audytor wewnętrzny systemu zarządzania

audytor wewnętrzny systemu zarządzania
Ochrona danych pracowników i kandydatów do pracy r.pr. Patrycja Kozik audytor wewnętrzny systemu zarządzania bezpieczeństwem informacji wg normy ISO 27001:2013 Lublin, r.

Plan prezentacji Ochrona danych pracowników i kandydatów do pracy – wprowadzenie Podstawy przetwarzania danych kandydatów Podstawy przetwarzania danych pracowników Przetwarzanie danych pracowników i kandydatów na gruncie RODO i projektów przepisów kodeksu pracy Wymogi RODO istotne z punktu widzenia danych pracowników i kandydatów

Podstawowe akty prawne
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) Ustawa z dnia 26 czerwca 1974 r. Kodeks pracy. Inne przepisy szczególne

Jakie przepisy należy stosować?
Art. 5 UODO Jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw Regulacje szczegółowe nie są kompleksowe W pozostałym zakresie – UODO/RODO Dane kandydatów/pracowników = dane osobowe Jeżeli mamy dane osobowe – zawsze stosujemy UODO, zatem pracodawca/dział HR stosuje zarówno KP jak i UODO/RODO

Kto odpowiada za stosowanie przepisów?
Art. 36 ust. 1 UODO Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem administrator danych – podmiot decydujący o celach i środkach przetwarzania danych osobowych (także z sektora publicznego) Pracodawca = Administrator danych

Kto odpowiada za stosowanie przepisów?
Odpowiada pracodawca, choć pracownika można pociągnąć do odpowiedzialności dyscyplinarnej, czy karnej na zasadach ogólnych UODO. Pracodawca powinien upoważnić pracowników mających dostęp do danych kandydatów do pracy lub pracowników do przetwarzania, także pracowników z działu kadr.

PODSTAWY PRZETWARZANIA DANYCH KANDYDATÓW DO PRACY

Dane kandydatów do pracy
Art. 22 (1) § 1 KP: Pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących: 1) imię (imiona) i nazwisko; 2) imiona rodziców; 3) datę urodzenia; 4) miejsce zamieszkania (adres do korespondencji); 5) wykształcenie; 6) przebieg dotychczasowego zatrudnienia.

Pracodawca może żądać podania innych danych osobowych niż określone w § 1 i 2, jeżeli obowiązek ich podania wynika z odrębnych przepisów. W zakresie nieuregulowanym w § 1–4 do danych osobowych, o których mowa w tych przepisach, stosuje się przepisy o ochronie danych osobowych.

Pracodawca ma prawo żądać wskazanych danych. Pracodawca nie może żądać od osoby ubiegającej się o zatrudnienie podania innych danych osobowych niż tych wskazanych w przepisie lub przepisach szczególnych. Żądanie przez pracodawcę informacji wykraczających poza przepisy może być uznane jako dyskryminujące. Jeżeli pracodawca ma prawo żądać – pracodawca nie powinien zbierać zgody na przetwarzanie danych wynikających z przepisu!!!! Wynika to z art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych, zgodnie z którym przetwarzanie danych jest dopuszczalne, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.

Dekalog rekrutera opublikowany przez GIODO – NIC POZA KATALOG
Pozyskiwanie danych osobowych potencjalnych pracowników musi odbywać się w sposób zgodny z prawem (zasada legalizmu – art. 26 ust. 1 pkt 1 ustawy o ochronie danych osobowych), a więc z zachowaniem jednej z przesłanek określonych w art. 23 tej ustawy. Zakres danych osobowych, jakich może żądać zatrudniający w procesie rekrutacji, jest wyraźnie wskazany w art. 22[1] ustawy – Kodeks pracy. Pracodawca może zatem domagać się informacji o: imieniu (imionach) i nazwisku, imionach rodziców, dacie urodzenia, miejscu zamieszkania (adres do korespondencji), wykształceniu, przebiegu dotychczasowego zatrudnienia. Wskazany katalog jest katalogiem zamkniętym, co oznacza, że co do zasady pracodawca nie ma prawa pozyskiwać innych informacji, np. dotyczących stanu cywilnego (szerszy katalog mogą ewentualnie przewidywać przepisy szczególne).

A co ze zgodami od kandydatów do pracy?
Wypowiedzi prasowe GIODO ( r.) : Czasem to także sami pracownicy lub kandydaci do zatrudnienia z własnej inicjatywy przekazują firmom więcej informacji o sobie, niż wskazują przepisy. Dotyczy to w szczególności osób biorących udział w rekrutacji do pracy – w ten sposób chcą wyróżnić się spośród tłumu kandydatów. Wykazują dodatkowe umiejętności, wykształcenie, ukończone kursy nawet niezwiązane ze stanowiskiem, na które aplikują. Prawo im tego nie zabrania. Sporadycznie wyrażane są poglądy, że firma powinna takie informacje usunąć, zanim zacznie przetwarzać dane konkretnej osoby. Moim zdaniem nie jest to opinia słuszna. Artykuł 22[1] wskazuje, jakich danych pracodawca może żądać od pracownika, ale to nie oznacza, że zatrudniony lub kandydat do pracy z własnej woli nie może przekazać innych informacji, które mają działać na jego korzyść.

Zgody – kandydaci Zgoda nie może być wymuszona! A co z przyszłymi rekrutacjami? Jak długo możemy przechowywać CV?

Zgody – kandydaci – dekalog rekrutera:
Jeżeli podstawą przetwarzania danych jest zgoda kandydata do pracy – np. na wykorzystanie ich dla celów innych, przyszłych rekrutacji – należy pamiętać, że prawidłowo wyrażona zgoda powinna spełniać kryteria określone w art. 7 pkt 5 ustawy o ochronie danych osobowych. Powinna ona być wyrażona w sposób jasny i wyraźny, nie może być domniemana ani dorozumiana. Ważne jest, aby zgoda dotyczyła przetwarzania danych w konkretnym, wskazanym przez administratora danych celu, a nie przetwarzania danych „w ogóle”. Formuła zgody na przetwarzanie danych osobowych powinna zatem stanowić odrębne oświadczenie osoby, której dane dotyczą, zaś z jej treści w sposób niebudzący wątpliwości powinno wynikać w jakim celu, w jakim zakresie i przez kogo dane osobowe będą przetwarzane. Wyrażający zgodę musi mieć pełną świadomość tego na co się godzi. Podkreślić przy tym należy, że zgoda musi zostać podjęta swobodnie i zgodnie z art. 7 pkt 5 ustawy o ochronie danych osobowych, może być w każdym czasie odwołana. Jednak w wielu przypadkach zdarza się, że zgoda na przetwarzanie danych osobowych bywa wymuszana, co jest związane z charakterem relacji, jakie zachodzą pomiędzy pracodawcą a kandydatem do pracy. Zatem żeby wyrażoną przez kandydata do pracy zgodę na przetwarzanie jego danych osobowych można było uznać za prawidłową przesłankę umożliwiającą wykorzystywanie tych danych, niezbędne jest dokonanie oceny, czy została ona wyrażona w sposób dobrowolny.

Rekrutacja – inne problemy
Czy można żądać od kandydata informacji o niekaralności? Czy można żądać CV ze zdjęciem? Czy można żądać przesłania skanu dowodu osobistego? Czy można utworzyć „czarną listę” kandydatów którzy nam się nie spodobali bo nie przyszli na spotkanie lub zachowali się nie odpowiednio? Czy można prowadzić rekrutację „ukrytą” ?

Rekrutacja – obowiązki pracodawcy
Przetwarzanie danych kandydatów do pracy powinno być zgodne z wszystkimi zasadami przetwarzania danych osobowych (legalność, celowość, adekwatność etc.) Niezależnie od podstawy przetwarzania – należy spełnić obowiązek informacyjny! art. 24/25 uodo Należy odpowiednio zorganizować proces rekrutacyjny i należycie zabezpieczyć dokumentację rekrutacyjną Należy zapewnić realizację praw podmiotów danych (pracowników/kandydatów) Należy zawrzeć umowę powierzenia danych np. gdy korzystamy z portalu do rekrutacji, czy agencji rekrutacyjnej Należy spełnić wymogi dot. transferu do państw trzecich – co jeśli rekrutujemy na obszarze Holandii?

