Baza wiedzy

Jakie obowiązki ma pracodawca w zakresie Ochrony Danych Osobowych

 

RODO wrzuciło pracodawców na głęboką wodę bez ułatwień w postaci np. przepisów przejściowych. Zrozumienie tego, jak działa ochrona danych osobowych i jakie wynikają z niej obowiązki pracodawcy nie jest prosta. Dlatego zachęcamy do lektury naszego krótkiego poradnika.

 

Przepisy RODO to nowy obowiązek dla pracodawców, który w wielu przypadkach każe od nowa zorganizować kwestię przechowywania i przetwarzania danych osobowych. Dostępne w Internecie „gotowce” nie są jednak dobrą drogą, ponieważ narażają firmy na kary finansowe. Kwestii RODO nie da się rozwiązać jednym schematem. Istnieją jednak ogólne zasady, których znajomość jest dobrym wstępem do pojęcia regulacji wymaganych podczas zatrudniania pracowników, a także wykorzystywania np. outsourcingu danych osobowych.

 

1. Jakie są ogólne zasady dot. danych osobowych?

RODO wyróżnia dwa typy danych osobowych. Pierwsze to zwykłe dane osobowe, a drugie to dane szczególne. W drugiej grupie mogą znaleźć się informacje wrażliwe, takie jak np. historia chorób, dane genetyczne, pochodzenie i przynależność religijna itd. Jako przedsiębiorca możesz przetwarzać dane jako ich administrator lub zatrudnić zewnętrzny podmiot specjalizujący się w bezpieczeństwie danych osobowych.

  • Administrator danych – decydujesz o celach, sposobach i środkach przetwarzania danych. Administratorem jest więc firma zatrudniająca pracowników.
  • Podmiot przetwarzający dane – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Może nim być sam pracodawca lub podmiot zewnętrzny, np. biuro rachunkowe lub firma IT (zobacz: https://securitypartners.pl/), która zajmuje się profesjonalnym przechowywaniem danych dostarczonych przez przedsiębiorców.

 

2. Co zrobić z już posiadanymi danymi?

Na początku warto uporządkować już przetwarzane dane osobowe. Ważne jest ustalenie, czy cel ich przechowywania jest zgodny z RODO. Następnie należy zidentyfikować, w jakiej formie są przechowywane: w systemie komputerowym, chmurze czy w tradycyjnej formie papierowej.

Bardzo ważne jest także określenie roli pracodawcy w zakresie ochrony danych osobowych. Należy ustalić, czy pełni rolę administratora, współadministratora czy tylko podmiotu przetwarzającego. Należy także ustalić komu i po co pracodawca przekazuje dane osobowe m. in. pracowników i byłych zatrudnionych.

 

3. Obowiązki pracodawcy – informacje dla kandydatów

W przypadku rekrutacji nowych pracowników pracodawca ma prawo zażądać od kandydatów niektórych informacji osobowych. Chodzi o dane, które umożliwiają mu podjęcie działań zmierzających do zawarcia umowy z kandydatem (np. imię i nazwisko, data urodzenia, informacje o doświadczeniu zawodowym i wykształceniu). Co ważne, pracodawca musi poinformować kandydatów do pracy o przetwarzaniu ich danych osobowych i to w sposób, czytelny i łatwo dostępny dla kandydata. Stosowną informację można zamieścić w treści ogłoszenia o pracę lub w wiadomości zwrotnej po tym, jak pracodawca otrzyma od kandydata CV czy wypełnioną aplikację.

 

4. Outsourcingu danych i obowiązki pracodawcy

Najczęstszym przykładem outsourcingu danych osobowych jest przekazanie zewnętrznym firmom zadań kadrowo-płacowych i księgowych. Wówczas główne obowiązki pracodawcy obejmują zawarcie z nimi stosownych umów powierzenia przetwarzania danych osobowych. Wybrany podmiot zewnętrzny powinien zostać zweryfikowany przez pracodawcę pod kątem wdrożenia środków technicznych i organizacyjnych, które zapewnią prawidłową ochronę danych.

 

5. Etapy przechowywania danych osobowych pracowników

Niemal każdy pracodawca zobowiązany jest prowadzić rejestr czynności przetwarzania danych osobowych. Aby móc zapewnić jak najlepszą przejrzystość, czynności te należy podzielić na trzy etapy. Są to rekrutacja, etap zatrudnienia oraz przechowywanie danych byłych pracowników. Każdy taki rejestr musi zawierać następujące informacje:

  • dane administratora i inspektora ochrony danych, jeśli został powołany,
  • cele przetwarzania danych,
  • opis kategorii danych osobowych oraz kategorii osób, których te dane dotyczą,
  • informacje o podmiotach, którym pracodawca udostępnił ów dane,
  • dodatkowo warto umieścić przewidywany termin usunięcia poszczególnych kategorii danych.

 

7. Jak przygotować dane na wypadek kontroli?

Obowiązki pracodawcy wynikające z ochrony danych osobowych zgodnej z RODO powinny uwzględniać przygotowanie na wypadek wszczęcia kontroli. Taką kontrolę, i to niezapowiedzianą, może przeprowadzić urzędnik Urzędu Ochrony Danych Osobowych (UODO). Jako pracodawca musisz w tym momencie posiadać już osobę, którą upoważnisz do reprezentowania ciebie w trakcie kontroli. Ponadto musisz zawsze posiadać komplet upoważnień i poleceń przetwarzania danych, jeśli zlecasz to innym osobom. Pamiętaj także, że kontrolerzy mogą sprawdzić, czy dokumentację pracowników przechowujesz w miejscu, które chronią ją przed zniszczeniem lub uszkodzeniem.

 

Podsumowanie

RODO i wynikające z niego obowiązki pracodawcy to ogromna ilość wiadomości do przyswojenia i czynności do wykonania. Najważniejsze jest zachowanie porządku w dokumentacji, dokładne określenie celów i metod przechowywania danych. Nie wolno zapominać też o obowiązku informacyjnym, a w przypadku zatrudnienia zewnętrznej firmy do pomocy przy danych osobowych należy przygotować odpowiednie umowy powierzenia przetwarzania danych osobowych.