Ochrona danych pracownikw i kandydatw do pracy r

Ochrona danych pracowników i kandydatów do pracy r. pr. Patrycja Kozik audytor wewnętrzny systemu zarządzania bezpieczeństwem informacji wg normy ISO 27001: 2013 Lublin, 7. 04. 18 r.

Plan prezentacji 1. Ochrona danych pracowników i kandydatów do pracy – wprowadzenie 2. Podstawy przetwarzania danych kandydatów 3. Podstawy przetwarzania danych pracowników 4. Przetwarzanie danych pracowników i kandydatów na gruncie RODO i projektów przepisów kodeksu pracy 5. Wymogi RODO istotne z punktu widzenia danych pracowników i kandydatów

Podstawowe akty prawne 1. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych 2. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) 3. Ustawa z dnia 26 czerwca 1974 r. Kodeks pracy. 4. Inne przepisy szczególne

Jakie przepisy należy stosować? Art. 5 UODO Jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw Regulacje szczegółowe nie są kompleksowe W pozostałym zakresie – UODO/RODO Dane kandydatów/pracowników = dane osobowe Jeżeli mamy dane osobowe – zawsze stosujemy UODO, zatem pracodawca/dział HR stosuje zarówno KP jak i UODO/RODO

Kto odpowiada za stosowanie przepisów? Art. 36 ust. 1 UODO Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem administrator danych – podmiot decydujący o celach i środkach przetwarzania danych osobowych (także z sektora publicznego)

Kto odpowiada za stosowanie przepisów? Odpowiada pracodawca, choć pracownika można pociągnąć do odpowiedzialności dyscyplinarnej, czy karnej na zasadach ogólnych UODO. Pracodawca powinien upoważnić pracowników mających dostęp do danych kandydatów do pracy lub pracowników do przetwarzania, także pracowników z działu kadr.

PODSTAWY PRZETWARZANIA DANYCH KANDYDATÓW DO PRACY

Dane kandydatów do pracy Art. 22 (1) § 1 KP: Pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących: 1) imię (imiona) i nazwisko; 2) imiona rodziców; 3) datę urodzenia; 4) miejsce zamieszkania (adres do korespondencji); 5) wykształcenie; 6) przebieg dotychczasowego zatrudnienia.

Dane kandydatów do pracy Pracodawca może żądać podania innych danych osobowych niż określone w § 1 i 2, jeżeli obowiązek ich podania wynika z odrębnych przepisów. W zakresie nieuregulowanym w § 1– 4 do danych osobowych, o których mowa w tych przepisach, stosuje się przepisy o ochronie danych osobowych.

Dane kandydatów do pracy Pracodawca ma prawo żądać wskazanych danych. Pracodawca nie może żądać od osoby ubiegającej się o zatrudnienie podania innych danych osobowych niż tych wskazanych w przepisie lub przepisach szczególnych. Żądanie przez pracodawcę informacji wykraczających poza przepisy może być uznane jako dyskryminujące. Jeżeli pracodawca ma prawo żądać – pracodawca nie powinien zbierać zgody na przetwarzanie danych wynikających z przepisu!!!! Wynika to z art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych, zgodnie z którym przetwarzanie danych jest

Dekalog rekrutera opublikowany przez GIODO – NIC POZA KATALOG Pozyskiwanie danych osobowych potencjalnych pracowników musi odbywać się w sposób zgodny z prawem (zasada legalizmu – art. 26 ust. 1 pkt 1 ustawy o ochronie danych osobowych), a więc z zachowaniem jednej z przesłanek określonych w art. 23 tej ustawy. Zakres danych osobowych, jakich może żądać zatrudniający w procesie rekrutacji, jest wyraźnie wskazany w art. 22[1] ustawy – Kodeks pracy. Pracodawca może zatem domagać się informacji o: imieniu (imionach) i nazwisku, imionach rodziców, dacie urodzenia, miejscu zamieszkania (adres do korespondencji), wykształceniu, przebiegu dotychczasowego zatrudnienia. Wskazany katalog jest katalogiem zamkniętym, co oznacza, że co do zasady pracodawca nie ma prawa pozyskiwać innych informacji, np. dotyczących stanu cywilnego (szerszy

A co ze zgodami od kandydatów do pracy? Wypowiedzi prasowe GIODO (29. 09. 2015 r. ) : Czasem to także sami pracownicy lub kandydaci do zatrudnienia z własnej inicjatywy przekazują firmom więcej informacji o sobie, niż wskazują przepisy. Dotyczy to w szczególności osób biorących udział w rekrutacji do pracy – w ten sposób chcą wyróżnić się spośród tłumu kandydatów. Wykazują dodatkowe umiejętności, wykształcenie, ukończone kursy nawet niezwiązane ze stanowiskiem, na które aplikują. Prawo im tego nie zabrania. Sporadycznie wyrażane są poglądy, że firma powinna takie informacje usunąć, zanim zacznie przetwarzać dane konkretnej osoby. Moim zdaniem nie jest to opinia słuszna. Artykuł 22[1] wskazuje, jakich danych pracodawca może żądać od pracownika, ale to nie oznacza, że zatrudniony lub kandydat do pracy z

Zgody – kandydaci Zgoda nie może być wymuszona! A co z przyszłymi rekrutacjami? Jak długo możemy przechowywać CV?

