Szukanie zaawansowane

Szukanie wraz z odmianą wyrazów
Wstaw * (gwiazdka) po wpisaniu początku wyrazu
np. podatk*, aby znaleźć podatkami, podatkach itd.

Dokładne dopasowanie
Wpisz wyrażenie w cudzysłowie.
Na przykład: "podatek dochodowy".

Wykluczenie wyrażenia
Wstaw - (minus) przed słowem, które chcesz wykluczyć. Na przykład: "sprzedaż -towar"

Brak wyników

Już 25 maja 2018 r. zacznie obowiązywać rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwane dalej RODO. Rozporządzenie to określa minimalne standardy jakie powinna zastosować jednostka w zakresie przetwarzania danych osobowych osób fizycznych.

Od tej daty jednostki, które zatrudniają pracowników (osoby fizyczne), sprzedające usługi bądź towary klientom (osobom fizycznym) zobowiązane są wprowadzenia procedur w zakresie przetwarzania i zabezpieczenia danych tych osób.

Zasady ogólne

Przetwarzanie danych osobowych powinno być zgodne z prawem i rzetelne.

Każda osoba fizyczna powinna otrzymać klarowną informację, że dotyczącej jej dane osobowe są zbierane, wykorzystywane, przeglądane lub przetwarzane oraz o sposobie i stopniu ich przetwarzania teraz lub w przyszłości (tzw. zasada przejrzystości).

Zasada ta wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem.

Polega ona w szczególności na informowaniu osób, których dane dotyczą, o tożsamości administratora i celu przetwarzania danych oraz przekazaniu innych informacji mających na celu zapewnienie rzetelności i przejrzystości ich przetwarzania. Osoby te powinny mieć także prawo do uzyskania potwierdzenia i informacji o przetwarzanych danych osobowych ich dotyczących.

WAŻNE: Osoby fizyczne muszą poznać ryzyko, zasady, zabezpieczenia i prawa związane z przetwarzaniem danych osobowych oraz sposoby wykonywania praw przysługujących im w związku z takim przetwarzaniem.

Cele przetwarzania danych osobowych powinny być uzasadnione i konkretnie określone już w momencie ich zbierania. Zbierane dane powinny ograniczać się jedynie do tych, które są niezbędne do uzyskania celów, dla których są przetwarzane. Wymaga to w szczególności zapewnienia ograniczenia okresu przechowywania danych do ścisłego minimum.

Dane osobowe powinny być przetwarzane tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami.

Aby zapobiec przechowywaniu danych osobowych przez okres dłuższy, niż jest to niezbędne, administrator powinien ustalić termin ich usuwania lub okresowego przeglądu. Administrator powinien podejmować również wszelkie racjonalne działania pozwalające na sprostowanie lub usunięcie danych osobowych, które są nieprawidłowe.

Przetwarzanie danych osobowych powinno się odbywać w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym ochronę przed nieuprawnionym dostępem do nich i do sprzętu służącego ich przetwarzaniu oraz przed nieuprawnionym korzystaniem z tych danych i z tego sprzętu.

Zakres pojęcia danych osobowych

RODO pod pojęciem danych osobowych rozumie wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Natomiast możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Jak wynika z przywołanej definicji każda informacja, po której można zidentyfikować konkretną osobę jest daną osobową.

WAŻNE: Już sam mail z nazwiskiem i np. nazwą firmy jest daną osobową, którą należy chronić.

Przetwarzanie w kontekście zatrudnienia

Po wejściu w życie RODO, czyli 25 maja br., w działach kadr należy zwrócić uwagę na zakres i sposób przetwarzania danych osobowych pracowników w związku z zatrudnieniem, w szczególności do celów:

  • rekrutacji,

  • wykonania umowy o pracę,

  • wykonania obowiązków określonych przepisami lub porozumieniami zbiorowymi, zarządzania, planowania i organizacji pracy,

  • równości i różnorodności w miejscu pracy,

  • bezpieczeństwa i higieny pracy,

  • ochrony własności pracodawcy lub klienta oraz do celów indywidualnego lub zbiorowego wykonywania praw i korzystania ze świadczeń związanych z zatrudnieniem,

  • celów zakończenia stosunku pracy.

