Biznes, prawo, ochrona danych » dane osobowe

Wrażliwe dane pracownika

admin — Thu, 27 Oct 2011 20:06:31 +0000

Ustawa o ochronie danych osobowych wyróżnia pewien szczególny typ danych a mianowicie dane sensytywne. Należą do nich między innymi informacje o stanie zdrowia lub karalności. Czy pracodawca może uzyskać takie dane od swoich pracowników?Danymi wrażliwymi są informacje o pracowniku ingerujące w głęboką sferę jego prywatności. Nie wszyscy chcą dzielić się wstydliwymi przypadłościami zdrowotnymi lub faktem, iż w przeszłości zdarzył im się konflikt z prawem. Pracodawca ze zrozumiałych względów chciałby jednak wiedzieć czy pracownik jest zdrowy i wiarygodny. Kodeks pracy upoważnia, a wręcz nakazuje pracodawcy przeprowadzenie badań okresowych i wstępnych. Co za tym idzie ma on możliwość uzyskania informacji o stanie zdrowia swojego pracownika. Jednakże wspomniane prawo pracy nie daje pracodawcy możliwości wglądu w wyniki badań. Może on jedynie otrzymać zaświadczenie o braku przeciwwskazań zdrowotnych do pracy na określonym stanowisku. Kodeks pracy nie upoważnia natomiast pracodawcy do gromadzenia jakichkolwiek informacji o niekaralności. Przetwarzanie tego typu danych będzie, zatem możliwe tylko wtedy, gdy przepisy innych ustaw na to zezwolą. Dotyczy to w szczególności określonych grup zawodowych mających dostęp np. do broni. Więcej informacji na temat stanu zdrowia lub karalności pracodawca może uzyskać jedynie wtedy, gdy pracownik udzieli mu na to pisemnej zgody. Należy przy tym pamiętać, że ochrona danych osobowych wymaga, aby zgoda była dobrowolna, co w przypadku pracodawców jest sprawą dyskusyjną ze względu na podległy charakter pracownika. Generalny Inspektor Ochrony Danych Osobowych podczas jednej ze swoich kontroli w instytucji finansowej uznał, że gromadzenie informacji o niekaralności pracowników oraz ich sytuacji finansowej mimo ich wcześniejszej pisemnej zgody jest sprzeczne z prawem. Narusza mianowicie zasadę, iż nikt nie może być obowiązany inaczej niż na podstawie przepisów prawa do udostępniania informacji na swój temat.

Inne ciekawe wpisy z tej grupy:

Bezpieczeństwo danych a szkolenia pracowników

admin — Fri, 11 Jun 2010 14:26:38 +0000

Podczas codziennej pracy biurowej borykamy się z dużą ilością problemów. Jednym z nich jest wiedza pracowników na temat bezpieczeństwa naszych danych. Cóż, bowiem pomogą nam najlepsze nawet zabezpieczenia sieciowe, jeśli dostęp do poufnych danych może uzyskać ktoś bez specjalistycznej wiedzy informatycznej?
Chroniąc dane osobowe w naszej firmie wydajemy majątek na zabezpieczenia informatyczne. Kupujemy drogi serwer, router, najnowsze komputery i oprogramowanie. Często też zlecamy obsługę informatyczną firmie zewnętrznej. Wprowadzamy hasła i szyfrowane połączenia. Wyznaczamy osobę odpowiedzialną za nadzór, którą jest administrator bezpieczeństwa informacji. Czy jednak to wystarczy? Pracownicy naszej firmy otrzymali najnowszy sprzęt komputerowy, informatyk zadbał, aby uprawnienia dostępowe były na jak najniższym poziomie…, Co się jednak stanie, jeśli do którejś z osób zadzwoni ktoś, kto przedstawi się, jako konserwator sieci, który właśnie przeprowadza badania ruchu sieciowego, aby zadbać, o jakość naszego połączenia sieciowego? Doda jeszcze, że dla prawidłowej analizy pakietów przechodzących z naszego komputera poprzez zdefiniowaną listę ACL routera do dostawcy musi na chwilę wyłączyć zaporę na tym stanowisku. Kontaktował się już z dyrektorem, ale ten skierował go do tego właśnie użytkownika żeby przesłał w mailu login i hasło. Oczywiście dla bezpieczeństwa spakowanym rar -em i zabezpieczonym dodatkowym hasłem żeby nikt postronny nie mógł odczytać tej wiadomości…
Jeśli osoba podająca się za konserwatora sieci trafi na nowego i nieprzeszkolonego pracownika dodatkowo zestresowanego ogromem pracy i nałożonymi na niego obowiązkami ma duże szanse hasła otrzymać. W takim wypadku ochrona danych osobowych przestaje działać. Zawinił najsłabszy element systemu ochrony informacji – człowiek. Wyobraźmy sobie jednak sytuację, w której potencjalny złodziej naszych danych trafia na pracownika po szkoleniu. Ten niewiele się zastanawiając informuje o incydencie administratora bezpieczeństwa informacji. Ten w porozumieniu z dyrekcją zawiadamia policję o próbie włamania do systemu informatycznego firmy. Niezależnie od wyników dalszych działań nasze dane pozostały bezpieczne i nienaruszone.

