Pracodawca jest administratorem danych osobowych
Pracodawcy, którzy rekrutują pracowników, są administratorami ich danych osobowych. Powinni zatem pamiętać o spełnieniu wobec nich obowiązku informacyjnego – mówi radca prawny Patrycja Kozik, GKK Gumularz Kozieł Kozik Radcowie Prawni i dodaje, że w porównaniu do ustawy o ochronie danych osobowych, na gruncie RODO obowiązek ten został znacząco rozbudowany – będzie trzeba przekazać kandydatom do pracy wiele informacji, które nie musiały być do tej pory przekazywane. Chodzi m.in. o informację o podstawie prawnej przetwarzania, okresie przechowywania danych czy prawie do wniesienia skargi do organu nadzorczego. Pełny katalog informacji został zawarty w art. 13 RODO.
Potrzebne nowe klauzule
Klauzule, stosowane dotychczas w rekrutacjach, nie będą wystarczające. Do tego, zgodnie z RODO, informacje te powinny być sformułowane w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem, a zgodnie z zasadą rozliczalności – pracodawca powinien być w stanie wykazać zrealizowanie obowiązku informacyjnego zgodnie z treścią RODO.
Czytaj również: Jasno, zwięźle i konkretnie - klauzule RODO krok po kroku >>
RODO to także nowe obowiązki wobec pracowników
Tak jak wobec kandydatów, tak względem pracowników także należy spełnić obowiązek informacyjny. Obowiązek informacyjny to jedynie mały wycinek obowiązków, które RODO nakłada na pracodawców, jako administratorów danych. Dane pracowników, jak każde inne dane osobowe, w odniesieniu do których pracodawcy będzie przysługiwał status administratora, powinny być przetwarzane w sposób zapewniający realizację praw podmiotów tych danych (niezależnie od pozostałych obowiązków wynikających z RODO np. zapewnienia bezpieczeństwa przetwarzania). Pracownicy (kandydaci/inne podmioty danych) muszą mieć zapewnione prawo dostępu do przetwarzanych przez pracodawcę danych, prawo do sprostowania i usunięcia danych („prawo do bycia zapomnianym”), prawo do ograniczenia przetwarzania, prawo do przenoszenia danych czy prawo do sprzeciwu oraz zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach.
Czytaj również: Pracodawcy przechowują za dużo danych >>
Trzeba zapewnić zgodność systemów
Pracodawca powinien wdrożyć odpowiednie środki techniczne i organizacyjne, które umożliwią realizację wskazanych obowiązków – np. poprzez wprowadzenie zmian w systemach służących do przetwarzania danych, które pozwolą na zrealizowanie praw podmiotów danych (np. wygenerowania kopii danych pracownika w ramach realizacji prawa dostępu do danych), przygotowanie procedury realizacji praw podmiotów danych, w zakresie wewnętrznej obsługi realizacji zgłaszanych żądań (jakie działania należy podjąć w organizacji gdy pracownik czy inny podmiot będzie chciał wykonać jedno z przysługujących mu praw), czy wreszcie przygotowanie polityki prywatności opisującej w jaki sposób podmioty danych mogą zgłaszać swoje żądania (np. poprzez przesłanie e-maila na wskazany adres). Szczególnie uciążliwy dla pracodawców może być obowiązek realizacji prawa dostępu do danych. W ramach realizacji tego prawa pracownik może zażądać kserokopii wszystkich jego danych osobowych.
[-OFERTA_HTML-]
Polskie przepisy nie zmienią RODO
Trwają prace nad polską ustawą o ochronie danych, ale pracodawcy nie powinni czekać z wdrożeniem RODO na te przepisy. Ustawa będzie jedynie doprecyzowywać treść przepisów RODO, i to wyłącznie w zakresie, w jakim jest to wskazane i niezbędne dla zapewnienia skuteczności jego stosowania. RODO jest rozporządzeniem unijnym – wiąże zatem w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich – podkreśla Patrycja Kozik i dodaje, że oczywiście, dla pracodawców będą miały znaczenie zmiany w kodeksie pracy – w szczególności przy ustaleniu podstawy prawnej przetwarzania danych pracowników/kandydatów do pracy, dopuszczalnego zakresu zbieranych danych czy w konsekwencji formułowaniu obowiązków informacyjnych. Niemniej jednak, by przetwarzanie danych pracowników/kandydatów do pracy było zgodne z przepisami, pracodawca powinien spełnić wszystkie wymogi RODO (a nie wyłącznie te, które zostaną dookreślone w ramach kodeksu pracy) i to już na dzień 25 maja, zatem odpowiednio wcześniej powinien zacząć przygotowania w tym zakresie.