W 2024 roku administratorów danych osobowych czeka wiele wyzwań. Przełom roku to dobry czas, aby się na nie przygotować – określić priorytety i zaplanować działania. Mając to na uwadze przygotowaliśmy subiektywne zestawienie zagadnień, na które warto zwrócić uwagę w nadchodzącym roku. Mamy nadzieję, iż będzie inspiracją dla działań w zakresie ochrony danych osobowych w Państwa organizacji. Na co powinni zwrócić uwagę przedsiębiorcy w nowym roku?
1. Dwa obowiązkowe przeglądy danych osobowych w działach HR
Przegląd danych w ZFŚS
Pracodawca, nie rzadziej niż raz w roku kalendarzowym, musi przeprowadzić przegląd danych osobowych, które zgromadził na potrzeby ZFŚS. Najlepszymi miesiącami na taki audyt są grudzień (kiedy podsumowujemy mijający rok i usuwamy niepotrzebne dane) lub styczeń (możemy wtedy usunąć większe partie danych, ponieważ z końcem roku upływa okres przedawnienia). Dla potwierdzenia wykonania obowiązku przegląd warto udokumentować.
Pamiętajmy też, iż osoby przetwarzające dane w ramach ZFŚS (w tym przeprowadzające przegląd) powinny otrzymać pisemne upoważnienie do przetwarzania danych osobowych (w tym szczególnych kategorii). Powinny też zostać zobowiązane do zachowania ich w tajemnicy.
Pierwszy przegląd danych osób z niepełnosprawnościami
Pracodawcy, którzy realizują zadania wynikające z ustawy o rehabilitacji zawodowej i społecznej oraz zatrudnianiu osób niepełnosprawnych, mają obowiązek dokonywania przeglądów przydatności danych przetwarzanych na te cele. Należy je wykonać nie rzadziej niż co 5 lat. Pierwszy przegląd danych osobowych powinien być przeprowadzony do 4 maja 2024 roku.
Przegląd obejmuje dane m.in.:
- obecnych pracowników i członków ich rodzin,
- byłych pracowników i członków ich rodzin,
- osób, które wzięły udział w rekrutacji,
- osób odbywających staż, szkolenie, przygotowanie zawodowe czy praktyki
Po przeglądzie pracodawcy powinni usunąć nieprzydatne dane – z wyjątkiem tych niezbędnych do realizacji obowiązków wynikających z przepisów prawa pracy.
2. Przetwarzanie danych osobowych kontrahentów
Naczelny Sąd Administracyjny[i] podtrzymał stanowisko PUODO, zgodnie z którym każdy z administratorów danych, przetwarzający dane dostępne w publicznych rejestrach (np. w KRS, CEIDG), powinien spełnić obowiązek informacyjny względem osób, których dane przetwarza. Zamieszczenie informacji o zasadach przetwarzania danych osobowych na stronie internetowej nie będzie jednak w tym przypadku wystarczające. Za nieuzasadnione uznano również odstąpienie od spełnienia obowiązku informacyjnego, choćby jeżeli jego wykonanie wymagałoby niewspółmiernie dużego wysiłku lub dużych kosztów.
Dlatego zalecamy przeprowadzenie analizy ryzyka, z uwzględnieniem szczególnych okoliczności przetwarzania danych. Pomoże to ocenić, czy w przypadku konkretnego administratora danych potrzebne jest ograniczenie obowiązku informacyjnego lub uproszczenie komunikacji z podmiotami danych.
3. Przechowywanie danych na potrzeby roszczeń
Powszechną praktyką rynkową było dotychczas przechowywanie danych osobowych (m.in. kontrahentów, byłych pracowników itp.) dla dochodzenia lub obrony przed roszczeniami – na podstawie uzasadnionego interesu administratorów danych. PUODO[ii] nie podziela jednak tego stanowiska, wskazując iż administratorzy powinni usuwać dane osobowe zaraz po zakończeniu współpracy. Ich dalsze przechowywanie, tylko na potrzeby potencjalnych sporów, jest niezasadne. To mogłoby jednak uniemożliwić obronę swoich racji, gdyby do takiego sporu doszło.
Jednym ze sposobów na zabezpieczenie się przez administratorów jest przeprowadzenie testu równowagi. W zależności od wyniku może on uzasadnić dalsze przetwarzanie danych osobowych na tej podstawie.
4. Ochrona danych osobowych sygnalistów
W 2024 roku możemy spodziewać się wzmożonych prac nad implementacją unijnej dyrektywy dotyczącej whistleblowingu. Wdrożenie wewnętrznego oraz zewnętrznego systemu zgłaszania nieprawidłowości w organizacji może okazać się dużym wyzwaniem – również z perspektywy ochrony danych osobowych. W szczególności, gdy weźmiemy pod uwagę charakter przetwarzania. Zasady ochrony danych sygnalistów trzeba uwzględnić w polityce zgłaszania naruszeń – zwłaszcza zakaz ujawniania danych osobowych sygnalisty bez uzyskania jego uprzedniej zgody.
5. e-Doręczenia
W nadchodzącym roku ważne będą też e-Doręczenia, czyli obowiązkowa elektroniczna forma kontaktu przedsiębiorców z organami publicznymi. Co prawda ich wprowadzenie zostało ponownie przesunięte i nastąpi w terminie określonym przez Ministerstwo Cyfryzacji – nie wcześniej niż 30 marca 2024 roku i nie później niż 1 stycznia 2025 roku.
e-Doręczenia wymagają ustalenia nowych zasad obiegu korespondencji, ale też działań w obszarze prawa pracy i ochrony danych osobowych – między innymi upoważnienia osób odpowiedzialnych za odbiór korespondencji w formie elektronicznej, ustalenia dostępów i gradacji. Proces ten warto rozpocząć jak najszybciej.
