Wideoszkolenie

Monitor Prawa Pracy i Ubezpieczeń 5/2018, data dodania: 12.04.2018

Jak przystosować formularze kadrowe dotyczące ochrony danych osobowych do przepisów RODO

W związku z wejściem w życie 25 maja 2018 r. przepisów RODO pracodawca musi zmodyfikować zgody kandydatów do pracy i pracowników na przetwarzanie ich danych osobowych, klauzule informacyjne czy umowy z podmiotami zewnętrznymi, którym powierzył przetwarzanie danych. Wiele dokumentów związanych ze stosunkami pracy może jednak pozostawić w dotychczasowym brzmieniu.

Wchodzące w życie 25 maja 2018 r. rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej RODO) wymusza aktualizację dokumentacji posiadanej przez pracodawcę jako administratora danych osobowych kandydatów do pracy i pracowników. Jednak nie wymaga jej całościowej wymiany. Jego rozwiązania są bowiem znacznie łagodniejsze niż aktualna ustawa o ochronie danych osobowych i jej akty wykonawcze, które stracą moc z upływem 24 maja 2018 r. Polskie przepisy w obecnym brzmieniu wymagają od wszystkich administratorów danych takich samych dokumentów, o identycznej treści. RODO natomiast pozostawia im zasadniczo swobodę, stawiając określone wymagania jedynie w stosunku do niektórych dokumentów i wprowadzając nowe, które pracodawca będzie musiał przygotować, aby pozostać w zgodzie z unijnymi rozwiązaniami.

Jak skorygować treść zgody na przetwarzanie danych

Zgody na przetwarzanie danych osobowych należą do tych dokumentów, którym RODO poświęca wiele miejsca. Dlatego pracodawca musi skonfrontować treść posiadanych zgód od kandydatów do pracy i pracowników z warunkami zawartymi dla tych dokumentów w RODO. Niewykluczone, że część z nich zachowa swoją ważność, jak stwierdza w zamieszczonym na stronie internetowej stanowisku Główny Inspektor Ochrony Danych Osobowych (GIODO) i na co pozwala pkt 171 preambuły RODO. Jednak obowiązek pozyskania nowych zgód lub aktualizacji dotychczasowych nie powstanie tylko wtedy, gdy:

- pierwotny sposób ich wyrażenia jest zgodny z RODO, czyli odpowiada jego wymaganiom,

- osoby, które udzieliły zgód, otrzymają informację o prawie ich wycofania w dowolnym momencie, co ma być tak samo łatwe jak jej wyrażenie.

Warunki z RODO, jakie musi spełniać zgoda na przetwarzanie danych osobowych

Rodzaj warunku stawianego zgodzie

Zasady realizacji danego warunku

Stosunek do dotychczasowych wymagań

Dobrowolność

- osoba udzielająca zgody ma rzeczywisty i wolny wybór, może odmówić i wycofać swoją zgodę bez niekorzystnych konsekwencji,

- istnieje względna równowaga między kandydatem do pracy i pracownikiem a pracodawcą,

- jest zapewniona możliwość wyrażenia zgody z osobna na różne operacje przetwarzania danych osobowych,

- od wyrażenia zgody nie jest uzależnione wykonanie umowy, co będzie szczególnie badane przy dokonywaniu oceny dobrowolności wyrażenia zgody (art. 7 ust. 4 RODO).

- warunek stosowany przed wejściem w życie RODO, choć niezapisany wprost w przepisach (uzasadnienie do wyroku NSA z 6 września 2011 r., I OSK 1476/10, OSP 2013/10/104),

- do czasu wydania RODO zasada dobrowolności nie była tak mocno skonkretyzowana.

Konkretność

- zgoda ma być dokładnie określona, precyzyjna i rzeczowa,

- zgoda ma się odnosić do jednego celu (określony proces rekrutacyjny lub stosunek pracy), w którym dane osobowe będą przetwarzane (art. 5 ust. 1 lit. b RODO),

- odrębna zgoda będzie potrzebna na każdy z wielu procesów rekrutacyjnych, które należałoby zakwalifikować jako kilka celów, ponieważ w każdym z nich chodzi o pozyskanie pracownika na inne stanowisko z odmiennymi wymaganiami (pkt 32 preambuły RODO).

- warunek stosowany przed wejściem w życie RODO, choć niezapisany wprost w przepisach,

- według NSA i GIODO zgoda na przetwarzanie danych musi być wyraźna, a jej umieszczenie jako dodatkowego elementu innego zobowiązania niezawierającego informacji o celach i zakresie przetwarzania tych danych nie spełnia tego wymagania (wyrok NSA z 4 kwietnia 2003 r., II SA 2135/02, Wokanda 2004/6/30, i decyzja GIODO z 27 lipca 2004 r., znak GI-DEC-DIS-105/04/208).

