radca prawny Patrycja Kozik audytor wewnętrzny systemu zarządzania

Slides:



Advertisements
Podobne prezentacje
1 TREŚĆ UMOWY O PRACĘ : Umowa o pracę określa strony umowy, rodzaj umowy, datę jej zawarcia oraz warunki pracy i płacy, w szczególności: 1) rodzaj pracy,
Advertisements

Anonimizacja danych adresowych pokrzywdzonego i świadka w procedurze wykroczeniowej w świetle ustawy z dnia 28 listopada 2014 r. o ochronie i pomocy dla.
Obowiązki pracodawcy dotyczące zapewnienia pracownikom profilaktycznej ochrony zdrowia, właściwego postępowania w sprawach wypadków przy pracy oraz chorób.
Rekrutacja Rok szkolny 2016/2017. Postanowienie Śląskiego Kuratora Oświaty Nr OP-DO z dnia 29 stycznia 2016 r. w sprawie terminów przeprowadzania.
Pomoc publiczna i pomoc de minimis w ramach konkursu RPLU IZ /15 - Programy typu outplacement Oddział Monitoringu i Ewaluacji Departament.
OBYWATELSTWO POLSKIE I UNIJNE 1.Obywatel a państwo – zasady obywatelstwa polskiego 2.Nabycie i utrata obywatelstwa 3.Obywatelstwo Unii Europejskiej. 4.Brak.
Urząd Transportu Kolejowego, Al. Jerozolimskie 134, Warszawa, Polityka regulacyjna państwa w zakresie dostępu do infrastruktury na.
Biuro Edukacji Urzędu m.st. Warszawy Warszawa, 24 luty 2016 r. Elektroniczny system rekrutacji do gimnazjów na rok szkolny 2016/2017.
Odpowiedzialność porządkowa pracowników Za nieprzestrzeganie przez pracownika: ustalonego porządku, regulaminu pracy, przepisów bezpieczeństwa i higieny.
 Czasem pracy jest czas, w którym pracownik pozostaje w dyspozycji pracodawcy w zakładzie pracy lub w innym miejscu wyznaczonym do wykonywania pracy.
URLOP WYPOCZYNKOWY mgr Małgorzata Grześków. URLOP WYPOCZYNKOWY Art §1. Pracownikowi przysługuje prawo do corocznego, nieprzerwanego, płatnego urlopu.
Uwarunkowania prawne telepracy – praktyczne rozwiązania dla pracodawców dr Jacek Męcina.
UŻYTKOWANIE WIECZYSTE Literatura: red. E. Gniewek, P. Machnikowski, Zarys prawa cywilnego, Warszawa 2014 red. E Gniewek, Kodeks Cywilny. Komentarz, Wydanie.
Organizacja, przepisy i procedury Na przykładzie Śląskiego OW NFZ Dr n. med. Z Klosa.
Działalność konsultantów wojewódzkich zmiany w ustawie o konsultantach w ochronie zdrowia oświadczenia składane przez konsultantów kontrola podmiotów leczniczych.
Procedura „NIEBIESKIE KARTY" w świetle obowiązujących przepisów prawa.
1 Studia o profilu praktycznym. Aspekty prawne i organizacyjne KONFERENCJA „PO PIERWSZE PRACA…” Konin, 18 września 2014 r. Artur Zimny Państwowa Wyższa.
WNIOSKI Z KONTROLI I NADZORU NAD REALIZACJĄ ZADAŃ POMOCY SPOŁECZNEJ
Prawo porozumień zbiorowych
Nowy wzór świadectwa pracy – jak wypełniać poszczególne punkty
DECYZJA O WARUNKACH ZABUDOWY tzw. „Wuzetka”
Sześciolatek idzie do szkoły
KREDYT KONSUMENCKI OCHRONA KONSUMENTA Barbara Denisiuk.
Czym jest CUW ? Katowice Posiedzenie 28 czerwca 2016r.
NARADA SŁUŻBY GEODEZYJNEJ I KARTOGRAFICZNEJ WOJEWÓDZTWA MAZOWIECKIEGO
organizowanie ochrony informacji niejawnych
wspomaganej systemem komputerowym NABÓR 2017
Dz.U Ustawa z dnia 14 grudnia 2016 r. - Prawo oświatowe
Przejście zakładu pracy na innego pracodawcę
ZASADY REKRUTACJI DO SZKOŁY PONADGIMNAZJLNEJ
Norma prawna.
MIENIE PUBLICZNE SĄ TO RZECZY, DOBRA (ŚRODKI FINANSOWE) PRZYSŁUGUJĄCE SKARBOWI PAŃSTWA LUB INNYM PAŃSTWOWYM OSOBOM PRAWNYM ORAZ MIENIE PRZYNALEŻNE PODMIOTOM.
E- SKARGA Formalne wymogi wniesienia skargi do WSA w kontekście informatyzacji postępowania sądowoadministracyjnego- wybrane zagadnienia.
Umowa darowizny Mgr Aleksandra Pasek Instytut Prawa Cywilnego Wydział Prawa, Administracji i Ekonomii Uniwersytetu Wrocławskiego.
POSTĘPOWANIE EGZEKUCYJNE
Zajęcia niedopuszczalne oraz konflikt interesów
Karnoprawna ochrona tajemnicy zawodowej dotyczącej działalności funduszy emerytalnych II Międzynarodowa Konferencja Naukowa pt. ZABEZPIECZENIE EMERYTALNE.
Odpowiedzialność cywilna
Rzecznik Praw Dziecka.
Prowadzenie monitoringu wizyjnego
Konflikt interesów.
Rekrutacja do przedszkoli w Gminie Strzyżów
Świetlice szkolne w rzeczywistości prawnej
Zmiany w przepisach ustawy z dnia 26 stycznia 1982 r
Zmiany w Umowie i Projekcie
Biuro Edukacji Urzędu m.st. Warszawy Warszawa, 9 kwietnia 2018 r.
Nowe regulacje prawne w obszarze bezdomności
Rekrutacja elektroniczna DO SZKÓŁ PONADGIMNAZJALNYCH w roku 2018
Czy zawsze potrzebna jest zgoda. RODO w organizacjach pozarządowych
RODO w Hodowli, czy nas dotyczy?
Podstawy prawa pracy Zajęcia nr 2.
Ustawa 2.0 – pomoc materialna
Podstawowe informacje o projekcie
AGH: Sprawy pracownicze
Formy czynności prawnych
Podstawa prawna Zasady przyjęć do klas I w szkołach podstawowych, dla których organem prowadzącym jest Miasto Kobyłka, zostały przygotowane w oparciu o.
Podstawy prawa pracy i Zabezpieczenia społecznego
CZYNNIK LUDZKI JAKO POTENCJALNE ŹRÓDŁO ZAGROŻEŃ W SYSTEMIE OCHRONY INFORMACJI NIEJAWNYCH OPRACOWAŁ: ppłk mgr inż. Janusz PARCZEWSKI, tel
Pracownicze dane osobowe
Ustawa z dnia 13 marca 2003 r. o szczególnych zasadach rozwiązywania z pracownikami stosunków pracy z przyczyn niedotyczących pracowników (tzw. zwolnienia.
Podstawy prawa pracy Zajęcia nr 3.
Przejście zakładu pracy na innego pracodawcę
Odsetki naliczane za czas postępowania 30 marca 2017
przyjęty przez Zarząd Główny ZNP w dniu 20 grudnia 2016 r.
Nowe podejście do zamówień publicznych
Treść umowy o pracę wymiar czasu pracy termin rozpoczęcia pracy
Forum Komisji Dialogu Społecznego
Konkursy nr RPKP IZ /19 Zmiany w zakresie procedur
Dane osobowe po 25 maja 2018.
RODO.
Zapis prezentacji:

radca prawny Patrycja Kozik audytor wewnętrzny systemu zarządzania Ochrona danych pracowników i kandydatów do pracy radca prawny Patrycja Kozik audytor wewnętrzny systemu zarządzania bezpieczeństwem informacji wg normy ISO 27001:2013

Plan prezentacji Ochrona danych pracowników i kandydatów do pracy – wprowadzenie Podstawy przetwarzania danych kandydatów Podstawy przetwarzania danych pracowników Monitoring pracowników Wymogi RODO istotne z punktu widzenia danych pracowników i kandydatów

WPROWADZENIE

Nowa ustawa o ochronie danych osobowych a prawo pracy Motyw 155: W prawie państwa członkowskiego lub w porozumieniach zbiorowych, w tym zakładowych porozumieniach z przedstawicielami pracowników, mogą być przewidziane przepisy szczegółowe o przetwarzaniu danych osobowych pracowników w związku z zatrudnieniem, w szczególności warunki, na których dane osobowe w związku z zatrudnieniem można przetwarzać za zgodą pracownika do celów procedury rekrutacyjnej, wykonywania umowy o pracę, w tym wykonywania obowiązków określonych w przepisach lub w porozumieniach zbiorowych, zarządzania, planowania i organizacji pracy, równości i różnorodności w miejscu pracy, bezpieczeństwa i higieny pracy oraz do celów indywidualnego lub zbiorowego wykonywania praw i korzystania ze świadczeń związanych z zatrudnieniem, a także do celów zakończenia stosunku pracy.

RODO – Nowa ustawa a podstawy prawne przetwarzania Artykuł 88 Przetwarzanie w kontekście zatrudnienia Państwa członkowskie mogą zawrzeć w swoich przepisach lub w porozumieniach zbiorowych bardziej szczegółowe przepisy mające zapewnić ochronę praw i wolności w przypadku przetwarzania danych osobowych pracowników w związku z zatrudnieniem, w szczególności: do celów rekrutacji, wykonania umowy o pracę, w tym wykonania obowiązków określonych przepisami lub porozumieniami zbiorowymi, zarządzania, planowania i organizacji pracy, równości i różnorodności w miejscu pracy, bezpieczeństwa i higieny pracy, ochrony własności pracodawcy lub klienta, do celów indywidualnego lub zbiorowego wykonywania praw i korzystania ze świadczeń związanych z zatrudnieniem, do celów zakończenia stosunku pracy.

Podstawy przetwarzania danych w warunkach zatrudnienia – stan obecny RODO Ustawa o ochronie danych osobowych (10.05.18r.) Projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania RODO KODEKS PRACY Inne przepisy regulujące kwestie dotyczące zatrudnienia

RODO – Nowa ustawa a podstawy prawne przetwarzania Obowiązujące: RODO – zasady ogólne przetwarzania danych Ustawa z 10 maja o ochronie danych osobowych – monitoring pracowników Kodeks pracy – przepisy dot. przetwarzania danych pracowników i kandydatów Projektowane: Projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania RODO z dnia 23 listopada 2018 r. – nowe przepisy dot. przetwarzania danych pracowników i kandydatów http://www.sejm.gov.pl/sejm8.nsf/druk.xsp?nr=3050&fbclid=IwAR2xUOfOjwvY1gm 4_p-WIpj4UrQkmdImHTwtSaBsJPe0yQqeG6PQ9Be7PlY

Kto odpowiada za stosowanie przepisów? „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania; administrator danych – podmiot decydujący o celach i środkach przetwarzania danych osobowych (także z sektora publicznego) Pracodawca = Administrator danych

PODSTAWY PRZETWARZANIA DANYCH KANDYDATÓW DO PRACY

Projektowane przepisy KP Obowiązujący Kodeks Pracy Projekt zmian z dnia 28 marca 2018 r. Projekt zmian z dnia 21 sierpnia i 23 listopada 2018 r. Art. 22 (1) § 1. Pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących: 1) imię (imiona) i nazwisko; 2) imiona rodziców; 3) datę urodzenia; 4) miejsce zamieszkania (adres do korespondencji); 5) wykształcenie; 6) przebieg dotychczasowego zatrudnienia. .Art. 22 (1). §1. Pracodawca żąda od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących: 2) datę urodzenia; 3) dane kontaktowe wskazane przez taką osobę; 4) wykształcenie; 5) przebieg dotychczasowego zatrudnienia. (brak obowiązku podania imion rodziców) zamiana miejsca zamieszkania na dane kontaktowe „Art. 221. § 1. Pracodawca żąda od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących: 5) kwalifikacje zawodowe; 6) przebieg dotychczasowego zatrudnienia + kwalifikacje zawodowe

RODO – PODSTAWY PRAWNE PRZETWARZANIA przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

PODSTAWY PRAWNE PRZETWARZANIA - REKRUTACJE Zamknięty katalog danych zbieranych na podstawie przepisów k.p. + przepisy szczególne 1) imię (imiona) i nazwisko; 2) datę urodzenia; 3) dane kontaktowe wskazane przez taką osobę; 4) wykształcenie; 5) kwalifikacje zawodowe; 6) przebieg dotychczasowego zatrudnienia. Z katalogu danych kandydata wyłączono: imiona rodziców adres zamieszkania

PODSTAWY PRAWNE PRZETWARZANIA - REKRUTACJE Zamknięty katalog danych zbieranych na podstawie przepisów k.p. § 2. Pracodawca żąda podania danych osobowych, o których mowa w § 1 pkt 4 - 6, gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku. A więc: 4) wykształcenie; 5) kwalifikacje zawodowe; 6) przebieg dotychczasowego zatrudnienia. Należy to uprzednio ocenić!

PODSTAWY PRAWNE PRZETWARZANIA - REKRUTACJE Zamknięty katalog danych zbieranych na podstawie przepisów k.p. + przepisy szczególne: § 4. Pracodawca żąda podania innych danych osobowych niż określone w § 1 i 3, gdy jest to niezbędne do wypełniania obowiązku pracodawcy nałożonego przepisem prawa. § 5. Udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której one dotyczą. Pracodawca może żądać udokumentowania danych osobowych osób, o których mowa w § 1 i 3, w zakresie niezbędnym do ich potwierdzenia.”;

PODSTAWY PRAWNE PRZETWARZANIA - REKRUTACJE Mechanizm jest taki Najpierw patrzymy do Kodeksu Pracy Potem szukamy w przepisach szczególnych np. prawo bankowe Co jeśli chcemy więcej danych?

PODSTAWY PRAWNE PRZETWARZANIA - REKRUTACJE Projekt zmiany z dnia 28 marca 2018 i z 7 czerwca 2018 r : Projekt zmiany z dnia 21 sierpnia i 23 listopada 2018 r. „Art. 22[2]. §1. Przetwarzanie przez pracodawcę innych danych osobowych niż wymienione w art. 221 §1 i 2 jest dopuszczalne za zgodą osoby ubiegającej się o zatrudnienie lub pracownika i tylko wtedy, gdy jest to dla nich korzystne. Projekt z 7 czerwca: „Art. 221a. § 1. Przetwarzanie przez pracodawcę innych danych osobowych niż wymienione w art. 221 § 1 i 3 jest dopuszczalne za zgodą osoby ubiegającej się o zatrudnienie lub pracownika. „Art. 221a. § 1. Zgoda osoby ubiegającej się o zatrudnienie lub pracownika może stanowić podstawę przetwarzania przez pracodawcę innych danych osobowych niż wymienione w art. 22[1] § 1 i 3, z wyjątkiem danych osobowych o których mowa w art. 10 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1), zwanego dalej „rozporządzeniem 2016/679”.

