Biznes, prawo, ochrona danych » ochrona danych osobowych

Wrażliwe dane pracownika

admin — Thu, 27 Oct 2011 20:06:31 +0000

Ustawa o ochronie danych osobowych wyróżnia pewien szczególny typ danych a mianowicie dane sensytywne. Należą do nich między innymi informacje o stanie zdrowia lub karalności. Czy pracodawca może uzyskać takie dane od swoich pracowników?Danymi wrażliwymi są informacje o pracowniku ingerujące w głęboką sferę jego prywatności. Nie wszyscy chcą dzielić się wstydliwymi przypadłościami zdrowotnymi lub faktem, iż w przeszłości zdarzył im się konflikt z prawem. Pracodawca ze zrozumiałych względów chciałby jednak wiedzieć czy pracownik jest zdrowy i wiarygodny. Kodeks pracy upoważnia, a wręcz nakazuje pracodawcy przeprowadzenie badań okresowych i wstępnych. Co za tym idzie ma on możliwość uzyskania informacji o stanie zdrowia swojego pracownika. Jednakże wspomniane prawo pracy nie daje pracodawcy możliwości wglądu w wyniki badań. Może on jedynie otrzymać zaświadczenie o braku przeciwwskazań zdrowotnych do pracy na określonym stanowisku. Kodeks pracy nie upoważnia natomiast pracodawcy do gromadzenia jakichkolwiek informacji o niekaralności. Przetwarzanie tego typu danych będzie, zatem możliwe tylko wtedy, gdy przepisy innych ustaw na to zezwolą. Dotyczy to w szczególności określonych grup zawodowych mających dostęp np. do broni. Więcej informacji na temat stanu zdrowia lub karalności pracodawca może uzyskać jedynie wtedy, gdy pracownik udzieli mu na to pisemnej zgody. Należy przy tym pamiętać, że ochrona danych osobowych wymaga, aby zgoda była dobrowolna, co w przypadku pracodawców jest sprawą dyskusyjną ze względu na podległy charakter pracownika. Generalny Inspektor Ochrony Danych Osobowych podczas jednej ze swoich kontroli w instytucji finansowej uznał, że gromadzenie informacji o niekaralności pracowników oraz ich sytuacji finansowej mimo ich wcześniejszej pisemnej zgody jest sprzeczne z prawem. Narusza mianowicie zasadę, iż nikt nie może być obowiązany inaczej niż na podstawie przepisów prawa do udostępniania informacji na swój temat.

Inne ciekawe wpisy z tej grupy:

