Ochrona danych pracownikw i kandydatw do pracy radca

Ochrona danych pracowników i kandydatów do pracy radca prawny Patrycja Kozik audytor wewnętrzny systemu zarządzania bezpieczeństwem informacji wg normy ISO 27001: 2013

Plan prezentacji 1. Ochrona danych pracowników i kandydatów do pracy – wprowadzenie 2. Podstawy przetwarzania danych kandydatów 3. Podstawy przetwarzania danych pracowników 4. Monitoring pracowników 5. Wymogi RODO istotne z punktu widzenia danych pracowników i kandydatów

WPROWADZENIE

Nowa ustawa o ochronie danych osobowych a prawo pracy Motyw 155: W prawie państwa członkowskiego lub w porozumieniach zbiorowych, w tym zakładowych porozumieniach z przedstawicielami pracowników, mogą być przewidziane przepisy szczegółowe o przetwarzaniu danych osobowych pracowników w związku z zatrudnieniem, w szczególności warunki, na których dane osobowe w związku z zatrudnieniem można przetwarzać za zgodą pracownika do celów procedury rekrutacyjnej, wykonywania umowy o pracę, w tym wykonywania obowiązków określonych w przepisach lub w porozumieniach zbiorowych, zarządzania, planowania i organizacji pracy, równości i różnorodności w miejscu pracy, bezpieczeństwa i higieny pracy oraz do celów indywidualnego lub zbiorowego wykonywania praw i korzystania ze świadczeń związanych z zatrudnieniem, a także do celów zakończenia stosunku pracy.

RODO – Nowa ustawa a podstawy prawne przetwarzania Artykuł 88 Przetwarzanie w kontekście zatrudnienia Państwa członkowskie mogą zawrzeć w swoich przepisach lub w porozumieniach zbiorowych bardziej szczegółowe przepisy mające zapewnić ochronę praw i wolności w przypadku przetwarzania danych osobowych pracowników w związku z zatrudnieniem, w szczególności: § do celów rekrutacji, § wykonania umowy o pracę, w tym wykonania obowiązków określonych przepisami lub porozumieniami zbiorowymi, zarządzania, planowania i organizacji pracy, równości i różnorodności w miejscu pracy, bezpieczeństwa i higieny pracy, ochrony własności pracodawcy lub klienta, § do celów indywidualnego lub zbiorowego wykonywania praw i korzystania ze świadczeń związanych z zatrudnieniem,

Podstawy przetwarzania danych w warunkach zatrudnienia – stan obecny RODO Projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania RODO Ustawa o ochronie danych osobowych (10. 05. 18 r. ) Inne przepisy regulujące kwestie dotyczące zatrudnienia KODEKS PRACY

RODO – Nowa ustawa a podstawy prawne przetwarzania Obowiązujące: RODO – zasady ogólne przetwarzania danych Ustawa z 10 maja o ochronie danych osobowych – monitoring pracowników Kodeks pracy – przepisy dot. przetwarzania danych pracowników i kandydatów Projektowane: Projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania RODO z dnia 23 listopada 2018 r. – nowe przepisy dot. przetwarzania danych pracowników i kandydatów http: //www. sejm. gov. pl/sejm 8. nsf/druk. xsp? nr=3050&fbclid=Iw. AR 2 x

Kto odpowiada za stosowanie przepisów? „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania; administrator danych – podmiot decydujący o celach i środkach przetwarzania danych osobowych (także z sektora publicznego) Pracodawca = Administrator danych

PODSTAWY PRZETWARZANIA DANYCH KANDYDATÓW DO PRACY

Projektowane przepisy KP Obowiązujący Kodeks Pracy Projekt zmian z dnia 28 marca 2018 r. Projekt zmian z dnia 21 sierpnia i 23 listopada 2018 r. Art. 22 (1) § 1. Pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących: 1) imię (imiona) i nazwisko; 2) imiona rodziców; 3) datę urodzenia; 4) miejsce zamieszkania (adres do korespondencji); 5) wykształcenie; 6) przebieg dotychczasowego zatrudnienia. . Art. 22 (1). § 1. Pracodawca żąda „Art. 221. § 1. Pracodawca żąda od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących: 1) imię (imiona) i nazwisko; 2) datę urodzenia; 3) dane kontaktowe wskazane przez taką osobę; 4) wykształcenie; 5) kwalifikacje zawodowe; 5) przebieg dotychczasowego 6) przebieg dotychczasowego zatrudnienia (brak obowiązku podania imion rodziców) + kwalifikacje zawodowe zamiana miejsca zamieszkania na dane kontaktowe