Warunki wyrażenia zgody Projekt zmiany z dnia 28 marca 2018 i 7 czerwca 2018 Projekt zmiany z dnia 21 sierpnia i 23 listopada 2018 r. §2. Brak zgody, o której mowa w §1 lub jej wycofanie, nie może być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a także nie może powodować wobec nich jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenie umowy o pracę lub jej rozwiązanie bez wypowiedzenia przez pracodawcę § 2. Brak zgody, o której mowa w § 1 lub jej wycofanie, nie może być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a także nie może powodować wobec nich jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenie umowy o pracę lub jej rozwiązanie bez wypowiedzenia przez pracodawcę.

ZGODA C.D. Przetwarzanie danych za zgodą - dotyczy danych osobowych udostępnianych przez osobę ubiegającą się o zatrudnienie lub pracownika na wniosek pracodawcy lub danych osobowych przekazanych pracodawcy z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika Kiedy można przetwarzać dane dodatkowe? Zgoda Przepis szczególny A co z danymi wrażliwymi?

Dane wrażliwe Projekt zmiany z dnia 21 sierpnia i 23 listopada 2018 r. Projekt zmiany z dnia 28 marca 2018 r. i 7 czerwca 2018 r. Projekt zmiany z dnia 21 sierpnia i 23 listopada 2018 r. Art. 22[3]. §1. Przetwarzanie danych osobowych, o których mowa w art. 9 ust. 1 i art. 10 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1), zwanego dalej „rozporządzeniem 2016/679”, jest dopuszczalne tylko wtedy, gdy jest to niezbędne do wypełniania obowiązku pracodawcy nałożonego przepisem prawa. Art. 221b. § 1. Zgoda osoby ubiegającej się o zatrudnienie lub pracownika może stanowić podstawę przetwarzania przez pracodawcę danych osobowych, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679 wyłącznie w przypadku, gdy przekazanie tych danych osobowych następuje z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika. Art. 221a § 2 stosuje się odpowiednio Dane wrażliwe w oparciu o zgodę!

Dane wrażliwe a upoważnienie i zachowanie tajemnicy § 3. Do przetwarzania danych osobowych, o których mowa w § 1, mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania takich danych wydane przez pracodawcę. Osoby dopuszczone do przetwarzania takich danych są obowiązane do zachowania ich w tajemnicy.”;

Pytania Czy można wymagać zaświadczenia o niekaralności? Co jeśli kandydat poda więcej danych w CV? Czy praktyka umieszczania zgód w CV jest prawidłowa? Co z przyszłymi rekrutacjami? Czy można prowadzić rekrutacje ukryte? Czy można zweryfikować kandydata u byłego pracodawcy? Czy można sprawdzić na uczelni czy faktycznie ukończył szkołę którą podaje w CV? Jak długo można przechowywać CV kandydata?

PODSTAWY PRZETWARZANIA DANYCH PRACOWNIKÓW na gruncie RODO

Obowiązujący Kodeks Pracy Projekt zmian z dnia 28 marca 2018 r. Projekt zmian z 21 sierpnia i 23 listopada 2018 r. .Pracodawca ma prawo żądać od pracownika podania, niezależnie od danych osobowych, o których mowa w § 1, także: 1) innych danych osobowych pracownika, a także imion i nazwisk oraz dat urodzenia dzieci pracownika, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy; 2) numeru PESEL pracownika nadanego przez Rządowe Centrum Informatyczne Powszechnego Elektronicznego Systemu Ewidencji Ludności (RCI PESEL). §2. Pracodawca żąda od pracownika podania dodatkowo danych osobowych obejmujących: 1) adres zamieszkania; 2) numer PESEL, a w przypadku jego braku – rodzaj i numer dokumentu potwierdzającego tożsamość; 3) inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy. § 3. Pracodawca żąda od pracownika podania dodatkowo danych osobowych obejmujących: 3) inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy; 4) wykształcenie i przebieg dotychczasowego zatrudnienia, jeżeli nie istniała podstawa do ich żądania od osoby ubiegającej się o zatrudnienie.

PODSTAWY PRAWNE PRZETWARZANIA - ZATRUDNIENIE Zamknięty katalog danych zbieranych na podstawie przepisów k.p. + przepisy szczególne: § 4. Pracodawca żąda podania innych danych osobowych niż określone w § 1 i 3, gdy jest to niezbędne do wypełniania obowiązku pracodawcy nałożonego przepisem prawa. § 5. Udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której one dotyczą. Pracodawca może żądać udokumentowania danych osobowych osób, o których mowa w § 1 i 3, w zakresie niezbędnym do ich potwierdzenia.”;

PODSTAWY PRAWNE PRZETWARZANIA - ZATRUDNIENIE Mechanizm jest taki Najpierw patrzymy do Kodeksu Pracy Potem szukamy w przepisach szczególnych np. prawo bankowe Co jeśli chcemy więcej danych?