Bezpieczeństwo danych a szkolenia pracowników

admin — Fri, 11 Jun 2010 14:26:38 +0000

Podczas codziennej pracy biurowej borykamy się z dużą ilością problemów. Jednym z nich jest wiedza pracowników na temat bezpieczeństwa naszych danych. Cóż, bowiem pomogą nam najlepsze nawet zabezpieczenia sieciowe, jeśli dostęp do poufnych danych może uzyskać ktoś bez specjalistycznej wiedzy informatycznej?
Chroniąc dane osobowe w naszej firmie wydajemy majątek na zabezpieczenia informatyczne. Kupujemy drogi serwer, router, najnowsze komputery i oprogramowanie. Często też zlecamy obsługę informatyczną firmie zewnętrznej. Wprowadzamy hasła i szyfrowane połączenia. Wyznaczamy osobę odpowiedzialną za nadzór, którą jest administrator bezpieczeństwa informacji. Czy jednak to wystarczy? Pracownicy naszej firmy otrzymali najnowszy sprzęt komputerowy, informatyk zadbał, aby uprawnienia dostępowe były na jak najniższym poziomie…, Co się jednak stanie, jeśli do którejś z osób zadzwoni ktoś, kto przedstawi się, jako konserwator sieci, który właśnie przeprowadza badania ruchu sieciowego, aby zadbać, o jakość naszego połączenia sieciowego? Doda jeszcze, że dla prawidłowej analizy pakietów przechodzących z naszego komputera poprzez zdefiniowaną listę ACL routera do dostawcy musi na chwilę wyłączyć zaporę na tym stanowisku. Kontaktował się już z dyrektorem, ale ten skierował go do tego właśnie użytkownika żeby przesłał w mailu login i hasło. Oczywiście dla bezpieczeństwa spakowanym rar -em i zabezpieczonym dodatkowym hasłem żeby nikt postronny nie mógł odczytać tej wiadomości…
Jeśli osoba podająca się za konserwatora sieci trafi na nowego i nieprzeszkolonego pracownika dodatkowo zestresowanego ogromem pracy i nałożonymi na niego obowiązkami ma duże szanse hasła otrzymać. W takim wypadku ochrona danych osobowych przestaje działać. Zawinił najsłabszy element systemu ochrony informacji – człowiek. Wyobraźmy sobie jednak sytuację, w której potencjalny złodziej naszych danych trafia na pracownika po szkoleniu. Ten niewiele się zastanawiając informuje o incydencie administratora bezpieczeństwa informacji. Ten w porozumieniu z dyrekcją zawiadamia policję o próbie włamania do systemu informatycznego firmy. Niezależnie od wyników dalszych działań nasze dane pozostały bezpieczne i nienaruszone.

Inne ciekawe wpisy z tej grupy:

Prywatność na portalach społecznościowych

admin — Wed, 21 Apr 2010 15:42:47 +0000

Od pewnego czasu powstała moda na tzw. portale społecznościowe. Dzięki nim docieramy do naszych znajomych, przyjaciół z przed lat a także poznajemy nowych ludzi. Nie zawsze jednak zdajemy sobie sprawę z tego, co tak naprawdę dzieje się z naszymi danymi.

Zwykła codzienność. Przyszedł do nas mail, że nasz znajomy chciałby nas zaprosić do grona swoich znajomych. Uśmiechnięci i zadowoleni z faktu, że odzyskaliśmy kontakt z przyjacielem ze starej szkolnej ławy rejestrujemy się na portalu, podajemy swoje dane osobowe, zgadzamy się na wyszukanie innych znajomych. W radosnej euforii nie zwracamy uwagi na drobny szczegół. Portal przeszukał nasze adresy mailowe, komunikator, pocztę, profile w innych portalach. Dążąc do dotarcia do dawnych miłości, sympatii i przyjaźni rozszerzamy liczbę informacji, jakie przetwarza administrator portalu. Podajemy datę urodzenia, zainteresowania, umieszczamy zdjęcia z dziećmi, rodzinami, samochodami. Portal pyta czy zapoznaliśmy się z polityką prywatności. Oczywiście nie czytając nudnawych klauzul zgadzamy się. Nie interesuje na ochrona danych osobowych czy prywatność. Chcemy mieć znajomych, odzyskać kontakty, umówić się z innymi osobami podzielającymi nasze zainteresowania. Bezmyślnie klikając „tak” docieramy do grona kolejnych znajomych. Istniejemy w wielkiej internetowej społeczności. Zastanówmy się jednak przez chwilę, jakie informacje posiada administrator portalu na nasz temat. Zakładamy, że witryna jest właściwie chroniona, administrator bezpieczeństwa informacji czuwa nad ochroną prywatności. Jednak serwer lub cały portal może znajdować się w kraju, w którym prywatność nie jest ważna. I tu zaczyna się problem. Do naszych informacji docierają osoby, którym w życiu codziennym nigdy nie powierzylibyśmy informacji o statusie majątkowym, naszych dzieciach czy gronie znajomych. A w portalu dane te istnieją. Wiele informacji łatwo wywnioskować. Można np. dowiedzieć się, że w czwartki chodzimy na aerobik a nasz dom stoi pusty. Skąd to wiemy? Na forum zainteresowań korespondujemy przecież z innymi osobami zainteresowanymi tą formą wypoczynku. Polecano nam klub niedaleko naszego domu. A grupa dla dorosłych jest tylko w czwartki. Do tego chwalimy się, że nasze dziecko spędza wakacje w egzotycznym kraju i pojechało tam z babcią. Wystarczy dodać informację, że jesteśmy rozwiedzeni i wnioski nasuwają się same. Pomimo polityki prywatności nieświadomie podaliśmy tak dużą ilość danych, że dopowiedzenie sobie pozostałych informacji jest tylko kwestią logicznego myślenia. Reasumując zanim podamy w Internecie wszystkie możliwe dane na nasz temat dobrze się zastanówmy czy poza oczywistymi i przedstawionymi nam korzyściami nie działamy na własną szkodę.

