REKLAMA
REKLAMA

Praca

RODO okiem pracodawcy - jakie działania powinien podjąć aby spełnić obowiązek informacyjny?

Wielu pracodawców jest zdezorientowana i nie wie do końca jak wygląda RODO w praktyce. Gromadzone przez całe lata dane znajdujące się w zasobach archiwum stały się problemem. RODO bowiem nie definiuje w jaki sposób obowiązek informacyjny powinien zostać wykonany. Artykuł 12 RODO stanowi jednak, że informacja powinna być przekazana w prosty, zwięzły sposób, zrozumiały dla każdego. Problemy, które napotkali pracodawcy wynikają m.in. z braku przepisów przejściowych, które pozwoliłyby wdrażać rozporządzenie stopniowo. W jaki sposób pracodawcy powinni wdrożyć przepisy w życie? Poniżej kilka praktycznych wskazówek.

Zasady przetwarzania danych osobowych według RODO

Istnieje kilka zasad, wedle których dane osobowe powinny być przetwarzane przez pracodawcę. Są to:

* legalność - czyli konieczność przetwarzania danych osobowych wyłącznie zgodnie z prawem oraz w sposób maksymalnie transparentny

* celowość - oznacza, że pracodawca powinien przetwarzać dane tylko w określonym wcześniej celu

* minimalizacja - przetwarzanie danych tylko i wyłącznie w zakresie, jaki jest niezbędny

* ograniczenie czasowe - dane powinny być przetwarzane oraz przechowywane wyłącznie na czas niezbędny do osiągnięcia celu, w jakim zostały pobrane

* prawidłowość - osoba, której dane są przetwarzane musi mieć możliwość dokonywania zmian i aktualizacji

* poufność - pracodawca musi podjąć wszelkie działania mające na celu szeroko rozumianą ochronę przetwarzanych danych osobowych

Rozbudowany obowiązek informacyjny

Pracodawca ma obowiązek wypełnienia obowiązku informacyjnego zarówno w stosunku do osób, które ubiegają się o pracę w jego firmie, jak i w stosunku do obecnych pracowników. Pracodawca musi zdać sobie sprawę z tego, że przetwarza dane tych osób praktycznie na każdym kroku. Niestety wyjaśnienia nie znajdzie ani w ustawie RODO ani w Kodeksie Pracy. Przetwarzanie danych osobowych zgodnie z RODO powinno być zawsze udokumentowane. Podkreślić również należy, że obowiązek informacyjny powinien być wykonany w sposób przejrzysty i jasny dla pracowników oraz dla kandydatów. Nie ma określonej formy, w jakiej informacja powinna być udzielona. Dlatego też większość pracodawców stosuje dość długie, ale ogólne formuły, które w jak najpełniejszy sposób zabezpieczą ich w razie kontroli.

Przekazywanie danych firmom zewnętrznym

Pracodawcy często przekazują posiadane dane osobowe firmom zewnętrznym, czego doskonałym przykładem jest przekazywanie kompetencji w zakresie księgowości czy też kadr i płac. Należy pamiętać, że udostępnienie danych osobowych możliwe jest tylko dzięki zawarciu umowy powierzenia przetwarzania danych. Dodatkowo pracodawca musi powziąć wszelkie kroki aby mieć pewność, że firma zewnętrzna posiada odpowiednie kompetencje oraz zaplecze zapewniające maksymalny próg zabezpieczenia przekazywanych jej informacji.

Umowa powierzenia danych osobowych musi zawierać:

* przedmiot przetwarzania

* okres na jaki została zawarta

* charakter oraz szczegółowy cel przetwarzania danych osobowych

* kategorie osób, których dane dotyczą

* obowiązki oraz uprawnienia administratora danych osobowych.

Są to niezbędne elementy, których umieszczenie w umowie determinuje jej legalność. Istotne jest również to, że podmiot zewnętrzny przetwarzający dane zgodnie z umową, musi usunąć je w sposób trwały przypadku jej wygaśnięcia bądź rozwiązania. Dotyczy to wszelkich formatów oraz kopii przekazanych informacji.