PODSTAWY PRZETWARZANIA DANYCH PRACOWNIKÓW

Pracownicy – zakres danych
§ 2. Pracodawca ma prawo żądać od pracownika podania, niezależnie od danych osobowych, o których mowa w § 1, także: 1) innych danych osobowych pracownika, a także imion i nazwisk oraz dat urodzenia dzieci pracownika, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy; 2) numeru PESEL pracownika nadanego przez Rządowe Centrum Informatyczne Powszechnego Elektronicznego Systemu Ewidencji Ludności (RCI PESEL). § 3. Udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której one dotyczą. Pracodawca ma prawo żądać udokumentowania danych osobowych osób, o których mowa w § 1 i 2.

Czy pracodawca może wykorzystać zdjęcie pracownika do umieszczenia go na swojej stronie internetowej? Czy może opublikować imię i nazwisko pracownika oraz służbowy adres e- mail na swojej stronie internetowej?

wyrok Sądu Najwyższego z dnia 19 listopada 2003 r. o sygn. I PK 590/02 „nazwisko i imię jest skierowanym na zewnątrz znakiem rozpoznawczym osoby fizycznej i ujawnienie go w celu jej identyfikacji nie może być zasadniczo uznane za bezprawne, o ile nie łączy się z naruszeniem innego dobra osobistego, np. czci, prywatności lub godności osobistej. Ujawnienie przez pracodawcę nazwiska (imienia) pracownika bez jego zgody nie stanowi bezprawnego naruszenia dobra osobistego, jeżeli jest usprawiedliwione zadaniami i obowiązkami pracodawcy związanymi z prowadzeniem zakładu, jest niezbędne i nie narusza praw oraz wolności pracownika”

wyrok Sądu Najwyższego z dnia 19 listopada 2003 r. o sygn. I PK 590/02 „najistotniejszym składnikiem zakładu pracy (przedsiębiorstwa) są ludzie, a funkcjonowanie zakładu wiąże się nierozłącznie z kontaktami zewnętrznymi – kontrahentami, klientami (...). Dlatego pracodawca nie może być pozbawiony możliwości ujawniania nazwisk pracowników, zajmujących określone stanowiska w ramach instytucji. Przeciwne stanowisko prowadziłoby do sparaliżowania lub poważnego ograniczenia możliwości działania pracodawcy, bez żadnego rozsądnego uzasadnienia w ochronie interesów i praw pracownika (...). Imiona i nazwiska pracowników widnieją na drzwiach w zakładach pracy, umieszcza się je na pieczątkach imiennych, pismach sporządzanych w związku z pracą, prezentuje w informatorach o instytucjach i przedsiębiorstwach, co oznacza, ze zgodnie powszechną praktyką są one zasadniczo jawne”

Czy kadry mogą przekazać dane pracownika zatrudnionego w spółce innemu pracownikowi? W jakiej sytuacji? Czy można przetwarzać nazwisko rodowe matki? Oceń z perspektywy zasad ogólnych

Czy można pobierać odciski palców do ewidencji czasu pracy?

Biometria a czas pracy GIODO odnosił się do tego problemu, uznając, że nie jest dopuszczalne pobieranie odcisków palców dla potrzeb ewidencjonowania czasu pracy. Można bowiem stosować inne, mniej dolegliwe sposoby mierzenia godzin wykonywania obowiązków pracowniczych. A co z biometrią w innym celu?

Czy można wykorzystywać monitoring do oceny wydajności pracownika? A co z monitoringiem poczty?