Świadomość udzielenia

- osoba udzielająca zgody musi być świadoma, komu (tożsamość pracodawcy), po co (rekrutacja na konkretne stanowisko lub konkretne czynności związane ze stosunkiem pracy) i w jakim zakresie (wykorzystanie tylko przez pracodawcę lub inne podmioty z nim powiązane) daje prawo do przetwarzania danych osobowych (pkt 42 preambuły RODO),

- kandydat do pracy i pracownik muszą mieć świadomość, że w każdej chwili mogą wycofać swoją zgodę.

- warunek stosowany przed wejściem w życie RODO, choć niezapisany wprost w przepisach,

- zdaniem NSA zgoda nie może być domniemana, dorozumiana czy abstrakcyjna, natomiast osoba ją wyrażająca musi rozumieć jej istotę, cel i skutki (wyrok NSA z 10 stycznia 2013 r., I OSK 2029/11).

Jednoznaczność

treść zgody nie powinna budzić żadnych wątpliwości, że to dana osoba uprawniła pracodawcę do przetwarzania swoich danych w konkretnym procesie rekrutacyjnym lub czynnościach związanych ze stosunkiem pracy, do których zgoda jest potrzebna (pkt 32 preambuły RODO).

warunek stosowany przed wejściem w życie RODO, choć niezapisany wprost w przepisach.

Forma złożenia

- zgoda może być wyrażona w formie każdego rodzaju oświadczenia (pisemnego, elektronicznego, dokumentowego i ustnego), jak również poprzez podjęcie określonych czynności, np. zaznaczenie właściwego okienka w formularzu przygotowanym przez pracodawcę (pkt 32 zd. 1-2 preambuły RODO),

- z powodu zasady rozliczalności (konieczność wykazania, że kandydat do pracy/pracownik wyraził zgodę na przetwarzanie danych osobowych - art. 7 ust. 1 RODO) najbezpieczniej dla pracodawcy jest zebranie zgód w formie oświadczenia pisemnego, elektronicznego (z kwalifikowanym podpisem elektronicznym) lub dokumentowego (postać elektroniczna dokumentu dostarczona na określonym nośniku, np. USB, lub przesłana zwykłym e-mailem); przy ustnej zgodzie wskazane jest sporządzenie stosownej notatki,

- milczenie kandydata albo jego bierność nie mogą być interpretowane jako zgoda (pkt 32 zd. 3 preambuły RODO).

warunek stosowany przed wejściem w życie RODO, zapisany w art. 7 pkt 5 ustawy o ochronie danych osobowych w zakresie oświadczenia.

Wzór zgody kandydata do pracy na przetwarzanie danych osobowych w procesie rekrutacji zgodny z przepisami RODO

……………………………………………………

(data i miejsce wystawienia)

………………………………..

………………………………..

………………………………..

(imię i nazwisko oraz adres kandydata do pracy)

ZGODA NA PRZETWARZANIE DANYCH OSOBOWYCH

Wyrażam zgodę na przetwarzanie moich danych osobowych na potrzeby rekrutacji na stanowisko …………………………………………………….………….………………………………, ogłoszonej

(podać stanowisko pracy)

…………………………………………………., prowadzonej przez firmę …………………………………………

(podać datę ogłoszenia) (podać nazwę rekrutującego pracodawcy)

Jednocześnie oświadczam, że udzielam zgody dobrowolnie oraz że zostałam/em poinformowana/y o przysługującym mi prawie dostępu do treści moich danych oraz ich poprawiania, jak również wycofania zgody na ich przetwarzanie w każdym czasie.

………………………………………….

(podpis kandydata do pracy)

Wzór zgody pracownika na przetwarzanie danych osobowych w konkretnym celu związanym ze stosunkiem pracy zgodny z przepisami RODO

……………..........................

(data i miejsce wystawienia)

………………………………..

………………………………..

………………………………..

(imię i nazwisko oraz adres pracownika)

ZGODA NA PRZETWARZANIE DANYCH OSOBOWYCH

Wyrażam zgodę na przetwarzanie moich danych osobowych w celu …………, przez ……………,

(podać cel, np. cele marketingowe pracodawcy) (podać nazwę pracodawcy)

Jednocześnie oświadczam, że udzielam zgody dobrowolnie oraz że zostałam/em poinformowana/y o przysługującym mi prawie dostępu do treści moich danych oraz ich poprawiania, jak również wycofania zgody na ich przetwarzanie w każdym czasie.

………………………………………….

