RODO: obowiązki pracodawcy

BIKA_72_28.jpg

Przetwarzanie danych osobowych jest wpisane w sferę zatrudnienia i realizacji stosunku pracy. Tym samym, tak jak pracodawca zobowiązany jest w związku z zatrudnianiem pracowników znać i stosować przepisy Kodeksu pracy, tak w zakresie przetwarzania ich danych osobowych musi znać i stosować przepisy ogólnego rozporządzenia o ochronie danych osobowych (RODO).

Wdrożenie RODO w sferze zatrudnienia powinno być częścią kompleksowego przygotowania się do stosowania go w całej organizacji. Z uwagi na temat tego artykułu poniżej ograniczymy się wyłącznie do najważniejszych obowiązków pracodawcy jako administratora danych osobowych pracowników, przyjmując, że w pozostałym zakresie zastosowanie mają zasady ogólne, dotyczące wszystkich (a nie tylko HR-owych) aspektów przetwarzania danych osobowych (np. co do przeprowadzenia analizy ryzyka).

Omawiając wpływ RODO na sferę zatrudnienia, należy pamiętać, że prezentuje ono nowe podejście do ochrony danych osobowych (tzw. podejście oparte na ryzyku). Oznacza to, że to pracodawca – jako administrator danych osobowych swoich pracowników – powinien wiedzieć, jakie dane przetwarza, w jakim celu, na jakiej podstawie, jakie ryzyka wiążą się z tym przetwarzaniem i jakie optymalne środki ochrony powinien zastosować.

1. W jakich procesach przetwarzamy dane osobowe?

Dobrze zacząć od uporządkowania naszej wiedzy o tym, w jakich procesach przetwarzamy dane osobowe pracowników, tj. w jakim celu dane te zbieramy i wykorzystujemy. Takim celem (a zatem i procesem) jest m.in.: rekrutacja, prowadzenie dokumentacji pracowniczej (w tym akt osobowych i ewidencji czasu pracy), rozliczanie wynagrodzeń czy dochodzenie roszczeń od pracowników.

Określenie procesów przetwarzania danych pozwoli nam także zrealizować jeden z nałożonych na administratorów obowiązków, tj. konieczność prowadzenia rejestru czynności przetwarzania danych, który powinien obejmować także procesy przetwarzania danych osobowych w sferze HR.

2. Jakie dane przetwarzamy?

RODO wskazuje na dwie kategorie danych: dane zwykłe (np. imię, nazwisko, adres zamieszkania) oraz szczególne kategorie danych, do których zaliczamy m.in. informacje o stanie zdrowia, orientacji seksualnej czy przekonaniach religijnych oraz dotyczące wyroków skazujących i czynów zabronionych.

Właściciel apteki w sferze HR będzie przetwarzał obie kategorie – dane zwykłe oraz dane szczególne, w tym przede wszystkim dane o stanie zdrowia w związku z wymaganymi badaniami lekarskimi pracowników, zwolnieniami, wypadkami przy pracy, orzeczeniami o niepełnosprawności itp. oraz ewentualnie dane o przynależności związkowej, jeśli dana apteka jest objęta działaniem organizacji związkowej lub dane biometryczne (jeśli pracodawca stosuje system kontroli dostępu oparty na odcisku linii papilarnych pracowników, co ma zostać dopuszczone w projektowanej zmianie do Kodeksu pracy).

3. Na jakiej podstawie prawnej odbywa się to przetwarzanie?

RODO przewiduje sześć rodzajów podstaw, które uprawniają do przetwarzania danych osobowych, tj.:

  • zgoda osoby, której dane przetwarzamy,
  • niezbędność przetwarzania do wykonania lub zawarcia umowy z osobą, której dane dotyczą,
  • konieczność wypełnienia obowiązku prawnego przez administratora,
  • ochrona żywotnych interesów osoby, której dane dotyczą,
  • wykonanie zadania realizowanego w interesie publicznym,
  • realizacja prawnie uzasadnionego interesu administratora (chyba że osoba, której dane dotyczą, wyrazi sprzeciw uzasadniony nadrzędnością swoich interesów, praw i wolności).

Każda z ww. podstaw prawnych umożliwia zgodne z prawem przetwarzanie danych osobowych, jest równoważna i „samowystarczalna”.

Najczęstszą podstawą dla przetwarzania danych pracowników jest konieczność zrealizowania przez pracodawcę obowiązku nałożonego na niego określonym przepisem Kodeksu pracy (np. konieczność prowadzenia rejestru wypadków przy pracy), zatem nie jest konieczne, żeby pracownik dodatkowo wyrażał zgodę na takie przetwarzanie (tj. na ujęcie jego wypadku w takim rejestrze). Uzyskiwanie takiej „nadprogramowej” zgody jest wręcz niewskazane.

Jeśli jednak przetwarzamy dane osobowe na podstawie zgody pracownika lub kandydata do pracy, to – w związku z RODO – należy zweryfikować je pod kątem tego, czy spełniają one warunki swojej ważności. Co ciekawe, przed RODO Kodeks pracy nie przewidywał takiej zgody (a w praktyce była ona kwestionowana), jednak projektowane zmiany w Kodeksie pracy mają te wątpliwości rozwiać i wprost wskazywać, że taka zgoda jest dopuszczalna i może być stosowana przy zachowaniu wskazanych w projekcie warunków.

Dostęp możliwy dla zalogowanych użytkowników serwisu. Jeśli posiadasz aktywną prenumeratę przejdź do LOGOWANIA. Jeśli nie jesteś jeszcze naszym Czytelnikiem wybierz najkorzystniejszy WARIANT PRENUMERATY.

Zaloguj Zamów prenumeratę
Drukuj

Zobacz również

Polecamy

Archiwum