Inne ciekawe wpisy z tej grupy:

Jak stracić ważne dane

admin — Sun, 14 Mar 2010 11:18:00 +0000

W pracy biurowej każdego dnia gromadzimy wiele informacji. Tworzymy zestawienia, bilanse finansowe lub piszemy raporty dla naszych przełożonych. Dokumenty te często wymagają wiele godzin a nawet dni pracy. Czy jednak zastanawiamy się, co będzie, gdy któregoś dnia okaże się, że owoc naszego wysiłku po prostu zniknie?

W czasie zwykłego dnia pracy otrzymujemy do wykonania zadania. W pracy biurowej na ogół wiąże się to ze sporządzaniem dużej ilości dokumentów, które w różnej formie przekazujemy naszym przełożonym, urzędom lub prezentujemy klientom. W dzisiejszych czasach zanim ostatecznie wydrukujemy raport lub pismo jest ono wielokrotnie sprawdzane i poprawiane. Przez długi czas gromadzimy interesujące nas informacje a następnie staramy się w przystępnej formie ująć je w postaci Np. zestawienia finansowego. Pracując w dziale sprzedaży rywalizujemy z kolegami z firmy tworząc pliki zawierające dane osobowe klientów ich adresy, telefony a nierzadko również daty urodzin i zainteresowania osób, do których chcemy dotrzeć z naszym produktem. Departamenty finansowe tworzą na potrzeby firmy statystyki, które bywają podstawą do nagród i prowizji. Osoby odpowiedzialne za rozwój przygotowują szczegółowe plany biznesowe i projekty.

W natłoku codziennej rywalizacji nie dopuszczamy nawet możliwości utraty dokumentów, skrzętnie chowając nasz dorobek zanim tryumfalnie zaprezentujemy go naszym szefom czy klientom. Utrata danych może jednak być całkiem realna. Jakie błędy popełniamy najczęściej?

Wyobraźmy sobie dużą rozbudowaną organizację. Regulamin organizacyjny opisuje departamenty i działy, nad wszystkim czuwa prezes zarządu, specjaliści od IT oraz administrator bezpieczeństwa informacji. My jednak nie mamy zaufania do polityk stosowanych przez przełożonych. Nie interesuje nas ochrona danych osobowych ani próby przekonania nas do umieszczania danych na serwerze. Codziennie po pracy skrzętnie przegrywamy ważne dokumenty na pendrive. Ostatecznie na serwerze niedokończone projekty mogą przedwcześnie zostać odkryte przez przełożonego a wtedy efekt naszej pracy straci ostatecznie element zaskoczenia, nad którym ciężko pracujemy. Rezultat takiego postępowania może być jednak znamienny w skutkach.

Przede wszystkim serwery w przeciwieństwie do stacji roboczych czy laptopów są codziennie backupowane. Jeśli przydarzy nam się awaria dysku komputera, na którym pracujemy może okazać się, że odzyskanie danych będzie po prostu niemożliwe.