GIODO: W przypadku monitoringu celem tym jest zapewnienie bezpieczeństwa i porządku publicznego oraz ochrony osób i mienia, nie zaś nadzór nad efektywnością czy wydajnością wykonywanej przez pracownika pracy. Co więcej, w art. 22¹ Kodeksu pracy (Dz. U. z 1998 r. Nr 21 poz. 94 z późn. zm.) określono zasadniczy katalog danych osobowych pracownika, które mogą być przetwarzane przez pracodawcę. Nie ma wśród nich danych pozyskiwanych za pomocą monitoringu wizyjnego

GIODO: „Pracodawca powinien poinformować pracownika o tym, że zamierza nadzorować jego służbową pocztę, a następnie podzielić korespondencję na prywatną, do której nie ma prawa wglądu, i służbową, którą może kontrolować. Musi jednak tak wyważyć stopień nadzoru, aby nie naruszać dóbr osobistych pracownika”.

Czy pracodawca może potwierdzić telefonicznie zarobki pracownika pracownikowi Banku w którym pracownik ubiega się o kredyt? Czy może odmówić udzielenia informacji?

pismo Narodowego Banku Polskiego do Generalnego Inspektora Nadzoru Bankowego z dnia 6 kwietnia 2001 r. (NB/BPN/I/214/01) skierowane do osób kierujących bankami, które zawiera stwierdzenie, iż „przepisy ustawy - Prawo bankowe i ustawy o ochronie danych osobowych nie przewidują telefonicznej formy pozyskiwania żądanych informacji. Banki nie mogą więc uzależniać przyznania kredytu od udzielenia informacji w tej formie”.

GIODO: „W związku z taką praktyką niezbędne jest – w ocenie Generalnego Inspektora Ochrony Danych Osobowych – przyjęcie takiego rozwiązania (formy potwierdzania danych), które całkowicie wyeliminuje możliwość udostępnienia tych danych osobie innej, niż pracownik określonej instytucji, a więc osobie nieupoważnionej. Zatem, osoba udzielająca informacji w zakresie danych osobowych musi potwierdzić tożsamość swojego rozmówcy, by z całą pewnością móc stwierdzić, że osoba telefonująca do niej w celu zweryfikowania danych jest rzeczywiście przedstawicielem określonej instytucji, w imieniu której posiada upoważnienie do uzyskania podanych informacji”.

Dane pracowników – obowiązki pracodawcy
Przetwarzanie danych pracowników do pracy powinno być zgodne z wszystkimi zasadami przetwarzania danych osobowych (legalność, celowość, adekwatność etc.) Niezależnie od podstawy przetwarzania – należy spełnić obowiązek informacyjny! art. 24/25 uodo Należy odpowiednio zorganizować dokumentację kadrową, w tym zapewnić jej bezpieczeństwo Należy zapewnić realizację praw podmiotów danych (pracowników) Należy zawrzeć umowę powierzenia danych np. gdy korzystamy z zewnętrznej firmy HR czy zewnętrznej księgowości

Dane pracowników – obowiązki pracodawcy – co jeszcze?
Należy przeszkolić pracowników przed ich dopuszczeniem do przetwarzania danych osobowych Należy zapoznać pracowników z dokumentacją przetwarzania danych u Administratora i odebrać od nich oświadczenie, że zapoznali się z dokumentacją! Należy nadać pracownikom upoważnienia do przetwarzania danych w niezbędnym zakresie (ewidencja upoważnień) Należy zobowiązać pracowników do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia Należy wdrożyć polityki, które ułatwią pracownikom przetwarzanie danych zgodnie z przepisami

PODSTAWY PRZETWARZANIA DANYCH KANDYDATÓW DO PRACY na gruncie RODO

Nowa ustawa o ochronie danych osobowych a prawo pracy
Motyw 155: W prawie państwa członkowskiego lub w porozumieniach zbiorowych, w tym zakładowych porozumieniach z przedstawicielami pracowników, mogą być przewidziane przepisy szczegółowe o przetwarzaniu danych osobowych pracowników w związku z zatrudnieniem, w szczególności warunki, na których dane osobowe w związku z zatrudnieniem można przetwarzać za zgodą pracownika do celów procedury rekrutacyjnej, wykonywania umowy o pracę, w tym wykonywania obowiązków określonych w przepisach lub w porozumieniach zbiorowych, zarządzania, planowania i organizacji pracy, równości i różnorodności w miejscu pracy, bezpieczeństwa i higieny pracy oraz do celów indywidualnego lub zbiorowego wykonywania praw i korzystania ze świadczeń związanych z zatrudnieniem, a także do celów zakończenia stosunku pracy.

