Rzeczywistość RODO – wyzwania dla HR

RODO nakłada na pracodawców szereg obowiązków w zakresie informowania pracowników o przechowywanych danych, bezpieczeństwa ich przechowywania oraz odpowiedniego przetwarzania.

Dnia 25 maja 2018 roku weszło w życie Rozporządzenie o Ochronie Danych Osobowych (RODO). RODO wprowadza nowe prawa dla osób fizycznych – m.in. prawo do bycia zapomnianym i prawo do przenoszenia danych, oraz obowiązek zawiadamiania o naruszeniach, co prawdopodobnie zwiększyło obciążenia regulacyjne po stronie organizacji. RODO nakłada szereg nowych obowiązków również na działy HR.

Początek relacji – kandydat

W procesie rekrutacyjnym pracodawca powinien poinformować kandydata między innymi o:

  • celu, w jakim przetwarzane są dane osobowe
  • okresie, w jakim będą przechowywane
  • odbiorcach danych
  • prawie do złożenia skargi do organu nadzorczego

Z formalnego punktu widzenia, wszyscy kandydaci powinni zostać poinformowani przez pracodawcę o zasadach dotyczących przetwarzania danych osobowych w formie dokumentu (dołączonego do oferty pracy lub odesłanie np. do zakładki na stronie internetowej) lub poprzez określenie wymaganych informacji przy pierwszym kontakcie

Pracodawcy nie powinni przechowywać danych kandydatów (w tym CV) przez okres dłuższy niż czas trwania danego procesu rekrutacyjnego.

Grupa Robocza Art. 29, europejski organ doradczy ds. ochrony danych osobowych, w Opinii nr 2/2017 na temat przetwarzania danych osobowych w pracy wskazuje, że „dane zebrane w procesie rekrutacji co do zasady powinny być usunięte niezwłocznie po podjęciu decyzji, że kandydatowi nie zostanie złożona oferta pracy lub po odrzuceniu oferty przez kandydata. Kandydat musi być prawidłowo poinformowany o przetwarzaniu przed przystąpieniem do procesu rekrutacji.“

Należy pamiętać, że dane osobowe nie odnoszą się wyłącznie do CV. Należy również usunąć informacje o kandydacie uzyskane podczas rozmowy kwalifikacyjnej.

Jeśli pracodawca chce przetwarzać te dane przez dłuższy okres, np. w celu dalszej rekrutacji, wówczas musi mieć stosowną podstawę prawną, na przykład zgodę kandydata.

Przetwarzanie danych zebranych w procesie rekrutacji może trwać dłużej w przypadku prawnie uzasadnionego interesu (na przykład w celu odparcia zarzutów o dyskryminację). Wykorzystywanie danych w innym celu, na przykład na potrzeby innego procesu rekrutacyjnego, powinno być ściśle monitorowane.

Relacja pracodawca pracownik

W większości przypadków szczegółowy katalog danych osobowych wymaganych do zawarcia umowy o pracę jest określany w aktach prawnych poszczególnych państw członkowskich. Nie jest wymagana żadna zgoda jeśli prawo pracy, prawo podatkowe lub inne powszechnie obowiązujące przepisy prawa wymagają przetwarzania określonych danych osobowych.

Zaleca się, aby pracodawcy przetwarzali tylko te dane osobowe, które nie wymagają udzielenia zgody przez pracowników. Dlaczego?

Po pierwsze dlatego, że zgodnie z RODO wszystkie zgody powinny być udzielane dobrowolnie i bez przymusu. W każdej relacji pracodawca zwraca się do pracownika z pozycji siły. W związku z tym o wiele trudniej jest udowodnić, że pracownik mógł po prostu odmówić udzielenia zgody lub wycofać zgodę na przetwarzanie danych osobowych, np. wizerunku, na potrzeby marketingu lub integracji.

Zakończenie relacji

W sytuacji zakończenia stosunku pracy kończy się cel dla którego zgodnie z prawem (Kodeks pracy art. 22(1)) mogliśmy przetwarzać dane osobowe. Czy w związku z tym mamy obowiązek je usunąć?

Nie. Wynika to z faktu, że możemy znaleźć inne podstawy który pozwolą nam dalej przechowywać (przetwarzać) dane osobowe np. 50-letni okres dla celów ZUS. Oczywiście może się okazać, że część zakresu danych osobowych nie będzie objęta nową podstawą przetwarzania. Wtedy należy przeprowadzić selekcję i dane co do których brak jest podstawy prawnej do legalnego przetwarzania usunąć.

Kwestie wspólne

Zgodnie z RODO kandydatom, pracownikom oraz byłym pracownikom będzie przysługiwać więcej praw w obszarze przetwarzania ich, a na pracodawcy będzie ciążyć obowiązek ich realizacji. Na przykład dane wskazanych osób mogą być przetwarzane na podstawie dobrowolnego i świadomego wyrażenia przez niego woli. Wyrażenie zgody nie może być dorozumiane i użytkownikom będzie przysługiwać prawo do wycofania zgody, przy czym musi być to równie łatwe jak wyrażenie zgody na przetwarzanie.

RODO wprowadza prawa, które obowiązują w ramach wspomnianych trzech etapów relacji z pracodawcą, na przykład:

  • prawo do bycia informowanym o sposobie wykorzystania danych osobowych
  • prawo do dostępu
  • prawo do poprawiania nieprawidłowych lub niekompletnych danych
  • prawo do bycia zapomnianym w określonych okolicznościach
  • prawo do uniemożliwienia lub ograniczenia przetwarzania danych osobowych
  • nowe prawo do przenoszenia danych

Realizacja powyższych praw (na żądanie podmiotu danych) została nałożona właśnie na pracodawcę jako administratora danych osobowych.

Zabezpieczenie danych osobowych

Istotnym elementem RODO poza dodaniem nowych praw przysługujących podmiotom danych osobowych jest zapewnienie odpowiedniego poziomu bezpieczeństwa danych osobowych. Najistotniejsze jest to, że RODO nie wymaga stosowania konkretnych rozwiązań technologicznych w zakresie ochrony danych (tak jak to było do tej pory). Według RODO rozwiązania powinny zostać dostosowane do konkretnych danych oraz ryzyk związanych z nieprzestrzeganiem zasad ochrony danych osobowych. Podmioty przetwarzające dane będą musiały udowodnić, że przeprowadziły ocenę ryzyka i podjęły stosowne kroki.

Ochrona danych jest coraz bardziej skomplikowana. To ciągły proces, który musi być nieustannie monitorowany i rozwijany także w ramach HR. Nieprzestrzeganie zasad dotyczących przetwarzania ochrony danych osobowych może skutkować roszczeniami ze strony podmiotów danych osobowych lub sankcjami finansowymi (do 20 mln EUR lub 4% globalnego rocznego obrotu w poprzedzającym roku finansowym, w zależności od tego, która kwota jest wyższa). ze strony organu (Prezesa Urzędu Ochrony Danych Osobowych).

Chcesz wiedzieć więcej na temat zmian w prawie związanych z wynagrodzeniami? Zapraszamy do obejrzenia archiwalnego webcastu Wynagrodzenia w kontekście zmian PIT – możliwości i rozwiązania.

Więcej informacji i rejestracja


Bądź na bieżąco
Otrzymuj najnowsze informacje o zmianach w prawie i podatkach bezpośrednio na swojego maila.

Zapisz się na newsletter >>