Szukanie zaawansowane

Szukanie wraz z odmianą wyrazów
Wstaw * (gwiazdka) po wpisaniu początku wyrazu
np. podatk*, aby znaleźć podatkami, podatkach itd.

Dokładne dopasowanie
Wpisz wyrażenie w cudzysłowie.
Na przykład: "podatek dochodowy".

Wykluczenie wyrażenia
Wstaw - (minus) przed słowem, które chcesz wykluczyć. Na przykład: "sprzedaż -towar"

Brak wyników

Już 25 maja 2018 r. zacznie obowiązywać rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwane dalej RODO. Rozporządzenie to określa minimalne standardy jakie powinna zastosować jednostka w zakresie przetwarzania danych osobowych osób fizycznych.

Od tej daty jednostki, które zatrudniają pracowników (osoby fizyczne), sprzedające usługi bądź towary klientom (osobom fizycznym) zobowiązane są wprowadzenia procedur w zakresie przetwarzania i zabezpieczenia danych tych osób.

Zasady ogólne

Przetwarzanie danych osobowych powinno być zgodne z prawem i rzetelne.

Każda osoba fizyczna powinna otrzymać klarowną informację, że dotyczącej jej dane osobowe są zbierane, wykorzystywane, przeglądane lub przetwarzane oraz o sposobie i stopniu ich przetwarzania teraz lub w przyszłości (tzw. zasada przejrzystości).

Zasada ta wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem.

Polega ona w szczególności na informowaniu osób, których dane dotyczą, o tożsamości administratora i celu przetwarzania danych oraz przekazaniu innych informacji mających na celu zapewnienie rzetelności i przejrzystości ich przetwarzania. Osoby te powinny mieć także prawo do uzyskania potwierdzenia i informacji o przetwarzanych danych osobowych ich dotyczących.

WAŻNE: Osoby fizyczne muszą poznać ryzyko, zasady, zabezpieczenia i prawa związane z przetwarzaniem danych osobowych oraz sposoby wykonywania praw przysługujących im w związku z takim przetwarzaniem.

Cele przetwarzania danych osobowych powinny być uzasadnione i konkretnie określone już w momencie ich zbierania. Zbierane dane powinny ograniczać się jedynie do tych, które są niezbędne do uzyskania celów, dla których są przetwarzane. Wymaga to w szczególności zapewnienia ograniczenia okresu przechowywania danych do ścisłego minimum.

Dane osobowe powinny być przetwarzane tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami.

Aby zapobiec przechowywaniu danych osobowych przez okres dłuższy, niż jest to niezbędne, administrator powinien ustalić termin ich usuwania lub okresowego przeglądu. Administrator powinien podejmować również wszelkie racjonalne działania pozwalające na sprostowanie lub usunięcie danych osobowych, które są nieprawidłowe.

Przetwarzanie danych osobowych powinno się odbywać w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym ochronę przed nieuprawnionym dostępem do nich i do sprzętu służącego ich przetwarzaniu oraz przed nieuprawnionym korzystaniem z tych danych i z tego sprzętu.

Zakres pojęcia danych osobowych

RODO pod pojęciem danych osobowych rozumie wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Natomiast możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Jak wynika z przywołanej definicji każda informacja, po której można zidentyfikować konkretną osobę jest daną osobową.

WAŻNE: Już sam mail z nazwiskiem i np. nazwą firmy jest daną osobową, którą należy chronić.

Przetwarzanie w kontekście zatrudnienia

Po wejściu w życie RODO, czyli 25 maja br., w działach kadr należy zwrócić uwagę na zakres i sposób przetwarzania danych osobowych pracowników w związku z zatrudnieniem, w szczególności do celów:

  • rekrutacji,

  • wykonania umowy o pracę,

  • wykonania obowiązków określonych przepisami lub porozumieniami zbiorowymi, zarządzania, planowania i organizacji pracy,

  • równości i różnorodności w miejscu pracy,

  • bezpieczeństwa i higieny pracy,

  • ochrony własności pracodawcy lub klienta oraz do celów indywidualnego lub zbiorowego wykonywania praw i korzystania ze świadczeń związanych z zatrudnieniem,

  • celów zakończenia stosunku pracy.

Podstawowym obowiązkiem pracodawcy jest konieczność uzyskania zgody tej osoby, której te dane dotyczą. Co istotne formularz zgody powinien być sformułowany w sposób jasny, wyraźny, tak by przeciętnie inteligentna osoba nie miała problemu ze zrozumieniem w jakim celu wyraża zgodę na przetwarzanie danych osobowych.