Podstawowym obowiązkiem pracodawcy jest konieczność uzyskania zgody tej osoby, której te dane dotyczą. Co istotne formularz zgody powinien być sformułowany w sposób jasny, wyraźny, tak by przeciętnie inteligentna osoba nie miała problemu ze zrozumieniem w jakim celu wyraża zgodę na przetwarzanie danych osobowych.

Pracodawca nie musi uzyskać zgody na przetwarzanie danych, które są wprost wymienione w art. 221 §1 Kodeksu pracy (dalej: k.p.). Chodzi tutaj o takie dane, jak:

  • imię (imiona) i nazwisko,

  • imiona rodziców,

  • datę urodzenia,

  • miejsce zamieszkania (adres do korespondencji),

  • wykształcenie,

  • przebieg dotychczasowego zatrudnienia.

Ponadto pracodawca ma prawo żądać od pracownika podania, niezależnie od danych osobowych, o których mowa w art. 222 §1, także:

  • innych danych osobowych pracownika, a także imion i nazwisk oraz dat urodzenia dzieci pracownika, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy;

  • numeru PESEL pracownika nadanego przez Rządowe Centrum Informatyczne Powszechnego Elektronicznego Systemu Ewidencji Ludności (RCI PESEL).

WAŻNE: Zbieranie i przetwarzanie danych określonych w art. 221 k.p., mimo że nie wymaga uzyskania zgody osoby, której dotyczą są nadal danymi osobowymi, które każdy pracodawca ma obowiązek chronić i przetwarzać tylko w celach zgodnych z prawem. Zatem już zamieszczenie w CV zdjęcia kandydata do pracy wymagać będzie wyrażenia zgody na przetwarzanie jego wizerunku.

W dziale kadr powinny istnieć co najmniej trzy oddzielne bazy danych, pierwsza związana z procesem rekrutacji, a druga związana ze stosunkiem pracy czyli danymi pracownikami zatrudnionymi. Może istnieć także trzecia baza dotycząca byłych pracowników niezależnie od tego czy nabyli uprawnienia emerytalne czy tez nie.

Tak jak już wspomniano przetwarzanie danych musi nastąpić w ściśle określonym celu oraz w tylko w czasie niezbędnym do osiągnięcia celu przetwarzania. I tak, najkrócej przetwarzane powinny być dane związane z rekrutacją. Po jej zakończeniu pracodawca powinien zniszczyć fizycznie wszystkie CV jakie otrzymał od kandydatów. Powinien też usunąć wszelkie dane tych osób z programów komputerowych.

Moim zdaniem, z bazy rekrutacji powinny zostać usunięte również dane tych kandydatów, którzy zostali zatrudnieni i tym samym ich dane znalazły się

Problem pojawia się, gdy na CV kandydata znajduje się klauzula, że może być ono wykorzystane także na potrzeby przyszłych rekrutacji. Jeśli faktycznie pracodawca zamierza wkrótce przeprowadzić kolejną rekrutację np. związaną z rozwojem firmy lub w danej jednostce rotacja pracowników jest duża, wówczas baza taka może być utrzymywana dłużej niż sam proces rekrutacji.

Jednak nadal przetwarzanie danych osobowych nie może odbywać się w nieskończoność, przy kontroli pracowników IODO (odpowiednika dzisiejszego GIODO) pracodawca będzie musiał racjonalnie wyjaśnić, że istnienie danych w tej bazie np. Jana Kowalskiego jest zasadne.

Prawa osoby, której dane są przetwarzane

Osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji:

  • cele przetwarzania,

  • kategorie przetwarzanych danych osobowych,

  • informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych,

  • w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu,

  • informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania,

  • informacje o prawie wniesienia skargi do organu nadzorczego,

  • jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle,

  • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 k.p., oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Dodatkowo, jeżeli dane osobowe są przekazywane do państwa trzeciego lub organizacji międzynarodowej, osoba której dane dot...

To co widzisz, to tylko 30% treści...



Aby uzyskać dostęp do całości, kup prenumeratę


Jeśli jesteś Prenumeratorem, zaloguj się, aby przeczytać artykuł w całości.