Цурење личних података запослених - вреди знати!

Служба

Заштита личних података треба да буде важан елемент добро организованог пословања. Посебно, правилно обучени запослени у оквиру ГДПР-а могу спречити цурење личних података запослених из компаније. Дакле, поуздано знање у вези са заштитом података о личности значи не само поседовање права по овом питању, већ пре свега обавезе запослених у вези са обрадом података о личности. Послодавац треба да постави правила и процедуре у складу са ГДПР законом, које ће запослени прочитати како би правилно поступали са личним подацима.

Лични подаци запосленика неопходни у процесу запошљавања и у даљој фази ступања на посао

Вреди подсетити да је сходно чл. 221. Закона о раду, послодавац може прикупљати личне податке неопходне у процесу запошљавања, а посебно: име и презиме, датум рођења, пребивалиште и адресу за дописивање, образовање и ток претходног запослења. У каснијој фази, у случају запошљавања, послодавац може очекивати од запосленог да достави ПЕСЕЛ број, податке о детету или мужу/партнеру ради покрића приватним здравственим осигурањем и број банковног рачуна на који ће бити исплаћена накнада. пренео. Послодавац може наведене податке дати установама и службама наведеним у одредбама закона о раду и другим актима. На пример, подаци о запосленима се преносе Заводу за социјално осигурање или надлежној пореској управи.

Послодавац треба да изради поуздана упутства и процедуре за заштиту личних података који се обрађују у компанији

У складу са ГДПР, послодавац, који је администратор личних података, указује на сврхе и средства обраде података о личности. Поред тога, требало би да води рачуна о креирању правила и процедура за заштиту података о личности, али и да поступи у случају нарушавања заштите података о личности. Одређени подаци о запосленима биће јавно доступни. Запослени треба да буду спремни на то да ће њихова радна е-маил адреса, број мобилног телефона и фотографија бити доступни на сајту компаније у којој раде или у подножју е-поште. Они треба да се упознају са безбедносним правилима за обраду личних података и потпишу одговарајуће сагласности и овлашћења.

На веб страници компаније можете дати информације о томе како да проверите или избришете своје личне податке

Запослени треба да познају правила понашања приликом обраде личних података клијената компаније. Важно је запамтити да у случају клијената и сарадничких лица, предузетник треба да информише и о правном основу и сврси обраде својих података, као ио свом праву на приступ подацима и могућности њиховог исправљања. За обраду личних података својих клијената, предузетник или изабрани запослени треба да прибаве одговарајуће сагласности у вези са обрадом личних података. Информације о обради личних података, сврси и основу њихове обраде, начину приступа овим подацима, захтеву за исправку, брисање, пренос другом администратору личних података могу се налазити на сајту компаније.

Запослени који су процурили податке суочиће се са последицама

Сходно одредбама Закона о раду, запослени који су услед необављања или непоузданог обављања службених дужности проузроковали кршење одредби ГДПР-а, могу одговарати за штету насталу таквим понашањем. Од њих се може захтевати да исплате накнаду утврђену у износу до висине причињене штете, али не више од троструке плате коју прима запослени.У случају намерног изазивања штете, запослени ће бити у обавези да је поправи и врати у целости због повреде.

Вреди подсетити да су казне које могу бити изречене послодавцу у вези са кршењем одредаба о заштити података о личности огромне. Дакле, штета проузрокована неиспуњавањем обавеза запосленог у вези са цурењем личних података је најтежа за послодавца. Због тога је толико важно да запослени правилно примењују процедуре и безбедносна правила за заштиту личних података на радном месту. Такође, јачању заштите обрађених података може помоћи пријављивање од стране запослених грешака које спречавају цурење личних података запослених, које ће се уочити у току рада.

Први кораци које треба предузети када процуре лични подаци запослених

У случају опасности од цурења личних података, изузетно је важно брзо реаговати, јер послодавац, као администратор личних података, у складу са одредбама ГДПР-а, има 72 сата да обавести Канцеларију за заштиту личних података прекршај.

Члан 33. ГДПР-а указује да ће у случају повреде заштите података о личности, руковалац, без непотребног одлагања, ако је могуће, најкасније 72 сата након утврђивања повреде, обавестити надлежни надзорни орган, осим ако је повреда мало вероватна. да резултира ризиком повреде права или слобода физичких лица. Уз обавештење које се доставља надзорном органу након 72 сата прилаже се образложење разлога кашњења. С друге стране, обрађивач, након што утврди повреду заштите података о личности, без непотребног одлагања то пријављује руковаоцу. Администратор документује сваку повреду заштите података о личности, укључујући околности повреде заштите података о личности, њене последице и предузете корективне радње. Ова документација мора да омогући надзорном органу да провери усклађеност са овим чланом.

