Jakie wymagania muszą spełniać pracownicy przetwarzający dane osobowe? Kto może mieć dostęp do danych osobowych? Kilka podstawowych zasad.
Jednym z podstawowych obowiązków administratora danych osobowych jest zapewnienie, aby dostęp do danych osobowych miały jedynie osoby upoważnione.
Zapewnienie poufności danych osobowych to jednocześnie jedna z podstawowych zasad przetwarzania danych określonych w RODO.
W celu wywiązania się z jej realizacji, administrator musi podjąć szereg działań w sferze zabezpieczeń organizacyjnych i technicznych. Miejsce przetwarzania musi być bezpieczne. Użyte środki techniczne, informatyczne czy telekomunikacyjne muszą chronić przetwarzane dane przed uszkodzeniem poprzez niewłaściwe działanie urządzeń lub programów, czy też atakiem hakerskim na serwer. Muszą chronić także dane podczas ich przesyłu.
Człowiek najsłabszym ogniwem
Jednym z najsłabszych ogniw w łańcuchu przetwarzania danych osobowych jest człowiek. Istotną sprawą jest, aby dane osobowe przetwarzały osoby posiadające odpowiednie cechy osobowe i przygotowanie.
Przepisy dotyczące ochrony danych osobowych nie określają bezpośrednio szczegółowych wymogów. Aby bezpiecznie i świadomie dokonywać przetwarzania danych, pracownicy powinni posiadać odpowiednie umiejętności w obsłudze urządzeń i programów użytych do przetwarzania. Muszą znać procedury postępowania obowiązujące u pracodawcy, dotyczące w szczególności: dostępu do pomieszczeń, przebywania osób postronnych w obszarach, w których przetwarzane są dane, a także zasady bezpieczeństwa w dostępie do systemów informatycznych i przy przesyle danych, oraz zachowania w poufności informacji, do której mają dostęp. Pamiętać należy, że przetwarzanie danych to bardzo szeroka kategoria czynności, jest nim już zwykłe zapoznanie się, czy przechowywanie.
Za bezpieczeństwo przetwarzania danych osobowych odpowiada pracodawca
Za zapewnienie właściwych warunków przetwarzania danych przez pracowników odpowiada pracodawca. Dotyczy to także osób, które wykonują pod kierownictwem administratora i na jego polecenie czynności przetwarzania danych, ale nie są zatrudnione na umowie o pracę, lecz wykonują je na przykład w ramach zlecenia czy wolontariatu .
To pracodawca ma obowiązek zadbać, aby pracownicy:
– mieli właściwe umiejętności lub otrzymali niezbędne przeszkolenie stanowiskowe w zakresie wykonywanych obowiązków,
– zostali przeszkoleni w zakresie przepisów ochrony danych osobowych,
– podpisali oświadczenia o zapoznaniu się z tymi zasadami i zobowiązali się do nich stosować, oraz
– aby przed przystąpieniem do przetwarzania danych osobowych otrzymali od administratora upoważnienie do przetwarzania danych.
Upoważnienie powinno zawierać określenie procesów tego przetwarzania i rodzaju przetwarzanych danych.
Pomoże właściwa dokumentacja
Tak więc decyzję o tym jakie osoby, o jakich kwalifikacjach, mogą w imieniu administratora przetwarzać dane osobowe podejmuje sam administrator.
Co więcej, to on ponosi pełną odpowiedzialność za przetwarzanie dokonywane w jego imieniu. A co za tym idzie za ewentualne negatywne skutki niewłaściwego przetwarzania, jak np. wyciek danych czy brak dostępu do nich.
Pracownik odpowiadał będzie jedynie w zakresie, w jakim naruszył obowiązujące u pracodawcy zasady przetwarzania danych lub jeśli dokonał przestępstwa, na przykład kradnąc, sprzedając lub upubliczniając dane, które miał obowiązek chronić. Jednakże takie działanie trzeba mu udowodnić, a obowiązek ten spadnie znów na pracodawcę.
Pomóc może w tym prowadzenie właściwej dokumentacji przetwarzania danych, czyli praktyczna realizacja innej podstawowej zasady ochrony danych: rozliczalności.
Informacja o Administratorze i treść Polityki prywatności znajduje się tutaj: (link)