RODO – PODSTAWY PRAWNE PRZETWARZANIA 1. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; 2. osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; 3. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; 4. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; 5. przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; 6. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych,

PODSTAWY PRAWNE PRZETWARZANIA - REKRUTACJE Zamknięty katalog danych zbieranych na podstawie przepisów k. p. + przepisy szczególne 1) imię (imiona) i nazwisko; 2) datę urodzenia; 3) dane kontaktowe wskazane przez taką osobę; 4) wykształcenie; 5) kwalifikacje zawodowe; 6) przebieg dotychczasowego zatrudnienia. Z katalogu danych kandydata wyłączono: ü imiona rodziców

PODSTAWY PRAWNE PRZETWARZANIA - REKRUTACJE Zamknięty katalog danych zbieranych na podstawie przepisów k. p. § 2. Pracodawca żąda podania danych osobowych, o których mowa w § 1 pkt 4 - 6, gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku. A więc: 4) wykształcenie; 5) kwalifikacje zawodowe; 6) przebieg dotychczasowego zatrudnienia. Należy to uprzednio ocenić!

PODSTAWY PRAWNE PRZETWARZANIA - REKRUTACJE Zamknięty katalog danych zbieranych na podstawie przepisów k. p. + przepisy szczególne: § 4. Pracodawca żąda podania innych danych osobowych niż określone w § 1 i 3, gdy jest to niezbędne do wypełniania obowiązku pracodawcy nałożonego przepisem prawa. § 5. Udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której one dotyczą. Pracodawca może żądać udokumentowania danych osobowych osób, o których mowa w § 1 i 3, w zakresie niezbędnym do ich potwierdzenia. ”;

PODSTAWY PRAWNE PRZETWARZANIA - REKRUTACJE Mechanizm jest taki 1. Najpierw patrzymy do Kodeksu Pracy 2. Potem szukamy w przepisach szczególnych np. prawo bankowe Co jeśli chcemy więcej danych?

PODSTAWY PRAWNE PRZETWARZANIA - REKRUTACJE Projekt zmiany z dnia 28 marca 2018 i z 7 czerwca 2018 r : Projekt zmiany z dnia 21 sierpnia i 23 listopada 2018 r. „Art. 221 a. § 1. Zgoda osoby ubiegającej się o zatrudnienie lub pracownika może stanowić podstawę przetwarzania przez pracodawcę innych danych osobowych niż wymienione w art. 22[1] § 1 i 3, z wyjątkiem danych osobowych o których mowa w art. 10 Projekt z 7 czerwca: rozporządzenia Parlamentu Europejskiego i „Art. 221 a. § 1. Przetwarzanie przez pracodawcę innych Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w danych osobowych niż wymienione w art. 221 § 1 i 3 sprawie ochrony osób fizycznych w związku z jest dopuszczalne za zgodą osoby ubiegającej się o przetwarzaniem danych osobowych i w sprawie zatrudnienie lub pracownika. swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04. 05. 2016, str. 1), zwanego dalej „rozporządzeniem 2016/679”. „Art. 22[2]. § 1. Przetwarzanie przez pracodawcę innych danych osobowych niż wymienione w art. 221 § 1 i 2 jest dopuszczalne za zgodą osoby ubiegającej się o zatrudnienie lub pracownika i tylko wtedy, gdy jest to dla nich korzystne.

Warunki wyrażenia zgody Projekt zmiany z dnia 28 Projekt zmiany z dnia 21 marca 2018 i 7 czerwca 2018 sierpnia i 23 listopada 2018 r. § 2. Brak zgody, o której mowa w § 1 lub jej wycofanie, nie może być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a także nie może powodować wobec nich jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenie umowy o pracę lub jej rozwiązanie bez wypowiedzenia przez pracodawcę.