Pracodawca nie musi uzyskać zgody na przetwarzanie danych, które są wprost wymienione w art. 221 §1 Kodeksu pracy (dalej: k.p.). Chodzi tutaj o takie dane, jak:

  • imię (imiona) i nazwisko,

  • imiona rodziców,

  • datę urodzenia,

  • miejsce zamieszkania (adres do korespondencji),

  • wykształcenie,

  • przebieg dotychczasowego zatrudnienia.

Ponadto pracodawca ma prawo żądać od pracownika podania, niezależnie od danych osobowych, o których mowa w art. 222 §1, także:

  • innych danych osobowych pracownika, a także imion i nazwisk oraz dat urodzenia dzieci pracownika, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy;

  • numeru PESEL pracownika nadanego przez Rządowe Centrum Informatyczne Powszechnego Elektronicznego Systemu Ewidencji Ludności (RCI PESEL).

WAŻNE: Zbieranie i przetwarzanie danych określonych w art. 221 k.p., mimo że nie wymaga uzyskania zgody osoby, której dotyczą są nadal danymi osobowymi, które każdy pracodawca ma obowiązek chronić i przetwarzać tylko w celach zgodnych z prawem. Zatem już zamieszczenie w CV zdjęcia kandydata do pracy wymagać będzie wyrażenia zgody na przetwarzanie jego wizerunku.

W dziale kadr powinny istnieć co najmniej trzy oddzielne bazy danych, pierwsza związana z procesem rekrutacji, a druga związana ze stosunkiem pracy czyli danymi pracownikami zatrudnionymi. Może istnieć także trzecia baza dotycząca byłych pracowników niezależnie od tego czy nabyli uprawnienia emerytalne czy tez nie.

Tak jak już wspomniano przetwarzanie danych musi nastąpić w ściśle określonym celu oraz w tylko w czasie niezbędnym do osiągnięcia celu przetwarzania. I tak, najkrócej przetwarzane powinny być dane związane z rekrutacją. Po jej zakończeniu pracodawca powinien zniszczyć fizycznie wszystkie CV jakie otrzymał od kandydatów. Powinien też usunąć wszelkie dane tych osób z programów komputerowych.

Moim zdaniem, z bazy rekrutacji powinny zostać usunięte również dane tych kandydatów, którzy zostali zatrudnieni i tym samym ich dane znalazły się

Problem pojawia się, gdy na CV kandydata znajduje się klauzula, że może być ono wykorzystane także na potrzeby przyszłych rekrutacji. Jeśli faktycznie pracodawca zamierza wkrótce przeprowadzić kolejną rekrutację np. związaną z rozwojem firmy lub w danej jednostce rotacja pracowników jest duża, wówczas baza taka może być utrzymywana dłużej niż sam proces rekrutacji.

Jednak nadal przetwarzanie danych osobowych nie może odbywać się w nieskończoność, przy kontroli pracowników IODO (odpowiednika dzisiejszego GIODO) pracodawca będzie musiał racjonalnie wyjaśnić, że istnienie danych w tej bazie np. Jana Kowalskiego jest zasadne.

Prawa osoby, której dane są przetwarzane

Osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji:

  • cele przetwarzania,

  • kategorie przetwarzanych danych osobowych,

  • informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych,

  • w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu,

  • informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania,

  • informacje o prawie wniesienia skargi do organu nadzorczego,

  • jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle,

  • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 k.p., oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Dodatkowo, jeżeli dane osobowe są przekazywane do państwa trzeciego lub organizacji międzynarodowej, osoba której dane dotyczą, ma prawo zostać poinformowana o odpowiednich zabezpieczeniach. Ten zapis jest szczególnie istotny dla jednostek, które mają siedzibę w innych państwach Unii lub poza Unią.

Dane wrażliwe

RODO wprowadza zakaz przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

Są to dane wrażliwe, które nie powinny być gromadzone, ponieważ narusza to podstawowe prawa obywatela Unii.

Oczywiście bezwzględny zakaz gromadzenia tych danych podlega pewnym ograniczeniom. Dane wrażliwe mogą być gromadzone, gdy osoba której dotyczą wyrazi na to zgodę lub przetwarzanie takie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej. Działanie takie musi być jednak dozwolone prawem Unii lub prawem państwa członkowskiego, bądź też porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą.

Dane wrażliwe będzie można przetwarzać, w przypadkach w których jest to niezbędne do:

  • celów profilaktyki zdrowotnej lub medycyny pracy,

  • oceny zdolności pracownika do pracy,

  • diagnozy medycznej,

  • zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego,

  • leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń.

