INSPEKTOR PIP A OCHRONA DANYCH OSOBOWYCH

ABI INFORMATOR

GIODO-HOME

OCHRONA DANYCH OSOBOWYCH W PRAKTYCE

WYMAGANA DOKUMENTACJA

2 czerwca 2016

0

2434

Inspektor PIP

Inspektor PIP jako inspektor ochrony danych osobowych

     Na mocy porozumienia zawartego 14.12.2012 Generalnego Inspektora Danych Osobowych z Państwową Inspekcją Pracy inspektorzy PIP mogą sprawdzać w jaki sposób są zabezpieczone dane osobowe pracowników. Zobowiązani są zwracać uwagę na przypadki łamania ustawy o ochronie danych osobowych. Jako inspektorzy z dziedziny prawa pracy sprawdzają sposób w jaki pracodawca chroni dane osobowe pracowników. Ich uwadze nie umknie również fakt zbyt szerokiego zakresu gromadzonych danych. W celu ułatwienia pracy inspektorom, a także aby zwrócić uwagę pracodawców przygotowaliśmy kilka wskazówek jakimi powinien kierować się inspektor PIP.

      Inspektor PIP powinien przede wszystkim zwrócić uwagę na zakres przetwarzanych danych osobowych. Pracodawca może przetwarzać tylko dane osobowe pracowników, na które pozwalają przepisy prawa pracy – Kodeks Pracy – ustawy powiązane.

1. Czy w aktach osobowych pracowników znajdują się kserokopie dokumentów, mogących poszerzają zakres zbiory danych? Część informacji w dowodach osobistych, paszportach, prawach jazdy, dyplomach powinny być zamazywane.

2. W jaki sposób zabezpieczone są dane osobowe pracowników? Nie tylko akta osobowe umieszczamy w zamkniętych na klucz szafkach. Zbiory osobowe w szczególności zawierające dane wrażliwe powinny zostać odpowiednio zabezpieczone. W przypadku zbiorów papierowych należy zwrócić uwagę na zamykane szafki oraz dostęp do pomieszczeń. Inspektor powinien dopytać jak przechowywane są klucze do szafek i do pomieszczenia.

3. Kto ma dostęp do danych osobowych. Osoby pracujące z danymi osobowymi pracowników powinny posiadać upoważnienia pozwalające na pracę z konkretnymi zbiorami. Powtórzenie na upoważnieniu zakresu obowiązków nie jest wystarczające. Ustawa o ochronie danych osobowych wyraźnie powołuje się na upoważnienie do konkretnego zbioru danych osobowych. Inspektor dokonując kontroli zakresu przy okazji sprawdza, czy na terenie placówki znajduje się Polityka Bezpieczeństwa i czy dokumentacja jest na bieżąco prowadzona. Rozporządzenie z 29.04.2004 r ( Dz.U. z 2004, Nr 100, poz. 1024) do UODO wymienia upoważnienia z rejestrem jako obowiązkowy element PB i nakazuje jej aktualizację.)

4. Czy dokumenty tworzone przez dział kadrowy nie zawierają zbyt szerokiego zakresu danych i czy w ten sposób nie dochodzi do niekontrolowanego wycieku danych?  Przykładem mogą być listy płac, które oprócz wynagrodzenia z imieniem i nazwiskiem, zawierają również nr PESEL – zakres jest zbyt szeroki. W tym przypadku mniej znaczy lepiej.

5. Rekrutacja do jednostki – co dzieje się z CV nadesłanymi przez potencjalnych pracowników, kto ma do nich dostęp, czy zawierają klauzulę o ochronie danych osobowych? CV osób odrzuconych po zakończonym okresie rekrutacji powinny zostać zniszczone w niszczarce dokumentów. Pracodawca nie może wykorzystywać danych z CV do innych celów niż rekrutacja na dane stanowisko.

6. Przetwarzanie danych osobowych pracownika na podstawie udzielonej przez niego zgody – czy taka zgoda na formę pisemną i czy pracownik mógł odmówić jej udzielenia. Formuła pisma wyrażającego zgodę powinna zamierać opcje  – nie wyrażam zgody.

      Inspektor PIP po ustaleniu, że dane osobowe przetwarzane są w systemach informatycznych powinien zwrócić uwagę:

1. Czy program kadrowo-płacowy spełnia wymagania Rozporządzenia ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024). W szczególności powinien ustalić jakie są stosowane środki bezpieczeństwa i czy znajdują się na odpowiednim poziomie. Osoba pracująca z danymi osobowymi powinna posiadać indywidualny login, hasło od 6 znaków zmieniane co 30 dni. Inspektor powinien zapytać o datę ostatniego wykonania kopi zapasowej systemu i gdzie się ona znajduje (inne pomieszczenie niż oryginał).

2. Program kadrowo – płacowy powinien być dostosowany do przepisów ustawy o ochronie danych osobowych. Administrator systemu powinien mieć możliwość wydrukowania raportu zawierające daty logowań użytkowników do systemu, kto i kiedy wprowadził, zmodyfikował i udostępnił dane osobowe pracowników.

3. Czy zakres danych w systemach informatycznych jest zgodny z przepisami prawa pracy. Inspektor powinien zwrócić uwagę jakie pola są uzupełniane. Poszczególne programy pozwalają na wpisanie bardzo szerokiego zakresu danych, ale użytkownik sam może ustalić które pola uzupełniać. Jeśli wpływa to na nieprawidłowe funkcjonowanie systemu inspektor powinien powiadomić przedsiębiorcę o konieczności zmiany oprogramowania.

4. Czy komputer na którym znajdują się dane osobowe jest połączony z internetem i czy został na nim  zainstalowany program antywirusowy. Program antywirusowy powinien być aktualizowany do najnowszej licencji. Inspektor PIP powinien rozwiązać problem, gdy data ostatniej aktualizacji wynosi ponad rok.

5. Czy użytkownik ma ustalone hasło do systemu operacyjnego komputera oraz blokowany na hasło wygaszacz ekranu. System operacyjny firmy Microsoft musi być nowszy od Windows XP.

6. Poczta elektroniczna działu kadrowego musi być zabezpieczona oddzielnym hasłem.

7. Inspektor powinien zwrócić uwagę również na ustawienie monitorów. Osoby przychodzące do działu kadr nie powinny mieć możliwości podejrzenia tego jest wyświetlane na ekranie monitora.

8. Komputery powinny być podłączone do sieci za pomocą listw zabezpieczających UPS.

      Powyższe kroki powinny pomóc inspektorom PIP w spełnieniu nowej roli inspektorów GIODO w miarę wypełniania swoich dotychczasowych obowiązków.

Program dla ABI

Tagi:

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Copyright © 2016 Kryptos - All Rights Reserved