Szereg obowiązków ciąży również na firmach działających w sektorze B2B (np. firmach produkcyjnych), które co prawda nie gromadzą i nie przetwarzają danych konsumentów, jednak w związku z prowadzoną działalnością i tak posiadają dane osobowe. Dzisiaj trudno bowiem nie przetwarzać żadnych danych osobowych, prowadząc biznes.
Przykładowymi zbiorami danych osobowych przetwarzanych przez firmy z sektora B2B są dane osobowe kontrahentów, książka wejść i wyjść z terenu przedsiębiorstwa czy monitoring wizyjny. Jednak najprawdopodobniej najczęściej występującym zbiorem danych osobowych wśród takich firm są dane osobowe pracowników lub osób ubiegających się o zatrudnienie. Przepisy ogólnego rozporządzenia o ochronie danych (dalej: RODO) nie czynią wyjątku w zakresie danych pracowniczych, dlatego pracodawcy powinni stosować wobec przetwarzania takich danych wszystkie zasady wynikające z nowych przepisów.
Obowiązek informacyjny
Jedną z tych zasad jest szeroki obowiązek informacyjny wobec pracowników w zakresie przetwarzania ich danych osobowych. Oznacza to, że pracodawcy powinni wyraźnie przekazać pracownikom odpowiednie informacje w sposób przyjęty w firmie (np. poprzez obwieszczenie czy indywidualne informowanie pracowników). Dokonanie takiego poinformowania powinno z praktycznego punktu widzenie zostać następnie udokumentowane przez pracodawcę. Zgodnie bowiem z ogólną regułą wyrażoną w RODO, administrator danych musi być w stanie wykazać przestrzeganie przepisów, w tym obowiązku informacyjnego. Jest to zwłaszcza istotne z punktu widzenia ewentualnego postępowania kontrolnego prowadzonego przez organ nadzorczy.
Informacja przekazywana pracownikom przez pracodawcę powinna obejmować informacje m.in. o danych kontaktowych inspektora ochrony danych (o ile będzie on w firmie powołany), okresie przechowywania danych osobowych, prawie wniesienia skargi do organu nadzorczego czy też o przekazywaniu danych do państwa trzeciego (np. gdy serwery przechowujące dane pracownicze będą umiejscowione poza UE/EOG). Katalog niezbędnych informacji, do których udzielenia jest zobowiązany administrator danych na podstawie RODO, jest zatem szerszy niż obowiązujący dotychczas.
Zgoda pracownika i kandydata do pracy
RODO wprowadza istotną zmianę do obowiązującej dotąd w polskim porządku prawnym zasady, zgodnie z którą dane pracowników i kandydatów do pracy, wykraczające poza katalog wskazany w Kodeksie pracy, nie mogły być przez pracodawcę przetwarzane, nawet za zgodą tych osób. Takie stanowisko reprezentowane przez sądy administracyjne oraz GIODO jest uzasadniane tym, iż z uwagi na charakter relacji pracowniczej, nie można mówić o zgodzie dobrowolnie udzielanej przez pracownika. Niemniej jednak, w naszej ocenie RODO dopuszcza zgodę pracownika jako podstawę prawną przetwarzania danych osobowych przez pracodawcę, przy czym daje państwom członkowskim, jak również samym pracodawcom i przedstawicielom pracowników w drodze porozumień zbiorowych, prawo uszczegółowienia zasad związanych z takim przetwarzaniem danych na potrzeby zatrudnienia.