ZGODA C. D. Przetwarzanie danych za zgodą - dotyczy danych osobowych udostępnianych przez osobę ubiegającą się o zatrudnienie lub pracownika na wniosek pracodawcy lub danych osobowych przekazanych pracodawcy z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika Kiedy można przetwarzać dane dodatkowe? ü Zgoda ü Przepis szczególny A co z danymi wrażliwymi?

Dane wrażliwe Projekt zmiany z dnia 28 marca 2018 r. i 7 czerwca 2018 r. Projekt zmiany z dnia 21 sierpnia i 23 listopada 2018 r. Art. 22[3]. § 1. Przetwarzanie danych osobowych, o których mowa w art. 9 ust. 1 i art. 10 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4. 05. 2016, str. 1), zwanego dalej „rozporządzeniem 2016/679”, jest dopuszczalne tylko wtedy, gdy jest to niezbędne do wypełniania obowiązku pracodawcy nałożonego przepisem prawa. Art. 221 b. § 1. Zgoda osoby ubiegającej się o zatrudnienie lub pracownika może stanowić podstawę przetwarzania przez pracodawcę danych osobowych, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679 wyłącznie w przypadku, gdy przekazanie tych danych osobowych następuje z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika. Art. 221 a § 2 stosuje się odpowiednio Dane wrażliwe w oparciu o zgodę!

Dane wrażliwe a upoważnienie i zachowanie tajemnicy § 3. Do przetwarzania danych osobowych, o których mowa w § 1, mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania takich danych wydane przez pracodawcę. Osoby dopuszczone do przetwarzania takich danych są obowiązane do zachowania ich w tajemnicy. ”;

Pytania Czy można wymagać zaświadczenia o niekaralności? Co jeśli kandydat poda więcej danych w CV? Czy praktyka umieszczania zgód w CV jest prawidłowa? Co z przyszłymi rekrutacjami? Czy można prowadzić rekrutacje ukryte? Czy można zweryfikować kandydata u byłego pracodawcy? Czy można sprawdzić na uczelni czy faktycznie ukończył szkołę którą podaje w CV? Jak długo można przechowywać CV kandydata?

PODSTAWY PRZETWARZANIA DANYCH PRACOWNIKÓW na gruncie RODO

Obowiązujący Kodeks Pracy Projekt zmian z dnia 28 marca 2018 r. Projekt zmian z 21 sierpnia i 23 listopada 2018 r. . Pracodawca ma prawo żądać § 2. Pracodawca żąda od § 3. Pracodawca żąda od pracownika podania, pracownika podania dodatkowo danych osobowych obejmujących: niezależnie od danych dodatkowo danych 1) adres zamieszkania; osobowych, o których mowa w osobowych obejmujących: 2) numer PESEL, a w przypadku jego braku – rodzaj i § 1, także: 1) adres zamieszkania; numer dokumentu potwierdzającego tożsamość; 1) innych danych osobowych 2) numer PESEL, a w 3) inne dane osobowe pracownika, a także dane pracownika, a także imion i przypadku jego braku – rodzaj osobowe dzieci pracownika i innych członków jego nazwisk oraz dat urodzenia i numer dokumentu najbliższej rodziny, jeżeli podanie takich danych jest dzieci pracownika, jeżeli potwierdzającego tożsamość; konieczne ze względu na korzystanie przez podanie takich danych jest 3) inne dane osobowe pracownika ze szczególnych uprawnień konieczne ze względu na pracownika, a także dane przewidzianych w prawie pracy; korzystanie przez pracownika ze osobowe dzieci pracownika i 4) wykształcenie i przebieg dotychczasowego szczególnych uprawnień innych członków jego zatrudnienia, jeżeli nie istniała podstawa do ich przewidzianych w prawie pracy; najbliższej rodziny, jeżeli żądania od osoby ubiegającej się o zatrudnienie. 2) numeru PESEL pracownika podanie takich danych jest nadanego przez Rządowe konieczne ze względu na Centrum Informatyczne korzystanie przez pracownika Powszechnego Elektronicznego ze szczególnych uprawnień Systemu Ewidencji Ludności przewidzianych w prawie (RCI PESEL). pracy.

