Co zrobić z danymi osobowymi, które nie powinny do nas trafić

W praktyce nie można wykluczyć sytuacji, kiedy to do zakładu pracy wpłynie (w dowolnej formie) korespondencja zawierająca dane osobowe osoby, która nie jest pracownikiem zakładu. Nadającym taką informację może być zarówno podmiot prywatny – jak również publiczny, w tym Zakład Ubezpieczeń Społecznych. W takim przypadku mogą powstać wątpliwości w zakresie prawidłowego sposobu postępowania. Ponieważ pracodawca wszedł w posiadanie danych osobowych których posiadać (jak należy sądzić) nie powinien, nie ma uzasadnienia dla dalszego przetwarzania takich danych – w szczególności w dłuższej perspektywie czasu.

Z dużym prawdopodobieństwem cała sprawa ma charakter pomyłki (uwzględniając fakt, iż ZUS jako instytucja publiczna działa w granicach i na podstawie pracy, w tym przepisów regulujących ochronę danych) – jednak wpisującej się w naruszenie ochrony danych osobowych (po stronie podmiotu, który przesłał korespondencję zawierającą dane o których mowa). Dlatego na czas prowadzonego przez ZUS postępowania wyjaśniającego korespondencja zawierająca dane osobowe omyłkowo dostarczone może zostać zabezpieczona u pracodawcy.

Po otrzymaniu informacji zwrotnej z Zakładu niezbędne będzie usunięcie danych osobowych – uwzględniając brak podstawy prawnej uzasadniającej kontynuację do ich dalszego przetwarzania. Niezależnie od powyższego warto uzyskać od Zakładu informację o dalszym, rekomendowanym przez ZUS sposobie postępowania z danymi. Warto aby wszelkie ustalenia prowadzone były w formie pisemnej – a przynajmniej mailowej (dla celów dowodowych).