Inne ciekawe wpisy z tej grupy:

Prywatność na portalach społecznościowych

admin — Wed, 21 Apr 2010 15:42:47 +0000

Od pewnego czasu powstała moda na tzw. portale społecznościowe. Dzięki nim docieramy do naszych znajomych, przyjaciół z przed lat a także poznajemy nowych ludzi. Nie zawsze jednak zdajemy sobie sprawę z tego, co tak naprawdę dzieje się z naszymi danymi.

Zwykła codzienność. Przyszedł do nas mail, że nasz znajomy chciałby nas zaprosić do grona swoich znajomych. Uśmiechnięci i zadowoleni z faktu, że odzyskaliśmy kontakt z przyjacielem ze starej szkolnej ławy rejestrujemy się na portalu, podajemy swoje dane osobowe, zgadzamy się na wyszukanie innych znajomych. W radosnej euforii nie zwracamy uwagi na drobny szczegół. Portal przeszukał nasze adresy mailowe, komunikator, pocztę, profile w innych portalach. Dążąc do dotarcia do dawnych miłości, sympatii i przyjaźni rozszerzamy liczbę informacji, jakie przetwarza administrator portalu. Podajemy datę urodzenia, zainteresowania, umieszczamy zdjęcia z dziećmi, rodzinami, samochodami. Portal pyta czy zapoznaliśmy się z polityką prywatności. Oczywiście nie czytając nudnawych klauzul zgadzamy się. Nie interesuje na ochrona danych osobowych czy prywatność. Chcemy mieć znajomych, odzyskać kontakty, umówić się z innymi osobami podzielającymi nasze zainteresowania. Bezmyślnie klikając „tak” docieramy do grona kolejnych znajomych. Istniejemy w wielkiej internetowej społeczności. Zastanówmy się jednak przez chwilę, jakie informacje posiada administrator portalu na nasz temat. Zakładamy, że witryna jest właściwie chroniona, administrator bezpieczeństwa informacji czuwa nad ochroną prywatności. Jednak serwer lub cały portal może znajdować się w kraju, w którym prywatność nie jest ważna. I tu zaczyna się problem. Do naszych informacji docierają osoby, którym w życiu codziennym nigdy nie powierzylibyśmy informacji o statusie majątkowym, naszych dzieciach czy gronie znajomych. A w portalu dane te istnieją. Wiele informacji łatwo wywnioskować. Można np. dowiedzieć się, że w czwartki chodzimy na aerobik a nasz dom stoi pusty. Skąd to wiemy? Na forum zainteresowań korespondujemy przecież z innymi osobami zainteresowanymi tą formą wypoczynku. Polecano nam klub niedaleko naszego domu. A grupa dla dorosłych jest tylko w czwartki. Do tego chwalimy się, że nasze dziecko spędza wakacje w egzotycznym kraju i pojechało tam z babcią. Wystarczy dodać informację, że jesteśmy rozwiedzeni i wnioski nasuwają się same. Pomimo polityki prywatności nieświadomie podaliśmy tak dużą ilość danych, że dopowiedzenie sobie pozostałych informacji jest tylko kwestią logicznego myślenia. Reasumując zanim podamy w Internecie wszystkie możliwe dane na nasz temat dobrze się zastanówmy czy poza oczywistymi i przedstawionymi nam korzyściami nie działamy na własną szkodę.