PODSTAWY PRAWNE PRZETWARZANIA - ZATRUDNIENIE Zamknięty katalog danych zbieranych na podstawie przepisów k. p. + przepisy szczególne: § 4. Pracodawca żąda podania innych danych osobowych niż określone w § 1 i 3, gdy jest to niezbędne do wypełniania obowiązku pracodawcy nałożonego przepisem prawa. § 5. Udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której one dotyczą. Pracodawca może żądać udokumentowania danych osobowych osób, o których mowa w § 1 i 3, w zakresie niezbędnym do ich potwierdzenia. ”;

PODSTAWY PRAWNE PRZETWARZANIA - ZATRUDNIENIE Mechanizm jest taki 1. Najpierw patrzymy do Kodeksu Pracy 2. Potem szukamy w przepisach szczególnych np. prawo bankowe Co jeśli chcemy więcej danych?

PODSTAWY PRAWNE PRZETWARZANIA - ZATRUDNIENIE Projekt zmiany z dnia 28 marca 2018 i z 7 czerwca 2018 r : Projekt zmiany z dnia 21 sierpnia i 23 listopada 2018 r. „Art. 221 a. § 1. Zgoda osoby ubiegającej się o zatrudnienie lub pracownika może stanowić podstawę przetwarzania przez pracodawcę innych danych osobowych niż wymienione w art. 22[1] § 1 i 3, z wyjątkiem danych osobowych o których mowa w art. 10 Projekt z 7 czerwca: rozporządzenia Parlamentu Europejskiego i „Art. 221 a. § 1. Przetwarzanie przez pracodawcę innych Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w danych osobowych niż wymienione w art. 221 § 1 i 3 sprawie ochrony osób fizycznych w związku z jest dopuszczalne za zgodą osoby ubiegającej się o przetwarzaniem danych osobowych i w sprawie zatrudnienie lub pracownika. swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04. 05. 2016, str. 1), zwanego dalej „rozporządzeniem 2016/679”. „Art. 22[2]. § 1. Przetwarzanie przez pracodawcę innych danych osobowych niż wymienione w art. 221 § 1 i 2 jest dopuszczalne za zgodą osoby ubiegającej się o zatrudnienie lub pracownika i tylko wtedy, gdy jest to dla nich korzystne.

Warunki wyrażenia zgody Projekt zmiany z dnia 28 Projekt zmiany z dnia 21 marca 2018 i 7 czerwca 2018 sierpnia i 23 listopada 2018 r. § 2. Brak zgody, o której mowa w § 1 lub jej wycofanie, nie może być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a także nie może powodować wobec nich jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenie umowy o pracę lub jej rozwiązanie bez wypowiedzenia przez pracodawcę.

ZGODA C. D. Przetwarzanie danych za zgodą - dotyczy danych osobowych udostępnianych przez osobę ubiegającą się o zatrudnienie lub pracownika na wniosek pracodawcy lub danych osobowych przekazanych pracodawcy z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika Kiedy można przetwarzać dane dodatkowe? ü Zgoda ü Przepis szczególny A co z danymi wrażliwymi?

Dane wrażliwe Projekt zmiany z dnia 28 marca 2018 r. i 7 czerwca 2018 r. Projekt zmiany z dnia 21 sierpnia i 23 listopada 2018 r. Art. 22[3]. § 1. Przetwarzanie danych osobowych, o których mowa w art. 9 ust. 1 i art. 10 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4. 05. 2016, str. 1), zwanego dalej „rozporządzeniem 2016/679”, jest dopuszczalne tylko wtedy, gdy jest to niezbędne do wypełniania obowiązku pracodawcy nałożonego przepisem prawa. Art. 221 b. § 1. Zgoda osoby ubiegającej się o zatrudnienie lub pracownika może stanowić podstawę przetwarzania przez pracodawcę danych osobowych, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679 wyłącznie w przypadku, gdy przekazanie tych danych osobowych następuje z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika. Art. 221 a § 2 stosuje się odpowiednio Dane wrażliwe w oparciu o zgodę!