6. Digitalizacja i „paperless” a bezpieczeństwo informacji
Dostosowanie do wymagań e-Doręczeń może być pierwszym krokiem do digitalizacji całej organizacji.
Już teraz coraz częściej obserwujemy i pozytywnie oceniamy stosowanie rozwiązań „paperless” w firmach – przejście do „chmury” czy posługiwanie się dokumentami w formie elektronicznej zamiast papierowej. Dzięki temu przedsiębiorcy zyskują lepszą kontrolę nad gromadzonymi i przetwarzanymi danymi osobowymi.
Przedsiębiorstwa, które z rezerwą podchodzą do digitalizacji, narażają się na ryzyko braku pełnej zgodności (compliance) z zasadami ochrony danych. Przykład: korzystając z dokumentów papierowych trudniej zapanować nad nadmiarową liczbą ich kopii. Zgubienie dokumentacji papierowej zawierającej dane oznacza natomiast trwałą utratę dostępu do nich (potencjalny wyciek). Proces migracji danych może być wyzwaniem – natomiast plusy wydają się rekompensować ten wysiłek.
7. Transfer poza EOG – dane osobowe z perspektywy globalnej
W dobie cyfryzacji transfery danych poza EOG w niektórych organizacjach dzieją się każdego dnia. Aby taki transfer był legalny, musi być dodatkowo zabezpieczony. Zalecamy sprawdzenie, czy dotyczy to również Państwa organizacji. jeżeli tak – trzeba go zabezpieczyć, uwzględniając decyzję adekwatności KE[iii] z 2023 roku (o odpowiednim stopniu ochrony danych osobowych przez Stany Zjednoczone). Pamiętajmy jednak, iż aby oprzeć transfer danych do USA na decyzji adekwatności, podmiot z siedzibą w USA musi zostać wpisany na listę Privacy Data Framework.
8. Cyberbezpieczeństwo
Cyfryzacja i postęp technologiczny wiążą się również ze zwiększonym zagrożeniem w cyberprzestrzeni. Liczba ataków na systemy informatyczne przedsiębiorców (w szczególności phishing i ransomware) istotnie się zwiększa. Już w 2021 roku CERT Polska (NASK) odnotował wzrost zgłaszanych incydentów o 180% rok do roku (29 483 unikalne zgłoszenia). W razie incydentu z zakresu cyberbezpieczeństwa, należy pamiętać, iż większość z ich będzie naruszeniem ochrony danych osobowych, wymagającym zgłoszenia do UODO. Odporność cyfrowa przedsiębiorstw ma teraz większe znaczenie niż kiedykolwiek – warto o nią zadbać – na przykład przeprowadzając cyklicznie testy penetracyjne.
9. Pliki cookies i programy analityczne
Większość przedsiębiorców posiada swoje strony internetowe i wie, jak istotne dla rozwoju działalności online jest wykorzystanie plików cookies i programów analitycznych. Prawidłowe informowanie o plikach cookies stanowi element budowania zaufania do marki i może przekładać się na bezpośrednie zainteresowanie organów nadzorczych. Nieprawidłowe zbieranie lub użytkowanie plików cookies może skutkować nałożeniem na kary, również pieniężnej.
Przykład: Microsoft z karą 60 mln euro (za zbieranie cookies przez przeglądarkę Bing.com zanim użytkownik wyraził na nie zgodę) czy Google z karą 150 mln euro (brak przycisku „odrzuć” na 1 warstwie banera cookies).
10. Podnoszenie świadomości dotyczącej ochrony danych osobowych
Niewątpliwie świadomość społeczeństwa w obszarze ochrony danych jest dziś większa niż 5 lat temu. Według opublikowanego przez PUODO w 2022 roku raportu[iv], 90% badanych twierdzi, iż wie jak zadbać o bezpieczeństwo swoich danych. Mimo to zwiększa się grupa osób, która nie wie jak postąpić w przypadku próby wyłudzenia danych osobowych (w porównaniu z rokiem 2021).
Dlatego przez cały czas bardzo ważne jest podnoszenie świadomości w zakresie ochrony danych osobowych. Administratorzy danych powinni skupić się na cyklicznym szkoleniu pracowników, którzy stanowią pierwsze ogniwo w przypadku wystąpienia naruszenia ochrony danych.
O części z powyższych zagadnień opowiemy podczas bezpłatnego webinaru już 11 stycznia 2024 r. Zachęcamy do udziału!
[i] Wyrok NSA z dnia 19.09.2023 r., sygn. III OSK 2538/21.
[ii] Stanowisko zaprezentowane w Sprawozdaniu z działalności Prezesa UODO w roku 2022.
[iii] Decyzję wykonawczą z 10 lipca 2023 r. wydaną na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, stwierdzającą odpowiedni stopień ochrony danych osobowych zapewniony w ramach ochrony danych UE–USA.
[iv] „Wiedza na temat bezpieczeństwa danych osobowych w Polsce. Raport z badania, maj 2022 r.” Badanie zostało przeprowadzone przez ChronPESEL.pl i Krajowy Rejestr Długów pod patronatem Urzędu Ochrony Danych Osobowych.