Zgody – kandydaci – dekalog rekrutera: Jeżeli podstawą przetwarzania danych jest zgoda kandydata do pracy – np. na wykorzystanie ich dla celów innych, przyszłych rekrutacji – należy pamiętać, że prawidłowo wyrażona zgoda powinna spełniać kryteria określone w art. 7 pkt 5 ustawy o ochronie danych osobowych. Powinna ona być wyrażona w sposób jasny i wyraźny, nie może być domniemana ani dorozumiana. Ważne jest, aby zgoda dotyczyła przetwarzania danych w konkretnym, wskazanym przez administratora danych celu, a nie przetwarzania danych „w ogóle”. Formuła zgody na przetwarzanie danych osobowych powinna zatem stanowić odrębne oświadczenie osoby, której dane dotyczą, zaś z jej treści w sposób niebudzący wątpliwości powinno wynikać w jakim celu, w jakim zakresie i przez kogo dane osobowe będą przetwarzane. Wyrażający zgodę musi mieć pełną świadomość tego na co się godzi. Podkreślić przy tym należy, że zgoda musi zostać podjęta swobodnie i zgodnie z art. 7 pkt 5 ustawy o ochronie danych osobowych, może być w każdym czasie odwołana. Jednak w wielu przypadkach zdarza się, że zgoda na przetwarzanie danych osobowych bywa wymuszana, co jest

Rekrutacja – inne problemy Czy można żądać od kandydata informacji o niekaralności? Czy można żądać CV ze zdjęciem? Czy można żądać przesłania skanu dowodu osobistego? Czy można utworzyć „czarną listę” kandydatów którzy nam się nie spodobali bo nie przyszli na spotkanie lub zachowali się nie odpowiednio? Czy można prowadzić rekrutację „ukrytą” ?

Rekrutacja – obowiązki pracodawcy • Przetwarzanie danych kandydatów do pracy powinno być zgodne z wszystkimi zasadami przetwarzania danych osobowych (legalność, celowość, adekwatność etc. ) • Niezależnie od podstawy przetwarzania – należy spełnić obowiązek informacyjny! art. 24/25 uodo • Należy odpowiednio zorganizować proces rekrutacyjny i należycie zabezpieczyć dokumentację rekrutacyjną • Należy zapewnić realizację praw podmiotów danych (pracowników/kandydatów) • Należy zawrzeć umowę powierzenia danych np. gdy korzystamy z portalu do rekrutacji, czy agencji rekrutacyjnej • Należy spełnić wymogi dot. transferu do państw trzecich – co jeśli rekrutujemy na obszarze Holandii?

PODSTAWY PRZETWARZANIA DANYCH PRACOWNIKÓW

Pracownicy – zakres danych § 2. Pracodawca ma prawo żądać od pracownika podania, niezależnie od danych osobowych, o których mowa w § 1, także: 1) innych danych osobowych pracownika, a także imion i nazwisk oraz dat urodzenia dzieci pracownika, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy; 2) numeru PESEL pracownika nadanego przez Rządowe Centrum Informatyczne Powszechnego Elektronicznego Systemu Ewidencji Ludności (RCI PESEL). § 3. Udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której one dotyczą. Pracodawca ma prawo żądać udokumentowania danych osobowych osób, o których mowa w § 1 i 2.

Pracownicy – zakres danych Czy pracodawca może wykorzystać zdjęcie pracownika do umieszczenia go na swojej stronie internetowej? Czy może opublikować imię i nazwisko pracownika oraz służbowy adres e-mail na swojej stronie internetowej?

Pracownicy – zakres danych wyrok Sądu Najwyższego z dnia 19 listopada 2003 r. o sygn. I PK 590/02 „nazwisko i imię jest skierowanym na zewnątrz znakiem rozpoznawczym osoby fizycznej i ujawnienie go w celu jej identyfikacji nie może być zasadniczo uznane za bezprawne, o ile nie łączy się z naruszeniem innego dobra osobistego, np. czci, prywatności lub godności osobistej. Ujawnienie przez pracodawcę nazwiska (imienia) pracownika bez jego zgody nie stanowi bezprawnego naruszenia dobra osobistego, jeżeli jest usprawiedliwione zadaniami i obowiązkami pracodawcy związanymi z prowadzeniem zakładu, jest niezbędne i nie narusza praw oraz wolności pracownika”

Pracownicy – zakres danych wyrok Sądu Najwyższego z dnia 19 listopada 2003 r. o sygn. I PK 590/02 „najistotniejszym składnikiem zakładu pracy (przedsiębiorstwa) są ludzie, a funkcjonowanie zakładu wiąże się nierozłącznie z kontaktami zewnętrznymi – kontrahentami, klientami (. . . ). Dlatego pracodawca nie może być pozbawiony możliwości ujawniania nazwisk pracowników, zajmujących określone stanowiska w ramach instytucji. Przeciwne stanowisko prowadziłoby do sparaliżowania lub poważnego ograniczenia możliwości działania pracodawcy, bez żadnego rozsądnego uzasadnienia w ochronie interesów i praw pracownika (. . . ). Imiona i nazwiska pracowników widnieją na drzwiach w zakładach pracy, umieszcza się je na pieczątkach imiennych, pismach sporządzanych w związku z pracą,

Pracownicy – zakres danych Czy kadry mogą przekazać dane pracownika zatrudnionego w spółce innemu pracownikowi? W jakiej sytuacji? Czy można przetwarzać nazwisko rodowe matki? Oceń z perspektywy zasad ogólnych

Pracownicy – zakres danych Czy można pobierać odciski palców do ewidencji czasu pracy?