PODSTAWY PRAWNE PRZETWARZANIA - ZATRUDNIENIE Projekt zmiany z dnia 28 marca 2018 i z 7 czerwca 2018 r : Projekt zmiany z dnia 21 sierpnia i 23 listopada 2018 r. „Art. 22[2]. §1. Przetwarzanie przez pracodawcę innych danych osobowych niż wymienione w art. 221 §1 i 2 jest dopuszczalne za zgodą osoby ubiegającej się o zatrudnienie lub pracownika i tylko wtedy, gdy jest to dla nich korzystne. Projekt z 7 czerwca: „Art. 221a. § 1. Przetwarzanie przez pracodawcę innych danych osobowych niż wymienione w art. 221 § 1 i 3 jest dopuszczalne za zgodą osoby ubiegającej się o zatrudnienie lub pracownika. „Art. 221a. § 1. Zgoda osoby ubiegającej się o zatrudnienie lub pracownika może stanowić podstawę przetwarzania przez pracodawcę innych danych osobowych niż wymienione w art. 22[1] § 1 i 3, z wyjątkiem danych osobowych o których mowa w art. 10 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1), zwanego dalej „rozporządzeniem 2016/679”.

Warunki wyrażenia zgody Projekt zmiany z dnia 28 marca 2018 i 7 czerwca 2018 Projekt zmiany z dnia 21 sierpnia i 23 listopada 2018 r. §2. Brak zgody, o której mowa w §1 lub jej wycofanie, nie może być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a także nie może powodować wobec nich jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenie umowy o pracę lub jej rozwiązanie bez wypowiedzenia przez pracodawcę § 2. Brak zgody, o której mowa w § 1 lub jej wycofanie, nie może być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a także nie może powodować wobec nich jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenie umowy o pracę lub jej rozwiązanie bez wypowiedzenia przez pracodawcę.

ZGODA C.D. Przetwarzanie danych za zgodą - dotyczy danych osobowych udostępnianych przez osobę ubiegającą się o zatrudnienie lub pracownika na wniosek pracodawcy lub danych osobowych przekazanych pracodawcy z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika Kiedy można przetwarzać dane dodatkowe? Zgoda Przepis szczególny A co z danymi wrażliwymi?

Dane wrażliwe Projekt zmiany z dnia 21 sierpnia i 23 listopada 2018 r. Projekt zmiany z dnia 28 marca 2018 r. i 7 czerwca 2018 r. Projekt zmiany z dnia 21 sierpnia i 23 listopada 2018 r. Art. 22[3]. §1. Przetwarzanie danych osobowych, o których mowa w art. 9 ust. 1 i art. 10 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1), zwanego dalej „rozporządzeniem 2016/679”, jest dopuszczalne tylko wtedy, gdy jest to niezbędne do wypełniania obowiązku pracodawcy nałożonego przepisem prawa. Art. 221b. § 1. Zgoda osoby ubiegającej się o zatrudnienie lub pracownika może stanowić podstawę przetwarzania przez pracodawcę danych osobowych, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679 wyłącznie w przypadku, gdy przekazanie tych danych osobowych następuje z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika. Art. 221a § 2 stosuje się odpowiednio Dane wrażliwe w oparciu o zgodę!

Dane wrażliwe a upoważnienie i zachowanie tajemnicy § 3. Do przetwarzania danych osobowych, o których mowa w § 1, mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania takich danych wydane przez pracodawcę. Osoby dopuszczone do przetwarzania takich danych są obowiązane do zachowania ich w tajemnicy.”;

PODSTAWY PRAWNE PRZETWARZANIA - ZATRUDNIENIE A co z danymi biometrycznymi?

PODSTAWY PRAWNE PRZETWARZANIA - ZATRUDNIENIE Projekt z 23 listopada: § 2. Przetwarzanie danych biometrycznych pracownika jest dopuszczalne także wtedy, gdy podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej ochrony. Dane biometryczne pracownika! czyli nie-kandydata

ZATRUDNIENIE - PYTANIA Czy pracodawca może wykorzystać zdjęcie pracownika do umieszczenia go na swojej stronie internetowej? Czy może opublikować imię i nazwisko pracownika oraz służbowy adres e-mail na swojej stronie internetowej? Czy może wykorzystać zdjęcie poprzez umieszczenie na identyfikatorze? A w intranecie? Czy można kserować dowód osobisty pracownika? Czy można odnotowywać powód nieobecności pracownika na listach?

Pracownicy – zakres danych Czy pracodawca może potwierdzić telefonicznie zarobki pracownika pracownikowi Banku w którym pracownik ubiega się o kredyt? Czy może odmówić udzielenia informacji?

