Môže sa to stať aj vám, že váš zamestnanec sa obráti na média a pošle im informácie… aj s osobnými údajmi iných zamestnancov. Okrem taktýchto hrubých porušení GDPR sa môže stať, že zamestnanec poruší GDPR nevedomky a spôsobí únik osobných údajov. Dá sa vôbec zabrániť, aby k tomu dochádzalo?
Táto otázka mi rezonovala počas čítania publikácie “Workplace privacy update” z augusta 2024, publikovanou právnickou kanceláriou Ius Laboris. Stručné prípadovky zo 14 krajín sa zaoberali rozhodnutiami úradov pre ochranu osobných údajov v jednotlivých krajinách o takých prípadoch, ako použitie fotografií bývalého zamestnanca zamestnávateľom alebo neoprávneným prístupom zamestnanca k údajom. Vedeli ste, že z pohľadu ochrany osobných údajov môže byť problematické aj pomerne rutinné rušenie e-mailového účtu bývalých zamestnancov?
Skúsme spoločne preskúmať, ako môže zamestnávateľ chrániť osobné údaje dotknutých osôb a zabezpečiť integritu a dôvernosť spracovania osobných údajov.
Čím prísnejšie, tým lepšie
Základom je čo najstriktnejšie obmedzenie prístupu k osobným údajom na báze “need to know”. To znamená, sprístupniť len tie údaje a len tým zamestnancom, ktorí ich nevyhnutne potrebujú pre splnenie svojej pracovnej úlohy. To predpokladá dôsledne popísané pracovné povinnosti, rozumne nastavenú organizačnú štruktúru a správne nastavené firemné procesy. Kto komu čo posiela, ako a načo.
Implementujte GDPR princípy priamo do procesov. Pri nastavovaní procesu, či už ide o nábor, odmeňovanie, prepúšťanie, ale týka sa to aj procesov logistických, obchodných, marketingu a ďalších, vzniká príležitosť pýtať sa, aké riziká sa môžu vyskytnúť v jednotlivých fázach. V ktorom kroku procesu môže dôjsť k úniku, poškodeniu, zničeniu osobných údajov alebo inému porušeniu GDPR? V tejto fáze si treba tiež nastaviť kontrolé mechanizmy, ako sa vôbec dozvieme, že došlo k porušeniu povinností pri spracúvaní osobných údajov.
Pri nastavovaní procesu treba teda myslieť na to, čo sú možné riziká a ako ich minimalizovať. Najmenej rizikovým údajom je taký údaj, ktorý nemáte. Čo nemáte, to neunikne. Odpoveďou ako sa vyhnúť rizku je teda čo najstriktnejšie obmedzenie spracúvaných údajov a skrátenie lehoty spracúvania. Pomáha premýšľať minimalisticky – ktoré osobné údaje skutočne absolútne nevyhnutne potrebujem pre dosiahnutie účelu, kvôli ktorému som údaje vlastne spracúval?
Ak sa dá, tak osobné údaje nepreposielať, neprenášať, nekopírovať. Vymazávať. Ak ide o údaje, ktoré sa nemôžu vymazať, tak anonymizovať. Ak sa nedá anonymizovať, tak aspoň pseudonymizovať. A keď nie je možné ani pseudonymizovať, tak aspoň šifrovať. Šifrovanie predpokladá pravidelnú aktualizáciu hesiel a ďalšie technické bezpečnostné opatrenia.
Keď je všekto takpovediac nakreslené, zmapované, zdokumentované, prichádza implementačná časť. To znamená vydať zamestnancom presné a jasné pokyny pre bezpečné spracúvanie osobných údajov. Vytvoriť im na to vhodné podmienky, poskytnúť školenie, sprístupniť smernicu, ponúknuť praktické nástroje ako napríklad checklisty. Súčasťou implementácie by mala byť aj kontrola, či to funguje tak, ako sme si nakreslili. Ak nie, tak sa proces upravuje a dolaďuje, upravujú sa aj pokyny pre zamestnancov.
Dobre, ale – kto to všetko urobí? A kedy?
Zdá sa vám nerealistické venovať čas a pozornosť implementácii GDPR za plného chodu firmy? Ja vám rozumiem.