Inne ciekawe wpisy z tej grupy:

Jak stracić ważne dane

admin — Sun, 14 Mar 2010 11:18:00 +0000

W pracy biurowej każdego dnia gromadzimy wiele informacji. Tworzymy zestawienia, bilanse finansowe lub piszemy raporty dla naszych przełożonych. Dokumenty te często wymagają wiele godzin a nawet dni pracy. Czy jednak zastanawiamy się, co będzie, gdy któregoś dnia okaże się, że owoc naszego wysiłku po prostu zniknie?

W czasie zwykłego dnia pracy otrzymujemy do wykonania zadania. W pracy biurowej na ogół wiąże się to ze sporządzaniem dużej ilości dokumentów, które w różnej formie przekazujemy naszym przełożonym, urzędom lub prezentujemy klientom. W dzisiejszych czasach zanim ostatecznie wydrukujemy raport lub pismo jest ono wielokrotnie sprawdzane i poprawiane. Przez długi czas gromadzimy interesujące nas informacje a następnie staramy się w przystępnej formie ująć je w postaci Np. zestawienia finansowego. Pracując w dziale sprzedaży rywalizujemy z kolegami z firmy tworząc pliki zawierające dane osobowe klientów ich adresy, telefony a nierzadko również daty urodzin i zainteresowania osób, do których chcemy dotrzeć z naszym produktem. Departamenty finansowe tworzą na potrzeby firmy statystyki, które bywają podstawą do nagród i prowizji. Osoby odpowiedzialne za rozwój przygotowują szczegółowe plany biznesowe i projekty.

W natłoku codziennej rywalizacji nie dopuszczamy nawet możliwości utraty dokumentów, skrzętnie chowając nasz dorobek zanim tryumfalnie zaprezentujemy go naszym szefom czy klientom. Utrata danych może jednak być całkiem realna. Jakie błędy popełniamy najczęściej?

Wyobraźmy sobie dużą rozbudowaną organizację. Regulamin organizacyjny opisuje departamenty i działy, nad wszystkim czuwa prezes zarządu, specjaliści od IT oraz administrator bezpieczeństwa informacji. My jednak nie mamy zaufania do polityk stosowanych przez przełożonych. Nie interesuje nas ochrona danych osobowych ani próby przekonania nas do umieszczania danych na serwerze. Codziennie po pracy skrzętnie przegrywamy ważne dokumenty na pendrive. Ostatecznie na serwerze niedokończone projekty mogą przedwcześnie zostać odkryte przez przełożonego a wtedy efekt naszej pracy straci ostatecznie element zaskoczenia, nad którym ciężko pracujemy. Rezultat takiego postępowania może być jednak znamienny w skutkach.

Przede wszystkim serwery w przeciwieństwie do stacji roboczych czy laptopów są codziennie backupowane. Jeśli przydarzy nam się awaria dysku komputera, na którym pracujemy może okazać się, że odzyskanie danych będzie po prostu niemożliwe.

Po drugie pendrivy czy dyski przenośne pomimo swoich niewątpliwych zalet takich jak przeniesienie pracy do domu, są bardzo niebezpiecznym medium. Pendrdrive łatwo zgubić lub zniszczyć. Jeśli nie posiadamy kopii danych w innym miejscu efekty pracy tracimy bezpowrotnie. A co jeśli pendrive z danymi trafi do rąk konkurencji? W takim scenariuszu możemy narazić naszą firmę na realne straty rynkowe, co nie skończy się tylko na połajance szefa…

Inne ciekawe wpisy z tej grupy:

Bezpieczeństwo danych w firmie

admin — Sun, 21 Feb 2010 17:33:26 +0000

Prowadząc przedsiębiorstwo gromadzimy ogromne ilości informacji. Przechowujemy je w segregatorach, elektronicznych bazach danych czasem nawet na karteczkach przyklejonych do komputera. Co zrobić, jeśli wśród tej ogromnej ilości wiedzy pojawią się dane poufne lub informacje chronione prawnie?