Pracownicy – zakres danych pismo Narodowego Banku Polskiego do Generalnego Inspektora Nadzoru Bankowego z dnia 6 kwietnia 2001 r. (NB/BPN/I/214/01) skierowane do osób kierujących bankami, które zawiera stwierdzenie, iż „przepisy ustawy - Prawo bankowe i ustawy o ochronie danych osobowych nie przewidują telefonicznej formy pozyskiwania żądanych informacji. Banki nie mogą więc uzależniać przyznania kredytu od udzielenia informacji w tej formie”.

MONITORING

MONITORING Przepisy po raz pierwszy do polskiego porządku prawnego regulację dotyczącą monitoringu w ramach stosunku pracy . Rodo nie reguluje kwestii dotyczących dopuszczalności stosowania monitoringu. Niemniej jednak odwołuje się do „monitorowania” dotyczącego osób w następujących kontekstach: - monitorowania zachowania osób, których dane dotyczą, przebywających w UE przez administratora lub podmiot przetwarzający niemających jednostek organizacyjnych w UE, dokonywanego na terenie UE (terytorialny zakres stosowania – art. 3 ust. 2 lit. b rodo oraz związany z nim obowiązek wyznaczenia przedstawiciela w Unii wskazany w art. 27 rodo), -systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie (w kontekście dokonywania oceny skutków dla ochrony danych – art. 35 ust. 2 c rodo), - regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę (w kontekście obowiązku powołania inspektora ochrony danych).

MONITORING Art. 22[2] § 1 KP: Jeżeli jest to niezbędne do zapewnienia bezpieczeństwa pracowników lub ochrony mienia lub kontroli produkcji lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę, pracodawca może wprowadzić szczególny nadzór nad terenem zakładu pracy lub terenem wokół zakładu pracy w postaci środków technicznych umożliwiających rejestrację obrazu (monitoring). Definicja monitoringu Obszar stosowania Cele stosowania Czy wyczerpująco? Co jest podstawą?

MONITORING Uregulowanie stosowania monitoringu w sposób wskazany w komentowanym przepisie (wyliczenie celów dla których monitoring może być stosowany), nie oznacza, że podstawą dla stosowania monitoringu w warunkach wskazanych w przepisie będzie art. 6 ust. 1 lit. c rodo (przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze). Wskazany przepis nie nakłada bowiem obowiązku stosowania monitoringu, a jedynie wskazuje jakie są cele i zasady korzystania z monitoringu. W konsekwencji, przyjąć należy, że najwłaściwszą podstawą będzie art. 6 ust. 1 lit. f) rodo – niezbędność przetwarzania do celów wynikających z prawnie uzasadnionych interesów administratora danych.

MONITORING – CZEGO NIE OBEJMUJE? § 2. Monitoring nie obejmuje pomieszczeń sanitarnych, szatni, stołówek oraz palarni lub pomieszczeń udostępnianych zakładowej organizacji związkowej, chyba, że stosowanie monitoringu w tych pomieszczeniach jest niezbędne do realizacji celu określonego w § 1 i nie naruszy to godności oraz innych dóbr osobistych pracownika, a także zasady wolności i niezależności związków zawodowych, w szczególności poprzez zastosowanie technik uniemożliwiających rozpoznanie przebywających w tych pomieszczeniach osób.

MONITORING – JAK DŁUGO MOŻNA PRZECHOWYWAĆ? § 3. Nagrania obrazu pracodawca przetwarza wyłącznie do celów, dla których zostały zebrane i przechowuje przez okres nieprzekraczający 3 miesięcy od dnia nagrania. § 4. W przypadku, w którym nagrania obrazu stanowią dowód w postępowaniu prowadzonym na podstawie prawa lub pracodawca powziął wiadomość, iż mogą one stanowić dowód w postępowaniu, termin określony w § 3 ulega przedłużeniu do czasu prawomocnego zakończenia postępowania. § 5. Po upływie okresów, o których mowa w § 3 lub 4, uzyskane w wyniku monitoringu nagrania obrazu zawierające dane osobowe, podlegają zniszczeniu, o ile przepisy odrębne nie stanowią inaczej.

MONITORING – JAK POINFORMOWAĆ? § 6. Cele, zakres oraz sposób zastosowania monitoringu ustala się w układzie zbiorowym pracy lub w regulaminie pracy albo w obwieszczeniu, jeżeli pracodawca nie jest objęty układem zbiorowym pracy lub nie jest obowiązany do ustalenia regulaminu pracy. § 7. Pracodawca informuje pracowników o wprowadzeniu monitoringu, w sposób przyjęty u danego pracodawcy, nie później niż 2 tygodnie przed jego uruchomieniem. § 8. Pracodawca przed dopuszczeniem pracownika do pracy przekazuje mu na piśmie informacje, o których mowa w § 6. § 9. W przypadku wprowadzenia monitoringu pracodawca oznacza pomieszczenia i teren monitorowany w sposób widoczny i czytelny, za pomocą odpowiednich znaków lub ogłoszeń dźwiękowych, nie później niż jeden dzień przed jego uruchomieniem.