Dane wrażliwe a upoważnienie i zachowanie tajemnicy § 3. Do przetwarzania danych osobowych, o których mowa w § 1, mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania takich danych wydane przez pracodawcę. Osoby dopuszczone do przetwarzania takich danych są obowiązane do zachowania ich w tajemnicy. ”;

PODSTAWY PRAWNE PRZETWARZANIA - ZATRUDNIENIE A co z danymi biometrycznymi?

PODSTAWY PRAWNE PRZETWARZANIA - ZATRUDNIENIE Projekt z 23 listopada: § 2. Przetwarzanie danych biometrycznych pracownika jest dopuszczalne także wtedy, gdy podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej ochrony. Dane biometryczne pracownika! czyli nie-kandydata

ZATRUDNIENIE - PYTANIA Czy pracodawca może wykorzystać zdjęcie pracownika do umieszczenia go na swojej stronie internetowej? Czy może opublikować imię i nazwisko pracownika oraz służbowy adres e-mail na swojej stronie internetowej? Czy może wykorzystać zdjęcie poprzez umieszczenie na identyfikatorze? A w intranecie? Czy można kserować dowód osobisty pracownika? Czy można odnotowywać powód nieobecności pracownika na listach?

Pracownicy – zakres danych Czy pracodawca może potwierdzić telefonicznie zarobki pracownika pracownikowi Banku w którym pracownik ubiega się o kredyt? Czy może odmówić udzielenia informacji?

Pracownicy – zakres danych pismo Narodowego Banku Polskiego do Generalnego Inspektora Nadzoru Bankowego z dnia 6 kwietnia 2001 r. (NB/BPN/I/214/01) skierowane do osób kierujących bankami, które zawiera stwierdzenie, iż „przepisy ustawy - Prawo bankowe i ustawy o ochronie danych osobowych nie przewidują telefonicznej formy pozyskiwania żądanych informacji. Banki nie mogą więc uzależniać przyznania kredytu od udzielenia informacji w tej formie”.

MONITORING

MONITORING Przepisy po raz pierwszy do polskiego porządku prawnego regulację dotyczącą monitoringu w ramach stosunku pracy. Rodo nie reguluje kwestii dotyczących dopuszczalności stosowania monitoringu. Niemniej jednak odwołuje się do „monitorowania” dotyczącego osób w następujących kontekstach: - monitorowania zachowania osób, których dane dotyczą, przebywających w UE przez administratora lub podmiot przetwarzający niemających jednostek organizacyjnych w UE, dokonywanego na terenie UE (terytorialny zakres stosowania – art. 3 ust. 2 lit. b rodo oraz związany z nim obowiązek wyznaczenia przedstawiciela w Unii wskazany w art. 27 rodo), -systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie (w kontekście dokonywania oceny skutków dla ochrony danych – art. 35 ust. 2 c rodo), - regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę (w kontekście obowiązku powołania

MONITORING Art. 22[2] § 1 KP: Jeżeli jest to niezbędne do zapewnienia bezpieczeństwa pracowników lub ochrony mienia lub kontroli produkcji lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę, pracodawca może wprowadzić szczególny nadzór nad terenem zakładu pracy lub terenem wokół zakładu pracy w postaci środków technicznych umożliwiających rejestrację obrazu (monitoring). Definicja monitoringu Obszar stosowania Cele stosowania Czy wyczerpująco? Co jest podstawą?

MONITORING Uregulowanie stosowania monitoringu w sposób wskazany w komentowanym przepisie (wyliczenie celów dla których monitoring może być stosowany), nie oznacza, że podstawą dla stosowania monitoringu w warunkach wskazanych w przepisie będzie art. 6 ust. 1 lit. c rodo (przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze). Wskazany przepis nie nakłada bowiem obowiązku stosowania monitoringu, a jedynie wskazuje jakie są cele i zasady korzystania z monitoringu. W konsekwencji, przyjąć należy, że najwłaściwszą podstawą będzie art. 6 ust. 1 lit. f) rodo – niezbędność przetwarzania do celów wynikających z prawnie uzasadnionych interesów administratora danych.

