisami lub naruszeniem bezpieczeństwa danych – a co za tym idzie – strat finansowych i wizerunkowych. 

3. Szkolenia pracowników 

Świadomość pracowników na temat zasad bezpiecznego przetwarzania danych osobowych w codziennej pracy jest kluczowa dla każdej organizacji. Na nic zdadzą się najbardziej szczegółowe procedury, jeśli zespół nie będzie wiedział w jakich okolicznościach i jak z nich korzystać. 

Cykliczne szkolenia to nie tylko formalny wymóg RODO. W dynamicznie zmieniającej się rzeczywistości, coraz to bardziej zaawansowanych rozwiązaniach informatycznych, korzystaniu z narzędzi AI, nowych zagrożeniach cyberbezpieczeństwa, bieżąca aktualizacja wiedzy pracowników to kluczowy element stabilnej pozycji firmy. Jest też stałym elementem, który w toku kontroli oceniany jest przez inspektorów UODO, a coraz częściej również przez potencjalnych kontrahentów. 

Początek roku to dobry moment, by: 

• sprawdzić czy każdy członek zespołu w ostatnim roku wziął udział w szkoleniu z zakresu bezpieczeństwa informacji i danych osobowych – dostosowanym do charakteru jego pracy; 
• zorganizować cykl praktycznych szkoleń aktualizujących wiedzę zespołu – uwzględniających specyfikę organizacji oraz aktualne ryzyka związane m.in. z rozwojem technologii. 

4. Paperless = większe bezpieczeństwo danych 

Praktyka pokazuje, że przejście z papierowej do cyfrowej formy dokumentów pozwala na większą kontrolę nad zasobami danych osobowych w firmie. Przede wszystkim zmniejsza ryzyko zagubienia dokumentów (co, jak pokazują przykłady decyzji Prezesa UODO, skutkować może w określonych przypadkach karą finansową) i pozwala na zapewnienie ich poufności przez odpowiednią gradację i zabezpieczenie dostępu do danych. 

Im mniej dokumentów w postaci papierowej, tym łatwiej o kontrolę ich aktualności i pracę na danych jakie się w nich znajdują. Także obowiązujące przepisy w coraz większym zakresie pozwalają na digitalizację takich dokumentów, jak chociażby dokumentacja pracownicza, oświadczenia związane z pracą zdalną lub korzystaniem z uprawnień rodzicielskich.  

Wdrożenie rozwiązań paperless pozwala nie tylko na ułatwienie codziennej pracy, ale wpływa również na zachowanie transparentności i zgodności w obszarze compliance, co istotnie wpływa na poziom bezpieczeństwa firmy.  

5. Przegląd klauzul informacyjnych i upoważnień 

Jeśli nadal posługujemy się klauzulami informacyjnymi opracowanymi przy okazji rozpoczęcia stosowania RODO, a więc w 2018 r., istnieje duże prawdopodobieństwo, że straciły już na aktualności, a tym samym nie spełniają swojej funkcji.  

Warto więc sprawdzić, czy stosowane klauzule uwzględniają informację nt.: 

• wszystkich celów przetwarzania,  
• podmiotów, którym dane mogą być przekazywane,  
• czy w międzyczasie nie rozpoczęliśmy korzystania z narzędzi, które wiążą się z przekazywaniem danych poza obszar EOG lub profilowaniem. 

Nie mniej istotny jest regularny przegląd wewnętrznych upoważnień do przetwarzania danych. Powinien on obejmować: 

• weryfikację, czy każda osoba działająca w imieniu administratora posiada aktualne dla jej obecnego stanowiska i zakresu zadań upoważnienie do przetwarzania danych; 
• aktualizację upoważnień – jeśli jest ona konieczna, np. w związku przeszeregowaniem pracownika, wprowadzeniem kontroli trzeźwości itp.; 
• sprawdzenie, czy krąg osób mających dostęp do poszczególnych kategorii danych osobowych nie jest zbyt szeroki – w szczególności, jeśli są to dane osobowe szczególnych kategorii; 
• weryfikację, czy faktyczny zakres danych, do których dostęp posiada pracownik, odpowiada temu wynikającemu z upoważnienia; 
• kontrolę i ewentualną korektę procesu odwoływania upoważnień – zwłaszcza w razie zakończenia zatrudnienia.  

Jak widać, wprowadzenie cyklicznych przeglądów w obszarze danych osobowych pozwala nie tylko na zachowanie zgodności z przepisami i zminimalizowanie ryzyka strat finansowych i wizerunkowych, ale pozwala też na usprawnienie codziennej pracy i zwiększenie świadomości pracowników – co przekłada się na polepszenie pozycji firmy na rynku.  

W naszej praktyce aktywnie wspieramy przedsiębiorców w utrzymaniu wysokiego standardu bezpieczeństwa danych osobowych. Oferujemy m.in. doradztwo prawne w zakresie bezpieczeństwa informacji, przeprowadzamy audyty i praktyczne szkolenia dla pracowników. Dzięki temu efektywnie pomagamy identyfikować zagrożenia i minimalizować ich skutki. 

Zapraszamy do kontaktu!