Oświadczenie o niekaralności pracownika

Inaczej niż do tej pory wyglądać będzie żądanie pracodawcy o dostarczenie przez przyszłego pracownika zaświadczenia o niekaralności. Mianowicie po 25 maja 2018 r. pracownik będzie mógł odmówić przedstawienia takiego zaświadczenia, jeśli obowiązek dostarczenia zaświadczenia nie będzie wynikać wprost z przepisów ustawy. Obecnie taki obowiązek odnajdujemy m.in. w ustawie

Prawo do poprawienia swoich danych

Należy podkreślić, że każda osoba, której dane dotyczą, ma prawo żądania od administratora czyli de facto pracodawcy niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Nie ma znaczenia czy podstawą tego żądania jest błąd administratora czy np. zmiana nazwiska danej osoby.

Prawo do bycia zapomnianym

Należy pamiętać, że administrator ma obowiązek niezwłocznego usunięcia danych osobowych, na żądanie osoby, której one dotyczą. Ponadto administrator bez zbędnej zwłoki musi usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:

  • dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane,

  • osoba, której dane dotyczą, cofnęła zgodę i nie ma innej podstawy prawnej przetwarzania,

  • osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania tych danych,

  • dane osobowe były przetwarzane niezgodnie z prawem,

  • dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator,

  • dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego.

WAŻNE: Cofniecie zgody na przetwarzanie danych nie powoduje automatycznie, że przetwarzanie danych przed tym momentem stało się nielegalne.

Środki bezpieczeństwa

Każdy administrator ma obowiązek stworzyć takie warunki, by wyeliminować możliwość naruszenia integralności bazy danych bądź dostępu do niej osób nieupoważnionych. Zapewnieniu tego obowiązku służy opracowana przez każdego pracodawcę polityka bezpieczeństwa oraz szereg działań poczynając od wyznaczenia w jednostce inspektora danych osobowych, poprzez określenie, kto i w jaki sposób może w jednostce przetwarzać dane osobowe, aż po określenie sposobu postępowania w przypadku odkrycia nielegalnego dostępu do posiadanej bazy danych.

Jedną z ważniejszych czynności mających na celu zapewnienie bezpieczeństwa przechowywanym danym jest nie tylko przeszkolenie pracowników w zakresie stosowanej polityki bezpieczeństwa w zakresie ochrony danych , a następnie pisemne upoważnienie pracowników działów księgowości do przetwarzania tych danych. Warto także zabezpieczyć samo pomieszczenie, w którym przechowywane są dane poprzez np. ewidencję wejść, pobrań kluczy itp.

WAŻNE: Chcąc zapewnić odpowiednie środki bezpieczeństwa warto też przyjrzeć się zabezpieczeniom używanych programów komputerowych, ponieważ szczególnie dziś najczęściej kradzież danych następuje poprzez sieć internetową.

Zabezpieczenie danych i ich monitorowanie jest bardzo istotne, ponieważ RODO nakłada na administratora obowiązek zgłoszenia wypadku naruszenia nie później niż w terminie 72 godzin po jego stwierdzeniu. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin należy dołączyć wyjaśnienie przyczyn opóźnienia.

Zgłoszenie o naruszeniu musi zawierać co najmniej:

  • opis charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazanie kategorii i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie,

  • imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji,

  • opis możliwych konsekwencje naruszenia ochrony danych osobowych,

  • opis środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

WAŻNE: W przypadku stwierdzenia nieuprawnionego przetwarzania, administrator ma obowiązek poinformować o tym incydencie osobę, której dane zostały naruszone.

Kary związane z niewłaściwym lub nieuprawnionym przetwarzaniem danych

Unia Europejska bardzo poważnie podchodzi do prywatności, dlatego wprowadziła wręcz horrendalne kary administracyjne za naruszenie przepisów. Maksymalna kwota  kary pieniężnej nałożonej przez organ nadzorczy to 20 000 000 EUR, a w przypadku przedsiębiorstwa – kara ta może wynieść do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Zatem w sytuacji stwierdzenia naruszeń i nałożenia kar, organ będzie badać ile wynosi 4% światowego rocznego obrotu przedsiębiorstwa i jeśli wynikająca z tego obliczenia kwota będzie niższa niż 20 mln euro, wówczas maksymalną karą, jaką będzie mógł nałożyć organ kontrolny wynosi 20 mln, W przeciwnym wypadku maksymalna karę stanowić będzie wartość obliczona jako 4% rocznego obrotu.

Ponadto osoba, której dane zostały naruszone, może wystąpić do sądu o odszkodowanie zarówno za szkodę majątkową, jak i niemajątkową.

Oczywiście obowiązek wypłaty odszkodowania będzie spoczywał na administratorze danych, chyba że będzie on w stanie udowodnić, że dopełnił wszelkich obowiązków nałożonych na niego przez przepisy.

Radosław Stępień

Adwokat, radca prawny

Podstawa prawna: art. 4 pkt 1, art. 7, art. 9, art. 10, art.16, art. 17, art. 82, art. 88 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/we (ogólne rozporządzenie o ochronie danych) Dz.Urz.UE.L 2016 Nr 119, str. 1.