(podpis pracownika)

Jak zmodyfikować klauzule informacyjne

Obowiązek aktualizacji klauzul informacyjnych wynika z art. 13-14 RODO. Przepisy te zawierają poszerzony w stosunku do obecnych regulacji katalog informacji, które kandydat do pracy i pracownik powinni otrzymać od pracodawcy - zob. tabela poniżej. Z tego powodu należy przejrzeć formularze kadrowe i dokonać zmiany/uzupełnienia zawartych w nich klauzul. Trzeba także zadbać, aby były przygotowane w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, napisane jasnym i prostym językiem (art. 12 ust. 1 RODO).

Wykaz informacji, które mają być przekazane przez pracodawcę kandydatowi do pracy i pracownikowi w związku z przetwarzaniem ich danych

Lp.

Rodzaj informacji

1.

Tożsamość i dane kontaktowe pracodawcy oraz - jeśli jest to niezbędne - jego przedstawiciela.

2.

Dane kontaktowe inspektora ochrony danych, jeśli jest wyznaczony.

3.

Cele i podstawa prawna przetwarzania danych.

4.

Prawnie uzasadnione interesy realizowane przez pracodawcę lub stronę trzecią, jeśli jest to konieczne - nie dotyczy sytuacji pozyskania danych od innej osoby niż kandydat do pracy lub pracownik.

5.

Informacje o odbiorcach danych i ich kategoriach, jeżeli istnieją.

6.

Informacje o zamiarze przekazania danych do państwa nieunijnego lub organizacji międzynarodowej albo wzmianka o zabezpieczeniach i możliwości uzyskania kopii danych bądź miejscu ich udostępnienia.

7.

Okres przechowywania danych, a gdy nie jest możliwe jego określenie - kryteria jego ustalenia.

8.

Informacje o prawie do żądania od pracodawcy/administratora dostępu do danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania albo o prawie sprzeciwu wobec przetwarzania oraz prawie do przenoszenia danych.

9.

Informacje o prawie do cofnięcia zgody w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania, które zostało dokonane przed wycofaniem zgody.

10.

Informacje o prawie wniesienia skargi do organu nadzorczego.

11.

Informacja o tym, czy podanie danych osobowych jest wymogiem ustawowym lub umownym albo warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych - nie dotyczy sytuacji pozyskania danych od innej osoby niż kandydat do pracy lub pracownik.

12.

Informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, jeśli takie procesy są stosowane u pracodawcy.

13.

Źródło pochodzenia danych osobowych, a gdy ma to zastosowanie - czy pochodzą one ze źródeł publicznie dostępnych - dotyczy tylko przypadku pozyskania danych od innej osoby niż kandydat do pracy lub pracownik.

Wzór klauzuli informacyjnej dla kandydata do pracy

KLAUZULA INFORMACYJNA

Zgodnie z art. 13 ust. 1 i ust. 2/art. 14 ust. 1-2* rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L 2016.119.1), dalej RODO, informuję, że:
1) administratorem Pani/Pana danych osobowych jest …………………………………………………..,

(wpisać nazwę pracodawcy)

z siedzibą ……………………………………………………………………………………………………………………….,

(wpisać adres pracodawcy)

reprezentowany przez …………………………………………………………………………………….………………

(wpisać imiona i nazwiska osób upoważnionych do reprezentacji pracodawcy)

2) Pani/Pana dane osobowe będą przetwarzane w celu realizacji praw i obowiązków wynikających ze stosunku pracy, na podstawie art. 6 ust. 1 pkt c RODO**,

3) odbiorcą Pani/Pana danych osobowych będzie/będą …………………………………………………. ……………………………………………………………..………………..……………………………………………………..,

(wpisać nazwę pracodawcy oraz wszystkich podmiotów z nim powiązanych, które będą miały prawo przetwarzania danych)

4) Pani/Pana dane osobowe będą przechowywane przez okres trwania stosunku pracy oraz w obowiązkowym okresie przechowywania dokumentacji związanej ze stosunkiem pracy i akt osobowych, ustalanym zgodnie z odrębnymi przepisami***,

5) przysługuje Pani/Panu prawo dostępu do treści swoich danych oraz prawo ich sprostowania, usunięcia, ograniczenia przetwarzania, a także prawo do przenoszenia danych, prawo wniesienia sprzeciwu, prawo do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem,

6) ma Pan/Pani prawo wniesienia skargi do organu nadzorczego w zakresie ochrony danych osobowych (obecnie: Generalny Inspektor Ochrony Danych Osobowych), jeśli stwierdzi Pani/Pan, że przetwarzanie danych osobowych dotyczących Pani/Pana narusza przepisy RODO,

7) podanie przez Pana/Panią danych osobowych jest wymogiem ustawowym. Ich nieprzekazanie spowoduje niemożność realizacji zawartej umowy o pracę i związanych z nią obowiązków podatkowo-składkowych.

