Prowadzenie firmy, niezależnie od rodzaju działalności i branży, wiąże się z przetwarzaniem danych osobowych osób fizycznych: pracowników, klientów czy kontrahentów. RODO nakłada na takie podmioty obowiązki związane z właściwym zabezpieczeniem informacji dotyczących osób fizycznych oraz spełnianiem innych obowiązków (prowadzenie rejestrów, spełnianie obowiązku informacyjnego, nadanie upoważnień czy dostosowanie funkcjonowania monitoringu wizyjnego).
W swoim założeniu ogólne rozporządzenie Parlamentu Europejskiego i Rady Unii Europejskiej o ochronie danych osobowych odnosi się do danych osobowych osób fizycznych i ochrony ich praw. Tym samym, z punktu widzenia pracodawcy, RODO nakłada pewne obowiązki, z których część nie musiała być realizowana przed rokiem 2018, a przynajmniej nie istniały mechanizmy nakazujące ich stosowania. Pracodawca staje się administratorem danych osobowych (ADO) przede wszystkim w stosunku do osób zatrudnionych, ale także, w zależności od prowadzonej działalności, klientów i innych osób fizycznych, których dane osobowe przetwarza.
OBOWIĄZEK INFORMACYJNY
Każdy ADO musi przekazać osobie, której dane osobowe przetwarza informację zawierającą określoną treść. Informacja taka powinna być przekazywana w momencie pozyskiwania danych lub jeżeli jest to z jakichś przyczyn niemożliwe, przy pierwszej nadarzającej się okazji. Informacja taka powinna zawierać:
Określenie tożsamości ADO, ze wskazaniem danych kontaktowych
Określenie tożsamości inspektora ochrony danych, o ile został powołany
Cel przetwarzania
Przesłankę przetwarzania
Odbiorców danych lub ich kategorię
Okres przechowywania danych lub kryterium jego ustalenia
Prawa przysługujące osobie, której dane są przetwarzane
Informację o przekazywaniu danych do państw spoza EOG lub organizacji międzynarodowych
Informację o tym, czy podanie danych jest obowiązkowe oraz konsekwencje odmowy ich podania
Informację o tym, czy dane będą podlegały zautomatyzowanemu podejmowaniu decyzji w tym profilowaniu
REJESTR CZYNNOŚCI PRZETWARZANIA, REJESTR KATEGORII CZYNNOŚCI PRZETWARZANIA I POWIERZENIE PRZETWARZANIA
Każdy podmiot, który przetwarza dane osobowe w sposób ciągły jest zobowiązany do ujęcia tych czynności w rejestrze. Jego prowadzenie jest obligatoryjne i musi mieć formę pisemną, w tym elektroniczną. Rejestr składa się z określonych elementów, które zostały wskazane w art. 30 RODO.
Jeżeli dany podmiot realizuje czynności związane z przetwarzaniem danych osobowych na zlecenie innego, wówczas staje się podmiotem przetwarzającym, czyli procesorem. Sztandarowym przykładem takiej usługi jest prowadzenie spraw kadrowo-księgowych. Wówczas taki podmiot musi zaprowadzić rejestr kategorii czynności przetwarzania, który również został wymieniony w art. 30 RODO.
Jeżeli to my powierzamy wykonywanie czynności na danych osobowych, których jesteśmy ADO, innemu podmiotowi, wówczas należy z nim zawrzeć umowę powierzenia przetwarzania danych osobowych, w której określamy m.in.:
Zakres powierzanych danych
Kategorie osób, których dane dotyczą
Na czym powierzone przetwarzanie ma polegać (zakres wykonywanych czynności)
Sposób postępowania z danymi po zakończeniu umowy
Wymagania, które podmiot przetwarzający musi spełnić, m.in. w zakresie stosowanych przez niego zabezpieczeń
Warunki podpowierzenia
Zasady identyfikacji oraz zgłaszania zauważonych nieprawidłowości w tym podejrzenia naruszenia
Zasady na jakich mogą odbywać się działania kontrolne wobec procesora
UPOWAŻNIENIA
W praktyce operacje na danych osobowych przetwarzanych przez dany podmiot wykonywane są przez pracowników lub współpracowników. W takim przypadku każda osoba, która w imieniu ADO przetwarza dane osobowe powinna otrzymać do tego upoważnienie. Co prawda samo rozporządzenie nie precyzuje formy ani treści upoważnienia to wydaje się, że dokument taki powinien określać przede wszystkim:
Osobę, której dotyczy upoważnienie
Zakres czynności, których upoważnienie dotyczy
Czas obowiązywania upoważnienia
RODO nie nakazuje, żeby upoważnienie miało formę pisemną, jednak kwestia ta bywa regulowana w przepisach szczególnych.
MONITORING WIZYJNY
Pracodawca, który zdecyduje się na wprowadzenie środka bezpieczeństwa w postaci monitoringu wizyjnego musi dostosować jego funkcjonowanie do obowiązujących przepisów. W przypadku monitoringu przepisami tymi są przede wszystkim: RODO oraz Kodeks pracy. W świetle RODO za pośrednictwem kamer rejestrujących obraz, przetwarza się dane osobowe osób uwiecznionych na nagraniach. Wobec tego należy wobec tych osób realizować obowiązek informacyjny, zgodnie ze schematem określonym powyżej.
Kodeks pracy zaś stawia warunki, które muszą być spełnione, żeby monitoring mógł być uznany za legalnie funkcjonujący. Monitoring może być stosowany jedynie w celu zapewnienia bezpieczeństwa lub ochrony mienia lub kontroli produkcji lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę. Monitoring nie może obejmować:
pomieszczeń udostępnianych zakładowej organizacji związkowej
pomieszczeń sanitarnych
szatni
stołówek
palarni
Nagrania z monitoringu wizyjnego nie mogą być, co do zasady, przechowywane dłużej niż 3 miesiące od daty ich powstania.
Dodatkowo pracodawca jest zobowiązany do poinformowania pracowników o tym fakcie, nie później niż na 2 tygodnie przed jego uruchomieniem a cel, zakres oraz sposób stosowania musi zostać ustalony w układzie zbiorowym pracy, w regulaminie pracy lub w obwieszczeniu. Każdy nowozatrudniony pracownik musi być informowany o tych aspektach na piśmie przed dopuszczeniem go do pracy.
Na koniec należy zadbać, żeby obszar objęty monitoringiem została oznaczony w sposób widoczny i czytelny.
Jak zatem widać powyżej, RODO dla pracodawcy oznacza szereg obowiązków, które ten musi spełnić. Poza wymienionymi aspektami, pod uwagę wziąć należy również inne. Związane są one przede wszystkim ze stosowanymi środkami technicznymi i organizacyjnymi w celu ochrony danych osobowych, szkoleniami dla pracowników, przeprowadzaniem analizy ryzyka czy zaimplementowaniem polityk zawierających szczegółowo opisane procedury postępowania choćby w przypadku zaistnienia naruszeń. Tak szerokie ujęcie pozwala wyciągnąć wniosek, że rozsądnym rozwiązaniem może okazać się nawiązanie współpracy z podmiotem zewnętrznym, który bazując na swoim doświadczeniu i wiedzy będzie w stanie sprawnie wdrożyć wszystkie wymagania jakie przed pracodawcą stawiają przepisy o ochronie danych osobowych.
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. W serwisie RODOgrupa.pl piszemy o najważniejszych obowiązkach prawnych wynikających z Rozporządzenia o Ochronie Danych Osobowych.
Dodatkowe informacje: