25 maja 2018 roku w życie wejdą nowe unijne regulacje dotyczące ochrony danych osobowych, zwane także „RODO” albo „Ogólnym Rozporządzeniem o Ochronie Danych”. Rozporządzenie Parlamentu Europejskiego i Rady Unii Europejskiej zostało przyjęte jeszcze w kwietniu 2016 r., i choć będzie stosowane bezpośrednio we wszystkich krajach członkowskich, obecnie trwają pracę nad dostosowaniem polskiego prawa do jego przepisów. Zdaniem ekspertów reforma jest pod wieloma względami rewolucyjna i będzie wiązała się ze znacznymi zmianami m.in. w działach HR oraz w firmach specjalizujących się w pośrednictwie pracy, które na co dzień przetwarzają dane osobowe pracowników oraz kandydatów do pracy.
Kluczowe zmiany:
1. Rozszerzenie obowiązków informacyjnych
Agencje rekrutacyjne czy działy HR gromadzące i przetwarzające dane osobowe pracowników i kandydatów są, w świetle prawa, administratorami danych osobowych. Nowe regulacje nałożą na administratorów więcej niż dotychczas obowiązków informacyjnych. W praktyce oznacza to, że przykładowo, w procesie rekrutacji trzeba będzie poinformować kandydata m.in. o celach przetwarzania danych osobowych, okresie, przez który będą one przechowywane, odbiorcach danych, czy o prawie wniesienia skargi do organu nadzorczego. Istotny wydaje się być również wymóg określenia czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania żądanych informacji.
2. Zgoda na przetwarzanie danych osobowych
Zaostrzone zostaną regulacje dotyczące podstaw prawnych do przetwarzania danych osobowych. Dane pracownika będzie można przetwarzać na podstawie jego dobrowolnego i świadomego wyrażenia woli na przetwarzanie danych osobowych w konkretnym celu. „Według przepisów RODO zgodna nie może być domniemana, a użytkownicy będą mieli prawo do jej cofnięcia, przy czym wycofanie zgodny na przetwarzanie danych osobowych musi być równie łatwe jak i jej wyrażenie. Zmiana może okazać się kosztowna dla pracodawców oraz agencji pośrednictwa pracy, bo wymagać będzie rewizji i często wymiany formularzy dotyczących zgody na przetwarzanie danych osobowych” wyjaśnia Iwona Szmitkowska, prezes Stowarzyszenia Agencji Zatrudnienia, wiceprezes Work Service S.A.
[-DOKUMENT_HTML-]
3. Rejestrowanie czynności przetwarzania danych osobowych
Rozporządzenie przewiduje prowadzenie przez każdego administratora danych osobowych rejestru czynności przetwarzania tychże danych. Rejestr powinien zawierać nazwę oraz dane kontaktowe administratora, cele przetwarzania, opis kategorii osób, których dane dotyczą, kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych, jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.
„Rozporządzenie jest odpowiedzią na ogromne zmiany w zakresie wykorzystania danych osobowych, które obserwujemy na przestrzeni ostatnich lat. Jego wdrożenie dla agencji zatrudnienia czy działów personalnych będzie wiązało się z koniecznością przeszkolenia kadry oraz często sporymi wydatkami na informatyzację procesów gromadzenia i przetwarzania danych zarówno w procesach rekrutacyjnych jak i kadrowo-płacowych czy szkoleniowych” – komentuje Iwona Szmitkowska.
Kontrole i kary
Kary za niestosowanie się do nowych regulacji będą zdecydowanie bardziej dotkliwe niż dotychczas. Mogą wynieść do 20 mln euro, a w przypadku przedsiębiorstwa nawet do 4 proc. całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Ponadto w razie wycieku danych osobowych, w kwalifikowanych wypadkach, administratorzy danych będą zobowiązani zgłaszać to do GIODO oraz informować osoby, których dane wyciekły. Warto podkreślić, że dla użytkowników zniesione zostaną opłaty za złożenie skargi do GIODO. W efekcie można spodziewać się zwiększenia częstotliwości kontroli firm ze strony organów nadzorczych.
Jak się przygotować i dlaczego przygotowania warto rozpocząć już dziś?
Przedsiębiorstwa przechodzą audyty, w działach HR tworzone są długoterminowe programy wdrożeniowe. Eksperci radzą zwrócić uwagę na systemy informatyczne dedykowane do przetwarzania danych osobowych, a w przypadku ich braku zastanowić się nad zakupem, aby zautomatyzować wspomniane procesy. W przypadku większych firm, gdzie przetwarzanie danych odbywa się na szeroką skalę koniecznie będzie powołanie inspektora ochrony danych lub zespołu inspektora ochrony danych wewnątrz organizacji. „Przygotowanie agencji czy działu personalnego wewnątrz firmy na wdrożenie nowych przepisów będzie kosztowe. Warto jednak zainwestować w dostosowanie organizacji do zmian już teraz, aby za rok nie zaskoczyły nas rujnujące kary finansowe” – podsumowuje Iwona Szmitkowska.
Źródło: Stowarzyszenie Agencji Zatrudnienia