Pracownicy – zakres danych Biometria a czas pracy GIODO odnosił się do tego problemu, uznając, że nie jest dopuszczalne pobieranie odcisków palców dla potrzeb ewidencjonowania czasu pracy. Można bowiem stosować inne, mniej dolegliwe sposoby mierzenia godzin wykonywania obowiązków pracowniczych. A co z biometrią w innym celu?

Pracownicy – zakres danych Czy można wykorzystywać monitoring do oceny wydajności pracownika? A co z monitoringiem poczty?

Pracownicy – zakres danych GIODO: W przypadku monitoringu celem tym jest zapewnienie bezpieczeństwa i porządku publicznego oraz ochrony osób i mienia, nie zaś nadzór nad efektywnością czy wydajnością wykonywanej przez pracownika pracy. Co więcej, w art. 22¹ Kodeksu pracy (Dz. U. z 1998 r. Nr 21 poz. 94 z późn. zm. ) określono zasadniczy katalog danych osobowych pracownika, które mogą być przetwarzane przez pracodawcę. Nie ma wśród nich danych pozyskiwanych za pomocą monitoringu wizyjnego

Pracownicy – zakres danych GIODO: „Pracodawca powinien poinformować pracownika o tym, że zamierza nadzorować jego służbową pocztę, a następnie podzielić korespondencję na prywatną, do której nie ma prawa wglądu, i służbową, którą może kontrolować. Musi jednak tak wyważyć stopień nadzoru, aby nie naruszać dóbr osobistych pracownika”.

Pracownicy – zakres danych Czy pracodawca może potwierdzić telefonicznie zarobki pracownika pracownikowi Banku w którym pracownik ubiega się o kredyt? Czy może odmówić udzielenia informacji?

Pracownicy – zakres danych pismo Narodowego Banku Polskiego do Generalnego Inspektora Nadzoru Bankowego z dnia 6 kwietnia 2001 r. (NB/BPN/I/214/01) skierowane do osób kierujących bankami, które zawiera stwierdzenie, iż „przepisy ustawy - Prawo bankowe i ustawy o ochronie danych osobowych nie przewidują telefonicznej formy pozyskiwania żądanych informacji. Banki nie mogą więc uzależniać przyznania kredytu od udzielenia informacji w tej formie”.

Pracownicy – zakres danych GIODO: „W związku z taką praktyką niezbędne jest – w ocenie Generalnego Inspektora Ochrony Danych Osobowych – przyjęcie takiego rozwiązania (formy potwierdzania danych), które całkowicie wyeliminuje możliwość udostępnienia tych danych osobie innej, niż pracownik określonej instytucji, a więc osobie nieupoważnionej. Zatem, osoba udzielająca informacji w zakresie danych osobowych musi potwierdzić tożsamość swojego rozmówcy, by z całą pewnością móc stwierdzić, że osoba telefonująca do niej w celu zweryfikowania danych jest rzeczywiście przedstawicielem określonej instytucji, w imieniu której posiada upoważnienie do uzyskania podanych informacji”.

Dane pracowników – obowiązki pracodawcy • Przetwarzanie danych pracowników do pracy powinno być zgodne z wszystkimi zasadami przetwarzania danych osobowych (legalność, celowość, adekwatność etc. ) • Niezależnie od podstawy przetwarzania – należy spełnić obowiązek informacyjny! art. 24/25 uodo • Należy odpowiednio zorganizować dokumentację kadrową, w tym zapewnić jej bezpieczeństwo • Należy zapewnić realizację praw podmiotów danych (pracowników) • Należy zawrzeć umowę powierzenia danych np. gdy korzystamy z zewnętrznej firmy HR czy zewnętrznej księgowości

Dane pracowników – obowiązki pracodawcy – co jeszcze? • Należy przeszkolić pracowników przed ich dopuszczeniem do przetwarzania danych osobowych • Należy zapoznać pracowników z dokumentacją przetwarzania danych u Administratora i odebrać od nich oświadczenie, że zapoznali się z dokumentacją! • Należy nadać pracownikom upoważnienia do przetwarzania danych w niezbędnym zakresie (ewidencja upoważnień) • Należy zobowiązać pracowników do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia • Należy wdrożyć polityki, które ułatwią pracownikom przetwarzanie danych zgodnie z przepisami

PODSTAWY PRZETWARZANIA DANYCH KANDYDATÓW DO PRACY na gruncie RODO

Nowa ustawa o ochronie danych osobowych a prawo pracy Motyw 155: W prawie państwa członkowskiego lub w porozumieniach zbiorowych, w tym zakładowych porozumieniach z przedstawicielami pracowników, mogą być przewidziane przepisy szczegółowe o przetwarzaniu danych osobowych pracowników w związku z zatrudnieniem, w szczególności warunki, na których dane osobowe w związku z zatrudnieniem można przetwarzać za zgodą pracownika do celów procedury rekrutacyjnej, wykonywania umowy o pracę, w tym wykonywania obowiązków określonych w przepisach lub w porozumieniach zbiorowych, zarządzania, planowania i organizacji pracy, równości i różnorodności w miejscu pracy, bezpieczeństwa i higieny pracy oraz do celów indywidualnego lub zbiorowego wykonywania praw i korzystania ze świadczeń związanych z zatrudnieniem, a także

RODO – Nowa ustawa a podstawy prawne przetwarzania Artykuł 88 Przetwarzanie w kontekście zatrudnienia Państwa członkowskie mogą zawrzeć w swoich przepisach lub w porozumieniach zbiorowych bardziej szczegółowe przepisy mające zapewnić ochronę praw i wolności w przypadku przetwarzania danych osobowych pracowników w związku z zatrudnieniem, w szczególności: § do celów rekrutacji, § wykonania umowy o pracę, w tym wykonania obowiązków określonych przepisami lub porozumieniami zbiorowymi, zarządzania, planowania i organizacji pracy, równości i różnorodności w miejscu pracy, bezpieczeństwa i higieny pracy, ochrony własności pracodawcy lub klienta, § do celów indywidualnego lub zbiorowego wykonywania praw i korzystania ze świadczeń związanych z zatrudnieniem,