MONITORING – CZEGO NIE OBEJMUJE? § 2. Monitoring nie obejmuje pomieszczeń sanitarnych, szatni, stołówek oraz palarni lub pomieszczeń udostępnianych zakładowej organizacji związkowej, chyba, że stosowanie monitoringu w tych pomieszczeniach jest niezbędne do realizacji celu określonego w § 1 i nie naruszy to godności oraz innych dóbr osobistych pracownika, a także zasady wolności i niezależności związków zawodowych, w szczególności poprzez zastosowanie technik uniemożliwiających rozpoznanie przebywających w tych pomieszczeniach osób.

MONITORING – JAK DŁUGO MOŻNA PRZECHOWYWAĆ? § 3. Nagrania obrazu pracodawca przetwarza wyłącznie do celów, dla których zostały zebrane i przechowuje przez okres nieprzekraczający 3 miesięcy od dnia nagrania. § 4. W przypadku, w którym nagrania obrazu stanowią dowód w postępowaniu prowadzonym na podstawie prawa lub pracodawca powziął wiadomość, iż mogą one stanowić dowód w postępowaniu, termin określony w § 3 ulega przedłużeniu do czasu prawomocnego zakończenia postępowania. § 5. Po upływie okresów, o których mowa w § 3 lub 4, uzyskane w wyniku monitoringu nagrania obrazu zawierające dane osobowe, podlegają zniszczeniu, o ile przepisy odrębne nie stanowią inaczej.

MONITORING – JAK POINFORMOWAĆ? § 6. Cele, zakres oraz sposób zastosowania monitoringu ustala się w układzie zbiorowym pracy lub w regulaminie pracy albo w obwieszczeniu, jeżeli pracodawca nie jest objęty układem zbiorowym pracy lub nie jest obowiązany do ustalenia regulaminu pracy. § 7. Pracodawca informuje pracowników o wprowadzeniu monitoringu, w sposób przyjęty u danego pracodawcy, nie później niż 2 tygodnie przed jego uruchomieniem. § 8. Pracodawca przed dopuszczeniem pracownika do pracy przekazuje mu na piśmie informacje, o których mowa w § 6. § 9. W przypadku wprowadzenia monitoringu pracodawca oznacza pomieszczenia i teren monitorowany w sposób widoczny i czytelny, za pomocą odpowiednich znaków lub ogłoszeń dźwiękowych, nie później niż jeden dzień przed jego

MONITORING – JAK POINFORMOWAĆ? § 10. Przepis § 9 nie narusza przepisów art. 12 i art. 13 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04. 05. 2016, str. 1).

MONITORING – JAK POINFORMOWAĆ? § 10. Przepis § 9 nie narusza przepisów art. 12 i art. 13 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04. 05. 2016, str. 1).

MONITORING – JAK POINFORMOWAĆ? Powyższe oznacza, że niezależnie od: - podania informacji o monitoringu w regulaminie pracy lub obwieszczeniu - poinformowania o stosowaniu monitoringu w sposób zwyczajowo przyjęty u danego pracodawcy, - przekazania informacji pracownikowi na piśmie informacji przed dopuszczeniem do pracy, - oznaczenia pomieszczenia i terenu monitorowanego - należy spełnić obowiązek informacyjny na zasadach wynikających z RODO

MONITORING – JAK POINFORMOWAĆ? Jak wskazał Prezes Urzędu w wytycznych dotyczących stosowania monitoringu: i stotne znaczenie ma realizacja wobec osoby obserwowanej obowiązku informacyjnego ujętego w art. 13 RODO. Musi on być, zgodnie z art. 12 rozporządzenia, realizowany w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Pełna informacja o monitoringu (niezależna od dodatkowych wymogów wskazanych w kodeksie pracy), obejmująca wszystkie wymogi art. 13 RODO, powinna być dostępna w miejscu monitorowanym, np. na tablicach albo w formie dokumentu dostępnego na recepcji czy też u przedstawiciela administratora. Czyli możliwa jest realizacja obowiązku informacyjnego poprzez podanie informacji podstawowych i uzupełnienie ich w kolejnych warstwach informacyjnych

MONITORING – JAKIE INNE FORMY PRZEWIDUJE KP? Art. 22[3]. § 1. Jeżeli jest to niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy, pracodawca może wprowadzić kontrolę służbowej poczty elektronicznej pracownika (monitoring poczty elektronicznej). § 2. Monitoring poczty elektronicznej nie może naruszać tajemnicy korespondencji oraz innych dóbr osobistych pracownika. § 3. Przepisy art. 22[2] § 6– 10 stosuje się odpowiednio. § 4. Przepisy § 1– 3 stosuje się odpowiednio do innych form monitoringu niż określone w § 1, jeśli ich zastosowanie jest konieczne do realizacji celów, określonych w § 1. ”.