MONITORING – JAK POINFORMOWAĆ? § 10. Przepis § 9 nie narusza przepisów art. 12 i art. 13 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1).

MONITORING – JAK POINFORMOWAĆ? § 10. Przepis § 9 nie narusza przepisów art. 12 i art. 13 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1).

MONITORING – JAK POINFORMOWAĆ? Powyższe oznacza, że niezależnie od: - podania informacji o monitoringu w regulaminie pracy lub obwieszczeniu poinformowania o stosowaniu monitoringu w sposób zwyczajowo przyjęty u danego pracodawcy, przekazania informacji pracownikowi na piśmie informacji przed dopuszczeniem do pracy, oznaczenia pomieszczenia i terenu monitorowanego należy spełnić obowiązek informacyjny na zasadach wynikających z RODO

MONITORING – JAK POINFORMOWAĆ? Jak wskazał Prezes Urzędu w wytycznych dotyczących stosowania monitoringu: i stotne znaczenie ma realizacja wobec osoby obserwowanej obowiązku informacyjnego ujętego w art. 13 RODO. Musi on być, zgodnie z art. 12 rozporządzenia, realizowany w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Pełna informacja o monitoringu (niezależna od dodatkowych wymogów wskazanych w kodeksie pracy), obejmująca wszystkie wymogi art. 13 RODO, powinna być dostępna w miejscu monitorowanym, np. na tablicach albo w formie dokumentu dostępnego na recepcji czy też u przedstawiciela administratora. Czyli możliwa jest realizacja obowiązku informacyjnego poprzez podanie informacji podstawowych i uzupełnienie ich w kolejnych warstwach informacyjnych

MONITORING – JAKIE INNE FORMY PRZEWIDUJE KP? Art. 22[3]. § 1. Jeżeli jest to niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy, pracodawca może wprowadzić kontrolę służbowej poczty elektronicznej pracownika (monitoring poczty elektronicznej). § 2. Monitoring poczty elektronicznej nie może naruszać tajemnicy korespondencji oraz innych dóbr osobistych pracownika. § 3. Przepisy art. 22[2] § 6–10 stosuje się odpowiednio. § 4. Przepisy § 1–3 stosuje się odpowiednio do innych form monitoringu niż określone w § 1, jeśli ich zastosowanie jest konieczne do realizacji celów, określonych w § 1.”.

MONITORING – JAKIE INNE FORMY PRZEWIDUJE KP? wyłącznie poczta służbowa wyłącznie do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy przepisy dotyczące monitoringu wizyjnego stosuje się odpowiednio analogicznie inne formy np. czas pracy, GPS

PRAWA PODMIOTÓW DANYCH

RODO – KOMUNIKACJA Z PODMIOTEM DANYCH Prowadzenie komunikacji z podmiotem danych Obowiązki informacyjne Prawo dostępu przysługujące osobie, której dane dotyczą Sprostowanie i usuwanie danych Prawo do ograniczenia przetwarzania Prawo do przenoszenia danych Prawo do sprzeciwu Prawo do niepodlegania zautomatyzowanemu podejmowaniu decyzji w tym profilowaniu

RODO – OBOWIĄZEK INFORMACYJNY RODO nakłada na administratorów danych osobowych (w tym na pracodawców) obowiązek przekazania osobom, od których dane są zbierane (np. kandydatom do pracy) bardzo wielu informacji (art. 13 i 14 RODO) Obowiązki informacyjne względem kandydata powstają niezależnie od konieczności zapewnienia odpowiedniej podstawy do przetwarzania ich danych (np. przepisu prawa pracy). Oznacza to, że niezależnie od tego, czy administrator będzie przetwarzał dane w oparciu o zgodę, czy np. w celu realizacji ciążącego na nim obowiązku prawnego, będzie musiał przekazać kandydatowi/pracownikowi informacje wymagane Rozporządzeniem. Wyjątkiem będzie wyłącznie sytuacja, w której osoba, której dane dotyczą, będzie już dysponować stosownymi informacjami, co jednak w praktyce będzie mieć miejsce niezwykle rzadko.

RODO – OBOWIĄZEK INFORMACYJNY Nowa treść obowiązku informacyjnego - zgodna z wymogami art. 13 i 14 RODO (w zakresie treści) Obowiązek zapewnienia przejrzystości przetwarzania – zgodnie z art 12 RODO (sposób przekazania informacji) Informacje zawarte w klauzuli powinny być przekazane w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą (art. 12 Rozporządzenia).

RODO – OBOWIĄZEK INFORMACYJNY Niezależnie od wybranej formy przekazania informacji, pracodawcy powinni zwrócić uwagę na konieczność zapewnienia rozliczalności, tj. powinni być w stanie wykazać, że zrealizowali obowiązek informacyjny zgodnie z przepisami prawa. Zasadę rozliczalności pracodawcy powinni uwzględnić w zakresie momentu spełnienia obowiązku informacyjnego, który jak wskazuje art. 13 Rozporządzenia, powinien być zrealizowany podczas pozyskiwania danych. Będzie to np. moment wypełniania formularza aplikacyjnego przez kandydata w odpowiedzi na zamieszone przez pracodawcę ogłoszenie o pracy. Dla wielu pracodawców spełnienie obowiązku informacyjnego będzie wymagało zmiany wewnątrz organizacji np. w postaci stworzenia procedury przyjmowania papierowych CV na portierni.