RODO a nowa ustawa o ochronie danych osobowych

RODO – Nowa ustawa a podstawy prawne przetwarzania Projekt przepisów z 12 września 2017 https: //www. gov. pl/documents/31305/0/ustawa__przepisy_wprowadzajace_ustawe_o_ochronie_danych_osobow ych_-_13. 09. 2017. pdf/564 d 020 d-d 970 -cce 5 -9 b 643805 e 1 a 1 f 1 da (Strona 2 do 5) Projekt przepisów z 28 marca 2018 https: //legislacja. rcl. gov. pl/docs//2/12302951/12457722/1245 7723/dokument 335453. pdf (strona 7 do 11)

Projektowane przepisy KP Obowiązujący Kodeks Pracy Projekt zmian z dnia 12. Września 2017 r. Projekt zmian z dnia 28 marca 2018 r. Art. 22 (1) § 1. Pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących: 1) imię (imiona) i nazwisko; 2) imiona rodziców; 3) datę urodzenia; 4) miejsce zamieszkania (adres do korespondencji); 5) wykształcenie; 6) przebieg dotychczasowego zatrudnienia. Art. 22 (1) § 1. Pracodawca żąda od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących: 1) imię (imiona) i nazwisko; 2) datę urodzenia; 3) adres do korespondencji; 4) adres poczty elektronicznej albo numer telefonu; 5) wykształcenie; 6) przebieg dotychczasowego zatrudnienia. (brak obowiązku podania imion rodziców) „Art. 22 (1). § 1. Pracodawca żąda od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących: 1) imię (imiona) i nazwisko; 2) datę urodzenia; 3) dane kontaktowe wskazane przez taką osobę; 4) wykształcenie; 5) przebieg dotychczasowego zatrudnienia. (brak obowiązku podania imion rodziców)

RODO – PODSTAWY PRAWNE PRZETWARZANIA 1. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; 2. osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; 3. przetwarzanie jest niezbędne do wypełnienia prawnego ciążącego na administratorze; obowiązku 4. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; 5. przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; 6. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe

PODSTAWY PRAWNE PRZETWARZANIA - REKRUTACJE Zamknięty katalog danych zbieranych na podstawie przepisów k. p. + przepisy szczególne 1) imię (imiona) i nazwisko; 2) datę urodzenia; 3) dane kontaktowe wskazane przez taką osobę; 4) wykształcenie; 5) przebieg dotychczasowego zatrudnienia. Z katalogu danych kandydata wyłączono: ü imiona rodziców ü adres zamieszkania

PODSTAWY PRAWNE PRZETWARZANIA - REKRUTACJE Zamknięty katalog danych zbieranych na podstawie przepisów k. p. + przepisy szczególne § 3. Pracodawca żąda podania innych danych osobowych niż określone w § 1 i 2, gdy jest to niezbędne do wypełniania obowiązku pracodawcy nałożonego przepisem prawa Udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której one dotyczą. Pracodawca może żądać udokumentowania danych osobowych osób, o których mowa w § 1 i 2, w zakresie niezbędnym do ich potwierdzenia

PODSTAWY PRAWNE PRZETWARZANIA - REKRUTACJE § Przepis szczególny, ale czy tylko? Projekt zmiany z dnia 12. Września 2017 r. Projekt zmiany z dnia 28 marca 2018 r. „Art. 222 § 1. Przetwarzanie przez pracodawcę innych danych osobowych niż wymienione w art. 221 § 1 i 2 jest dopuszczalne tylko wtedy, gdy dotyczą one stosunku pracy i osoba ubiegająca się o zatrudnienie lub pracownik wyrazi na to zgodę w oświadczeniu złożonym w postaci papierowej lub elektronicznej. „Art. 22[2]. § 1. Przetwarzanie przez pracodawcę innych danych osobowych niż wymienione w art. 221 § 1 i 2 jest dopuszczalne za zgodą osoby ubiegającej się o zatrudnienie lub pracownika i tylko wtedy, gdy jest to dla nich korzystne.

Warunki wyrażenia zgody Projekt zmiany z dnia 12. Września 2017 r. Projekt zmiany z dnia 28 marca 2018 r. § 3. Brak zgody, o której mowa w § 1 i 2, nie może być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a także nie może powodować wobec nich jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenia stosunku pracy lub jego rozwiązania bez wypowiedzenia przez pracodawcę. § 2. Brak zgody, o której mowa w § 1 lub jej wycofanie, nie może być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a także nie może powodować wobec nich jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenie umowy o pracę lub jej rozwiązanie bez wypowiedzenia przez pracodawcę

ZGODA C. D. Przetwarzanie danych za zgodą - dotyczy danych osobowych udostępnianych przez osobę ubiegającą się o zatrudnienie lub pracownika na wniosek pracodawcy lub danych osobowych przekazanych pracodawcy z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika Kiedy można przetwarzać dane dodatkowe? ü Zgoda ü Przepis szczególny A co z danymi wrażliwymi? Co z uzasadnionym interesem?