W natłoku codziennej pracy kumulujemy olbrzymie ilości danych. Zapisujemy notatki ze spotkań, wysyłamy maile, tworzymy plany działań czy też uzupełniamy bazy danych klientów. W dzisiejszych czasach dostęp do takich informacji jest bezcenny. Wraz z rozwojem komputerów i Internetu tworzone są ogromne bazy danych, do których możemy zajrzeć praktycznie z dowolnego miejsca na świecie. Posiadanie wglądu do interesujących nas wiadomości w każdej chwili i o każdym czasie pozwala na szybkie podejmowanie strategicznych decyzji i wyprzedzanie konkurencji. Jednak zbyt łatwy dostęp do danych niesie za sobą także zagrożenia. Jeśli posiadamy proste hasło lub możemy w każdej chwili niezauważeni zajrzeć do segregatora może to zrobić także ktoś nieupoważniony. Konsekwencje poznania naszych planów przez konkurencję lub wykasowania bazy danych kontrahentów mogą zaważyć o istnieniu na rynku. Czasem wręcz narazić nas na odpowiedzialność karną. Dlatego też bezpieczeństwo danych jest takie ważne. W jaki sposób poradzić sobie z ochroną danych?

Przede wszystkich powinniśmy skategoryzować nasze dane. Oddzielić informacje powszechnie dostępne od poufnych i chronionych prawnie. To pozwoli nam na ustalenie właściwego poziomu ochrony dla każdej kategorii. Dane strategiczne, dane osobowe i finansowe powinniśmy chronić najbardziej. W tym celu powinniśmy stworzyć zestaw reguł, jakich należy przestrzegać operując na tych informacjach. Instrukcje postępowania powinny szczegółowo opisywać, kiedy, kto i na jakich zasadach może mieć wgląd do danych. W przypadku elektronicznych baz danych powinniśmy precyzyjnie określić zasady zabezpieczeń i backupowania danych. Niezwykle ważną kwestią jest poinstruowanie użytkowników o konieczności cyklicznej zmiany hasła i wymogach złożoności a także informowania o podejrzeniu nieautoryzowanego dostępu lub choćby dziwnego zachowywania się komputera. Polityka bezpieczeństwa firmy powinna także zawierać plan awaryjny tak abyśmy mogli od razu poinformować odpowiednie służby lub osoby odpowiedzialne w przypadku naruszenia bezpieczeństwa naszych danych. Osobą odpowiedzialną za całą ochronę może być wyznaczony administrator bezpieczeństwa informacji. ABI będzie dbał o właściwy poziom bezpieczeństwa, aktualizował instrukcje. Do obowiązków ABI powinno należeć także uświadamianie użytkowników o zagrożeniach wynikających z pracy na chronionych danych oraz płynących stąd obowiązkach. Ważne jest, aby nasza polityka bezpieczeństwa nie stała się kolejnym dokumentem zalegającym w szufladzie prezesa, ale istniejącym i przestrzeganym procesem. W ten sposób możemy zminimalizować możliwość niekontrolowanego wycieku informacji lub ich bezpowrotnej utraty.

Inne ciekawe wpisy z tej grupy:

Dane osobowe w spółdzielni mieszkaniowej

admin — Thu, 11 Feb 2010 19:03:43 +0000

Spółdzielnie mieszkaniowe przetwarzają dane osobowe osób związanych w różny sposób z jej działalnością. Mogą to być dane członków, wykonawców, dozorców i innych osób. Jakie zatem obowiązki posiada spółdzielnia wobec naszych danych?
Spółdzielnie mieszkaniowe działają na podstawie prawa spółdzielczego oraz ustawy o spółdzielniach mieszkaniowych. Ustawy te regulują wymagania, jakie musi spełniać każda jednostka spółdzielcza. Jednym z najważniejszych dokumentów spółdzielni jest jej statut. Statut określa m.in., jakie dane osobowe, (jaki zakres) może być przez Spółdzielnię przetwarzany. Odstępstwo od zakresu określonego w statucie może stanowić naruszenie Ustawy o ochronie danych osobowych ze względu na brak podstaw legalności. Przetwarzanie danych osobowych w Spółdzielni może dotyczyć także osób, które nie zostały członkami spółdzielni. Są to osoby, które zakupiły prawa do lokalu lub podpisały umowy najmu, lecz nie złożyły deklaracji członkowskiej. Wobec tych osób zachodzi z kolei konieczność zgłoszenia zbioru w GIODO. Brak takiego zgłoszenia może spowodować odpowiedzialność karną. Innymi rodzajami danych, z jakimi możemy się spotkać to dane wykonawców i podwykonawców, dozorców czy pracowników. Bez względu na ilość przetwarzanych danych w każdej spółdzielni wymagana jest zgodność z Ustawą o ochronie danych osobowych. Prawidłowa ochrona danych osobowych wymaga, aby dostęp do zbiorów posiadały jedynie osoby stosownie do tego upoważnione. Ponadto spółdzielnia ma obowiązek zabezpieczyć dane w systemach informatycznych oraz w formie papierowej m.in. poprzez wdrożenie odpowiednich procedur i instrukcji. Niestosowanie zasad ochrony opisanej w Ustawie skutkuje umożliwieniem nieuprawnionego dostępu do danych lub ich zniszczeniem, co zagrożone jest karą nawet do dwóch lat pozbawienia wolności.