* Wybrać właściwą podstawę: art. 13 RODO stosuje się w przypadku, gdy dane osobowe zostały pozyskane od osoby, której dotyczą, natomiast art. 14 - w sposób inny niż od osoby, której dane będą przetwarzane.

** W przypadku kandydata do pracy wpisać proces rekrutacyjny na konkretne stanowisko pracy (wskazać to stanowisko) jako cel przetwarzania danych oraz art. 6 ust. 1 pkt a RODO jako podstawę przetwarzania danych.

*** W odniesieniu do kandydata do pracy wpisać okres trwania procesu rekrutacyjnego z terminem jego zakończenia, jeśli możliwe jest jego wskazanie.

Jakich zmian dokonać w umowie z podmiotem przetwarzającym dane

Umowa powierzenia przetwarzania danych osobowych przez pracodawcę innym podmiotom zewnętrznym musi spełniać warunki wskazane w przepisach RODO (art. 28 RODO). Regulacje te natomiast wymagają, aby w jej treści znalazły się zobowiązania zewnętrznego podmiotu przetwarzającego do:

  • przetwarzania danych wyłącznie na udokumentowane polecenie administratora lub na mocy samego prawa,
  • zapewnienia, żeby osoby upoważnione do przetwarzania danych osobowych zachowywały tajemnicę,
  • podejmowania wszelkich środków bezpieczeństwa przetwarzania danych,
  • przestrzegania warunków korzystania z usług innego podmiotu przetwarzającego, w tym ponoszenia pełnej odpowiedzialności za jego działania,
  • pomagania pracodawcy jako administratorowi - w miarę możliwości - w wywiązywaniu się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, a także zagwarantowania bezpieczeństwa danych, zgłoszeń ewentualnych naruszeń i konsultacji,
  • usunięcia lub zwrócenia wszystkich danych administratorowi po zakończeniu świadczenia usług, jeśli nie ma obowiązku ich przechowywania,
  • udostępnienia administratorowi wszystkich informacji niezbędnych do wykazania spełnienia obowiązków ustawowych, przeprowadzenia audytów i inspekcji, a także poinformowania o możliwości naruszenia RODO przez polecenie pracodawcy.

Jest to lista minimalnych wymagań, o czym świadczy użycie w przepisie sformułowania "w szczególności". Pracodawca powinien dostosować treść posiadanych umów do wymienionych warunków. Musi także zadbać, aby były spełnione przy zawieraniu nowych kontraktów powierzenia przetwarzania danych.

Umowa zawarta z podmiotem zewnętrznym o przetwarzanie danych osobowych powinna mieć formę pisemną, w tym elektroniczną.

Wzór umowy powierzenia przetwarzania danych podmiotowi zewnętrznemu

Umowa powierzenia przetwarzania danych osobowych

zawarta dnia …………………………………… (zwana dalej "Umową")

pomiędzy:

………………………………………………………………………………………………………………………………………,

(dane pracodawcy jako administratora danych)

zwanym dalej "Administratorem", reprezentowanym przez ……………………………………..

(dane osób upoważnionych do działania w imieniu pracodawcy)

a

………..…………………………………………………………………………………………………………………………….,

(dane podmiotu przyjmującego zadanie przetwarzania danych)

zwanym dalej "Podmiotem przetwarzającym", reprezentowanym przez ……………….……………..,

(dane osób upoważnionych do działania w imieniu podmiotu)

na czas nieokreślony/określony (wybrać odpowiedni wariant) od dnia zawarcia Umowy do dnia ………………………………. (wpisać datę końcową przy umowie na czas określony).

1. Zakres i cel Umowy

1. Administrator powierza Podmiotowi przetwarzającemu, zgodnie z art. 28 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz.UE.L.2016.119.1, dalej RODO), dane osobowe do przetwarzania, na zasadach
i w celach określonych w Umowie.

2. Podmiot przetwarzający będzie przetwarzał powierzone na podstawie Umowy dane

………………………………………………………………………………………………………………………….………….

(podać rodzaj danych i kategorię osób, których one dotyczą)

wyłącznie w celu ………………………………………………………………………………………………………….

(podać cel przetwarzania danych, np. wykonanie obowiązków kadrowo-księgowych).