Warunki wyrażenia zgody Projekt zmiany z dnia 12. Września 2017 r. Projekt zmiany z dnia 28 marca 2018 r. § 5. Przetwarzanie danych osobowych obejmujących dane: 1) o nałogach; 2) o stanie zdrowia; 3) o życiu seksualnym lub orientacji seksualnej −nie jest możliwe nawet za zgodą, o której mowa w § 1. Art. 22[3]. § 1. Przetwarzanie danych osobowych, o których mowa w art. 9 ust. 1 i art. 10 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4. 05. 2016, str. 1), zwanego dalej „rozporządzeniem 2016/679”, jest dopuszczalne tylko wtedy, gdy jest to niezbędne do wypełniania obowiązku pracodawcy nałożonego przepisem prawa.

PODSTAWY PRAWNE PRZETWARZANIA - REKRUTACJE Projekt z 12 września nie wykluczał pozyskiwania informacji innych niż o: § nałogach § stanie zdrowia § życiu seksualnym lub orientacji seksualnej Na podstawie zgody. • Przepis szczególny • ZGODA ALE Zasada minimalizacji Dane muszą być: (…) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”); Nowy projekt – przepis prawa

PODSTAWY PRZETWARZANIA DANYCH PRACOWNIKÓW na gruncie RODO

Obowiązujący Kodeks Pracy Projekt zmian z dnia 12. Września 2017 r. Projekt zmian z dnia 28 marca 2018 r. . Pracodawca ma prawo żądać od § 2. Pracodawca żąda od pracownika podania, niezależnie pracownika podania danych pracownika podania dodatkowo od danych osobowych, o których osobowych obejmujących: danych osobowych mowa w § 1, także: 1) adres zamieszkania; obejmujących: 1) innych danych osobowych 2) numer PESEL, a w przypadku 1) adres zamieszkania; pracownika, a także imion i jego braku – rodzaj i numer 2) numer PESEL, a w przypadku nazwisk oraz dat urodzenia dzieci dokumentu potwierdzającego jego braku – rodzaj i numer pracownika, jeżeli podanie takich tożsamość; dokumentu potwierdzającego danych jest konieczne ze 3) inne dane osobowe tożsamość; względu na korzystanie przez pracownika, a także dane 3) inne dane osobowe pracownika ze szczególnych osobowe dzieci pracownika, a także dane uprawnień przewidzianych w innych członków jego najbliższej osobowe dzieci pracownika i prawie pracy; rodziny, jeżeli podanie takich innych członków jego najbliższej 2) numeru PESEL pracownika danych jest konieczne ze względu rodziny, jeżeli podanie takich nadanego przez Rządowe na korzystanie przez pracownika danych jest konieczne ze Centrum Informatyczne ze szczególnych uprawnień względu na korzystanie przez Powszechnego Elektronicznego przewidzianych w prawie pracy. pracownika ze szczególnych Systemu Ewidencji Ludności (RCI uprawnień przewidzianych w PESEL). prawie pracy.

PODSTAWY PRAWNE PRZETWARZANIA - ZATRUDNIENIE Udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której one dotyczą. Pracodawca żąda udokumentowania danych, jeżeli uzna za konieczne ich potwierdzenie. Inne dane - gdy jest to niezbędne do wypełniania obowiązku pracodawcy nałożonego przepisem prawa + „Art. 22[2]. § 1. Przetwarzanie przez pracodawcę innych danych osobowych niż wymienione w art. 221 § 1 i 2 jest dopuszczalne za zgodą osoby ubiegającej się o zatrudnienie lub pracownika i tylko wtedy, gdy jest to dla nich korzystne. Brak zgody – brak negatywnych konsekwencji Dane szczególnych kategorii – przetwarzanie dopuszczalne tylko wtedy, gdy jest to niezbędne do wypełniania obowiązku

PODSTAWY PRAWNE PRZETWARZANIA - ZATRUDNIENIE Dane szczególnych kategorii – przetwarzanie dopuszczalne tylko wtedy, gdy jest to niezbędne do wypełniania obowiązku pracodawcy nałożonego przepisem prawa. A co z danymi biometrycznymi?

PODSTAWY PRAWNE PRZETWARZANIA - ZATRUDNIENIE Projekt z 28. 03. 2018: Przetwarzanie danych biometrycznych pracownika jest dopuszczalne także wtedy, gdy podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę lub dostępu do pomieszczeń wymagających szczególnej ochrony. Dane biometryczne pracownika! czyli nie-kandydata W projekcie z 12 września 2017 było: . Przetwarzanie przez pracodawcę danych biometrycznych obejmuje tylko dane osobowe pracownika, jeśli dotyczą one

Monitoring Projekt zmiany z dnia 12. Września 2017 r. Projekt zmiany z dnia 28 marca 2018 r. Art. 224. § 1. Dla zapewnienia bezpieczeństwa pracowników lub ochrony mienia lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę, pracodawca podejmuje decyzję o wprowadzeniu szczególnego nadzoru nad miejscem pracy lub terenem wokół zakładu pracy w postaci środków technicznych umożliwiających rejestrację obrazu (monitoring), jeżeli uzna to za koniczne. Monitoring nie może stanowić środka kontroli wykonywania pracy przez pracownika. Art. 22[4]. § 1. Jeżeli jest to niezbędne do zapewnienia bezpieczeństwa pracowników lub ochrony mienia lub kontroli produkcji lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę, pracodawca może wprowadzić szczególny nadzór nad terenem zakładu pracy lub terenem wokół zakładu pracy w postaci środków technicznych umożliwiających rejestrację obrazu (monitoring).

