Działy związane z HR i obsługą kadrową pracowników bez przerwy przetwarzają dane osobowe, w wielu różnych obszarach i sytuacjach. Wystarczy wymienić kilka pierwszych z brzegu:

- zbieranie CV w procesach rekrutacyjnych;

- tworzenie akt pracowniczych, w których znajdują się tak wrażliwe dane, jak dokumentacja medyczna czy informacje o członkach rodzin pracowników;

- gromadzenie danych pracowników, którzy przestali współpracować z danym pracodawcą.

Wyzwaniem dla kadrowców i HR-owców będzie zapewnienie odpowiedniego stopnia bezpieczeństwa posiadanych i przetwarzanych danych osobowych. RODO mówi w tym zakresie o potrzebie wdrożenia odpowiednich środków technicznych i organizacyjnych. W najprostszej formie będą to wszelkie zabezpieczenia fizyczne – od zamykanych na klucz szaf z dokumentacją papierową do pomieszczeń z limitowanymi dostępami dla wybranych pracowników. Ich uzupełnieniem będą rozwiązania, które zapewnią:

- możliwość pseudonimizacji, anonimizacji czy szyfrowania danych osobowych;

- zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

- zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego.

RODO a kodeks pracy

Na podstawie RODO legislatorzy w poszczególnych państwach mogą wprowadzić przepisy szczegółowe o przetwarzaniu danych osobowych pracowników w związku z ich zatrudnianiem. Ministerstwo Cyfryzacji, odnosząc się do tej możliwości, przygotowało takie zmiany w kodeksie pracy (art. 221 k.p.) >patrz ramka.

Autopromocja
Real Estate Impactor

Gala wręczenia nagród liderom w branży nieruchomości

ZOBACZ RELACJĘ

Co nowego znajdzie się w przepisach? Projekt ustawy z tego zakresu przewiduje przede wszystkim wzmocnienie pozycji pracodawcy: aktualnie ma on jedynie „prawo żądać" uzyskania od potencjalnego pracownika danych osobowych. Po planowanej zmianie będzie mógł żądać od osoby ubiegającej się o zatrudnienie podania danych. Zmiana nastąpi również w zakresie przetwarzania danych przez pracodawcę: nie będą już przechowywane imiona rodziców oraz miejsce zamieszkania (zastąpi je adres do korespondencji), dodane natomiast zostaną takie informacje, jak adres e-mail lub numer telefonu. Z pewnością rewolucyjną, ale też długo oczekiwaną, zmianą jest odniesienie się w proponowanych przepisach do danych biometrycznych. Pracodawca będzie miał prawo przetwarzać dane biometryczne pracownika, jeśli ten wyrazi na to zgodę. Zgoda taka nie może być dorozumiana – ale musi zostać złożona w formie pisemnej, dobrowolnie.

Oznacza to, że od zgody na przetwarzanie danych nie można uzależniać wykonania umowy, jeśli przetwarzanie danych osobowych nie jest niezbędne do jej wykonania. Gdy pracownik nie będzie miał realnego wyboru, możliwości odmowy lub wycofania swoje zgody bez negatywnych konsekwencji takiej decyzji, to zgodę będzie można uznać za niezgodną z prawem. Co więcej, zgoda taka musi być napisana prostym językiem, umożliwiającym dokładne zrozumienie jej przez wszystkich pracowników. Koniecznie musi być zupełnie osobnym oświadczeniem pracownika. Nie będzie więc możliwe, aby pracodawca zawierał taką zgodę razem z innymi.

Projekt zmian w k.p. zakłada również bezwzględny zakaz przetwarzania przez pracodawcę danych wrażliwych pracowników – nawet po uprzednio wyrażonej zgodzie – dotyczących: nałogów, informacji o stanie zdrowia, orientacji i życiu seksualnym (ale nie ma już takiego obowiązku w odniesieniu do przekonań religijnych czy poglądów politycznych).

Projekt ustawy podejmuje również próbę regulacji kwestii monitoringu wizyjnego w miejscu pracy. Nie może być on stosowany do kontroli pracy pracowników, lecz jedynie w celu zapewnienia im bezpieczeństwa, ochrony mienia oraz zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę.

Outsourcing usług HR

Usługi kadrowo-płacowe czy rekrutacyjne są często zlecane firmom zewnętrznym, aby zoptymalizować koszty i lepiej wykorzystać potencjał pracowników zatrudnionych w organizacji. Co warto wiedzieć w tym przypadku?

- Firma, która zleca wykonanie usługi, nadal jest administratorem danych osobowych (ADO).

- Zlecając usługi, które zakładają przetwarzanie danych osobowych, firma de facto powierza dane podwykonawcy.

- Taka sytuacja wiąże się z koniecznością zawarcia z dostawcą takich usług umowy powierzenia danych osobowych.

Tomasz Mamys, project manager RODO, Sage

Co powinien wiedzieć przyszły pracownik

Pracodawcy zbierający dane kandydatów do pracy powinni poinformować potencjalnych czy przyszłych pracowników, do kogo i w jakim celu trafią pozyskane dane osobowe. W szczególności w informacji takiej powinny się znaleźć:

- nazwa, adres i dane kontaktowe firmy;

- dane kontaktowe inspektora ochrony danych (jeżeli jest wyznaczony);

- cele przetwarzania danych osobowych i podstawa prawna przetwarzania;

- prawnie uzasadnione interesy realizowane przez administratora (w przypadku gdy są one podstawą przetwarzania);

- odbiorca danych osobowych lub kategoria odbiorców;

- zamiar przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej (gdy ma to zastosowanie);

- okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;

- informacja o prawach osób, których dane osobowe są zbierane, w tym o prawie do żądania od administratora dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, o prawie do wniesienia sprzeciwu wobec przetwarzania, o prawie do przenoszenia danych, o prawie do cofnięcia zgody na przetwarzanie danych (gdy jest ona podstawą przetwarzana), o prawie wniesienia skargi do organu nadzorczego;

- uzasadnienie, czy podanie danych osobowych jest wymogiem ustawowym, umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych.

- Informacja o ewentualnym zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Co musi zawierać umowa

Obowiązkowe elementy umowy powierzenia danych osobowych to określenie:

- przedmiotu przetwarzania,

- czasu trwania przetwarzania,

- charakteru i celu przetwarzania,

- rodzaju danych osobowych,

- kategorii osób, których dane dotyczą,

- obowiązków i praw administratora,

- obowiązków firmy, której powierzamy dane (np. obowiązek przetwarzania danych wyłącznie na udokumentowane polecenie administratora).

Warto zajrzeć do podstawy prawnej*

- RODO – oficjalny tekst w języku polskim: https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A32016R0679

- Projekt ustawy o ochronie danych osobowych: https://www.gov.pl/cyfryzacja/projekt-ustawy-o-ochronie-danych-osobowych

- Projekt ustawy – Przepisy wprowadzające ustawę o ochronie danych osobowych: https://mc.bip.gov.pl/projekty-aktow-prawnych-mc/projekt-ustawy-przepisy-wprowadzajace-ustawe-o-ochronie-danych-osobowych.html

- Aktualny stan prac nad projektem: http://legislacja.rcl.gov.pl/projekt/12302951.

* na dzień oddania raportu do druku prace nad krajowymi aktami prawnymi w omawianym zakresie nie zostały zakończone, stąd odniesienia