Kiedy przesyłanie maili między działami narusza RODO (na przykładzie danych pracowniczych)?

Dlaczego to ważne?

Przekazywanie maili zawierających dane pracowników między działami, bez uprzedniego ograniczenia ich zakresu do informacji niezbędnych odbiorcy, może prowadzić do poważnych naruszeń zasady wiedzy koniecznej. Numery PESEL, dane kontaktowe czy informacje o zatrudnieniu powinny być udostępniane wyłącznie tym pracownikom, którzy rzeczywiście ich potrzebują do realizacji konkretnych zadań. Przykładowo, jeśli dział administracji przesyła do działu IT całą listę pracowników wraz z numerami PESEL w celu założenia kont technicznych, mimo że wystarczyłyby imiona i nazwiska, dochodzi do nieuprawnionego ujawnienia danych osobowych. Takie działania zwiększają ryzyko nieautoryzowanego dostępu, utrudniają kontrolę nad tym, kto przetwarza jakie informacje, i mogą skutkować skargami pracowników lub koniecznością zgłoszenia naruszenia do organu nadzorczego.

Jakie są główne zagrożenia?

• Nieuprawniony dostęp do danych osobowych pracowników

Odbiorca maila widzi informacje, które nie są potrzebne do jego pracy — np. dane o wynagrodzeniu, nieobecnościach, ocenach, zdrowiu.

• Brak kontroli nad dalszym przetwarzaniem danych

Forwardujesz wiadomość — ale co dalej? Nie masz wpływu na to, kto jeszcze zobaczy przekazane informacje.

• Zwiększone ryzyko naruszenia ochrony danych

Im więcej osób zna dane o pracownikach, tym większe ryzyko, że dojdzie do naruszenia, np. przypadkowego ujawnienia danych na zewnątrz.

Jak forwardować dane pracowników zgodnie z RODO?

• Przemyśl, czy odbiorca naprawdę potrzebuje wszystkich tych danych

Jeśli wystarczy mu konkretna informacja (np. że trzeba zmienić uprawnienia w systemie), nie przesyłaj całej rozmowy z działem HR.

• Ogranicz listę odbiorców

Adresuj maila tylko do tych osób, które rzeczywiście muszą otrzymać dane. Unikaj wysyłania wiadomości do szerokich grup, jeśli nie jest to absolutnie konieczne.

• Usuń niepotrzebne dane przed przesłaniem

Przed forwardowaniem usuń fragmenty rozmowy lub załączniki zawierające wrażliwe informacje o pracownikach.

• Weź odpowiedzialność

To, że ktoś prosi Cię o forward, nie oznacza automatycznie, że ma prawo zobaczyć dane osobowe. Ty oceniasz, co wolno przekazać, a co nie.

Podsumowanie

Przekazywanie maili z danymi pracowników to nie tylko kwestia wygody czy szybkości działania. To także kwestia odpowiedzialności. Jeśli chcesz unikać niepotrzebnego ryzyka, przestrzegaj zasady minimalizacji danych: ograniczaj zakres przekazywanych informacji i pilnuj, kto je otrzymuje.

Jeśli masz pytania lub potrzebujesz pomocy we wdrożeniu praktycznych zasad przekazywania danych wewnątrz firmy, skontaktuj się z nami – pomożemy opracować skuteczne procedury.