Inne ciekawe wpisy z tej grupy:

Jak zabezpieczyć się przed wyciekiem naszych danych osobowych

admin — Sat, 30 Jan 2010 11:48:15 +0000

Jakże często podpisując umowę ubezpieczeniową lub zawierając umowę z bankiem na prowadzenie rachunku podpisujemy stos dokumentów i umów. Przy kolejnej stronie nudnej lektury zapisów pomijamy drobne klauzule z napisem „wyrażam zgodę…” zaznaczając mechanicznie wszystkie rubryki podsuwane nam przez sympatyczną konsultantkę. Pani z miłym uśmiechem informuje nas, że zgody każdy podpisuje i nie ma to dla nas większego znaczenia. Czy rzeczywiście nie ma to znaczenia? Klauzule napisane drobnym druczkiem na umowach i ankietach powinny zawierać bardzo istotne informacje. Przede wszystkim w treści zgody posiadamy wzmiankę o tym, kto jest administratorem naszych danych a więc o tym, kto odpowiada za nasze dane osobowe. Podmiot będący administratorem danych ma obowiązek wdrożyć zabezpieczenia wymagane przez Ustawę o ochronie danych osobowych. Na system zabezpieczeń składają się wewnętrzne procedury i instrukcje oraz sposoby zabezpieczeń baz danych. Właściwa ochrona danych osobowych to również konieczność sporządzenia na nasze żądanie szczegółowych informacji m.in. na temat tego, komu nasze dane zostały udostępnione. Proces przetwarzania danych osobowych może nadzorować wyznaczony Administrator Bezpieczeństwa Informacji. Zgoda obejmuje również cel przetwarzania, czyli mówiąc potocznie, – co firma może z naszymi danymi osobowymi zrobić oraz komu nasze dane może przekazać. Najczęściej celem przetwarzania naszych danych będzie marketing towarów i usług administratora danych oraz wszelkich podmiotów powiązanych. Oznacza to, że zaznaczając kolejną „mało istotną” rubryczkę w istocie zgadzamy się, aby nasze dane osobowe wędrowały poprzez międzynarodowe korporacje i powiązane z nimi spółki, a każda z nich będzie miała prawo do zasypania nas promocjami i ofertami. W takich warunkach dane mogą w łatwy sposób trafić do osób niepowołanych i co gorsza za naszą zgodą. Dlatego też, jeśli nie musimy nie zgadzajmy się na każdą „mało istotną” klauzulę. Jeśli klauzule te są bez znaczenia to i konsultantka nie będzie się przy nich upierać a my zyskamy większą kontrolę nad naszą prywatnością.

Inne ciekawe wpisy z tej grupy:

Ochrona danych a bezpieczeństwo informatyczne

admin — Mon, 18 Jan 2010 17:12:22 +0000

W codziennej pracy biurowej często napotykamy utrudnienia związane z dostępem do danych. Dział IT wymyśla nowe sposoby na utrudnianie nam życia takie jak comiesięczna konieczność zmiany hasła lub ciągłe aktualizowanie systemu. Czasem zdarza się nawet, że nie możemy trzymać danych kontaktowych naszych klientów w zwykłym Excelu, ale wymaga się trzymania numerów telefonów w systemach CRM, do których także musimy pamiętać skomplikowane hasła. Pomijając kwestie organizacyjne spróbujmy przyjrzeć się sytuacji prawnej danych, jakie przetwarzanych w naszych systemach informatycznych. Dane osobowe to zgodnie z definicją Ustawy o ochronie danych osobowych wszelkie informacje, poprzez które możemy zidentyfikować osobę fizyczną. „Wszelkie” znaczy, że jeśli wiemy, kto kryje się za informacjami, które posiadamy – dysponujemy danymi osobowymi tej osoby. „Przetwarzanie” jest to, zgodnie z Ustawą, każda czynność wykonywana na danych osobowych a więc także i przetrzymywanie ich w systemie informatycznym. Ustawa o ochronie danych osobowych nakłada na każdego administratora danych obowiązek zabezpieczenia przetwarzanych danych. Funkcje nadzoru sprawuje Administrator Bezpieczeństwa Informacji chyba, że podmiot przetwarzający sam pełni te obowiązki. Bezpieczeństwo informatyczne przetwarzanych danych osobowych opisane zostało w Rozporządzeniu Ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Jakie wymagania musi spełniać taki system? Jeżeli nasza sieć podłączona jest do Internetu a w naszej bazie znajdują się dane osobowe każda aplikacja, w której są takie dane musi posiadać 8 znakowe hasło o odpowiedniej złożoności. Ponadto administrator danych musi zadbać o zabezpieczenie przed programami szpiegującymi oraz kontrolę ruchu pomiędzy naszą siecią oraz Internetem. Brak takich zabezpieczeń może spowodować konsekwencje karne dla administratora, ale także dla osób niestosujących się do wymagań Administratora Bezpieczeństwa Informacji

Inne ciekawe wpisy z tej grupy:

Obowiązek informacyjny wobec pracowników

telefon — Mon, 18 Jan 2010 16:33:15 +0000

Ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych w art. 24 nakłada na każdego administratora danych obowiązek informacyjny. Wyjątkiem jest sytuacja, gdy osoba jest już poinformowana o tym fakcie lub przepis szczególny wyłącza konieczność informowania. Dotyczy to również pracodawców. Prawidłowe przetwarzanie danych osobowych pracowników oznacza między innymi konieczność spełnienia tego obowiązku. O czym powinniśmy poinformować naszych pracowników?

Po pierwsze o nazwie i adresie naszej siedziby

Po drugie o celu, w jakim zebraliśmy dane ( w naszym przypadku oczywiście jest to zatrudnienie)

Po trzecie o prawie dostępu do treści danych oraz ich poprawiania

Po czwarte o obowiązku podania danych wynikających z Kodeksu pracy

W jakiej formie należy spełnić obowiązek informacyjny?

Ustawa nie precyzuje, w jaki sposób powinniśmy poinformować pracowników. Oznacza to, że możemy przyjąć dowolną formę pod warunkiem, że nasi pracownicy otrzymają i zrozumieją informacje, które mamy im przekazać. Możemy, więc na przykład umieścić notkę do podpisu w trakcie procesu zatrudniania. Innym rozwiązaniem jest umieszczenie odpowiedniej klauzuli w regulaminie pracy. Dopuszczalne jest również informowanie mailem lub ustne. Procedura informowania powinna znaleźć się w dokumentacji, jakiej wymaga właściwa ochrona danych osobowych. Dzięki takiemu rozwiązaniu w przypadku wątpliwości będziemy mogli udowodnić, że postępujemy zgodnie z Ustawą o ochronie danych osobowych. Niedokonanie obowiązku informacyjnego podlega odpowiedzialności karnej. Art. 54 Ustawy stanowi, że kto administrując zbiorem danych nie dopełnia obowiązku poinformowania podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Inne ciekawe wpisy z tej grupy:

Przetwarzanie fotografii pracowników

telefon — Mon, 18 Jan 2010 16:33:06 +0000

Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób, których te dane dotyczą. Czy zdjęcie osoby fizycznej jest daną osobową? Na pewno tak, ponieważ zgodnie z definicją Ustawową „dane osobowe” to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Niewątpliwie informacja „wizualna” zawarta na zdjęciu na taką identyfikację pozwala. W przypadku fotografii pojawia się jednak dodatkowy problem a mianowicie ochrona wizerunku. Wizerunek z kolei jest dobrem osobistym chronionym przez prawo autorskie oraz kodeks cywilny. W związku z tym pojawia się pytanie, kiedy i na jakich zasadach przetwarzanie danych osobowych w postaci zdjęć pracowników jest legalne. Pracodawca ma prawo do przetwarzania danych osobowych swoich pracowników wyłącznie w zakresie, jakim pozwala mu na to obowiązujące prawo. Z punktu widzenia Ustawy o ochronie danych osobowych pracodawca może przetwarzać dane osobowe pracowników na podstawie trzech głównych przesłanek legalizujących:

przepisu prawa

prawnie usprawiedliwionego celu

zgody osoby, której dane dotyczą

Jakich przesłanek legalności wymaga ochrona danych osobowych w przypadku zdjęć?

