Kategorie

Jak przygotować się do RODO 2018 - nowe obowiązki pracodawców

Donata Hermann-Marciniak
Specjalistka z zakresu Prawa Pracy. Absolwentka Studiów Podyplomowych Kadry i Płace na Wydziale Prawa i Administracji Uniwersytetu Łódzkiego.
Jak przygotować się do RODO 2018 - nowe obowiązki pracodawców/fot. Shutterstock
Jak przygotować się do RODO 2018 - nowe obowiązki pracodawców/fot. Shutterstock
fot.Shutterstock
RODO to temat, którym żyje nie tylko cała Polska ale także Unia Europejska. RODO to unijne rozporządzenie o ochronie danych osobowych, które zacznie obowiązywać od 25 maja 2018 r. Nowe przepisy oznaczają nowe obowiązki dla pracodawców. Jak w takim razie przygotować się do RODO?

Skąd wziął się taki szum wokół RODO? Wszystko dlatego, że kary za nieprzestrzeganie RODO są bardzo wysokie, a choć informacji na temat tego jak się do niego przygotować jest w Internecie mnóstwo, to brakuje jednak konkretów. Firmy szkoleniowe zbierają zatem żniwa, bo z lęku przed RODO, każdy chce choć trochę „liznąć” ten temat i uchronić się przed ewentualnymi negatywnymi konsekwencjami niewiedzy.

Po przeczytaniu całego rozporządzenia mogę stwierdzić jedno, strach ma wielkie oczy. Oczywiście, nie twierdzę, że przed nami mało pracy, kilka rzeczy niewątpliwie się zmieni, ale nie taki diabeł straszny.

Organ nadzorczy w postaci Urzędu Ochrony Danych w Polsce, który zastąpi dotychczasowe GIODO, ma za zadanie egzekwować realizowanie założeń RODO. Każdy kto do tej pory na poważnie traktował przepisy ustawy o ochronie danych osobowych nie powinien się jednak obawiać nadchodzących zmian czy ewentualnych kontroli ze strony Urzędu.

NOWOŚĆ na Infor.pl: Prenumerata elektroniczna Dziennika Gazety Prawnej KUP TERAZ!

Reklama

Czy Polacy na poważnie traktowali zapisy ustawy o ochronie danych osobowych? Śmiem twierdzić, że nie do końca. Chociaż ustawa obowiązuje od 1997 zdarzają się jeszcze pracodawcy dopiero teraz uzupełniający teczki akt osobowych o upoważnienia do przetwarzania danych osobowych.

Podstawowa zmiana ma właśnie na celu ułatwienie życia przedsiębiorcom, w skrócie ma być mniej dokumentacji, a więcej konkretnego działania. Nasuwa się pytanie na czym mają polegać te działania?

Reklama

Przepisy rozporządzenia nie odpowiadają wprost. Wprawdzie wskazują na istotne elementy ochrony danych osobowych ale nie „mówią” zrób to czy tamto, stąd tak wiele ofert szkoleniowych czy propozycji audytu pod kątem RODO, czy też ochrony danych osobowych w ogóle. I dobrze! Biznes się kręci, pracodawcy słuchają jak ważna jest ochrona danych osobowych ale często niestety wracają do normalnej codzienności zapominając, że faktycznie trzeba będzie zmienić myślenie o ochronie danych osobowych.

Zapominamy o regularnej zmianie haseł, nie wiemy czym jest polityka czystego biurka, nie blokujemy komputera w momencie odejścia od monitora, nie chowamy dokumentacji w odpowiednio przystosowane do tego miejsce, często nawet nie bardzo się orientujemy jakiego rodzaju zbiory danych osobowych w firmie przetwarzamy! Nie mówiąc już o ograniczonym dostępie pracowników czy współpracowników do dokumentacji pracowniczej, czy wszelkiej dokumentacji, która zawiera dane osobowe, zastosowaniu odpowiednich środków ochrony nie tylko fizycznej, czyli zamykanych szaf, ale także ochrony systemów internetowych, w których przechowujemy ogromną liczbę danych osobowych pracowników.

Jak w takim razie przygotować się do RODO?

