Dokumentacja pracownicza a RODO – dostosowanie systemów przetwarzających dane do RODO; ocena zabezpieczeń pod katem RODO

2019.09.30

Dokumentacja pracownicza a RODO – dostosowanie systemów przetwarzających dane do RODO; ocena zabezpieczeń pod katem RODO

Pracodawca jako administrator danych osobowych prowadząc dokumentację pracowniczą powinien stosować podstawowe zasady przetwarzania danych osobowych. Oznacza to w szczególności obowiązek zapewnienia bezpieczeństwa oprogramowania i systemów teleinformatycznych wspomagających prowadzenie takiej dokumentacji.

Wymóg odpowiedniego zabezpieczenia dokumentacji pracowniczej wynika również z RODO. Pracodawca, który wybrał elektroniczną formę prowadzenia dokumentacji pracowniczej powinien w pierwszej kolejności zweryfikować, czy funkcjonalności wykorzystywanego przez niego systemu spełniają wymogi RODO, w szczególności zasady minimalizacji danych, integralności i poufności, prawidłowości danych a także rozliczalności. Niezbędnym jest również upewnienie się, czy stosowane zabezpieczenia informatyczne (na przykład szyfrowanie, firewall) zapewniają należytą ochronę przed przypadkową utratą, zniszczeniem lub uszkodzeniem danych. 

Pracodawca zobowiązany jest również dokonać oceny ryzyka naruszenia praw lub wolności osób, których dane dotyczą oraz wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić bezpieczeństwo przetwarzania w stopniu odpowiadającym temu ryzyku, na przykład za pomocą pseudonimizacji i szyfrowania danych. Na pracodawcy jako administratorze ciąży również obowiązek zapewnienia zdolności do:

  • ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
  • szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
  • regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Niezwykle istotnym jest też ograniczenie dostępu do danych osobowych jedynie do osób odpowiednio upoważnionych. Pracownicy którzy mają przetwarzać dane osobowe w ramach prowadzenia dokumentacji pracowniczej powinni otrzymać upoważnienia do przetwarzania danych w odpowiednim zakresie. Jeżeli natomiast dostęp do systemów teleinformatycznych, w których przetwarzane są dane osobowe mają podmioty zewnętrzne (np. outsourcing kadrowo-płacowy, firma IT) – niezbędne może okazać się zawarcie umowy powierzenia przetwarzania danych osobowych.