2. Obowiązki podmiotu przetwarzającego

Podmiot przetwarzający zobowiązuje się, przy przetwarzaniu powierzonych danych osobowych, do:

1) postępowania zgodnie z Umową, RODO oraz z innymi przepisami prawa powszechnie obowiązującego w zakresie ochrony danych osobowych, a także do dołożenia należytej staranności przy wykonywaniu wszelkich czynności związanych z przetwarzaniem powierzonych danych,

2) zabezpieczenia danych przy użyciu odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych, o których mowa w art. 32 RODO,

3) właściwego upoważnienia osób, które będą miały dostęp do danych w celu realizacji Umowy, a także zobowiązania ich do zachowania w tajemnicy przetwarzanych danych w trakcie zatrudnienia w Podmiocie przetwarzającym i po jego ustaniu,

4) pomagania Administratorowi - w miarę możliwości - w wywiązywaniu się w niezbędnym zakresie z obowiązku odpowiadania na żądania osoby, której dane dotyczą, oraz wywiązywania się z obowiązków określonych w art. 32-36 RODO,

5) udostępniania wszelkich informacji niezbędnych do wykazania, że są realizowane obowiązki określone przez przepisy RODO,

6) zgłaszania Administratorowi wszelkich naruszeń ochrony danych osobowych bez zbędnej zwłoki, nie później niż w ciągu 24 godzin od ich stwierdzenia,

7) zwrócenia wszelkich danych osobowych Administratorowi po ustaniu Umowy.

3. Zasady dalszego powierzania danych

1. Podmiot przetwarzający może powierzyć dane osobowe objęte Umową do dalszego przetwarzania zewnętrznym podmiotom trzecim, spełniającym warunki RODO i Umowy, w celu wykonania Umowy, po uzyskaniu pisemnej zgody Administratora.

2. Podmiot przetwarzający ponosi pełną odpowiedzialność wobec Administratora za realizację obowiązków i zadań przez zewnętrzny podmiot trzeci.

3. Podmiot przetwarzający może przekazać powierzone dane do państwa trzeciego wyłącznie na pisemne polecenie Administratora, chyba że obowiązek taki nakłada na Podmiot przetwarzający prawo Unii Europejskiej (UE) lub prawo państwa członkowskiego UE, któremu podlega Podmiot przetwarzający. W takim przypadku przed rozpoczęciem przetwarzania Podmiot przetwarzający informuje Administratora o tym obowiązku, jeśli prawo nie zabrania udzielenia takiej informacji ze względu na ważny interes publiczny.

4. Zasady kontroli

1. Administrator ma prawo kontroli, czy Podmiot przetwarzający właściwie wykonuje postanowienia Umowy.

2. Administrator zobowiązuje się dokonywać kontroli w godzinach pracy Podmiotu przetwarzającego, po co najmniej ………………………………..….. uprzedzeniu.

(podać okres uprzedzenia, np. 2 dni lub 7 dni)

3. Podmiot przetwarzający zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli w terminie wskazanym przez Administratora danych nie dłuższym niż ………………………………. od przedstawienia na piśmie przez Administratora tych uchybień. (podać okres, np. 7 dni)

5. Zasady zachowania tajemnicy

1. Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy wszystkich danych osobowych, informacji, materiałów i dokumentów otrzymanych od Administratora i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej, dokumentowej lub elektronicznej.

2. Podmiot przetwarzający oświadcza, że w związku z obowiązkiem zachowania tajemnicy danych, o których mowa w ust. 1, nie będzie wykorzystywał, ujawniał ani udostępniał bez pisemnej zgody Administratora w innym celu niż wykonanie Umowy, chyba że konieczność ujawnienia wynika z obowiązujących przepisów prawa lub Umowy.

6. Odpowiedzialność Podmiotu przetwarzającego

1. Podmiot przetwarzający jest odpowiedzialny za właściwe wykonanie Umowy oraz za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią Umowy.

2. Podmiot przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora o wszystkich postępowaniach, w szczególności administracyjnym lub sądowym, dotyczących przetwarzanych przez niego danych na podstawie Umowy, a także planowanych (jeśli o nich wie) lub przeprowadzanych kontrolach i inspekcjach dotyczących przetwarzania w Podmiocie przetwarzającym tych danych osobowych.

7. Rozwiązanie umowy

1. Każda ze stron może wypowiedzieć Umowę z zachowaniem ……………………………..………

(wpisać ustalony okres wypowiedzenia, np. 1 miesiąc)

okresu wypowiedzenia.

2. Administrator może rozwiązać Umowę ze skutkiem na dzień jej rozwiązania, jeśli Podmiot przetwarzający:

- przetwarza dane niezgodnie z Umową,

- powierza dane podmiotom trzecim bez zgody Administratora,

- nie usuwa stwierdzonych uchybień.

3. Podmiot przetwarzający może rozwiązać Umowę ze skutkiem na dzień jej rozwiązania, jeśli Administrator:

- domaga się wykonywania poleceń niezgodnych z RODO i Umową,

- nie wykonuje postanowień Umowy.

8. Postanowienia końcowe

1. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach dla każdej ze stron.