Po drugie pendrivy czy dyski przenośne pomimo swoich niewątpliwych zalet takich jak przeniesienie pracy do domu, są bardzo niebezpiecznym medium. Pendrdrive łatwo zgubić lub zniszczyć. Jeśli nie posiadamy kopii danych w innym miejscu efekty pracy tracimy bezpowrotnie. A co jeśli pendrive z danymi trafi do rąk konkurencji? W takim scenariuszu możemy narazić naszą firmę na realne straty rynkowe, co nie skończy się tylko na połajance szefa…

Inne ciekawe wpisy z tej grupy:

Dane osobowe w spółdzielni mieszkaniowej

admin — Thu, 11 Feb 2010 19:03:43 +0000

Spółdzielnie mieszkaniowe przetwarzają dane osobowe osób związanych w różny sposób z jej działalnością. Mogą to być dane członków, wykonawców, dozorców i innych osób. Jakie zatem obowiązki posiada spółdzielnia wobec naszych danych?
Spółdzielnie mieszkaniowe działają na podstawie prawa spółdzielczego oraz ustawy o spółdzielniach mieszkaniowych. Ustawy te regulują wymagania, jakie musi spełniać każda jednostka spółdzielcza. Jednym z najważniejszych dokumentów spółdzielni jest jej statut. Statut określa m.in., jakie dane osobowe, (jaki zakres) może być przez Spółdzielnię przetwarzany. Odstępstwo od zakresu określonego w statucie może stanowić naruszenie Ustawy o ochronie danych osobowych ze względu na brak podstaw legalności. Przetwarzanie danych osobowych w Spółdzielni może dotyczyć także osób, które nie zostały członkami spółdzielni. Są to osoby, które zakupiły prawa do lokalu lub podpisały umowy najmu, lecz nie złożyły deklaracji członkowskiej. Wobec tych osób zachodzi z kolei konieczność zgłoszenia zbioru w GIODO. Brak takiego zgłoszenia może spowodować odpowiedzialność karną. Innymi rodzajami danych, z jakimi możemy się spotkać to dane wykonawców i podwykonawców, dozorców czy pracowników. Bez względu na ilość przetwarzanych danych w każdej spółdzielni wymagana jest zgodność z Ustawą o ochronie danych osobowych. Prawidłowa ochrona danych osobowych wymaga, aby dostęp do zbiorów posiadały jedynie osoby stosownie do tego upoważnione. Ponadto spółdzielnia ma obowiązek zabezpieczyć dane w systemach informatycznych oraz w formie papierowej m.in. poprzez wdrożenie odpowiednich procedur i instrukcji. Niestosowanie zasad ochrony opisanej w Ustawie skutkuje umożliwieniem nieuprawnionego dostępu do danych lub ich zniszczeniem, co zagrożone jest karą nawet do dwóch lat pozbawienia wolności.

Inne ciekawe wpisy z tej grupy:

Jak zabezpieczyć się przed wyciekiem naszych danych osobowych

admin — Sat, 30 Jan 2010 11:48:15 +0000

Jakże często podpisując umowę ubezpieczeniową lub zawierając umowę z bankiem na prowadzenie rachunku podpisujemy stos dokumentów i umów. Przy kolejnej stronie nudnej lektury zapisów pomijamy drobne klauzule z napisem „wyrażam zgodę…” zaznaczając mechanicznie wszystkie rubryki podsuwane nam przez sympatyczną konsultantkę. Pani z miłym uśmiechem informuje nas, że zgody każdy podpisuje i nie ma to dla nas większego znaczenia. Czy rzeczywiście nie ma to znaczenia? Klauzule napisane drobnym druczkiem na umowach i ankietach powinny zawierać bardzo istotne informacje. Przede wszystkim w treści zgody posiadamy wzmiankę o tym, kto jest administratorem naszych danych a więc o tym, kto odpowiada za nasze dane osobowe. Podmiot będący administratorem danych ma obowiązek wdrożyć zabezpieczenia wymagane przez Ustawę o ochronie danych osobowych. Na system zabezpieczeń składają się wewnętrzne procedury i instrukcje oraz sposoby zabezpieczeń baz danych. Właściwa ochrona danych osobowych to również konieczność sporządzenia na nasze żądanie szczegółowych informacji m.in. na temat tego, komu nasze dane zostały udostępnione. Proces przetwarzania danych osobowych może nadzorować wyznaczony Administrator Bezpieczeństwa Informacji. Zgoda obejmuje również cel przetwarzania, czyli mówiąc potocznie, – co firma może z naszymi danymi osobowymi zrobić oraz komu nasze dane może przekazać. Najczęściej celem przetwarzania naszych danych będzie marketing towarów i usług administratora danych oraz wszelkich podmiotów powiązanych. Oznacza to, że zaznaczając kolejną „mało istotną” rubryczkę w istocie zgadzamy się, aby nasze dane osobowe wędrowały poprzez międzynarodowe korporacje i powiązane z nimi spółki, a każda z nich będzie miała prawo do zasypania nas promocjami i ofertami. W takich warunkach dane mogą w łatwy sposób trafić do osób niepowołanych i co gorsza za naszą zgodą. Dlatego też, jeśli nie musimy nie zgadzajmy się na każdą „mało istotną” klauzulę. Jeśli klauzule te są bez znaczenia to i konsultantka nie będzie się przy nich upierać a my zyskamy większą kontrolę nad naszą prywatnością.

Inne ciekawe wpisy z tej grupy:

Przetwarzanie fotografii pracowników

telefon — Mon, 18 Jan 2010 16:33:06 +0000

Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób, których te dane dotyczą. Czy zdjęcie osoby fizycznej jest daną osobową? Na pewno tak, ponieważ zgodnie z definicją Ustawową „dane osobowe” to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Niewątpliwie informacja „wizualna” zawarta na zdjęciu na taką identyfikację pozwala. W przypadku fotografii pojawia się jednak dodatkowy problem a mianowicie ochrona wizerunku. Wizerunek z kolei jest dobrem osobistym chronionym przez prawo autorskie oraz kodeks cywilny. W związku z tym pojawia się pytanie, kiedy i na jakich zasadach przetwarzanie danych osobowych w postaci zdjęć pracowników jest legalne. Pracodawca ma prawo do przetwarzania danych osobowych swoich pracowników wyłącznie w zakresie, jakim pozwala mu na to obowiązujące prawo. Z punktu widzenia Ustawy o ochronie danych osobowych pracodawca może przetwarzać dane osobowe pracowników na podstawie trzech głównych przesłanek legalizujących:

przepisu prawa

prawnie usprawiedliwionego celu

zgody osoby, której dane dotyczą

Jakich przesłanek legalności wymaga ochrona danych osobowych w przypadku zdjęć?

Zastosowanie właściwej przesłanki zależy od celu, w jakim pracodawca przetwarza wizerunek swojego pracownika. Najczęściej spotykanymi sytuacjami są:

cele identyfikacyjne – zdjęcie przetwarzane jest w celu umieszczenia w legitymacji lub na identyfikatorze – w taki przypadku zachodzi przesłanka prawnie usprawiedliwionego celu administratora danych.

cele marketingowe – umieszczenie zdjęć pracowników np. działu handlowego na stronie internetowej firmy. W takiej sytuacji pracodawca powinien posiadać zgodę pracownika na przetwarzanie jego danych osobowych albowiem umieszczenie zdjęcia na stronie WWW nie jest najczęściej konieczne dla prawidłowego funkcjonowania przedsiębiorstwa

cele promocyjne – umieszczenie zdjęć pracowników w galerii osób odpowiedzialnych za klienta (np. w centrach handlowych) lub zdjęć „liderów” w biurach odwiedzanych przez klientów. Cel ten również wymaga zgody pracownika na przetwarzanie jego wizerunku.

Inne ciekawe wpisy z tej grupy: