Poradnik Przedsiębiorcy

Czy w związku z wprowadzeniem RODO pracodawca ma dodatkowe obowiązki?

Czy w związku z zaostrzeniem przepisów dotyczących ochrony danych osobowych i wprowadzeniem RODO pracodawca ma jakieś dodatkowe obowiązki?

Anna, Konstancin

Odpowiedź na to pytanie zależy od tego, czy dotychczas pracodawca wywiązywał się z czynności, jakie nakłada na niego ustawa o ochronie danych osobowych, czyli:

  • wprowadzona została polityka bezpieczeństwa ochrony danych osobowych;
  • obowiązuje w firmie zasada wydawania upoważnień do przetwarzania danych osobowych, czyli czy wydawane są uprawnienia dostępu do poszczególnych zbiorów danych osobowych przetwarzanych w firmie z uwzględnieniem faktycznych potrzeb na danym stanowisku pracy;
  • były podpisywane umowy powierzenia danych osobowych z instytucjami;
  • był powołany Administrator Bezpieczeństwa Informacji ABI;
  • wypełniano w firmie obowiązki informacyjne.

Jeżeli powyższe obowiązki były spełnione, to obecnie, w związku z RODO, pracodawca musi przede wszystkim:

  • pamiętać o proaktywnym podejściu, polegającym na tym, żeby już na etapie projektowania zmian (czy to w strukturze organizacyjnej, czy to w organizacji procesów w firmie) częścią strategii była ochrona danych osobowych;
  • wprowadzić rejestr czynności przetwarzania danych (nie każdego dotyczy), czyli dokument, w którym widnieć będą:
    • nazwa i dane kontaktowe administratora danych oraz dane kontaktowe IODO,  jeżeli został powołany;
    • cel przetwarzania danych osobowych;
    • zakres przetwarzanych danych;
    • opis kategorii osób, których dane dotyczą;
    • opis kategorii odbiorców, którym dane zostały lub zostaną udostępnione bądź powierzone;
    • planowany okres przechowywania danych;
    • krótki opis zastosowanych zabezpieczeń technicznych i organizacyjnych.
  • kontynuować wydawanie, cofanie i kontrolowanie upoważnień do przetwarzania danych;
  • kontynuować zawieranie umów powierzenia oraz skontrolować pod względem zmian RODO zapisy dotychczas podpisanych umów;
  • kontynuować wypełnianie obowiązków informacyjnych;
  • odwołać ABI i powołać Inspektora  Ochrony Danych Osobowych (nie każdego dotyczy);
  • informować o naruszeniu bezpieczeństwa danych osobowych.

W zakresie tego, jakie dane od kandydatów czy pracowników pracodawca może przechowywać i inne kwestie powiązane z przepisami Kodeksu pracy, zostały doprecyzowane w przepisach prawa pracy.