RODO a obowiązki pracodawcy

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku o ochronie danych osobowych (dalej jako: „RODO” lub „Rozporządzenie”) wejdzie w życie dnia 25 maja 2017 roku. Powyższy akt prawny rewolucjonizuje ochronę danych osobowych w państwach członkowskich Unii Europejskiej. Nowe regulacje dotkną również kwestii przetwarzania danych osobowych pracowników. Rozporządzenie nakłada na podmioty administrujące danymi szereg obowiązków, które obejmą też pracodawców.
 

Adekwatny poziom bezpieczeństwa

Podobnie jak wszelkie inne podmioty przetwarzające dane, pracodawcy muszą zapewnić poziom bezpieczeństwa danych swoich pracowników odpowiadający ryzykom dla danego systemu przetwarzania i polityki bezpieczeństwa. Dane osobowe pracowników podlegają identycznej ochronie jak te należące do innych osób fizycznych. Oznacza to, że m.in. muszą one być zakatalogowane do odpowiedniej kategorii oraz zabezpieczone przed niepożądanym ujawnieniem.
 

Obowiązek informacyjny

Podmiotom, których dane są przetwarzane przysługuje prawo do uzyskania informacji na temat sposobu przetwarzania własnych danych osobowych. Osoba taka ma prawo dowiedzieć się jakie dane gromadzi jej pracodawca czy mieszczą się one w odpowiedniej kategorii oraz czy są odpowiednio zabezpieczone. W przypadku dostrzeżenia naruszeń z tym związanych ma ona prawo do żądania ograniczenia przetwarzania oraz w niektórych wypadkach zgłoszenia skargi do odpowiedniego organu.
 

WARTO WIEDZIEĆ

Prawo pracy uchyli niektóre restrykcje RODO, m.in. w zakresie przetwarzania szczególnych danych osobowych.

Dane wrażliwe

Rozporządzenie zabrania przetwarzania szczególnych kategorii danych osobowych ujawniających informacje tj. pochodzenie etniczne i rasowe, poglądy polityczne, wyznanie religijne czy przynależność do związków zawodowych. Wyjątkiem od tej zasady jest wyraźna zgoda osoby na przetwarzanie powyższych danych w konkretnych celach lub szczególny obowiązek prawny, wynikający m.in. z prawa pracy.
Powyższy zakaz uchylać mogą w szczególności kwestie dotyczące zbiorowych układów pracy. Wszakże niektóre obowiązki pracodawcy (np. w zakresie regulaminu pracy czy regulaminu wynagrodzenia) są uzależnione od liczby pracowników uczestniczących w takim układzie.
Dodatkowo niektóre informacje o pracownikach mogą podlegać obowiązkom sprawozdawczym czy statystycznym, przykładowo w ramach nadchodzących zmian w tzw. społecznej odpowiedzialności biznesu.
 

WARTO WIEDZIEĆ

Kary finansowe za naruszenie przepisów mogą wynosić do 20 000 000 EUR lub do 4% całkowitego obrotu przedsiębiorstwa za ostatni rok obrotowy.

Celowość i zakres przetwarzania danych

RODO wyznacza zasady w ramach, których przetwarzanie danych osobowych ma się odbywać. Jednym z takich pryncypiów jest zasada minimalizacji danych. Co oznacza, że odpowiedni podmiot powinien przetwarzać tylko te dane osobowe, które są mu potrzebne w zakresie wypełnienia obowiązków prawnych, realizacji umowy lub działania w ramach zgody. Przetwarzanie nadmiernej ilości danych może wiązać się z konsekwencjami dla pracodawcy nie tylko ze strony roszczeń pracowników ale również kontroli wyznaczonego urzędu.
 

Sankcje

Naruszenia prawa ochrony danych osobowych mają być objęte karami finansowymi nakładanymi przez odpowiednie organy administracyjne. Mogą one wynosić do 10 000 000 EUR lub do 2% całkowitego obrotu przedsiębiorstwa za ostatni rok obrotowy. W szczególnych wypadkach granica ta może być podniesiona do 20 000 000 EUR lub 4% obrotu. Podstawą naliczenia kary mogą być skargi pracowników lub działalność kontrolna odpowiedniego organu.
 

Porada praktyczna

Obowiązki wprowadzane przez RODO i akty poboczne obejmą wszystkich pracodawców. Warto zatem na bieżący śledzić zmiany oraz wyjaśnienia publikowane przez odpowiednie organy. Przedsiębiorca powinien również dokonać audytu ochrony danych osobowych oraz zweryfikować swoją politykę bezpieczeństwa informacji. Obowiązki są bowiem szerokie, a kary wysokie.
 

Podsumowując

Przepisy dotyczące przetwarzanych danych osobowych, zwłaszcza w zakresie wzmożonej ochrony tychże, będą dotyczyć również danych pracowniczych. W związku z tym szczególnie istotne jest dopasowanie poziomu danych do przewidywanych ryzyk czy zapewnienie danym odpowiedniej ochrony. Warto mieć na uwadze, że niektóre restrykcje RODO uchylone zostaną przez szczególne przepisy prawa pracy.
 

Podstawa:

1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
2. Ustawa z dnia 26 czerwca 1974 r. Kodeks pracy (Dz.U. z 2016 r., poz. 1666, t.j.);