Rozporządzenie Ogólne o Ochronie Danych Osobowych (GDPR – General Data Protection Regulation) weszło w życie kilka miesięcy temu, 25 maja 2018 roku, a wiele firm w Wielkiej Brytanii wciąż nie dostosowało swoich wewnętrznych regulacji do nowych przepisów narażając się w ten sposób na milionowe kary, które nałożyć może Information Commissioner’s Office (ICO).
Kara dla Heathrow Airport Limited GDPR nadał ICO zwiększone uprawnienia do nakładania kar na przedsiębiorcach, którzy nie dostosowali się do nowego prawa. ICO aktywnie monitoruje praktyki ochrony danych osobowych. W październiku na Heathrow Airport Limited (HAL) nałożył karę w wysokości 120,000 GBP. HAL nie dopełnił odpowiednich starań, by zabezpieczyć dane personalne co doprowadziło do ich wycieku. Dane personalne pracowników Heathrow znajdowały się na nośniku USB, który znaleziony został przez przypadkową osobę. Nośnik nie był zabezpieczony hasłem, a dane nie były zaszyfrowane. Znajdowały się na nim informacje oraz nagranie, które ujawniało dane personalne pracowników. Do incydentu doszło za panowania poprzednich przepisów o ochronie danych osobowych. Za przewinienie, do którego doszło po maju 2018 roku, przedsiębiorcy mogą spodziewać się surowszych kar i dlatego powinni dopełnić wszelkich starań by zabezpieczyć się przed konsekwencjami wycieku danych. Decyzja ICO w sprawie Heathrow powinna być lekcją dla innych organizacji, które powinny usprawnić systemy zabezpieczania danych i nie dopuścić do podobnych sytuacji w przyszłości i uniknąć kar. Jak zabezpieczyć firmę? Aby dostosować się do nowych przepisów GDPR, przedsiębiorstwa powinny w pierwszej kolejności przeprowadzić audyt danych osobowych, które posiadają w swojej bazie. Taki audyt pomoże ustalić, jakie dane pracownicze znajdują się w bazie i w jakich obszarach powinny one zostać lepiej zabezpieczone. Jak przeprowadzić audyt? Audyt powinien objąć dane znajdujące się zarówno w wewnętrznym systemie jak również w systemach osób trzecich, jeśli firma stosuje outsourcing i zleca działania firmom zewnętrznym np.: w zakresie płatności czy księgowości. W następnej kolejności należy zastanowić się, jakie dane powinny być skontrolowane podczas audytu. Należy zadać sobie następujące pytania:
- Dlaczego te dane znajdują się w systemie;
- Jakie są podstawy prawne przechowywania tych danych;
- Czy dane podlegają jednej ze specjalnych kategorii danych osobowych (czyli „wrażliwe dane” w poprzednim reżimie);
- Czy dane związane są popełnionymi czynami zabronionymi lub zarzutami;
- Kategorie danych;
- Źródło danych;
- Data otrzymania danych i okres przechowywania;
- Dane przekazane kandydatom do pracy lub pracownikom (np. privacy notices);
- Czy dane używane są do automatycznego podejmowania decyzji;
- Czy odpowiednie systemy zapewniają prawo dostępu do danych, ich korekty, usunięcia czy wprowadzenia restrykcji oraz prawo sprzeciwu do przetwarzania danych;
- Kto ma dostęp do danych;
- Czy dane są udostępniane osobom trzecim;
- Czy dane przetwarzane są wspólnie z innymi podmiotami.
- Cele przetwarzania danych;
- Kategorie podmiotów;
- Kategorie danych personalnych;
- Kategorie podmiotów, którym dane zostały lub będą ujawnione;
- W niektórych przypadkach, transfery danych do krajów spoza Europejskiego Obszaru Gospodarczego (EEA) lub do organizacji międzynarodowych (w obu przypadkach należy wskazać dokąd konkretnie);
- Przewidywane okresy przetwarzania danych konkretnych kategorii;
- Jeśli to możliwe, ogólny opis technicznych i organizacyjnych zastosowanych mechanizmów bezpieczeństwa;
- W przypadku, gdy pracodawca przetwarza specjalne kategorie danych („dane wrażliwe” w poprzednim reżimie) lub dane związane z popełnionymi czynami zabronionymi, rejestr musi zawierać informację o podstawie ich przetwarzania i jak wymagania Rozporządzenia GDPR są spełnione w przetwarzaniu danych;
Rejestr danych w Twojej firmie nie jest ograniczony tylko do danych związanych z pracownikami, jednak przeprowadzenie dokładnego audytu kadrowego pomoże Ci wypracować Twój własny sprawnie działający rejestr. Kiedy stworzysz już taki rejestr kadrowy możesz połączyć go z innymi rejestrami danych w Twojej firmie i stworzyć ogólny rejestr składający się z poszczególnych kategorii. Uaktualnianie rejestru danych Twój rejestr danych należało będzie regularnie uaktualniać aby upewnić się, że uwzględnia on wszystkie zmiany. Wyznacz osobę w firmie odpowiedzialną za prowadzenie rejestru oraz wskaż, którzy pracownicy będą zobowiązani do informowania o zmianach i uaktualnieniach danych. Wszelkie procedury związane z ochroną danych osobowych oraz zgodnością z rozporządzeniem GDPR powinny wskazywać jak ważne jest działanie zgodnie z przepisami, uaktualnianie rejestrów a także wskazanie, w jaki sposób zostanie to osiągnięte oraz ustalenie obowiązków poszczególnych podmiotów odpowiedzialnych za przetwarzanie danych w Twojej firmie. Jeśli chciałbyś dowiedzieć się więcej o przepisach rozporządzenia GDPR oraz o przetwarzaniu danych osobowych skontaktuj się z adwokat Kate Boguslawską z Carter Lemon Camerons.