2. W sprawach nieuregulowanych stosuje się przepisy Kodeksu cywilnego oraz RODO.

3. Sądem właściwym dla rozpatrzenia sporów wynikających z Umowy będzie sąd właściwy

………………………………………………………………………………………………………………………………………..

(podać sąd właściwy dla Administratora lub Podmiotu przetwarzającego - w zależności od uzgodnień).

…………………………………………………. ……………………………………………………..

Administrator danych Podmiot przetwarzający

Jak zaktualizować zapisy regulaminu pracy o monitoringu

RODO nie wyodrębnia w swoich regulacjach monitoringu, co oznacza, że należy do niego odnosić ogólne reguły przetwarzania danych osobowych zawarte w tym akcie prawnym, a zwłaszcza jego art. 5. Pracodawca ma więc przede wszystkim obowiązek poinformować pracowników o stosowaniu monitoringu, jego podstawie i celach, środkach bezpieczeństwa, okresie przechowywania zebranych tą drogą materiałów oraz ich usuwaniu (pkt 39-40 i pkt 60 preambuły RODO).

Wzór zapisu w regulaminie pracy o monitoringu

1. W celu ………..…………………………………………………..…………………………………………………………….,

(podać cel, np. zapewnienie bezpieczeństwa i higieny pracy)

zgodnie z art. 5 i art. 6 ust. 1 pkt c i f rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz.UE.L.2016.119.1), wprowadza się monitoring ……………………………………………………………………………………………………………………………………………

(określić rodzaj, np. wizyjny, i podać obszar działania, np. pomieszczenia pracy)

………………….………………………………………………………………………………………………………………………,

polegający na …………………………………………………………………………………………………………………….

(podać zakres działania, np. nagrania wideo)

2. Materiały pozyskane z monitoringu będą wykorzystane wyłącznie w celu określonym w pkt 1.

3. Dostęp do materiałów pozyskanych z monitoringu mają jedynie osoby, które są upoważnione do przetwarzania zawartych tam danych.

4. Materiały pozyskane z monitoringu będą przechowywane przez okres …………………………..,

(podać okres, np. 30 dni)

po upływie którego będą niszczone w sposób uniemożliwiający ich odtworzenie.

5. Pracownik, którego dane znajdują się w materiałach pozyskanych z monitoringu, ma prawo dostępu do tych danych oraz prawo ich sprostowania, usunięcia, ograniczenia przetwarzania, a także przysługuje mu prawo do przenoszenia danych i prawo wniesienia sprzeciwu*.

* Jeśli cel monitoringu wymaga zgody pracowników, konieczne jest zamieszczenie informacji o prawie do wycofania tej zgody w każdym czasie.

Jakie nowe dokumenty będą potrzebne w zakresie ochrony danych osobowych

Dla zachowania zgodności z RODO pracodawca lub podmiot przetwarzający dane w jego imieniu powinni prowadzić rejestry czynności przetwarzania (pkt 82 preambuły RODO). Ich część mają stanowić kategorie kandydatów do pracy i pracowników (każda osobno, obok np. zleceniobiorców czy kontrahentów), dla których określa się:

- podstawę prawną przetwarzania danych (Kodeks pracy, przepisy podatkowe i ubezpieczeniowe),

- cel przetwarzania danych (wykonanie obowiązków ze stosunku pracy lub procesu rekrutacji),

- planowany termin usunięcia danych (obecnie zasadniczo w przypadku pracowników 50 lat, ale od 1 stycznia 2019 r. okres ten będzie skrócony w stosunku do części zatrudnionych do 10 lat),

- środki techniczne i organizacyjne zapewniające bezpieczeństwo danych (np. szafa zamykana na klucz, system informatyczny z dostępem hasłowym dla upoważnionych osób).

Jeśli jest to możliwe, taki rejestr powinien mieć postać gotowego programu/pliku informatycznego. To samo dotyczy ewidencji naruszeń ochrony danych osobowych, prowadzących do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych (art. 4 pkt 12 w zw. z art. 33 RODO). Takie naruszenie wymaga bowiem zgłoszenia do organu nadzorczego (obecnie GIODO) i szczegółowego udokumentowania, co oznacza wiele danych, takich jak: data i godzina naruszenia, jego charakter i konsekwencje czy proponowane i podjęte działania przeciw naruszeniu.

Zgodnie z pkt 59 preambuły RODO pracodawca powinien opracować procedurę, która ma ułatwić kandydatom do pracy i pracownikom wykonywanie przysługujących im praw, w tym mechanizmy żądania i gdy ma to zastosowanie - bezpłatnego uzyskiwania w szczególności dostępu do danych osobowych i ich sprostowania lub usunięcia oraz możliwości wykonywania prawa do sprzeciwu. Przepis ten zobowiązuje także do zapewnienia możliwości wnoszenia żądań również drogą elektroniczną oraz udzielania na nie odpowiedzi bez zbędnej zwłoki - najpóźniej w terminie miesiąca, a jeżeli pracodawca nie zamierza spełnić takiego żądania - podania przyczyn odmowy.

