25 maja 2018 roku we wszystkich krajach Unii Europejskiej wchodzi w życie unijne rozporządzenie dotyczące ochrony danych osobowych – RODO.
Na temat RODO powstała niezliczona liczba artykułów, mnóstwo wypowiedzi specjalistów i analiz przedstawianych przez prawników. Dają one jasno do zrozumienia, że przed każdym przedsiębiorstwem, które ma do czynienia z danymi osobowymi stoi konieczność dokonania bardzo poważnych zmian w procedurach, a za niedopełnienie formalności lub niepostrzeganie nowych przepisów grożą bardzo poważne kary finansowe.
Atmosfera przypomina trochę tę, która miała miejsce w ostatnich tygodniach 1999 roku w związku z mającą nadejść pluskwą milenijną – przedsiębiorcy zadawali sobie pytanie, czy są dobrze przygotowani i czy uda im się uniknąć skutków nadchodzącej katastrofy.
Czy rzeczywiście jest się czego bać?
Nasza odpowiedź brzmi: nie. Jest jednak warunek – do RODO trzeba się właściwie przygotować.
Przejrzeliśmy, jakie wymagania nakłada RODO na przedsiębiorstwa w kontekście przetwarzania danych osobowych dotyczących ich pracowników. Poniżej znajdziesz podsumowanie naszego przeglądu.
Przedsiębiorstwo, które zatrudnia pracowników przetwarza ich dane osobowe i w rozumieniu RODO jest administratorem przetwarzania tych danych.
RODO formułuje podstawowe zasady przetwarzania danych. Są one następujące:
- przetwarzanie danych powinno odbywać się w sposób zgodny z prawem, rzetelny i przejrzysty dla osób, których dotyczą
- dane powinny być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach
- dane powinny być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane
- dane powinny być prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane
- dane powinny być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane
- dane powinny być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych
Administrator jest odpowiedzialny za przestrzeganie powyższych zasad i musi być w stanie wykazać ich przestrzeganie.
RODO uznaje, że przetwarzanie danych osobowych jest zgodne z prawem, jeśli spełniony jest przynajmniej jeden z listy podanych w rozporządzeniu warunków. W przypadku przetwarzania danych osobowych w związku z zatrudnieniem, warunkiem wystarczającym jest ten, który mówi, że przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą.
Co do zasady RODO zabrania przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.
Od powyższego punktu jest jednak wyjątek, który ma zastosowanie w przypadku przetwarzania danych w związku z zatrudnieniem. Dotyczy sytuacji, jeśli przetwarzania jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej.
Z rozporządzenia wynika, że w przypadku zatrudnienia, osoba, której dane dotyczą jest uprawniona do uzyskania od administratora dostępu do informacji na temat kategorii jego danych osobowych oraz informacji o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu.
Osoba, której dane dotyczą, ma także prawo żądania od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Z uwzględnieniem celów przetwarzania, osoba, której dane dotyczą, ma prawo żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia.
Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe. Jednak w przypadku przetwarzania danych w związku z zatrudnieniem, w praktyce skorzystanie z tego prawa może mieć miejsce w momencie rozwiązania umowy z pracownikiem.
Osoba, której dane dotyczą, ma prawo żądania od administratora ograniczenia przetwarzania, jednak w przypadku przetwarzania danych osobowych w związku z zatrudnieniem, prawo to nie ma praktycznego zastosowania.
Zgodnie z rozporządzeniem administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń. RODO nie definiuje jednak, które z zabezpieczeń są obligatoryjne.
RODO mówi także, że administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności.
RODO dopuszcza, aby przetwarzanie danych odbywało się na zlecenie administratora, przez zewnętrzny podmiot, określany jako podmiot przetwarzający. Administrator może jednak korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia i chroniło prawa osób, których dane dotyczą.
Przetwarzanie przez podmiot przetwarzający musi odbywać się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora.
Jeśli administrator zatrudnia więcej niż 250 osób ma obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych, za które odpowiada.
RODO nakłada na administrator i / lub podmiot przetwarzający obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, w tym między innymi:
- pseudonimizację i szyfrowanie danych osobowych;
- zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
- zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
- regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je właściwemu organowi nadzorczemu.
Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.
Według RODO, jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.
Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę. Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym rozporządzenie.
Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które niniejsze rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom.
Za naruszenie przepisów przez administratora i / lub podmiot przetwarzający może być nałożona administracyjna kara pieniężna w wysokości do 10 mln euro lub 2 % całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego.
RODO dopuszcza, aby państwa członkowskie zawierały w swoich przepisach lub w porozumieniach zbiorowych bardziej szczegółowe przepisy mające zapewnić ochronę praw i wolności w przypadku przetwarzania danych osobowych pracowników w związku z zatrudnieniem, w szczególności do celów rekrutacji, wykonania umowy o pracę, w tym wykonania obowiązków określonych przepisami lub porozumieniami zbiorowymi, zarządzania, planowania i organizacji pracy, równości i różnorodności w miejscu pracy, bezpieczeństwa i higieny pracy, ochrony własności pracodawcy lub klienta oraz do celów indywidualnego lub zbiorowego wykonywania praw i korzystania ze świadczeń związanych z zatrudnieniem, a także do celów zakończenia stosunku pracy.