Monitoring Projekt zmiany z dnia 12. Września 2017 r. Projekt zmiany z dnia 28 marca 2018 r. § 2. Monitoring nie obejmuje pomieszczeń, które nie są przeznaczone do wykonywania pracy, w szczególności pomieszczeń sanitarnych, szatni, stołówek lub palarni. § 2. Monitoring nie obejmuje pomieszczeń sanitarnych, szatni, stołówek, palarni lub pomieszczeń udostępnianych zakładowej organizacji związkowej, chyba, że stosowanie monitoringu w tych pomieszczeniach jest niezbędne do realizacji celu określonego § 1 i nie naruszy to godności oraz innych dóbr osobistych pracownika, a także zasady wolności i niezależności związków zawodowych, w szczególności poprzez zastosowanie technik uniemożliwiających rozpoznanie przebywających w tych pomieszczeniach osób.

Monitoring Projekt zmiany z dnia 12. Września 2017 r. Projekt zmiany z dnia 28 marca 2018 r. § 3. Dane osobowe uzyskane w wyniku zastosowania monitoringu pracodawca przetwarza wyłącznie do celów, dla których zostały zebrane i przechowuje przez okres niezbędny dla realizacji tych celów. § 3. Nagrania obrazu pracodawca przetwarza wyłącznie do celów, dla których zostały zebrane i przechowuje przez okres nieprzekraczający 3 miesięcy. § 4. W przypadku, w którym nagrania obrazu stanowią dowód w postępowaniu lub pracodawca powziął wiadomość, iż mogą one stanowić dowód w postępowaniu, termin określony w § 3 ulega przedłużeniu do czasu prawomocnego zakończenia postepowania. § 5. Po upływie okresów, o których mowa w § 3 lub 4, uzyskane w wyniku monitoringu nagrania obrazu, podlegają zniszczeniu.

Monitoring Projekt zmiany z dnia 12. Września 2017 r. Projekt zmiany z dnia 28 marca 2018 r. § 4. Pracodawca informuje pracowników o wprowadzeniu monitoringu, w sposób przyjęty u danego pracodawcy nie później niż 14 dni przed uruchomieniem monitoringu. Pracodawca przed dopuszczeniem pracownika do pracy informuje go o stosowaniu monitoringu. ”; § 6. Cele, zakres oraz sposób zastosowania monitoringu ustala się w układzie zbiorowym pracy lub w regulaminie pracy albo w obwieszczeniu, jeżeli pracodawca nie jest objęty układem zbiorowym pracy lub nie jest obowiązany do ustalenia regulaminu pracy. § 7. Pracodawca informuje pracowników o wprowadzeniu monitoringu, w sposób przyjęty u danego pracodawcy, nie później niż 2 tygodnie przed jego uruchomieniem. § 8. Pracodawca przed dopuszczeniem pracownika do pracy przekazuje mu na piśmie informacje, o których mowa w § 6. § 9. W przypadku wprowadzenia monitoringu pracodawca oznacza pomieszczenia monitorowane w sposób widoczny i czytelny, za pomocą odpowiednich znaków lub ogłoszeń dźwiękowych, nie później niż jeden dzień przed jego uruchomieniem. § 10. Przepis § 9 nie narusza rozporządzenia 2016/679. art. 12 i 13

PODSTAWY PRAWNE PRZETWARZANIA - ZATRUDNIENIE Art. 22[5]. § 1. Jeżeli jest to niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy, pracodawca może wprowadzić kontrolę służbowej poczty elektronicznej pracownika (monitoring poczty elektronicznej). § 2. Monitoring poczty elektronicznej nie może naruszać tajemnicy korespondencji oraz innych dóbr osobistych pracownika. § 3. Przepis art. 224§ 6 - 10 stosuje się odpowiednio § 4. Przepisy § 1 – 3 stosuje się odpowiednio do innych form

CO JESZCZE? DPIA

RODO – CO JESZCZE? Data Protection Impact Assessment (DPIA) Zgodnie z powyżej wskazaną koncepcją, w przypadku wdrożenia w Spółce procesów z którymi związane jest przetwarzanie danych mogące skutkować wysokim prawdopodobieństwem naruszania praw lub wolności osób fizycznych, przed rozpoczęciem przetwarzania należy przeprowadzić sformalizowaną ocenę wpływu procesu na ochronę danych osobowych. Przykładem takiego procesu związanego z ryzykiem naruszenia praw lub wolności jest monitorowanie na dużą skalę miejsc dostępnych publicznie.

RODO – OCENTA SKUTKÓW Ocena skutków dla ochrony danych jest wymagana w szczególności w przypadku: a) systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną; b) przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10; lub c) systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

RODO – OCENTA SKUTKÓW Grupa robocza art. 29 Dane przetwarzane na dużą skalę: w RODO nie zawarto definicji pojęcia „przetwarzanie na dużą skalę”, choć w motywie 91 przedstawiono pewne wskazówki w tym zakresie. W każdym razie Grupa Robocza Art. 29 zaleca, aby przy ustalaniu, czy przetwarzanie danych odbywa się na dużą skalę, wziąć pod uwagę w szczególności następujące czynniki: a. liczbę osób, których dane dotyczą – wyrażoną jako konkretna wartość albo jako odsetek populacji odniesienia; b. ilość danych lub zakres poszczególnych przetwarzanych pozycji danych; c. czas trwania lub trwałość czynności przetwarzania danych; d. zakres geograficzny czynności przetwarzania.

