RODO – najważniejsze wyzwania dla działów HR

RODO czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zacznie obowiązywać bezpośrednio w krajach członkowskich Unii Europejskiej od 25 maja 2018 r.

Z tym dniem RODO zastąpi dotychczasową regulację dotyczącą ochrony danych osobowych, w tym danych osobowych pracowników i kandydatów do pracy, przetwarzanych przez pracodawców czy firmy rekrutacyjne. A zatem już niewiele czasu zostało na przygotowanie się do zmian jakie przewiduje RODO. Jakie są najważniejsze zmiany i wyzwania, na które muszą przygotować się pracodawcy i ich działy HR?

1. Nowe obowiązki informacyjne

RODO znacznie zwiększa zakres informacji, które muszą być podane osobie przy zbieraniu jej danych osobowych czyli np. kandydatowi do pracy. Obecnie administrator danych (np. pracodawca czy firma rekrutacyjna) jest obowiązany poinformować osobę, której dane osobowe są zbierane o:

  1. pełnej nazwie i adresie swojej siedziby,
  2. celu zbierania danych, a w szczególności o znanych lub przewidywanych odbiorcach lub kategoriach odbiorców danych;
  3. prawie dostępu do treści swoich danych oraz ich poprawiania;
  4. dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

Z kolei od dnia 25 maja 2018 r. obowiązków informacyjnych będzie znacznie więcej. I tak pracodawca będzie musiał informować m.in:

  1. nie tylko o nazwie i adresie, ale także o danych kontaktowych;
  2. o danych kontaktowych inspektora ochrony danych (jeżeli zostanie wyznaczony);
  3. o celach przetwarzania danych osobowych i o podstawie prawnej przetwarzania;
  4. o prawnie uzasadnionych interesach realizowanych przez administratora (w przypadku gdy są one podstawą przetwarzania);
  5. o odbiorcach danych osobowych lub o kategoriach odbiorców;
  6. gdy ma to zastosowanie – o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej;
  7. o okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, o kryteriach ustalania tego okresu;
  8. o prawach osób, których dane osobowe są zbierane, w tym o prawie do żądania od administratora dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, o prawie do wniesienia sprzeciwu wobec przetwarzania, o prawie do przenoszenia danych, o prawie do cofnięcia zgody na przetwarzanie danych (gdy jest ona podstawą przetwarzana), o prawie wniesienia skargi do organu nadzorczego;
  9. o tym czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
  10. o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą;

Zadania dla działów HR:

  • weryfikacja czy przekazujemy kandydatom/pracownikom wszystkie wymagane przez RODO informacje;
  • dostosowanie klauzul informacyjnych do wymogów RODO.

2. Warunki zgody na przetwarzanie danych osobowych

W jednym z motywów RODO podkreślono, że państwa członkowskie mogą wprowadzić przepisy szczegółowe o przetwarzaniu danych osobowych pracowników w związku z zatrudnieniem, w szczególności warunki, na których dane osobowe w związku z zatrudnieniem można przetwarzać za zgodą pracownika do celów m.in. procedury rekrutacyjnej, czy wykonywania umowy o pracę. Z tej możliwości skorzystało Ministerstwo Cyfryzacji przygotowując projekt nowelizacji kodeksu pracy, zgodnie z którym pracodawca będzie mógł przetwarzać także dane osobowe pracowników dotyczące stosunku pracy (w tym dane biometryczne) jeżeli pracownik wyrazi na to zgodę. Zastrzegając, że nie wiemy jeszcze czy przepisy te wejdą w życie w takiej formie, należy zwrócić uwagę, na warunki jakie muszą zostać spełnione, aby zgoda mogła zostać uznana za legalną podstawę przetwarzania danych osobowych.

Według RODO zgoda musi być przede wszystkim dobrowolna, a zatem od zgody na przetwarzanie danych nie można uzależniać wykonania umowy jeśli przetwarzanie danych osobowych nie jest niezbędne do jej wykonania. Wyrażenia zgody nie należy uznawać za dobrowolne, jeżeli osoba, której dane dotyczą, nie ma rzeczywistego wyboru oraz nie może odmówić ani wycofać zgody bez niekorzystnych dla siebie konsekwencji. Ponadto jeżeli zgoda zawarta jest w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Należy również podkreślić, iż aby wyrażenie zgody było świadome, osoba, której dane dotyczą, powinna znać przynajmniej tożsamość administratora. Powinna także znać zamierzone cele przetwarzania danych osobowych (niezbędne elementy klauzuli zgody).

Zadania dla działów HR:

  • weryfikacja czy klauzule zgody są napisane jasnym i zrozumiałym językiem, czy zawierają informacje o administratorze i celach przetwarzania, czy są wyraźnie oddzielone od innych oświadczeń, czy zostały udzielone dobrowolnie;
  • dostosowanie klauzul zgody do wymogów RODO.