RODO – Nowa ustawa a podstawy prawne przetwarzania
Artykuł 88 Przetwarzanie w kontekście zatrudnienia Państwa członkowskie mogą zawrzeć w swoich przepisach lub w porozumieniach zbiorowych bardziej szczegółowe przepisy mające zapewnić ochronę praw i wolności w przypadku przetwarzania danych osobowych pracowników w związku z zatrudnieniem, w szczególności: do celów rekrutacji, wykonania umowy o pracę, w tym wykonania obowiązków określonych przepisami lub porozumieniami zbiorowymi, zarządzania, planowania i organizacji pracy, równości i różnorodności w miejscu pracy, bezpieczeństwa i higieny pracy, ochrony własności pracodawcy lub klienta, do celów indywidualnego lub zbiorowego wykonywania praw i korzystania ze świadczeń związanych z zatrudnieniem, do celów zakończenia stosunku pracy.

RODO a nowa ustawa o ochronie danych osobowych

RODO – Nowa ustawa a podstawy prawne przetwarzania
Projekt przepisów z 12 września _przepisy_wprowadzajace_ustawe_o_ochronie_danych_osobowych_- _ pdf/564d020d-d970-cce5-9b e1a1f1da (Strona 2 do 5) Projekt przepisów z 28 marca pdf (strona 7 do 11)

Projektowane przepisy KP
Obowiązujący Kodeks Pracy Projekt zmian z dnia 12. Września 2017 r. Projekt zmian z dnia 28 marca 2018 r. Art. 22 (1) § 1. Pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących: 1) imię (imiona) i nazwisko; 2) imiona rodziców; 3) datę urodzenia; 4) miejsce zamieszkania (adres do korespondencji); 5) wykształcenie; 6) przebieg dotychczasowego zatrudnienia. Art. 22 (1) § 1. Pracodawca żąda od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących: 2) datę urodzenia; 3) adres do korespondencji; 4) adres poczty elektronicznej albo numer telefonu; (brak obowiązku podania imion rodziców) „Art. 22 (1). §1. Pracodawca żąda od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących: 3) dane kontaktowe wskazane przez taką osobę; 4) wykształcenie; 5) przebieg dotychczasowego zatrudnienia.

RODO – PODSTAWY PRAWNE PRZETWARZANIA
przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

PODSTAWY PRAWNE PRZETWARZANIA - REKRUTACJE
Zamknięty katalog danych zbieranych na podstawie przepisów k.p. + przepisy szczególne 1) imię (imiona) i nazwisko; 2) datę urodzenia; 3) dane kontaktowe wskazane przez taką osobę; 4) wykształcenie; 5) przebieg dotychczasowego zatrudnienia. Z katalogu danych kandydata wyłączono: imiona rodziców adres zamieszkania

Zamknięty katalog danych zbieranych na podstawie przepisów k.p. + przepisy szczególne §3. Pracodawca żąda podania innych danych osobowych niż określone w §1 i 2, gdy jest to niezbędne do wypełniania obowiązku pracodawcy nałożonego przepisem prawa Udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której one dotyczą. Pracodawca może żądać udokumentowania danych osobowych osób, o których mowa w §1 i 2, w zakresie niezbędnym do ich potwierdzenia