RODO – OCENTA SKUTKÓW Jak wskazuje wyrażenie „w szczególności” w zdaniu wprowadzającym w art. 35 ust. 3 RODO, wymienione przykłady nie stanowią wyczerpującego wykazu. Mogą występować operacje przetwarzania „wysokiego ryzyka”, których nie uwzględniono w wykazie, lecz stwarzają równie wysokie ryzyko. Wspomniane operacje przetwarzania powinny również podlegać ocenom skutków dla ochrony danych. Przykład wskazany przez Grupę roboczą w opinii o ocenie skutków: przedsiębiorstwo systematycznie monitoruje działania swoich pracowników, m. in. ich stanowiska pracy i aktywność w internecie, z uwagi na: - systematyczne monitorowanie - dane dotyczące osób wymagających szczególnej opieki, których dane dotyczą

RODO – OCENTA SKUTKÓW W ASPEKCIE DANYCH PRACOWNICZYCH Zgodnie z dokumentem GIODO „proponowany wykaz rodzajów przetwarzania wymagających przeprowadzenia oceny skutków” https: //www. giodo. gov. pl/pl/1520281/10430 (wersja podlega konsultacjom) Przykłady operacji/zakresu danych/okoliczności, w których może wystąpić wysokie ryzyko naruszenia dla danego rodzaju operacji przetwarzania: - przetwarzanie danych spoza zbioru określonego w Kodeksie pracy na podstawie zgody pracownika - Systemy służące do zgłaszania nieprawidłowości (związanych np. z korupcją, mobbingiem) – w szczególności, gdy przetwarzane są w nim dane pracowników. - Systemy monitorowania czasu pracy oraz przepływu informacji w wykorzystywanych przez pracowników narzędziach (np. poczcie elektronicznej, Internecie) i oceny

PRAWA PODMIOTÓW DANYCH

RODO – KOMUNIKACJA Z PODMIOTEM DANYCH Prowadzenie komunikacji z podmiotem danych 1. Obowiązki informacyjne 2. Prawo dostępu przysługujące osobie, której dane dotyczą 3. Sprostowanie i usuwanie danych 4. Prawo do ograniczenia przetwarzania 5. Prawo do przenoszenia danych 6. Prawo do sprzeciwu 7. Prawo do niepodlegania zautomatyzowanemu podejmowaniu decyzji w tym profilowaniu

RODO – OBOWIĄZEK INFORMACYJNY Rozporządzenie ogólne o ochronie danych osobowych, które zacznie być stosowane od 25 maja 2018 roku, nakłada na administratorów danych osobowych (w tym na pracodawców) obowiązek przekazania osobom, od których dane są zbierane (np. kandydatom do pracy) bardzo wielu informacji (art. 13 i 14 RODO) Obowiązki informacyjne względem kandydata powstają niezależnie od konieczności zapewnienia odpowiedniej podstawy do przetwarzania ich danych (np. przepisu prawa pracy). Oznacza to, że niezależnie od tego, czy administrator będzie przetwarzał dane w oparciu o zgodę, czy np. w celu realizacji ciążącego na nim obowiązku prawnego, będzie musiał przekazać kandydatowi/pracownikowi informacje wymagane Rozporządzeniem. Wyjątkiem będzie wyłącznie sytuacja, w której osoba, której dane dotyczą, będzie już dysponować

RODO – OBOWIĄZEK INFORMACYJNY • Nowa treść obowiązku informacyjnego - zgodna z wymogami art. 13 i 14 RODO (w zakresie treści) • Obowiązek zapewnienia przejrzystości przetwarzania – zgodnie z art 12 RODO (sposób przekazania informacji) Informacje zawarte w klauzuli powinny być przekazane w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą (art. 12 Rozporządzenia).

RODO – OBOWIĄZEK INFORMACYJNY Niezależnie od wybranej formy przekazania informacji, pracodawcy powinni zwrócić uwagę na konieczność zapewnienia rozliczalności, tj. powinni być w stanie wykazać, że zrealizowali obowiązek informacyjny zgodnie z przepisami prawa. Zasadę rozliczalności pracodawcy powinni uwzględnić w zakresie momentu spełnienia obowiązku informacyjnego, który jak wskazuje art. 13 Rozporządzenia, powinien być zrealizowany podczas pozyskiwania danych. Będzie to np. moment wypełniania formularza aplikacyjnego przez kandydata w odpowiedzi na zamieszone przez pracodawcę ogłoszenie o pracy. Dla wielu pracodawców spełnienie obowiązku informacyjnego będzie wymagało zmiany wewnątrz organizacji np. w postaci stworzenia procedury przyjmowania papierowych CV na

RODO – PRAWO DOSTĘPU DO DANYCH Prawo dostępu do danych – elementy: 1. Żądanie uzyskania zindywidualizowanych informacji 2. Żądanie dostępu do danych osobowych; 3. Żądanie uzyskania kopii danych osobowych Co z notatkami rekrutera na CV?

RODO – PRAWO DOSTĘPU DO DANYCH.