MONITORING – JAKIE INNE FORMY PRZEWIDUJE KP? - wyłącznie poczta służbowa - wyłącznie do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy - przepisy dotyczące monitoringu wizyjnego stosuje się odpowiednio - analogicznie inne formy np. czas pracy, GPS

PRAWA PODMIOTÓW DANYCH

RODO – KOMUNIKACJA Z PODMIOTEM DANYCH Prowadzenie komunikacji z podmiotem danych 1. Obowiązki informacyjne 2. Prawo dostępu przysługujące osobie, której dane dotyczą 3. Sprostowanie i usuwanie danych 4. Prawo do ograniczenia przetwarzania 5. Prawo do przenoszenia danych 6. Prawo do sprzeciwu 7. Prawo do niepodlegania zautomatyzowanemu podejmowaniu decyzji w tym profilowaniu

RODO – OBOWIĄZEK INFORMACYJNY RODO nakłada na administratorów danych osobowych (w tym na pracodawców) obowiązek przekazania osobom, od których dane są zbierane (np. kandydatom do pracy) bardzo wielu informacji (art. 13 i 14 RODO) Obowiązki informacyjne względem kandydata powstają niezależnie od konieczności zapewnienia odpowiedniej podstawy do przetwarzania ich danych (np. przepisu prawa pracy). Oznacza to, że niezależnie od tego, czy administrator będzie przetwarzał dane w oparciu o zgodę, czy np. w celu realizacji ciążącego na nim obowiązku prawnego, będzie musiał przekazać kandydatowi/pracownikowi informacje wymagane Rozporządzeniem. Wyjątkiem będzie wyłącznie sytuacja, w której osoba, której dane dotyczą, będzie już dysponować stosownymi informacjami, co jednak w praktyce będzie mieć miejsce niezwykle rzadko.

RODO – OBOWIĄZEK INFORMACYJNY • Nowa treść obowiązku informacyjnego - zgodna z wymogami art. 13 i 14 RODO (w zakresie treści) • Obowiązek zapewnienia przejrzystości przetwarzania – zgodnie z art 12 RODO (sposób przekazania informacji) Informacje zawarte w klauzuli powinny być przekazane w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą (art. 12 Rozporządzenia).

RODO – OBOWIĄZEK INFORMACYJNY Niezależnie od wybranej formy przekazania informacji, pracodawcy powinni zwrócić uwagę na konieczność zapewnienia rozliczalności, tj. powinni być w stanie wykazać, że zrealizowali obowiązek informacyjny zgodnie z przepisami prawa. Zasadę rozliczalności pracodawcy powinni uwzględnić w zakresie momentu spełnienia obowiązku informacyjnego, który jak wskazuje art. 13 Rozporządzenia, powinien być zrealizowany podczas pozyskiwania danych. Będzie to np. moment wypełniania formularza aplikacyjnego przez kandydata w odpowiedzi na zamieszone przez pracodawcę ogłoszenie o pracy. Dla wielu pracodawców spełnienie obowiązku informacyjnego będzie wymagało zmiany wewnątrz organizacji np. w postaci stworzenia procedury przyjmowania papierowych CV na portierni.

RODO – PRAWO DOSTĘPU DO DANYCH Prawo dostępu do danych – elementy: 1. Żądanie uzyskania zindywidualizowanych informacji 2. Żądanie dostępu do danych osobowych; 3. Żądanie uzyskania kopii danych osobowych Co z notatkami rekrutera na CV?

RODO – PRAWO DOSTĘPU DO DANYCH.

