Udostępnienie danych pracownikowi, nieupoważnionemu do ich przetwarzania – jak ocenić ryzyko naruszenia?
Wpis jest efektem wielu przemyśleń oraz doświadczeń moich i znajomych IOD, wynikających ze zgłaszania naruszeń do Prezesa UODO. Zacznę od najprostszego – tak jest to naruszenie ochrony danych. Wynika to bezpośrednio z definicji z art. 4 RODO. Pracownik, który nie jest upoważniony do przetwarzania określonych danych, staje się nieuprawnionym odbiorcą danych, w momencie ich udostępnienia. Zatem rozważania skupię na ocenie tego, jak wysokie ryzyko dla osób fizycznych, generuje takie naruszenie. Na ile ma znaczenie, że nieuprawnionym (zazwyczaj przypadkowym) odbiorcą danych jest pracownik?
Fakty: administrator zapewnia przeszkolenie swojego personelu z ochrony danych osobowych. Ponadto powinien zobligować pracowników do zachowania poufności. Poza tym często dochodzą dodatkowe okoliczności: znajomość zachowań pracownika, wieloletnia współpraca i zaufanie. Czy pracownik będzie w takim wypadku „zaufanym odbiorcą”?
W przepisach RODO nie ma definicji zaufanego odbiorcy. Takie określenie pojawia się w aplikacjach bankowych, w odniesieniu do osób lub podmiotów, do których klietn chce wykonywać przelewy bez konieczności podawania dodatkowych poświadczeń. To klient, a nie bank określa, kto jest zaufany, a kto nie. O zaufanym odbiorcy wspomniała także EROD w wytycznych 1/2021, dotyczących naruszeń. Pojęcie to pojawia się w przykładzie naruszenia, polegającego na udostępnieniu danych osobowych agentowi ubezpieczeniowemu. Co istotne, agent został uznany za zaufanego odbiorcę ze względu na fakt ustawowego zobligowania do zachowania w poufności danych przetwarzanych w związku z wykonywaniem zawodu (mail z danymi od klienta, więc zaliczał się do tej kwalifikacji), sam zgłosił naruszenie i pracował z klientem na tyle długo, że jest etyka nie wzbudzała wątpliwości. Logiczne? Raczej problematyczne, bo okazuje się, że jest to uznanowia definicja, gdzie administrator może mieć odmienne zdanie od organu nadzorczego.
Jak jest w praktyce?
Read More