DLA PRACODAWCÓW
Najważniejsze akty prawne z których powinien korzystać każdy pracodawca w związku z ochroną danych osobowych:
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – RODO);
- Ustawa o ochronie danych osobowych z dnia 10 maja 2018r.,
- Ustawa Kodeks Pracy z dnia 26 czerwca 1974r.
Podstawowe pojęcia
Dane osobowe – informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą” lub „podmiocie danych”); z wyłączeniem osób zmarłych;
Osoba możliwa do zidentyfikowania – osoba fizyczna, którą można pośrednio lub bezpośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
Szczególne kategorie danych osobowych (tzw. dane wrażliwe) – dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby (art. 9 RODO);
Zbiór danych – uporządkowany zestaw danych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;
Przetwarzanie danych – operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
Naruszenie ochrony danych osobowych – naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
Administrator Danych Osobowych (ADO) – podmiot decydujący o celach i środkach przetwarzania danych, który jest podmiotem publicznym lub przetwarza dane jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych;
Podmiot przetwarzający (tzw. Procesor) – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora na podstawie umowy;
Pseudonimizacja – przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem, że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;
Zgoda osoby, której dane dotyczą – dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.
O czym powinni pamiętać pracodawcy?
Reforma ochrony danych osobowych związana z wejściem w życie tzw. RODO przyznaje osobom fizycznym nowe prawa a na podmioty, które przetwarzają dane osobowe (w tym pracodawców), nakłada szereg nowych obowiązków. Celem zmian jest poprawienie bezpieczeństwa danych osobowych. Dane osobowe mają być bezpieczniejsze i pod większą kontrolą. Wiąże się to także z możliwością dyscyplinowania podmiotów, które nie dbają o bezpieczeństwo danych osobowych i nie przestrzegają przepisów związanych z ich ochroną. Dyscyplinowaniu służyć mają nawet wielomilionowe kary. Nie należy jednak popadać w panikę, gdyż jeżeli będziemy odpowiednio dbali o bezpieczeństwo przechowywanych przez nas danych z pewnością żaden organ nie nałoży na nas wielomilionowej kary. Pamiętać jednak należy o zachowaniu pewnych względów bezpieczeństwa i wdrożeniu w naszym przedsiębiorstwie RODO. Nie musi to być to wcale proces skomplikowany ani czasochłonny a wszystko zależy od ilości, rodzajów i kategorii danych jakie w naszym przedsiębiorstwie są przetwarzane. Podkreślić należy, że RODO nie odnosi się wprost do danych pracowniczych, lecz do danych osobowych ogólnie, ale każdy pracodawca przetwarza dane osobowe swoich pracowników i kandydatów. Co więcej, pracodawca może występować w różnych rolach – jest administratorem danych, ale może być też procesorem, czyli podmiotem, którym administrator danych powierzył przetwarzanie danych osobowych (np. gdy pracodawca pośredniczy przy zbieraniu deklaracji o przystąpieniu przez pracowników do pakietów benefitowych oferowanych przez firmę zewnętrzną). Co istotne w katalogu danych tzw. szczególnie wrażliwych znajdują się dane dotyczące przynależności do związków zawodowych.
Jakie rodzaje zbiorów danych osobowych mogą występować u pracodawców ?.
Każdy pracodawca przetwarza dane osobowe, a są to najczęściej dane dotyczące:
- rekrutacji,
- zatrudnienia,
- monitoringu,
- postępowań sądowych,
- klientów/kontrahentów,
- prowadzenia księgi gości czy rejestru osób wchodzących/wychodzących do/z budynków.
RODO nie wskazuje wprost, jakie dokumenty, procedury i polityki należy wdrożyć. Ogólnie wspomina, że to podmiot musi się wykazać starannością w zabezpieczeniu tych procesów, aby podczas przetwarzania danych osobowych nie doszło do nieprawidłowości.
W załączeniu prezentujemy Państwu przykładowe wzory dokumentacji związanej z RODO.
MONITORING KLAUZULA INFORMACYJNA – wzór
OŚWIADCZENIA PRACOWNIKÓW. ZGODA NA DALSZE PRZETWARZANIE – wzór
REKRUTACJA PRACOWNIKÓW.KLAUZULA – wzór
UPOWAŻNIENIE DO PRZETWARZANIA DANYCH PRACOWNIK.WSPÓŁPRACOWNIK- wzór.
Kancelaria Prawna Turek & Wróbel Sp. z o.o. – Oława/Dolny Śląsk/Polska