Nie będzie to nic odkrywczego jeśli powiem, że nie ma jednego, złotego środka, czy jednego rozwiązania, które pozwoli pracodawcom wdrożyć odpowiednie zastosowania a następnie przestać przejmować się ochroną danych osobowych. Można jednak przygotować się do tematu najlepiej, jak to możliwe.

Jako pierwszy krok w tym kierunku polecam przygotować Politykę Bezpieczeństwa, czyli dokument który ułatwi nie tylko pracodawcy, ale i zatrudnionym pracownikom zrozumieć m.in. jakie procesy zachodzą w danym zakładzie pracy, jakie istnieją zbiory danych osobowych oraz w jakich miejscach dochodzi do przetwarzania danych.

Zgodnie z art. 12 rozporządzenia, Administrator, czyli w naszym przypadku pracodawca, jest zobowiązany podejmować wszelkie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i przejrzystym językiem udzielać wszelkich informacji dotyczących zbierania danych osobowych osobom, których te dane dotyczą. Osobiście uważam, że wywiązanie się z tego obowiązku może odbyć się poprzez przygotowanie odpowiednich dokumentów informacyjnych.

Dodatkowo w przypadku pracodawców zatrudniających 250 lub więcej pracowników konieczne jest przygotowanie rejestru czynności przetwarzania. W rejestrze tym zamieszcza się takie informacje jak: imię i nazwisko administratora oraz dane kontaktowe, a gdy ma to zastosowanie również przedstawiciela administratora oraz inspektora ochrony danych, cele przetwarzania, opis kategorii osób, których dane dotyczą, kategorie odbiorców itd.

Cel przetwarzania: zatrudnienie pracownika
Opis kategorii osób: pracownicy
Kategorie danych osobowych: imię i nazwisko, dane adresowe, data urodzenia, numer PESEL, itd., itd.

W kontekście zatrudniania pracowników, RODO - podobnie jak w przypadku funkcjonującej ustawy o ochronie danych osobowych - pozwala nam pracodawcom, jako Administratorom na przetwarzanie danych osobowych w przypadku konieczności wypełnienia obowiązku prawnego, jakim jest zgodne z przepisami zatrudnienie pracownika poprzez zebranie jego danych, w celu właściwego zgłoszenia do ZUS, przygotowania dokumentacji pracowniczej, takiej jak umowa o pracę i innych dokumentów związanych z zatrudnieniem.

Warto jednak mieć na uwadze art. 7 rozporządzenia, który określa warunki wyrażenia zgody na przetwarzanie danych osobowych. Jeżeli przetwarzanie odbywa się na podstawie zgody, Administrator musi być w stanie wskazać, ze osoba której dane dotyczą, wyraziła zgodę na przetwarzanie danych osobowych – to jest ważna informacja w kontekście pozyskiwania przez pracodawców życiorysów potencjalnych kandydatów do pracy.

Polityka Bezpieczeństwa i rejestr czynności przetwarzania to nie wszystko. Niemniej ważna jest instrukcja zarządzania systemami informatycznymi. Co to takiego? Stosownie do postanowień § 3 i § 5 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, należy ustalić treść Instrukcji zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych. Taki obowiązek ciąży na Administratorze do 25 maja 2018, nie mniej jednak uważam, że warto taką instrukcję posiadać, a w niej opisać wszystkie procesy związane z systemem informatycznym, systemem operacyjnym, komputerami, nośnikami danych osobowych.

Po ludzku mówiąc, chodzi o to, aby regularnie zmieniać hasło w komputerze, dbać aby hasła były skomplikowane i trudne do rozszyfrowania, aby przesyłane pliki zawierające dane osobowe były hasłowane, a hasło było przesyłane drugiej stronie inną drogą komunikacji. Używanie niepowtarzalnych, indywidualnych danych logowania, zabezpieczenie systemów odpowiednimi programami antywirusowymi, stosowanie certyfikatów SSL i wiele innych metod sprzyja zabezpieczeniu administrowanych przez siebie danych.

Warto zwrócić uwagę na stosowanie odpowiednich środków ochrony danych, czyli oprócz tego o czym już wspominałam dodatkowo np. poprzez stosowanie wygaszaczy na ekranie, przechowywanie kopii na innym serwerze niż dane, oraz nie na komputerze, który wykorzystywany jest do przetwarzania danych na co dzień.

