Dane osobowe

RODO: brak informacji może oznaczać odszkodowanie

123RF
Brakuje wytycznych i pracodawcy nie wiedzą, jak się zachować po 25 maja 2018 r. w związku z RODO.

Eksperci zachęcają pracodawców, aby dołączyli do banków i ubezpieczycieli wydzwaniających do swoich klientów, by poinformować ich o nowych zasadach gromadzenia i przetwarzania ich danych osobowych. Najlepiej żeby najbliższy piątek, 25 maja 2018 r., poinformowali przeszło 16 mln zatrudnionych u siebie pracowników i współpracowników na zleceniu czy działalności gospodarczej o tym, że przetwarzają ich dane osobowe.

Zdaniem prawników warto zadbać o dopełnienie tego obowiązku, ponieważ wszelkie błędy i niedopatrzenia w tym zakresie mogą stać się podstawą do żądania odszkodowania przez zwolnionego pracownika, który po latach uzna, że jego dane były nieprawidłowo przetwarzane przez pracodawcę.

Obowiązek informacyjny narzuca wchodzące w tym dniu unijne rozporządzenie 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (tzw. RODO). W myśl art. 13 tego rozporządzenia administrator danych osobowych musi poinformować osoby, których dane pozyskuje, nie tylko, jak było dotychczas, o swojej tożsamości i danych kontaktowych, podstawie prawnej i celach przetwarzania danych, o odbiorcach tych danych, ale także o prawie dostępu do treści danych i prawie do ich poprawiania.

Papier, mail lub obwieszczenie

– RODO nie precyzuje, jak dokładnie należy spełniać obowiązek informacyjny przewidziany w art. 13, który nakazuje jedynie, aby administrator danych podał osobie fizycznej niezbędne informacje podczas pozyskiwania od niej danych osobowych, czyli na etapie podejmowania współpracy – tłumaczy Agata Kłodzińska, specjalista ds. ochrony danych w ODO24. – Prawidłowy na gruncie RODO obowiązek informacyjny z dniem 25 maja 2018 roku trzeba spełnić także w stosunku do już zatrudnionych czy współpracujących z firmą osób. O ile forma jest dowolna, o tyle ważne jest, aby każdy pracownik czy współpracownik zapoznał się z treścią klauzuli informacyjnej i aby administrator zgodnie z zasadą rozliczalności był w stanie wykazać fakt spełnienia obowiązku informacyjnego na wypadek kontroli ze strony organu nadzorczego.

– W przedsiębiorstwach zatrudniających do 20–30 osób najłatwiej i najprościej przekazać je na papierze i warto wtedy zebrać potwierdzenia odbioru od pracowników. W większych zakładach lepszą formą przekazania staje się mail. Nie trzeba wtedy zbierać potwierdzeń otrzymania takiej informacji, ale warto, aby pracodawca zachował sobie dowody na to, że wysłał takie informacje do pracowników – dodaje dr Marcin Wujczyk, radca prawny w kancelarii Baran, Książek, Bigaj & Wujczyk. – Nie polecam zaś informowania pracowników o zmianach w formie obwieszczenia wywieszonego w widocznym miejscu. To bardzo ryzykowne, gdyż w razie kontroli pracodawcy trudno będzie udowodnić, że zatrudnieni zapoznali się z taką informacją. Nie jest to więc dobry sposób, by wywiązać się z obowiązku informacyjnego w stosunku do pracowników, którzy nie mają służbowej skrzynki mailowej. W takim przypadku lepiej wydrukować taką informację na papierze i odebrać potwierdzenie także na papierze, że ją otrzymali.

GIODO wyjaśnia

Jak udało się nam dowiedzieć w Urzędzie Głównego Inspektora Ochrony Danych Osobowych (GIODO), pracodawcy nie mają obowiązku automatycznego powtarzania obowiązku informacyjnego przewidzianego w art. 13 RODO w stosunku do zatrudnionych u siebie osób. Niemniej mogą się zdarzać sytuacje w których trzeba będzie tego obowiązku dopełnić, np. gdy zmieniają się w danej firmie cele przetwarzania danych.

Nawet GIODO zaleca jednak pracodawcom pewną dobrą praktykę mającą na celu zapewnienie przejrzystości przetwarzania danych. Zatrudnieni powinni mieć możliwość zapoznania się z dodatkowymi informacjami wynikającymi z RODO, np. danymi kontaktowymi do inspektora danych osobowych, jeśli taki został wyznaczony w danej firmie.

dr Dominika Dörre-Kolasa - radca prawny partner w kancelarii Raczkowski Paruch

Brak przepisów przejściowych i wyraźnych wytycznych ze strony administracji powoduje, że wielu przedsiębiorców tuż przed wejściem nowych przepisów jest naprawdę zagubionych. Nowe regulacje jednak mówią wprost, że informację o gromadzeniu danych osobowych pracowników i zasadach ich przetwarzania trzeba przekazać im podczas pozyskiwania danych. Można wtedy dojść do wniosku, że nowy obowiązek informowania pracowników dotyczy jedynie tych zatrudnianych po 25 maja 2018 r., czyli już pod rządami nowych przepisów. A nie tych już obecnych od lat w firmie. Dla bezpieczeństwa warto jednak przekazać zatrudnionym podstawową informację o tym, kto przetwarza ich dane i jakie nowe uprawnienia mają w związku ze zmianą przepisów. W mojej ocenie nie ma bezwzględnego obowiązku przekazywania wszystkim zatrudnionym informacji przewidzianej w art. 13 RODO.

Źródło: Rzeczpospolita

REDAKCJA POLECA

NAJNOWSZE Z RP.PL