Стога, запослени који примети инцидент који се односи на повреду личних података, укључујући и цурење личних података запослених, треба да то одмах пријави. Послодавац треба да има времена да процени да ли је инцидент толико важан да га треба пријавити надзорном органу.

Након прикупљања информација о кршењу прописа о заштити података, послодавац треба да одлучи да ли повреда утиче на безбедност података на начин да је дошло до незаконитог откривања, брисања, уништавања, измене или неовлашћеног приступа личним подацима који се обрађују. Остала кршења ГДПР-а, као што је недостатак одговарајућих обавеза обелодањивања, добијање овлашћења од запослених, итд., не захтевају пријављивање надзорном органу или субјектима података.

Време од откривања повреде личних података биће значајно и у случају обавештавања лица/лица чија је заштита личних података угрожена. Вреди запамтити да у складу са одредбама ГДПР-а, администратор личних података обавештава субјекта података о кршењу њихове заштите. Послодавац такође мора имати времена да званично припреми обавештење о инциденту Канцеларији за заштиту личних података. Започните бесплатни пробни период од 30 дана без обавеза!

Члан 34. ГДПР-а захтева да у случају повреде заштите личних података, која може довести до високог ризика од повреде права или слобода физичких лица, руковалац ће обавестити субјекта података о таквом кршењу без непотребног одлагања. . Писмо треба да јасно и једноставно опише природу повреде личних података и да садржи име и контакт податке службеника за заштиту података од кога се може добити више информација, описати могуће последице повреде личних података, описати мере које је предузео или предложио контролор да отклони кршење заштите личних података, укључујући у неким случајевима мере за минимизирање могућих негативних ефеката.

Вреди додати да горенаведено обавештење није потребно у следећим случајевима:

  1. контролор је применио одговарајуће техничке и организационе мере безбедности и ове мере су примењене на личне податке на које се односи повреда, посебно мере као што је шифровање које спречава читање неовлашћеног приступа личним подацима;

  2. контролор је применио мере за отклањање вероватноће високог ризика од повреде права или слобода лица;

  3. то би захтевало несразмеран напор. У том случају се издаје јавно обавештење или се примењује слична мера којом се субјекти података обавештавају на једнако ефикасан начин.

Запослени морају запамтити да сваки е-маил од клијента или особе која сарађује са захтевом за откривање личних података или њихово уклањање из базе података компаније треба третирати поштено. Запослени треба да консултује даље кораке поступања са таквом апликацијом за е-пошту са службеником за заштиту личних података именованим у датој компанији или са супервизором. Предузетник треба да запамти да чува поуздану документацију, укључујући, на пример, преписку са таквим клијентом или другом јавном личношћу у сврху доказивања у случају будућих суђења. Обрада личних података купаца који поднесу захтев за откривање или брисање својих података не би требало да се врши телефоном због ризика од нетачног преноса података и нарушавања безбедности од цурења. Постоји вероватноћа погрешне идентификације ако особа захтева откривање својих личних података прикупљених од компаније током телефонског позива. У складу са прописима, послодавац има рок од 30 дана да одговори по овом питању. Овај рок омогућава поуздану идентификацију лица које подноси овакву пријаву, али и припрему поузданог одговора, у овом случају у папирном облику на адресу подносиоца захтева или у електронском облику.

Запослени морају да обезбеде своје рачунаре бравом или лозинком како би заштитили прикупљене личне податке

Запослени треба да памте да обезбеде рачунаре и телефоне са којима обављају своје радне обавезе. Пре свега, заштита лозинком горе наведених уређаја при напуштању стола треба да буде приоритет за њих. Све ове активности имају за циљ спречавање цурења личних података запослених. Такве навике ће омогућити одговарајућу заштиту личних података који се обрађују и спречиће цурење података на овај начин. Запослени морају имати на уму да правилно обезбеде своје лаптопове и телефоне ако се транспортују ван радног места. Крађа лаптопа може да процури огромну количину личних података не само сарадника, већ и купаца компаније.

Укратко, цурење личних података запослених је тешко не само за људе чији су подаци обелодањени у непредвиђеним ситуацијама, већ и за послодавца коме прете огромне казне, као и за запослене који су допринели цурењу личних података неправилно обављање послова запослених за које може одговарати за штету. На крају крајева, утичу на имиџ компаније/компаније/послодавца који је погрешно применио правила и процедуре за заштиту обраде података о личности.

Вреди запамтити да у случају да након што послодавац процени инцидент кршења одредби ГДПР-а, на основу чега се закључи да повреда није велика, не постоји обавеза обавештавања носиоца података.