Kolejną kwestią, na którą wskazuje RODO jest ocena skutków dla ochrony danych, czyli jeżeli dany rodzaj przetwarzania, w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Administrator jest zobowiązany dokonać oceny skutków planowanych operacji przetwarzania danych osobowych. Mało tego, Administrator konsultuje się z inspektorem ochrony danych, jeżeli został on wyznaczony.

Kiedy konieczne jest wyznaczenie inspektora ochrony danych?  Zgodnie z art. 37 rozporządzenia, konieczne jest to zawsze gdy:

- przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,

- główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę, lub

- główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Czy to wszystko? Pozostaje jeszcze kwestia wykazu powierzeń, np. jeśli pracodawca współpracuje z biurem rachunkowym, któremu przekazuje dane osobowe zatrudnionych pracowników.

Najważniejsze jest usystematyzowanie sobie tej wiedzy i przygotowanie w minimalnym zakresie podstawowej dokumentacji, aby wiedzieć w jaki sposób faktycznie ochronić dane osobowe zatrudnionych pracowników.

Poszerzaj swoją wiedzę, korzystając z naszego programu
INFORLEX Książki dla Firm
INFORLEX Książki dla Firm
Tylko teraz
598,00 zł
798,00
Przejdź do sklepu
Źródło: INFOR
Czy ten artykuł był przydatny?
tak
nie
Dziękujemy za powiadomienie
Jeśli nie znalazłeś odpowiedzi na swoje pytania w tym artykule, powiedz jak możemy to poprawić.
UWAGA: Ten formularz nie służy wysyłaniu zgłoszeń . Wykorzystamy go aby poprawić artykuł.
Jeśli masz dodatkowe pytania prosimy o kontakt

Komentarze(0)

Uwaga, Twój komentarz może pojawić się z opóźnieniem do 10 minut. Zanim dodasz komentarz -zapoznaj się z zasadami komentowania artykułów.
    QR Code

    © Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

    Kadry
    Zapisz się na newsletter
    Zobacz przykładowy newsletter
    Zapisz się
    Wpisz poprawny e-mail

    Kalkulator wynagrodzeń Polski Ład - zlecenie 2022

    Kalkulator wynagrodzeń od umów zlecenie w 2022 r. - jak Polski Ład wpłynie na wysokość wynagrodzenia netto przy zleceniu?

    IOSKU: ile masz na koncie w ZUS?

    IOSKU czyli informacja o tym, ile masz na koncie w ZUS. Jak sprawdzić? Ile wyniesie przyszła emerytura?

    Polski Ład - kalkulator wynagrodzeń, umowa o pracę

    Polski Ład - kalkulator wynagrodzeń pozwala obliczyć dla umowy o pracę wysokość pensji netto, zaliczki na podatek dochodowy oraz składki na ubezpieczenie społeczne w 2022 r.

    Lista obecności a ewidencja czasu pracy – różnice

    Lista obecności pracowników - czy jest obowiązkowa? Czy zastępuje ewidencję czasu pracy? Jakie informacje można zamieścić w tych dokumentach kadrowych? Czy można prowadzić je w elektroniczny sposób? Wyjaśniamy w artykule.

    Pracodawca dyskryminuje pracownika - co można zrobić?

    Dyskryminacja w pracy - kiedy można mówić o nierównym traktowaniu pracowników? Co można zrobić, kiedy pracodawca dyskryminuje pracownika?

    Wpłaty do PPK także od wynagrodzenia po ustaniu zatrudnienia

    Wpłaty do PPK nalicza się także od wynagrodzenia wypłaconego uczestnikowi PPK po ustaniu zatrudnienia. Czy nalicza się je od nagrody stanowiącej podstawę wymiaru składek na ubezpieczenia emerytalne i rentowe? Jeśli tak, to w jakiej wysokości procentowej?

    Ile wynosi najniższa krajowa?

    Najniższa krajowa w 2021 i 2022 r. - ile wynosi brutto i netto? Jaka jest stawka godzinowa? Oto kalkulator wynagrodzeń.

    Praca zdalna w Kodeksie pracy - zmiany w projekcie

    Praca zdalna w Kodeksie pracy - jest nowa wersja projektu nowelizacji. Co się zmieni?

    Rejestracja w urzędzie pracy a umowa zlecenie, dzieło, działalność

    Rejestracja w urzędzie pracy - czy bezrobotny może wykonywać pracę na podstawie umowy zlecenia, umowy o dzieło lub prowadzić działalność nierejestrowaną?