WSPÓŁPRACA Z INNYMI PODMIOTAMI

Rodo a współpraca z podwykonawcami Określenie roli w ramach współpracy z danym podmiotem ma znaczenie z punktu widzenia: § odpowiedzialności § realizacji obowiązku informacyjnego § zapewnienia podstaw prawnych współpracy Procesor oznacza podmiot, który przetwarza dane osobowe na zlecenie administratora np. agencja rekrutacyjna Administrator oznacza podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych np. danych osobowych swoich pracowników

Rodo a współpraca z podwykonawcami Wybór procesora - komu można dane powierzyć na gruncie RODO? Podmiotom, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą. Należy zweryfikować czy procesor zapewnia wystarczające gwarancje i być w stanie to wykazać

Rodo a współpraca z podwykonawcami Należy zawrzeć z procesorem umowę powierzenia zgodną z RODO Umowa powierzenia na gruncie uodo: cel i zakres zgodnie z art. 28 rodo, umowa powierzenia powinna określać: przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych, kategorie osób, których dane dotyczą, obowiązki i prawa administratora, a także obowiązki procesora, których przykładowe wyliczenie zawiera ustęp 3 wskazanego artykułu. Można powierzyć zbieranie zgód

Procesor a odbiorca Art. 13 ust. 1 lit. e RODO należy w ramach obowiązku informacyjnego należy podać (…) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją; „odbiorca” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią „strona trzecia” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe

Odbiorca W niektórych relacjach może dochodzić do udostępnienia danych (przekazania danych między dwoma administratorami) np. udostępnienie danych pracownika do ZUS/US, udostępnienie danych pracownika innej spółce z grupy Administrator jest odbiorcą (obowiązek informacyjny) Należy mieć podstawę do udostępnienia danych np. obowiązek wynikający z przepisu prawa Jeżeli otrzymamy dane od innego administratora – obowiązek informacyjny z art. 14 RODO

Relacje w ramach grupy W zależności od sytuacji w ramach grupy podmiotów może dochodzić do: - powierzenia danych między spółkami (administrator- procesor) - udostępnienia danych między spółkami (administrator – administrator) - współadministrowania danymi (współadministrator – współadministrator) Jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami.

Współadministratorzy W drodze wspólnych uzgodnień współadministratorzy w przejrzysty sposób określają odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z rozporządzenia, w szczególności w odniesieniu do wykonywania przez osobę, której dane dotyczą, przysługujących jej praw, oraz ich obowiązków w odniesieniu do podawania informacji, o których mowa w art. 13 i 14 (…). W uzgodnieniach można wskazać punkt kontaktowy dla osób, których dane dotyczą. Uzgodnienia należycie odzwierciedlają odpowiednie zakresy obowiązków współadministratorów oraz relacje pomiędzy nimi a podmiotami, których dane dotyczą. Zasadnicza treść uzgodnień jest udostępniana podmiotom, których dane dotyczą. Osoba, której dane dotyczą, może wykonywać przysługujące

JAK SIĘ PRZYGOTOWAĆ?

Wniosek – należy zweryfikować: § Jakie procesy rekrutacyjne prowadzone są w organizacji Np. : rekrutacja prowadzone poprzez portale internetowe poprzez zakładkę „kariera” na stronie internetowej rekrutacje wewnętrzne rekrutacje prowadzone w ramach spółek powiązanych rekrutacje w ramach APT

Wniosek – należy zweryfikować: § Jakie procesy prowadzona są w związku z zatrudnieniem? Np. : Agencja pracy tymczasowej Obsługa kadrowa - Badania wstępne pracowników Dokształcanie Komunikacja wewnętrzna Kontrole i postępowania sądowe Obsługa benefitów – (np. Multisport / ubezpieczenia grupowe / świadczenia zdrowotne) Obsługa kadrowa - Wypłata świadczeń z umowy o pracę Ocena pracownika (okresowa, premia kwartalna) Obsługa płacowa - Potrącenia z wynagrodzenia

Wniosek – należy zweryfikować: Obsługa płacowa - Pracownicy delegowani (obcokrajowcy) Obsługa delegacji Monitoring (np. stacji roboczych) Program praktyk Obsługa kadrowa - przetwarzanie wizerunku przez (cele wewnętrzne) Rozliczanie czasu pracy Rozwój pracowników - szkolenia

Wniosek – należy zweryfikować: Obsługa płacowa - Wypłata świadczeń na podstawie listy uprawnionych Obsługa płacowa – realizacja obowiązków publicznoprawnych (ZUS/US) Obsługa kadrowa - Zatrudnienie i zmiana warunków pracy Obsługa płacowa - Zawieranie i rozliczanie umów cywilnoprawnych Obsługa socjalna - ZFŚS BHP (wypadki / szkolenia) Archiwizacja dokumentacji pracowniczej

Wniosek – należy zweryfikować: § Jaki jest cel przetwarzania danych (obecna rekrutacja, rekrutacja przyszła)? § Jaki jest zakres danych przetwarzanych (np. imię, nazwisko, etc. )? § Czy przetwarzane są dane wrażliwe? § Czy i gdzie przetwarzane są dane osobowe nieustrukturyzowane? § Jakie narzędzia wykorzystywane są do przetwarzania danych? kto je dostarcza? § Czy przetwarzane są dane w zakresie szerszym niż wskazują na to przepisy? § Jeżeli dane są przetwarzane w zakresie szerszym niż to wynika z przepisów prawa to czy jest on minimalny? § Jeżeli dane są przetwarzane w zakresie szerszym niż to

Wniosek – należy zweryfikować (c. d. ) § W jaki sposób dane osobowe są pozyskiwane – bezpośrednio czy z innych źródeł (np. w ramach polecenia i rekrutacji wewnętrznej; agencja rekrutacyjna)? § Komu dane są udostępniane / powierzane? § Jakie formularze wykorzystywane są do pozyskiwania danych osobowych? § Czy przetwarzane są dane osobowe dzieci (pracownicy młodociani)? § Kto wewnątrz organizacji ma dostęp do danych i na jakich zasadach? § Czy dane są archiwizowane? Jeżeli tak to gdzie?

Dziękuję za uwagę! p. kozik@gkklegal. pl