W jaki sposób pracodawca powinien zarejestrować samą czynność przetwarzania danych osobowych?

Przepisy nie definiują sposobu, w jaki pracodawca musi zarejestrować wspomnianą czynność. Pracodawca posiadający rejestr danych osobowych może przypisać każdej z osób w niej zawartych czynność, do podjęcia której przetwarzanie danych jest bądź było niezbędne. Jednak oznacza to ogromny poziom szczegółowości rejestru. Dla potrzeb własnych oraz w przypadku wystąpienia kontroli wystarczą takie informacje jak na przykład "proces rekrutacji" czy też "obecny pracownik". Warto jednak wiedzieć jakie informacje powinien zawierać rejestr. Są to:

* dane administratora danych osobowych

* cel przetwarzania

* opis kategorii osób, których dane są przetwarzane

* informacje o wszelkich udostępnieniach danych osobowych

* data, do kiedy dane osobowe powinny być przetwarzane

Bezpieczeństwo danych osobowych przechowywanych przez pracodawcę

Wielu pracodawców jest zdezorientowana i nie wie do końca jak wygląda RODO w praktyce. Zatem warto wspomnieć jakie środki powinien zapewnić pracodawca w celu osiągnięcia maksymalnego bezpieczeństwa przetwarzanych i przechowywanych informacji. Wedle przepisów RODO zależeć to będzie od środków technicznych,  kosztu wdrożenia, charakteru oraz zakresu i celu przetwarzania danych osobowych, a także ryzyko naruszenia praw i wolności osobistych. Jednocześnie RODO nie wskazuje w jaki dokładnie sposób bezpieczeństwo danych powinno zostać zachowane. Niekiedy istnieje potrzeba zmiany hasła do komputera raz w miesiącu, a w innym przypadku wystarczy, że wejście do biura czy też pokoju odbywa się przy użyciu kontroli dostępu.

Kontrola - jak pracodawca powinien się do niej przygotować?

Pracodawca musi być przygotowany w każdej chwili na ewentualność kontroli. Może się ona bowiem odbyć albo planowo, albo na wniosek przekazany do Prezesa Urzędu Ochrony Danych Osobowych, o czym pracodawca nie będzie poinformowany wcześniej. Taka kontrola ad hoc może odbyć się w godzinach 6.00-22.00 oraz dotyczyć wszystkich dokumentów związanych z przetwarzaniem oraz udostępnianiem danych osobowych. W trakcie każdej kontroli pracodawca powinien wskazać pracownika, który będzie udzielał wszelkich informacji przedstawicielowi Prezesa Urzędu Ochrony Danych Osobowych. Zadaniem jest przedstawienie wszelkiej dokumentacji oraz zakaz jakiegokolwiek zakłócania przeprowadzania kontroli, co mogłoby skutkować powstaniem odpowiedzialności karnej.

Co zrobić w przypadku naruszenia ochrony danych osobowych?

W razie stwierdzenia naruszenia, pracodawca powinien niezwłocznie, maksymalnie w ciągu 72 godzin zgłosić ten fakt Prezesowi Urzędu Ochrony Danych Osobowych. Naruszenie musi jednak stwarzać realne zagrożenie naruszenia praw lub wolności osób fizycznych. Pracodawca powinien ponadto podjąć sam wszelkie kroki mające na celu zniwelowanie skutków powstałej sytuacji. Co powinno zawierać zgłoszenie? Okoliczności, w jakich doszło do zdarzenia, skutki oraz podjęte działania.

Przepisy RODO nakładają szereg obowiązków na pracodawców, jednak w wielu przypadkach nie definiują w jaki sposób obowiązki te powinny być wykonane.

Powiązane artykuły

REKLAMA
REKLAMA

Wideo komentarz

REKLAMA
REKLAMA
REKLAMA
REKLAMA
REKLAMA
REKLAMA