RODO – PRAWO DOSTĘPU DO DANYCH Prawo dostępu do danych – elementy: Żądanie uzyskania zindywidualizowanych informacji Żądanie dostępu do danych osobowych; Żądanie uzyskania kopii danych osobowych Co z notatkami rekrutera na CV?

RODO – PRAWO DOSTĘPU DO DANYCH .

WSPÓŁPRACA Z INNYMI PODMIOTAMI

Rodo a współpraca z podwykonawcami Określenie roli w ramach współpracy z danym podmiotem ma znaczenie z punktu widzenia: odpowiedzialności realizacji obowiązku informacyjnego zapewnienia podstaw prawnych współpracy Procesor oznacza podmiot, który przetwarza dane osobowe na zlecenie administratora np. agencja rekrutacyjna Administrator oznacza podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych np. danych osobowych swoich pracowników

Rodo a współpraca z podwykonawcami Wybór procesora - komu można dane powierzyć na gruncie RODO? Podmiotom, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą. Należy zweryfikować czy procesor zapewnia wystarczające gwarancje i być w stanie to wykazać

Rodo a współpraca z podwykonawcami Należy zawrzeć z procesorem umowę powierzenia zgodną z RODO Umowa powierzenia na gruncie uodo: cel i zakres zgodnie z art. 28 rodo, umowa powierzenia powinna określać: przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych, kategorie osób, których dane dotyczą, obowiązki i prawa administratora, a także obowiązki procesora, których przykładowe wyliczenie zawiera ustęp 3 wskazanego artykułu. Można powierzyć zbieranie zgód

Procesor a odbiorca Art. 13 ust. 1 lit. e RODO należy w ramach obowiązku informacyjnego należy podać (…) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją; „odbiorca” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią „strona trzecia” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe Procesor jest na gruncie RODO odbiorcą

Odbiorca W niektórych relacjach może dochodzić do udostępnienia danych (przekazania danych między dwoma administratorami) np. udostępnienie danych pracownika do ZUS/US, udostępnienie danych pracownika innej spółce z grupy Administrator jest odbiorcą (obowiązek informacyjny) Należy mieć podstawę do udostępnienia danych np. obowiązek wynikający z przepisu prawa Jeżeli otrzymamy dane od innego administratora – obowiązek informacyjny z art. 14 RODO

Relacje w ramach grupy W zależności od sytuacji w ramach grupy podmiotów może dochodzić do: powierzenia danych między spółkami (administrator- procesor) udostępnienia danych między spółkami (administrator – administrator) współadministrowania danymi (współadministrator – współadministrator) Jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami.

Współadministratorzy W drodze wspólnych uzgodnień współadministratorzy w przejrzysty sposób określają odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z rozporządzenia, w szczególności w odniesieniu do wykonywania przez osobę, której dane dotyczą, przysługujących jej praw, oraz ich obowiązków w odniesieniu do podawania informacji, o których mowa w art. 13 i 14 (…). W uzgodnieniach można wskazać punkt kontaktowy dla osób, których dane dotyczą. Uzgodnienia należycie odzwierciedlają odpowiednie zakresy obowiązków współadministratorów oraz relacje pomiędzy nimi a podmiotami, których dane dotyczą. Zasadnicza treść uzgodnień jest udostępniana podmiotom, których dane dotyczą. Osoba, której dane dotyczą, może wykonywać przysługujące jej prawa wynikające z rozporządzenia wobec każdego z administratorów.

RODO – ADMINISTRATOR A PROCESOR POWIERZENIA vs. UDOSTĘPNIENIE? Powierzenie: Administrator (np. pracodawca) -> procesor [umowa powierzenia] czy potrzebna zgoda kandydata/pracownika aby powierzyć? Udostępnienie: Administrator (np. pracodawca) -> administrator administrator -> Administrator (np. pracodawca) [art. 6 lub 9-10 rodo] Lista powierzeń/udostępnień?

Agencja zatrudnienia? Pracuj (inne portale)? Testy psychologiczne? Bank? Poczta polska? Ubezpieczyciel? ZUS? US? Sąd? Policja? Prokuratura? Audytorzy? Benefity? Ubezpieczenie? Siłownia? Zdrowie? Szkolenia obowiązkowe/fakultatywne? Kursy językowe? Dostawca pizzy? Podmiot leczniczy? Serwis sprzątający? Serwis niszczący dokumenty? Dostawca narzędzia IT do przetwarzania? Usługi prawne? Ochrona? Księgowość? Przekazanie danych kontaktowych pracowników w ramach realizacji umowy?

Dziękuję za uwagę!