Zastosowanie właściwej przesłanki zależy od celu, w jakim pracodawca przetwarza wizerunek swojego pracownika. Najczęściej spotykanymi sytuacjami są:

cele identyfikacyjne – zdjęcie przetwarzane jest w celu umieszczenia w legitymacji lub na identyfikatorze – w taki przypadku zachodzi przesłanka prawnie usprawiedliwionego celu administratora danych.

cele marketingowe – umieszczenie zdjęć pracowników np. działu handlowego na stronie internetowej firmy. W takiej sytuacji pracodawca powinien posiadać zgodę pracownika na przetwarzanie jego danych osobowych albowiem umieszczenie zdjęcia na stronie WWW nie jest najczęściej konieczne dla prawidłowego funkcjonowania przedsiębiorstwa

cele promocyjne – umieszczenie zdjęć pracowników w galerii osób odpowiedzialnych za klienta (np. w centrach handlowych) lub zdjęć „liderów” w biurach odwiedzanych przez klientów. Cel ten również wymaga zgody pracownika na przetwarzanie jego wizerunku.

Inne ciekawe wpisy z tej grupy:

Czy korzystając z outsourcingu musimy zawrzeć dodatkową umowę powierzenia?

admin — Fri, 15 Jan 2010 14:16:33 +0000

Ustawa z dnia 29 sierpnia 1997 o ochronie danych osobowych nakłada na każdy podmiot szereg obowiązków związanych z przetwarzaniem danych osobowych. Jednym z nich jest konieczność zawarcia pisemnej umowy powierzenia przetwarzania danych osobowych (Art. 31). Co w praktyce oznacza ten przepis? Zaczniemy od ustalenie podstawowych pojęć.
Po pierwsze „dane osobowe” – są to wszelkie informacje poprzez które możemy zidentyfikować osobę fizyczną. Danymi osobowymi w naszej firmie są dane pracowników, klientów, kontrahentów, wykonawców, praktykantów itp.
Po drugie „przetwarzanie” – przetwarzaniem są wszelkie czynności związane z danymi osobowymi – oznacza to, że sam fakt posiadania tych danych jest ich przetwarzaniem.
Po trzecie „powierzenie” – powierzenie jest czynnością zlecenia jakiegoś działania podmiotowi zewnętrznemu który to podmiot w wyniku wykonywania zleconych czynności uzyska dostęp do naszych danych osobowych.
Kiedy zatem mamy do czynienia z faktem powierzenia? Zawsze wtedy gdy firma zewnętrzna wykonując zlecone prace operuje na danych osobowych. Przykładowo dane osobowe pracowników może w wyniku umowy przetwarzać firma kadrowo-płacowa, dane klientów – firma przeprowadzająca dla nas akcję marketingową. Niewątpliwie dostęp do wszelkich danych będzie miała firma IT. Nie ma tu znaczenia fakt, że głównym zadaniem informatyka jest np tworzenie backupów lub konfiguracja naszego serwera. Sam fakt możliwości zrobienia „czegokolwiek” (przetwarzania) z danymi rodzi konieczność zawarcia umowy powierzenia przetwarzania danych osobowych. Jakie cechy powinna posiadać umowa?
Po pierwsze forma pisemna – może być zawarta jako odrębna umowa lub klauzula
Po drugie cel – w umowie musimy precyzyjnie określić jakie czynności na naszych danych osobowych ma wykonać zleceniobiorca
Po trzecie zakres – opisujemy jakie konkretnie informacje może przetwarzać nasz wykonawca
Często w toku dnia codziennego zapominamy o tym obowiązku. Jednak nie podpisanie takiej klauzuli może narazić nas na zarzut nieuprawnionego udostępnienia danych osobowych.

Inne ciekawe wpisy z tej grupy: