Dołącz do czytelników
Brak wyników

Prawo pracy w praktyce , Otwarty dostęp

16 grudnia 2017

NR 1 (Listopad 2017)

Czym RODO może zaskoczyć HR

0 183

Hasło RODO od kilku miesięcy pojawia się w mediach niemalże codziennie. Dużo mówi się o karach finansowych, jakie przewiduje (nawet do 20 mln euro lub 4% rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego), często o wymogach, które przyjdzie zrealizować przedsiębiorcom, ale brakuje dokładnych informacji, kto i co konkretnie powinien wiedzieć i jak się przygotować w kontekście nadchodzących zmian. Wiele pytań w tym zakresie zadają również przedstawiciele obszaru HR. I słusznie, bo wymagania RODO w dużej mierze odnoszą się do danych kadrowych.

Z artykułu dowiesz się:

  • Jakie istotne zmiany z punktu widzenia działu HR wprowadza RODO?
  • Jakie nowe obowiązki zostaną nałożone na dział HR po wdrożeniu RODO (analiza przykładów)?
  • Jak już dzisiaj przygotować organizację do nowych zadań?

 

RODO, czyli rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, będzie stosowane od 25 maja 2018 r.

Oznacza to, że od tego dnia każdy pracodawca przetwarzający dane osobowe będzie mógł być kontrolowany pod kątem spełnienia nowych wymagań, a każdej osobie fizycznej (kandydatowi do pracy, pracownikowi, osobom korzystającym z zakładowego funduszu świadczeń socjalnych itp.) będzie przysługiwał szeroki zakres uprawnień. Jednocześnie charakter przetwarzanych danych osobowych w obszarze kadrowym powoduje, że w niektórych przypadkach wybrane wymagania RODO nie będą musiały być spełniane. Przepisy RODO zastąpią aktualnie obowiązującą ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych i będą miały bezpośrednie zastosowanie. Warto więc wiedzieć, jak mogą one wpłynąć na obszar HR.

Wdrażanie RODO – na co zwrócić uwagę?

Po pierwsze – ustal stan wyjściowy. Jeśli chcemy mieć pewność, że nasza organizacja przetwarza dane kadrowe zgodnie z wymaganiami RODO, ustalmy, z jakimi (czyimi) konkretnie danymi mamy do czynienia, w jakim celu je przetwarzamy, za pomocą jakich systemów i na jakiej podstawie prawnej. Wbrew pozorom w obszarze HR, który przecież jest wyjątkowo mocno „uregulowany” pod kątem prawa (np. przepisów prawa pracy), nadal pojawia się dużo problemów ze zbieraniem danych osobowych w zakresie, na jaki aktualne przepisy prawa nie pozwalają, albo też na niewłaściwych podstawach prawnych.

Przykład

Zastanów się, na jakiej podstawie prawnej zbierane są przez pracodawcę dane osób zatrudnianych, np. w ramach kwestionariuszy osobowych – jeżeli we wzorze kwestionariusza widnieje klauzula zgody na przetwarzanie danych osobowych w celach zatrudnienia, to znaczy, że organizacja nie rozumie, iż te dane zbierane są na podstawie przepisów prawa pracy, konkretnie rozporządzenia Ministra Pracy i Polityki Socjalnej z dnia 28 maja 1996 r.w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika. I tak przy okazji – od razu zweryfikuj, czy stosujesz aktualne wzory kwestionariusza osoby zatrudnianej lub ubiegającej się o pracę. Załączniki do rozporządzenia zawierają aktualne wzory tych dokumentów. Aktualne, ponieważ były wielokrotnie nowelizowane i za każdym razem zmniejszał się zakres danych osobowych, jakie za ich pośrednictwem może zbierać pracodawca. Aktualną treść rozporządzenia znajdziesz pod adresem: http://prawo.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20170000894

 

Po drugie – ustal, z jakimi zbiorami danych masz do czynienia. Zbiory danych to zestawienia danych osobowych przetwarzane w określonym celu, zakresie i na określonej podstawie prawnej. Zazwyczaj dane w konkretnych zbiorach przetwarzane są w formie zarówno papierowej, jak i elektronicznej (za pomocą systemów informatycznych). Zbiory danych to podstawowe „aktywa”, które podlegają ochronie prawnej na gruncie RODO. Musisz więc wiedzieć, „co” chronisz w swojej organizacji, żeby następnie ustalić, „jak” to chronić i przetwarzać zgodnie z prawem.

Przykład

Najczęściej występujące zbiory danych osobowych w obszarze HR:

  • kandydatów do pracy – jak sama nazwa wskazuje, zawiera dane osób ubiegających się o zatrudnienie i biorących udział w rekrutacjach;
  • kadrowo-płacowy – czyli dane związane z nawiązaniem i zakończeniem stosunku pracy, w tym zawarte w teczkach osobowych pracowników, dane płacowe, dotyczące nieobecności w pracy i wiele innych związanych z realizacją obowiązków pracodawcy wobec pracownika (np. rozliczenia wynagrodzeń, rozliczenia z ZUS, US). Zbiór ten przetwarzany jest często w formie i papierowej (np. wspomniane teczki pracownika), i elektronicznej (system kadrowo-płacowy, system Płatnik, bankowość elektroniczna itp.);
  • współpracowników – a więc osób, z którymi Twoja organizacja zawarła umowy cywilnoprawne, takie jak zlecenia czy o dzieło;
  • osób uprawnionych do korzystania z zakładowego funduszu świadczeń socjalnych – dla tych pracodawców, którzy oczywiście takiprowadzą. Zbiór ten zawiera dane osób uprawnionych do korzystania z ZFŚS, zgodnie z przyjętym w tym zakresie przez pracodawcę regulaminem ZFŚS.
     

Uwaga: w rzeczywistości może występować znacznie więcej zbiorów danych. Wszystko zależy od konkretnej organizacji i sposobu jej funkcjonowania (np. korzystanie z pracy pracowników tymczasowych lub np. praktykantów lub stażystów również może spowodować powstanie dodatkowego zbioru danych).

Po trzecie – ustal, jakie uprawnienia wynikające z RODO mogą przysługiwać konkretnym osobom, których dane są przetwarzane w poszczególnych zbiorach. Wiąże się to z koniecznością inwentaryzacji poszczególnych danych osobowych w postaci zbiorów z uwzględnieniem kryteriów celu, zakresu i podstawy prawnej przetwarzania danych, a także formy przetwarzania (papierowa czy elektroniczna). Te elementy mają bowiem wpływ na zakres uprawnień, jakie będą przysługiwały osobom fizycznym z racji tego, że organizacja przetwarza ich dane. O jakie uprawnienia chodzi? Jest ich sporo (odnoszą się do nich art. 15–22 RODO), ale po części obowiązują już obecnie. Poza tym nie wszystkie uprawnienia będą miały zastosowanie (lub będą miały zastosowanie, ale w niewielkim zakresie) wobec danych kadrowych.

Przykład

Bez wątpienia HR musi zwrócić uwagę na prawo dostępu do danych – każdej osobie fizycznej przysługiwać będzie prawo do potwierdzenia, czy jej dane są przetwarzane przez konkretny podmiot, a jeśli tak, będzie mogła żądać informacji m.in. o (tu przytaczam jedynie wybrany zakres – por. treść art. 15 RODO):

  • celach przetwarzania jej danych oraz zakresie danych, jaki jest przetwarzany;
  • odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione (np. innym podmiotom z grupy kapitałowej pracodawcy);
  • prawie wniesienia skargi do organu nadzorczego;
  • planowanym okresie przechowywania jej danych osobowych, a gdy nie jest możliwe podanie dokładnej informacji, o kryteriach ustalania tego okresu;...

Artykuł jest dostępny dla zalogowanych użytkowników.

Jak uzyskać dostęp? Wystarczy, że założysz konto lub zalogujesz się.
Czeka na Ciebie pakiet inspirujących materiałow pokazowych.
Załóż konto Zaloguj się

Przypisy