A čo keby ste tým niekoho poverili? Môžete menovať zodpovedú osobu, ktorá sa bude tejto agende venovať a implementáciu GDPR do organizácie povedie, samozrejme, za súčinnosti vami poverených zamestnancov. Zodpovedná osoba v zmysle GDPR nie je len formalisticky menovaný pracovník či externá firma, ale niekto, kto prináša konkrétne riešenia pre konkrétne situácie a procesy vo vašej organizácii.
O tom, že úsile firmy chrániť osobné údaje nekončí vypracovaním alebo zakúpením dokumentácie, svedčí aj rozhodnutie poľského úradu pre ochranu osobných údajov, ktorý pokutoval franšízu obľúbenej reťazovej reštaurácie. Pokutu vo výške 54 000 EUR vyrúbil za stratu pamäťového kľúča s osobnými údajmi zamestnanca.
Zamestnanec reťazca stratil pamäťovú kartu, ktorá obsahovala osobné údaje iného zamestnanca. Išlo o široký rozsah údajov: meno a priezvisko, dátum narodenia, adresu bydliska, číslo PESEL (jedinečné identifikačné číslo), číslo pasu zamestnanca.
Zamestnanec mal oprávnenie na prístup k osobným údajom a ich kopírovanie na pamäťovú kartu, ale v priebehu konania sa zistilo, že prevádzkovateľ údajov (zamestnávateľ) špecifikoval požiadavky, ktoré sa majú dodržiavať pri kopírovaní údajov na pamäťové kľúče, ktoré ale nebolo vykonané. Rovnako tak nebolo vykonané šifrovania údajov a DPIA. Úrad došiel k názoru, že prevádzkovateľ údajov v podstate presunul svoju zodpovednosť za zabezpečenie ochrany údajov svojich zamestnancov a že tým neboli splnené základné povinnosti prevádzkovateľa údajov. V neprospech prevádzkovateľa zavážilo aj zistenie úradu, že zamestnávateľ od roku 2022 nepreskúmal svoje organizačné a technické opatrenia a strata pamäťovej karty nebola nikdy uznaná za riziko – takže ho, logicky, nikdy neošetrili.
Toto rozhodnutie ilustruje, aké dôležité je pravidelne prehodnocovať technické a organizačné opatrenia, ktoré boli prijaté, najmä ak sa znovu objavia riziká, ktoré boli predtým neznáme.
Chcete vedieť, ako sa dalo znížiť riziko úniku osobných údajov stratou pamäťovej karty?
Riadenie rizík je nepretržitý a opakujúci sa proces, ktorý vyžaduje, aby bol súlad s GDPR kontinuálnym procesom neustáleho monitorovania výskytu rizík. Pre dosiahnutie travalého zlepšovania stavu môžete použiť metódu PDCA.
Metóda PDCA slúži na systematickú realizáciu opatrení, ktorých účinok sa po zavedení vyhodnocuje a v prípade úspechu aj štandardizuje.
Prvým krokom je plánovanie, v ktorom sa určia priority podľa naliehovosti. Kde nám tečie do topánok? Kde hrozí najväčšie riziko? Čo je tým rizikom? Ktoré ďalšie veci potrebujeme riešiť? Čo by sme chceli robiť lepšie? A koľko nás to bude stáť? Druhým krokom je realizácia základnej verzie plánu, akoby testovanie, či proces funguje to tak ako sme si predstavovali.Tretia fáza je check, teda kontrola kde to drhne, čo treba doladiť. A v poslednej fáze, act, už ideme naplno po novom.
Hotovo!
Smutnou pravdou je, že 100% súlad je nedosiahnuteľný. Ale to neznamená, že sa oň nebudeme usilovať! Proces implementácie GDPR sa dá považovať za ukončený, keď sa procesy v organizácii štandardizujú tak, že sú tak súladné s GDPR, ako je to možné v rámci daných možností. A viete podľa čoho poznám ten okamih ja ako DPO?
Keď ma zamestnanci klientov kontaktujú sami od seba so zadaním. Ahoj, ideme robiť toto, ako mám postupovať podľa GDPR?
Chcete taktúto podporu aj vy?