Pracodawca jako administrator ma obowiązek zgłoszenia naruszenia ochrony danych w przypadku, gdy występuje co najmniej średnie ryzyko naruszenia praw i wolności podmiotów danych. W takim przypadku ma on na to 72 godziny od momentu powzięcia informacji o zdarzeniu. Przedstawiamy 5 przypadków „z życia wziętych”, w których pracodawca musi rozważyć zasadność zgłoszenia.
Wskutek nieuwagi pracownika osoba nieuprawniona wykonała zdjęcia dokumentów innej osoby i weszła w posiadanie danych osobowych o stanie zdrowia.
Zgłoszenie naruszenia do Prezesa UODO jest konieczne. Mamy tu bowiem do czynienia z danymi szczególnej kategorii, których posiadanie przez osobę nieuprawnioną może każdorazowo powodować negatywne skutki. Nie wiemy bowiem, do jakich celów mogą zostać wykorzystane, np. do tzw. nagonki medialnej. Istnieje więc duże ryzyko naruszenia praw i wolności osoby fizycznej.
Dokumenty zostały pozostawione na biurku bez nadzoru właściwego pracownika. Stało się to w biurze podawczym, które było miejscem ogólnodostępnym. Nikt postronny jednak nie zapoznał się z tymi dokumentami.
Zgłoszenie naruszenia nie wydaje się konieczne. Administrator jest zobowiązany do przeanalizowania sytuacji pod kątem oceny prawdopodobnych skutków takiego uchybienia. Tutaj pojawiają się różne opcje i wątpliwości. W sytuacji gdy ma się pewność, że nikt nie zapoznał się z treścią dokumentów (lokal zamknięty, nie było w ostatnim czasie petentów), wówczas można założyć, że nie powstaną żadne negatywne skutki dla praw i wolności osób, których dane znajdowały się w pozostawionych pismach. Inaczej, gdy zachodzi pewność, że była w tym czasie przyjmowana duża liczba petentów, dokumenty noszą ślady przekładania, są porozrzucane czy poniszczone. W tym przypadku nie ma większych wątpliwości co do ich bezprawnego ujawnienia.
Pracownik korzysta ze służbowego komputera w celach prywatnych, jak kontaktowanie się z najbliższymi, opłacanie rachunków, przygotowanie pism urzędowych nie jest rzadkością.
W takiej sytuacji nie zgłaszamy naruszenia. Wprawdzie jest to niepożądana praktyka, która powinna mieć odzwierciedlenie zarówno w treści dokumentacji administratora, jaką jest polityka ochrony danych osobowych w danej jednostce, jak i we wszelkich regulaminach pracowniczych. Nie jest to jednak rodzaj naruszenia, który wymaga zgłoszenia do UODO. To bowiem uchybienie wewnętrznej dyscyplinie pracy i tak powinno zostać co do zasady potraktowane.
Pracownik decyduje się na wykorzystanie prywatnych urządzeń, jak komputer, aparat, karta pamięci, w celach służbowych. W związku z tym dochodzi do przetwarzania danych osobowych, którymi administruje pracodawca, bez jego wiedzy.
Odpowiedź brzmi: to zależy.Sytuacja, w której pracownik wykonuje takie czynności samowolnie, a dodatkowo będzie to związane z przetwarzaniem danych osobowych (kadrowych, płacowych, ubezpieczeniowych i innych), jest naruszeniem bezpieczeństwa danych osobowych. Administrator traci kontrolę nad danymi osobowymi. Jest to zaburzenie zarówno poufności, integralności, jak i dostępności do danych osobowych.
Jeżeli jednak pracownik usunie wszelkie dane ze swoich prywatnych nośników, złoży stosowne oświadczenie o nieprzekazywaniu danych osobom nieuprawnionym, to można przychylić się do stanowiska, że zgłoszenie do UODO nie będzie konieczne.
W zakładzie pracy doszło do kradzieży komputera służbowego.
Co do zasady należy zgłosić naruszenie ochrony danych. W sytuacji, gdy następuje kradzież urządzenia, na którym są przechowywane dane osobowe, można:
utracić dane w sposób trwały z uwagi na brak kopii zapasowych;
nigdy nie ustalić tożsamości sprawcy, co utrudnia ocenę dalszych skutków;
odzyskać skradziony sprzęt i dzięki wprowadzonym zabezpieczeniom i zaszyfrowaniu danych mieć pewność, że nikt nie zapoznał się z ich treścią.
W przypadku nieodzyskania skradzionych rzeczy zupełnie tracimy kontrolę nad przetwarzanymi danymi osobowymi.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
