top of page

Ochrona danych osobowych - obowiązki pracodawcy


Oddawanie telefonu lub komputera do naprawy -  zasady bezpieczeństwa danych

Prowadzenie firmy, niezależnie od rodzaju działalności i branży, wiąże się z przetwarzaniem danych osobowych osób fizycznych: pracowników, klientów czy kontrahentów. RODO nakłada na takie podmioty obowiązki związane z właściwym zabezpieczeniem informacji dotyczących osób fizycznych oraz spełnianiem innych obowiązków (prowadzenie rejestrów, spełnianie obowiązku informacyjnego, nadanie upoważnień czy dostosowanie funkcjonowania monitoringu wizyjnego).

W swoim założeniu ogólne rozporządzenie Parlamentu Europejskiego i Rady Unii Europejskiej o ochronie danych osobowych odnosi się do danych osobowych osób fizycznych i ochrony ich praw. Tym samym, z punktu widzenia pracodawcy, RODO nakłada pewne obowiązki, z których część nie musiała być realizowana przed rokiem 2018, a przynajmniej nie istniały mechanizmy nakazujące ich stosowania. Pracodawca staje się administratorem danych osobowych (ADO) przede wszystkim w stosunku do osób zatrudnionych, ale także, w zależności od prowadzonej działalności, klientów i innych osób fizycznych, których dane osobowe przetwarza.


OBOWIĄZEK INFORMACYJNY

Każdy ADO musi przekazać osobie, której dane osobowe przetwarza informację zawierającą określoną treść. Informacja taka powinna być przekazywana w momencie pozyskiwania danych lub jeżeli jest to z jakichś przyczyn niemożliwe, przy pierwszej nadarzającej się okazji. Informacja taka powinna zawierać:

  1. Określenie tożsamości ADO, ze wskazaniem danych kontaktowych

  2. Określenie tożsamości inspektora ochrony danych, o ile został powołany

  3. Cel przetwarzania

  4. Przesłankę przetwarzania

  5. Odbiorców danych lub ich kategorię

  6. Okres przechowywania danych lub kryterium jego ustalenia

  7. Prawa przysługujące osobie, której dane są przetwarzane

  8. Informację o przekazywaniu danych do państw spoza EOG lub organizacji międzynarodowych

  9. Informację o tym, czy podanie danych jest obowiązkowe oraz konsekwencje odmowy ich podania

  10. Informację o tym, czy dane będą podlegały zautomatyzowanemu podejmowaniu decyzji w tym profilowaniu


REJESTR CZYNNOŚCI PRZETWARZANIA, REJESTR KATEGORII CZYNNOŚCI PRZETWARZANIA I POWIERZENIE PRZETWARZANIA

Każdy podmiot, który przetwarza dane osobowe w sposób ciągły jest zobowiązany do ujęcia tych czynności w rejestrze. Jego prowadzenie jest obligatoryjne i musi mieć formę pisemną, w tym elektroniczną. Rejestr składa się z określonych elementów, które zostały wskazane w art. 30 RODO.

Jeżeli dany podmiot realizuje czynności związane z przetwarzaniem danych osobowych na zlecenie innego, wówczas staje się podmiotem przetwarzającym, czyli procesorem. Sztandarowym przykładem takiej usługi jest prowadzenie spraw kadrowo-księgowych. Wówczas taki podmiot musi zaprowadzić rejestr kategorii czynności przetwarzania, który również został wymieniony w art. 30 RODO.