WSPÓŁPRACA Z INNYMI PODMIOTAMI

Rodo a współpraca z podwykonawcami Określenie roli w ramach współpracy z danym podmiotem ma znaczenie z punktu widzenia: § odpowiedzialności § realizacji obowiązku informacyjnego § zapewnienia podstaw prawnych współpracy Procesor oznacza podmiot, który przetwarza dane osobowe na zlecenie administratora np. agencja rekrutacyjna Administrator oznacza podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych np. danych osobowych swoich pracowników

Rodo a współpraca z podwykonawcami Wybór procesora - komu można dane powierzyć na gruncie RODO? Podmiotom, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą. Należy zweryfikować czy procesor zapewnia wystarczające gwarancje i być w stanie to wykazać

Rodo a współpraca z podwykonawcami Należy zawrzeć z procesorem umowę powierzenia zgodną z RODO Umowa powierzenia na gruncie uodo: cel i zakres zgodnie z art. 28 rodo, umowa powierzenia powinna określać: przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych, kategorie osób, których dane dotyczą, obowiązki i prawa administratora, a także obowiązki procesora, których przykładowe wyliczenie zawiera ustęp 3 wskazanego artykułu. Można powierzyć zbieranie zgód

Procesor a odbiorca Art. 13 ust. 1 lit. e RODO należy w ramach obowiązku informacyjnego należy podać (…) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją; „odbiorca” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią „strona trzecia” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe

Odbiorca W niektórych relacjach może dochodzić do udostępnienia danych (przekazania danych między dwoma administratorami) np. udostępnienie danych pracownika do ZUS/US, udostępnienie danych pracownika innej spółce z grupy Administrator jest odbiorcą (obowiązek informacyjny) Należy mieć podstawę do udostępnienia danych np. obowiązek wynikający z przepisu prawa Jeżeli otrzymamy dane od innego administratora – obowiązek informacyjny z art. 14 RODO

Relacje w ramach grupy W zależności od sytuacji w ramach grupy podmiotów może dochodzić do: - powierzenia danych między spółkami (administrator- procesor) - udostępnienia danych między spółkami (administrator – administrator) - współadministrowania danymi (współadministrator – współadministrator) Jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami.

Współadministratorzy W drodze wspólnych uzgodnień współadministratorzy w przejrzysty sposób określają odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z rozporządzenia, w szczególności w odniesieniu do wykonywania przez osobę, której dane dotyczą, przysługujących jej praw, oraz ich obowiązków w odniesieniu do podawania informacji, o których mowa w art. 13 i 14 (…). W uzgodnieniach można wskazać punkt kontaktowy dla osób, których dane dotyczą. Uzgodnienia należycie odzwierciedlają odpowiednie zakresy obowiązków współadministratorów oraz relacje pomiędzy nimi a podmiotami, których dane dotyczą. Zasadnicza treść uzgodnień jest udostępniana podmiotom, których dane dotyczą. Osoba, której dane dotyczą, może wykonywać przysługujące jej prawa wynikające z rozporządzenia wobec każdego z administratorów.

RODO – ADMINISTRATOR A PROCESOR POWIERZENIA vs. UDOSTĘPNIENIE? Powierzenie: Administrator (np. pracodawca) -> procesor [umowa powierzenia] czy potrzebna zgoda kandydata/pracownika aby powierzyć? Udostępnienie: Administrator (np. pracodawca) -> administrator -> Administrator (np. pracodawca) [art. 6 lub 9 -10 rodo] Lista powierzeń/udostępnień?

§ Agencja zatrudnienia? § Pracuj (inne portale)? § Testy psychologiczne? § Bank? § Poczta polska? § Ubezpieczyciel? § ZUS? Sąd? Policja? Prokuratura? § Audytorzy? § Benefity? Ubezpieczenie? Siłownia? Zdrowie? § Szkolenia obowiązkowe/fakultatywne? § Kursy językowe? § Dostawca pizzy? § Podmiot leczniczy? § Serwis sprzątający? § Serwis niszczący dokumenty? § Dostawca narzędzia IT do przetwarzania? § Usługi prawne? Ochrona? Księgowość? § Przekazanie danych kontaktowych pracowników w ramach realizacji umowy?

Dziękuję za uwagę!