3. Nowe wymogi dotyczące umów o powierzeniu przetwarzania danych osobowych

W praktyce często pracodawcy zlecają pewne czynności dotyczące przetwarzania danych osobowych swoich pracowników firmom zewnętrznym np. firmie kadrowo-płacowej. W takich sytuacjach pracodawca, jako administrator danych osobowych pracowników, ma obowiązek zawrzeć z takim zewnętrznym podmiotem umowę o powierzeniu przetwarzania danych osobowych. Obecnie, zgodnie z obowiązującymi przepisami, umowa taka musi zawierać tylko dwa elementy  tzn. zakres i cel przetwarzania. Natomiast zgodnie z RODO umowa taka będzie musiała określać:

1) przedmiot przetwarzania,
2) czas trwania przetwarzania,
3) charakter i cel przetwarzania,
4) rodzaj danych osobowych,
5) kategorie osób, których dane dotyczą,
6) obowiązki i prawa administratora.

Ponadto umowa o powierzeniu będzie musiała przewidywać szereg obowiązków podmiotu przetwarzającego dane osobowe w tym m.in. zobowiązanie do  przetwarzania danych wyłącznie na udokumentowane polecenie administratora, zapewnienie wdrożenia wszelkich środków technicznych i organizacyjnych dla odpowiedniego zabezpieczenia danych osobowych.

Zadania dla działów HR:

  • weryfikacja umów o powierzeniu przetwarzania danych i ich dostosowanie do wymogów RODO.

4. Zabezpieczenie danych

Zgodnie z RODO pracodawca będzie zobowiązany wdrożyć środki techniczne i organizacyjne dla zapewnienia odpowiedniego stopnia bezpieczeństwa danych. Wśród środków technicznych i organizacyjnych RODO wymienia przykładowo:

  1. pseudonimizację i szyfrowanie danych osobowych;
  2. zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
  3. zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
  4. regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Należy pamiętać, że obowiązek odpowiedniego zabezpieczenia danych dotyczy również przypadków bardziej tradycyjnego przechowywania danych np. w postaci papierowych akt pracowniczych. W takim przypadku istotne jest przechowywanie wszelkich dokumentów np. w zamykanych szafach, w pomieszczeniach do których dostęp mają tylko osoby upoważnione do przetwarzania danych osobowych.

Zadania dla działów HR:

  • analiza procesów przetwarzaniem danych osobowych pod kątem ryzyka przypadkowego lub niezgodnego z prawem zniszczenia, utraty, czy nieuprawnionego ujawnienia danych osobowych;
  • dostosowanie środków technicznych i organizacyjnych zapewniających bezpieczeństwo przechowywanych danych adekwatnych do stwierdzonych ryzyk.

5. Obowiązek zgłaszania naruszeń

Zgodnie z RODO w przypadku naruszenia ochrony danych osobowych, pracodawcy będą musieli zgłaszać ten fakt organowi nadzoru, najpóźniej w ciągu 72 godzin od stwierdzenia naruszenia. RODO definiuje „naruszenie ochrony danych osobowych” jako naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Takim naruszeniem będzie zatem np. zgubienie dokumentów, czy laptopa z danymi osobowymi, wysłanie maila z danymi osobowymi do niewłaściwego adresata.

Jeżeli naruszenie ochrony danych osobowych powodować będzie wysokie ryzyko naruszenia praw lub wolności osób fizycznych, pracodawca będzie miał ponadto obowiązek zawiadomić o takim naruszeniu osobę, której dane dotyczą.

Zadania dla działów HR:

  • szkolenie pracowników pod kątem naruszeń danych osobowych jakie mogą wystąpić w codziennej pracy;
  • stworzenie wewnętrznej procedury zgłaszania naruszeń, w tym wyznaczenie osoby odpowiedzialnej za weryfikację zgłoszeń i ich zgłaszanie do organu nadzoru.

Powyżej wskazane przykłady to tylko część zmian, jakie wprowadzi RODO. Z uwagi na wysokie kary grożące za naruszenie przepisów rozporządzenia, niezmiernie ważne jest, aby przed jego wejściem w życie odpowiednio przygotować się do nowych obowiązków w zakresie przetwarzania danych osobowych. W tym celu pracodawcy powinni przeprowadzić audyt procesów przetwarzania danych osobowych. To pozwoli wykryć potencjalne  niezgodności i naruszenia, a następnie dostosować swoje procedury i dokumenty do wymogów przewidzianych w RODO.

 


Michał Włodarczyk – adwokat w zespole prawa pracy kancelarii BMSP Boryczko Malinowska. Specjalizuje się w prawie pracy, doradza podmiotom gospodarczym między innymi w zakresie zawierania i rozwiązywania umów o pracę, zawierania umów o zakazie konkurencji, monitoringu pracowników, równego traktowania, sporządzania wewnętrznych regulacji pracodawcy takich jak np. regulaminy pracy, regulaminy wynagradzania, a także reprezentuje klientów przed sądami w sprawach z zakresu prawa pracy. W swojej praktyce współpracuje blisko z działami HR.

1 komentarz
  1. […] RODO – najważniejsze wyzwania dla działów HR […]

Skomentuj

Wystarczy 5 sekund aby być zawsze na bieżąco.

Zapisz się do naszego newslettera tutaj:

Informacje o najciekawszych artykułach i nowościach w świecie HR.





Dziękujemy za zapisanie do naszego newslettera. Od teraz będziesz na bieżąco ze światem HR.

Share This
HRstandard.pl
Login/Register access is temporary disabled