    Prezeska, prawniczka, psycholożka - kobiety o feminatywach

    Feminatywy - jakim językiem pisane są oferty pracy? Jak kobiety oceniają żeńskie nazwy stanowisk, np. prezeska, prawniczka, psycholożka? Oto wyniki badania.

    Zezwolenie na pracę sezonową dla cudzoziemca - jak uzyskać [PORADNIK]

    Zezwolenie na pracę sezonową dla cudzoziemca. Od 1 stycznia 2018 roku obowiązują nowe regulacje prawne dotyczące cudzoziemców świadczących prace sezonową. O zezwolenie typu S, czyli na pracę sezonową, mogą ubiegać się pracodawcy, którzy planują zatrudnić obcokrajowców do pracy w rolnictwie, ogrodnictwie lub turystyce.

    Błędy w umowie o pracę - jak je poprawić?

    Błędy w umowie o pracę w zakresie wynagrodzenia i innych świadczeń - jak je poprawić?

    Pracodawcy nie chcą pracy zdalnej [BADANIE]

    Praca zdalna nie jest dla pracodawców najlepszym rozwiązaniem. Prawie wszyscy chcą powrotu do biur. Wprowadzą elastyczne godziny rozpoczęcia i zakończenia pracy.

    Udzielanie zaległego urlopu wypoczynkowego - ustawa o covid-19

    Zaległy urlop wypoczynkowy - jak udzielić zgodnie z ustawą o COVID-19?

    Urząd pracy pomoże zmienić pracę

    Urząd pracy pomoże zmienić pracę i kwalifikacje pracownika. Obecnie skupia się na zatrudnianiu bezrobotnych. Rząd chce rozszerzyć jego kompetencje.

    Utrata pracy i finanse - obawy pracowników

    Utrata pracy i finanse to główne zmartwienia polskich pracowników. Ratują ich jednak deficyty kadrowe.

    Ukąszenie kleszcza a wypadek przy pracy - obowiązki pracodawcy

    Ukąszenie kleszcza - czy to może być wypadek przy pracy? Czy pracodawca zatrudniający pracowników do pracy na świeżym powietrzu ma obowiązek zabezpieczenia ich przed kleszczami?

    Sygnalista w firmie od 17 grudnia 2021 r. - co z ustawą?

    Sygnalista w firmie musi być wdrożony od 17 grudnia 2021 r. Polska musi implementować przepisy unijne do 16 grudnia tego roku. Co z ustawą o sygnalistach?

    Urlop wypoczynkowy - kalkulator

    Urlop wypoczynkowy - kalkulator wymiaru urlopu wypoczynkowego pozwala wyliczyć, ile dni urlopu przysługuje pracownikowi.

    Piloci wycieczek i przewodnicy turystyczni - zwolnienie z ZUS

    Piloci wycieczek i przewodnicy turystyczni mogą składać wnioski o zwolnienie z ZUS za lipiec, sierpień i wrzesień 2020 r. Do kiedy? Jakie warunki należy spełnić?

    Sklepiki szkolne - Tarcza Antykryzysowa

    Sklepiki szkolne - Tarcza Antykryzysowa przyznaje postojowe i zwolnienie z ZUS. Jakie kody PKD? Jakie warunki należy spełnić? Do kiedy złożyć wniosek?

    Sklepiki szkolne, piloci wycieczek i przewodnicy - wsparcie z ZUS

    Sklepiki szkolne, piloci wycieczek i przewodnicy - wsparcie z ZUS otrzymują wsparcie z ZUS. Mogą liczyć na postojowe i zwolnienie z opłacania składek. Do kiedy można składać wnioski?

    Minimalna płaca w 2022 r. brutto netto

    Minimalna płaca w 2022 r. wyniesie 3000 zł brutto. Ile to netto?

    Emerytura brutto netto - kalkulator

    Emerytura brutto - ile to netto? Kalkulator emerytalny pozwala ustalić wysokość emerytury. Oblicz.

    Ochrona przedemerytalna - ile lat?

    Ochrona przedemerytalna - ile lat trwa ochrona przed zwolnieniem? Od ilu lat pracownika zaczyna obowiązywać pracodawcę?