Projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 jest już rządowym projektem ustawy, który został skierowany do sejmu. Ogólne rozporządzenie o ochronie danych z dnia 27 kwietnia 2016 r., tj. RODO pozostawiło niedookreślonymi wiele istotnych, z punktu widzenia pracodawców, kwestii związanych z przetwarzaniem danych osobowych pracowników. Czy rok 2019 przyniesie oczekiwane wyjaśnienia, czy też przyniesie kolejne niejasne obowiązki?
Podsumowanie
- Do systemu zarządzenia i przetwarzania danymi osobowymi na stałe wejdą pisemne upoważnienia do przetwarzania danych osobowych
- Dopracowany zostanie katalog danych osobowych, które mogą być przetwarzane przez pracodawców, a także zostanie wskazana poprawna forma zbierania danych osobowych.
- Ochrona praw pracowniczych, to także poprawne i skuteczne przekazanie informacji o sposobach i zasadach przetwarzania danych osobowych pracownika – czy legalnie monitorujesz aktywność swoich podwładnych?
Wzrasta świadomość ochrony danych osobowych w organizacjach
Problemem każdego pracodawcy stało się ustalenie zakresu danych osobowych, które można przetwarzać w związku z realizacją zatrudnienia. W wielu zakładach pracy od lat praktykowano kserowanie, czy też skanowanie dowodów tożsamości. Po faktycznym rozpoczęciu stosowania przepisów RODO takie praktyki zostały nazwane niedozwolonymi, ale jednocześnie nie wskazano poprawnej metody zbierania danych. Planowane zmiany Kodeksu pracy jasno wskazują, że dane od pracownika powinno zbierać się w formie oświadczeń. Z takim dookreśleniem w obrębie stosunku pracy spotkamy się także w innych istotnych z punktu widzenia pracodawcy aktach prawnych, tj. np. w ustawie odnoszącej się do zakładowych funduszy świadczeń socjalnych.
Newsletter "Alerty RODO" - nie daj się zaskoczyć!
Wątpliwości dot. danych zbieranych od kandydatów zostały rozwiane
Problemem nie tyle pracodawców, co rekruterów była kwestia nadmiernego katalogu danych osobowych otrzymywanych od kandydatów do pracy w przesyłanych życiorysach. Nowelizacja Kodeksu pracy przynosi także objaśnienie tego istotnego zagadnienia. Potwierdzono, że zgoda osoby ubiegającej się o zatrudnienie może dotyczyć także innych przekazywanych w aplikacji danych, tj. także np. wizerunku.
Sprawdź Outsourcing funkcji inspektora ochrony danych osobowych (outsourcing IOD) Grant Thornton
Upoważnienia do przetwarzania danych osobowych jako element systemu zarządzania ochroną danych osobowych
Wydaje się już pewne, że do systemu zarządzenia i przetwarzania danymi osobowymi na stałe wejdą pisemne upoważnienia do przetwarzania danych osobowych. W obecnej chwili w projekcie omawianej ustawy odnajdujemy informacje o tym, że takie upoważnienia będą odnosiły się tylko do tych procesów przetwarzania, w których pojawiają się szczególne kategorie danych osobowych. Wydaje się, że takie upoważnienie powinno odnosić się do konkretnych procesów przetwarzania i wskazywać na kategorie danych osobowych, których dotyczy (odejście od zbiorów danych na rzecz podejścia procesowego). Na wydanie prawidłowych upoważnień z całą pewnością będzie miał duży wpływ rejestr czynności przetwarzania prowadzony przez pracodawców. Sprawnie przeprowadzony audyt i sformułowany na jego podstawie rejestr, to dobry punkt wyjścia do sprawnego systemu zażądania i nadawania uprawnień.
To nie koniec wyzwań związanych z RODO
Projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 dotyka także innych istotnych kwestii z zakresu przetwarzania danych osobowych w ramach stosunku pracy, które nie zostały poruszone w Kodeksie pracy. Przykładem takich zmian są choćby wspomniane już zapisy odnoszące się do zakładowych funduszy świadczeń socjalnych. Nowe obowiązki pracodawców związane z RODO nie wynikają tylko z ww. projektu.
Kończąc należy podkreślić, że rok 2019, to także inne zmiany Kodeksu pracy, np. w odniesieniu do okresu przechowania akt osobowych, co wiąże się z wyznaczeniem retencji danych osobowych, o którym mowa w RODO (ograniczenie przechowania). Wiele zakładów pracy nadal nie poinformowało swoich pracowników o formach stosowanego monitoringu, a było to jednym z pierwszych doprecyzowań RODO w krajowym ustawodawstwie.
Jak widać ochrona danych osobowych i zarządzanie danymi osobowymi, to długotrwały proces, który wymaga od przedsiębiorców dużej elastyczności. Planowane zmiany to tak naprawdę pierwszy duży krok w stronę dostosowania polskich przepisów do RODO, a zatem należy przypuszczać, że kolejne nowości prawne będą się stale pojawiały.