Wzór procedury korzystania z praw do ochrony danych osobowych, gwarantowanych przez RODO

Procedura korzystania z praw do ochrony danych osobowych, gwarantowanych przez RODO*

Na podstawie art. 15-21 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz.UE.L.2016.119.1), dalej RODO, określa się poniżej sposób postępowania w sprawie realizacji praw wskazanych w tych przepisach przez kandydatów do pracy i pracowników (dalej uprawnieni) w związku z przetwarzaniem ich danych osobowych przez firmę ……………………………………………………………………………………..,

(wpisać nazwę pracodawcy)

z siedzibą ……………………………………………………………………………………………………………………….,

(wpisać adres pracodawcy)

Poniższe zasady obowiązują od 25 maja 2018 r.

1. Prawo dostępu do danych

1. Uprawniony zgłasza żądanie dostępu do swoich danych osobowych do bezpośredniego przełożonego (w przypadku kandydatów do pracy - do osoby prowadzącej rekrutację). Żądanie może wnieść ustnie, pisemnie lub elektronicznie (przysyłając e-mail lub wypełniając formularz dostępny w intranecie).

2. Uprawniony otrzyma kopię swoich danych osobowych bezpłatnie, w postaci elektronicznej (każdy nośnik elektroniczny, łatwy do odtworzenia, ustalony z uprawnionym), w ciągu 2 dni roboczych od wniesienia żądania.

2. Prawo do sprostowania i uzupełnienia danych

1. Uprawniony zgłasza żądanie sprostowania nieprawidłowych danych osobowych albo ich uzupełnienia do bezpośredniego przełożonego (w przypadku kandydatów do pracy - do osoby prowadzącej rekrutację). Żądanie może wnieść ustnie, pisemnie lub elektronicznie (przysyłając e-mail lub wypełniając formularz dostępny w intranecie).

2. Uprawniony może oczekiwać sprostowania/uzupełnienia danych najpóźniej w następnym dniu roboczym po złożeniu żądania.

3. Prawo do usunięcia danych

1. Uprawniony zgłasza żądanie usunięcia swoich danych osobowych w razie wystąpienia jednej z przyczyn wymienionych w art. 17 ust. 1 RODO do bezpośredniego przełożonego (w przypadku kandydatów do pracy - do osoby prowadzącej rekrutację). Żądanie może wnieść ustnie, pisemnie lub elektronicznie (przysyłając e-mail lub wypełniając formularz dostępny w intranecie).

2. Uprawniony może oczekiwać usunięcia danych najpóźniej w ciągu 7 dni od złożenia żądania, jeśli nie ma powodów do odmowy, wskazanych w art. 17 ust. 3 RODO.

4. Prawo do ograniczenia przetwarzania danych

1. Uprawniony zgłasza żądanie ograniczenia przetwarzania danych osobowych w razie wystąpienia jednej z przyczyn wymienionych w art. 18 ust. 1 RODO do bezpośredniego przełożonego (w przypadku kandydatów do pracy - do osoby prowadzącej rekrutację). Żądanie może wnieść ustnie, pisemnie lub elektronicznie (przysyłając e-mail lub wypełniając formularz dostępny w intranecie).

2. Uprawniony może oczekiwać realizacji żądania najpóźniej w ciągu 7 dni od jego złożenia.

5. Prawo do przenoszenia danych

1. Uprawniony zgłasza żądanie przeniesienia danych osobowych w razie wystąpienia jednej z przyczyn wymienionych w art. 20 ust. 1 RODO do bezpośredniego przełożonego (w przypadku kandydatów do pracy - do osoby prowadzącej rekrutację). Żądanie może wnieść ustnie, pisemnie lub elektronicznie (przysyłając e-mail lub wypełniając formularz dostępny w Intranecie).

2. Uprawniony może oczekiwać realizacji żądania najpóźniej w ciągu 7 dni od jego złożenia.

6. Prawo do sprzeciwu

1. Uprawniony zgłasza sprzeciw do bezpośredniego przełożonego (w przypadku kandydatów do pracy - do osoby prowadzącej rekrutację). Żądanie może wnieść ustnie, pisemnie lub elektronicznie (przysyłając e-mail lub wypełniając formularz dostępny w intranecie).

2. Uprawniony może oczekiwać realizacji żądania najpóźniej w ciągu 7 dni od jego złożenia.

7. Odmowa realizacji prawa

Jeśli pracodawca nie wykona żądania uprawnionego, poinformuje pisemnie lub elektronicznie o przyczynach odmowy któregokolwiek z wyżej wymienionych praw w ciągu 14 dni od otrzymania żądania.