Jeżeli to my powierzamy wykonywanie czynności na danych osobowych, których jesteśmy ADO, innemu podmiotowi, wówczas należy z nim zawrzeć umowę powierzenia przetwarzania danych osobowych, w której określamy m.in.:

  1. Zakres powierzanych danych

  2. Kategorie osób, których dane dotyczą

  3. Na czym powierzone przetwarzanie ma polegać (zakres wykonywanych czynności)

  4. Sposób postępowania z danymi po zakończeniu umowy

  5. Wymagania, które podmiot przetwarzający musi spełnić, m.in. w zakresie stosowanych przez niego zabezpieczeń

  6. Warunki podpowierzenia

  7. Zasady identyfikacji oraz zgłaszania zauważonych nieprawidłowości w tym podejrzenia naruszenia

  8. Zasady na jakich mogą odbywać się działania kontrolne wobec procesora


UPOWAŻNIENIA


W praktyce operacje na danych osobowych przetwarzanych przez dany podmiot wykonywane są przez pracowników lub współpracowników. W takim przypadku każda osoba, która w imieniu ADO przetwarza dane osobowe powinna otrzymać do tego upoważnienie. Co prawda samo rozporządzenie nie precyzuje formy ani treści upoważnienia to wydaje się, że dokument taki powinien określać przede wszystkim:

  1. Osobę, której dotyczy upoważnienie

  2. Zakres czynności, których upoważnienie dotyczy

  3. Czas obowiązywania upoważnienia

RODO nie nakazuje, żeby upoważnienie miało formę pisemną, jednak kwestia ta bywa regulowana w przepisach szczególnych.


MONITORING WIZYJNY


Pracodawca, który zdecyduje się na wprowadzenie środka bezpieczeństwa w postaci monitoringu wizyjnego musi dostosować jego funkcjonowanie do obowiązujących przepisów. W przypadku monitoringu przepisami tymi są przede wszystkim: RODO oraz Kodeks pracy. W świetle RODO za pośrednictwem kamer rejestrujących obraz, przetwarza się dane osobowe osób uwiecznionych na nagraniach. Wobec tego należy wobec tych osób realizować obowiązek informacyjny, zgodnie ze schematem określonym powyżej.

Kodeks pracy zaś stawia warunki, które muszą być spełnione, żeby monitoring mógł być uznany za legalnie funkcjonujący. Monitoring może być stosowany jedynie w celu zapewnienia bezpieczeństwa lub ochrony mienia lub kontroli produkcji lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę. Monitoring nie może obejmować:

  • pomieszczeń udostępnianych zakładowej organizacji związkowej

  • pomieszczeń sanitarnych

  • szatni

  • stołówek

  • palarni

Nagrania z monitoringu wizyjnego nie mogą być, co do zasady, przechowywane dłużej niż 3 miesiące od daty ich powstania.

Dodatkowo pracodawca jest zobowiązany do poinformowania pracowników o tym fakcie, nie później niż na 2 tygodnie przed jego uruchomieniem a cel, zakres oraz sposób stosowania musi zostać ustalony w układzie zbiorowym pracy, w regulaminie pracy lub w obwieszczeniu. Każdy nowozatrudniony pracownik musi być informowany o tych aspektach na piśmie przed dopuszczeniem go do pracy.

Na koniec należy zadbać, żeby obszar objęty monitoringiem została oznaczony w sposób widoczny i czytelny.


Jak zatem widać powyżej, RODO dla pracodawcy oznacza szereg obowiązków, które ten musi spełnić. Poza wymienionymi aspektami, pod uwagę wziąć należy również inne. Związane są one przede wszystkim ze stosowanymi środkami technicznymi i organizacyjnymi w celu ochrony danych osobowych, szkoleniami dla pracowników, przeprowadzaniem analizy ryzyka czy zaimplementowaniem polityk zawierających szczegółowo opisane procedury postępowania choćby w przypadku zaistnienia naruszeń. Tak szerokie ujęcie pozwala wyciągnąć wniosek, że rozsądnym rozwiązaniem może okazać się nawiązanie współpracy z podmiotem zewnętrznym, który bazując na swoim doświadczeniu i wiedzy będzie w stanie sprawnie wdrożyć wszystkie wymagania jakie przed pracodawcą stawiają przepisy o ochronie danych osobowych.





Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. W serwisie RODOgrupa.pl piszemy o najważniejszych obowiązkach prawnych wynikających z Rozporządzenia o Ochronie Danych Osobowych.



Dodatkowe informacje:

bottom of page