(+48) 12 350 60 88 [email protected]

Nowy pracownik a RODO

Obowiązki ADO, Porady, RODO, Zrozumieć RODO

W wielu organizacjach proces wdrożenia nowego pracownika wygląda podobnie: pierwszego dnia tworzone są konta, nadawane dostępy do systemów, a kwestie ochrony danych osobowych „uzupełnia się później”.

To błąd.

Z perspektywy RODO oraz bezpieczeństwa informacji dostęp do danych osobowych powinien być nadawany w sposób uporządkowany, udokumentowany i zgodny z zakresem obowiązków pracownika.

1. Określenie stanowiska i zakresu obowiązków

Pierwszym krokiem powinno być zawarcie umowy lub podjęcie decyzji o współpracy wraz z określeniem:

  • stanowiska,
  • odpowiedzialności,
  • zakresu wykonywanych czynności.

To właśnie zakres obowiązków powinien determinować:

  • do jakich danych pracownik potrzebuje dostępu,
  • z jakich systemów będzie korzystał,
  • jakie uprawnienia należy mu nadać.

Bez tego organizacja bardzo często nadaje dostępy „na zapas”, co narusza zasadę minimalizacji i minimalnych uprawnień.

2. Szkolenie z ochrony danych osobowych i bezpieczeństwa informacji

Przed uzyskaniem dostępu do danych pracownik powinien zostać przeszkolony z:

  • zasad ochrony danych osobowych,
  • procedur bezpieczeństwa,
  • zasad korzystania z systemów informatycznych,
  • reagowania na incydenty,
  • zasad poufności.

Samo podpisanie dokumentów bez realnego szkolenia nie zapewnia bezpieczeństwa organizacji.

3. Podpisanie wymaganych dokumentów

Na tym etapie organizacja powinna zadbać m.in. o:

  • oświadczenie o zachowaniu poufności,
  • potwierdzenie odbycia szkolenia,
  • zapoznanie z procedurami i politykami,
  • dokumentację dotyczącą korzystania ze sprzętu i systemów.

4. Nadanie upoważnienia do przetwarzania danych osobowych

Upoważnienie powinno jasno określać:

  • zakres czynności pracownika,
  • rodzaje danych osobowych,
  • obszary organizacji,
  • systemy i aplikacje,
  • loginy i identyfikatory,
  • okres obowiązywania uprawnień.

Upoważnienie nie powinno być dokumentem „ogólnym”, który nadaje nieograniczony dostęp do wszystkich danych w organizacji.

5. Nadanie dostępów do systemów

Dopiero po wykonaniu wcześniejszych kroków należy:

  • utworzyć konta użytkownika,
  • nadać loginy,
  • przypisać role i uprawnienia,
  • ograniczyć dostęp wyłącznie do niezbędnych zasobów.

Dostępy powinny odpowiadać:

  • zakresowi obowiązków,
  • treści upoważnienia,
  • zasadzie minimalnych uprawnień.

6. Rejestracja i kontrola nadanych uprawnień

Organizacja powinna posiadać możliwość ustalenia:

  • kto posiada dostęp,
  • do jakich systemów,
  • od kiedy,
  • kto zatwierdził nadanie uprawnień.

Regularne przeglądy uprawnień są niezbędne szczególnie przy zmianie stanowiska lub zakończeniu współpracy.

Największy problem? Chaos organizacyjny

W praktyce wiele organizacji nadal prowadzi dokumentację:

  • w segregatorach,
  • arkuszach Excel,
  • pojedynczych dokumentach Word,
  • mailach,
  • różnych systemach bez centralnej kontroli.

Efekt?

Po kilku latach nikt nie wie:

  • który pracownik posiada aktywne upoważnienie,
  • kto ukończył szkolenie,
  • jakie dostępy zostały nadane,
  • czy były aktualizowane,
  • gdzie znajdują się dokumenty.

I właśnie wtedy podczas incydentu lub kontroli zaczyna się nerwowe przeszukiwanie „SEGREGATORÓW RODO”.

Jak wygląda to u klientów korzystających z naszej aplikacji RODO?

Klienci IOD korzystający z naszej aplikacji RODO mają cały proces uporządkowany i realizowany w jednym miejscu.

W systemie mogą:

  • dodać pracownika wraz z podstawą i okresem zatrudnienia,
  • przypisać szkolenia online z testem końcowym,
  • monitorować status ukończenia szkolenia,
  • pobierać zaświadczenia do akt osobowych,
  • wystawiać upoważnienia do przetwarzania danych osobowych,
  • określać zakres czynności, rodzaje danych, systemy i loginy,
  • generować klauzule zachowania poufności,
  • kontrolować nadane dostępy i uprawnienia.

Dzięki temu administrator posiada pełną wiedzę dotyczącą:

  • pracowników,
  • szkoleń,
  • dostępów,
  • upoważnień,
  • dokumentacji,
  • historii zmian i nadanych uprawnień.

Wszystko znajduje się w jednym miejscu, pod pełną kontrolą organizacji.

Podsumowanie

Prawidłowy onboarding pracownika to nie biurokracja.

To jeden z podstawowych elementów bezpieczeństwa informacji, realizacji zasady rozliczalności oraz ochrony organizacji przed błędami, incydentami i chaosem organizacyjnym.

Największym problemem w praktyce nie jest brak dokumentów.

Największym problemem jest brak kontroli nad tym:

  • kto,
  • kiedy,
  • do czego,
  • i na jakiej podstawie otrzymał dostęp do danych.