* Wszystkie okresy realizacji praw osób uprawnionych określa pracodawca, pamiętając o maksymalnie 1-miesięcznym terminie wynikającym z pkt 59 preambuły RODO. We wzorze zostały podane jedynie przykładowe terminy.

Które dokumenty pozostają bez zmian lub wymagają formalnych poprawek po wejściu w życie RODO

Zasadniczo dokumenty wymienione w tabeli poniżej mogą zachować swoją dotychczasową treść. Ich aktualizacja będzie co najwyżej spowodowana kwestiami formalnymi, takimi jak utrata mocy obecnej ustawy o ochronie danych osobowych, lub wprowadzaniem nowej ustawy o ochronie danych, jak może to mieć miejsce w przypadku upoważnienia do przetwarzania danych osobowych.

Dokumenty niewymagające aktualizacji w związku z wejściem w życie RODO

Rodzaj dokumentu

Powód braku aktualizacji

Uwagi

Wystawione przez pracodawcę upoważnienia dla osób przetwarzających w jego imieniu dane osobowe kandydatów do pracy i pracowników.

Art. 29 RODO wymaga upoważnienia do przetwarzania danych osobowych w imieniu i na polecenie administratora danych, ale nie konkretyzuje treści takiego dokumentu.

Aktualizacja polegająca na usunięciu informacji o ustawie o ochronie danych osobowych będzie konieczna, jeśli jako podstawa prawna upoważnienia został wpisany w treści tego dokumentu art. 37 tego aktu prawnego, który zniknie z porządku prawnego 25 maja 2018 r. - patrz wzór poniżej.

Ewidencja osób upoważnionych do przetwarzania danych

RODO nie przewiduje takiego dokumentu.

Zmiana może być efektem ustalenia innej zawartości ewidencji niż określona w art. 39 obecnej ustawy o ochronie danych osobowych.

Dokumentacja pracownicza (dokumenty związane ze stosunkiem pracy i akta osobowe)

RODO nie zajmuje się takimi dokumentami.

Zmiany mogą być wynikiem aktualizacji zgód na przetwarzanie danych osobowych i klauzul informacyjnych.

Wzór upoważnienia do przetwarzania danych osobowych

……………………………………………………

(data i miejsce wystawienia)

………………………………..

………………………………..

………………………………..

(nazwa i adres pracodawcy

jako administratora danych)

Upoważnienie do przetwarzania danych osobowych

  1. Zgodnie z art. 29 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE. L. z 2016 r. Nr 119, str.1) upoważniam Pana/Panią ……………………………………………..…………, zatrudnionego na

(podać imię i nazwisko)

stanowisku ………………….…………………………………………..….. do przetwarzania danych

(wpisać stanowisko pracy)

zawartych w dokumentacji pracowniczej oraz innych zbiorach firmy …………………………………………………………………………………………………….………………………

(podać pełną nazwę pracodawcy)

w celu realizacji praw i obowiązków wynikających z procesów rekrutacyjnych i stosunków pracy.

  1. Upoważnienie obejmuje dane osobowe kandydatów do pracy przetwarzane w związku z procesami rekrutacji oraz dane osobowe pracowników i byłych pracowników przetwarzane w związku z ich zatrudnianiem.

  2. Upoważnienie wygasa z chwilą rozwiązania/wygaśnięcia umowy o pracę lub zmiany stanowiska pracy.

  3. W związku z dostępem do danych objętych upoważnieniem obowiązuje zachowanie w tajemnicy przetwarzanych danych osobowych oraz sposobu ich zabezpieczenia.

……………….………………………………….………………………………..

(podpis pracodawcy lub osoby/osób działającej w jego imieniu)

Podstawa prawna:

pkt 32, pkt 39-40, pkt 42, pkt 43, pkt 50, pkt 60, pkt 82, pkt 171 preambuły, art. 4 pkt 11-12, art. 5, art. 6 ust. 1 lit. a i c, art. 7, art. 12-21, art. 28-30, art. 32-36 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE - Dz.Urz. UE. L. z 2016 r. Nr 119, str. 1

art. 7 pkt 5, art. 23, art. 31, art. 37, art. 39 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych - j.t. Dz.U. z 2016 r. poz. 922; ost.zm. Dz.U. z 2018 r. poz. 723

Jadwiga Sztabińska,

prawnik specjalizujący się w prawie pracy, w tym z zakresu sfery budżetowej

Notyfikacje

Czy chcesz otrzymywać informacje o najnowszych szkoleniach? Zgódź się na powiadomienia od wideoakademii

Powiadomienia można wyłączyć w preferencjach systemowych
NIE NIE
TAK TAK