Przepis szczególny, ale czy tylko? Projekt zmiany z dnia 12. Września 2017 r. Projekt zmiany z dnia 28 marca 2018 r. „Art. 222 § 1. Przetwarzanie przez pracodawcę innych danych osobowych niż wymienione w art. 221 § 1 i 2 jest dopuszczalne tylko wtedy, gdy dotyczą one stosunku pracy i osoba ubiegająca się o zatrudnienie lub pracownik wyrazi na to zgodę w oświadczeniu złożonym w postaci papierowej lub elektronicznej. „Art. 22[2]. §1. Przetwarzanie przez pracodawcę innych danych osobowych niż wymienione w art. 221 §1 i 2 jest dopuszczalne za zgodą osoby ubiegającej się o zatrudnienie lub pracownika i tylko wtedy, gdy jest to dla nich korzystne.

Warunki wyrażenia zgody
Projekt zmiany z dnia 12. Września 2017 r. Projekt zmiany z dnia 28 marca 2018 r. § 3. Brak zgody, o której mowa w § 1 i 2, nie może być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a także nie może powodować wobec nich jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenia stosunku pracy lub jego rozwiązania bez wypowiedzenia przez pracodawcę. §2. Brak zgody, o której mowa w §1 lub jej wycofanie, nie może być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a także nie może powodować wobec nich jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenie umowy o pracę lub jej rozwiązanie bez wypowiedzenia przez pracodawcę

ZGODA C.D. Przetwarzanie danych za zgodą - dotyczy danych osobowych udostępnianych przez osobę ubiegającą się o zatrudnienie lub pracownika na wniosek pracodawcy lub danych osobowych przekazanych pracodawcy z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika Kiedy można przetwarzać dane dodatkowe? Zgoda Przepis szczególny A co z danymi wrażliwymi? Co z uzasadnionym interesem?

Warunki wyrażenia zgody
Projekt zmiany z dnia 12. Września 2017 r. Projekt zmiany z dnia 28 marca 2018 r. § 5. Przetwarzanie danych osobowych obejmujących dane: 1) o nałogach; 2) o stanie zdrowia; 3) o życiu seksualnym lub orientacji seksualnej −nie jest możliwe nawet za zgodą, o której mowa w § 1. Art. 22[3]. §1. Przetwarzanie danych osobowych, o których mowa w art. 9 ust. 1 i art. 10 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z , str. 1), zwanego dalej „rozporządzeniem 2016/679”, jest dopuszczalne tylko wtedy, gdy jest to niezbędne do wypełniania obowiązku pracodawcy nałożonego przepisem prawa.

Projekt z 12 września nie wykluczał pozyskiwania informacji innych niż o: nałogach stanie zdrowia życiu seksualnym lub orientacji seksualnej Na podstawie zgody. Przepis szczególny ZGODA ALE Zasada minimalizacji Dane muszą być: (…) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”); Nowy projekt – przepis prawa

PODSTAWY PRZETWARZANIA DANYCH PRACOWNIKÓW na gruncie RODO

Obowiązujący Kodeks Pracy
Projekt zmian z dnia 12. Września 2017 r. Projekt zmian z dnia 28 marca 2018 r. .Pracodawca ma prawo żądać od pracownika podania, niezależnie od danych osobowych, o których mowa w § 1, także: 1) innych danych osobowych pracownika, a także imion i nazwisk oraz dat urodzenia dzieci pracownika, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy; 2) numeru PESEL pracownika nadanego przez Rządowe Centrum Informatyczne Powszechnego Elektronicznego Systemu Ewidencji Ludności (RCI PESEL). § 2. Pracodawca żąda od pracownika podania danych osobowych obejmujących: 1) adres zamieszkania; 2) numer PESEL, a w przypadku jego braku – rodzaj i numer dokumentu potwierdzającego tożsamość; 3) inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy. §2. Pracodawca żąda od pracownika podania dodatkowo danych osobowych obejmujących:

PODSTAWY PRAWNE PRZETWARZANIA - ZATRUDNIENIE
Udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której one dotyczą. Pracodawca żąda udokumentowania danych, jeżeli uzna za konieczne ich potwierdzenie. Inne dane - gdy jest to niezbędne do wypełniania obowiązku pracodawcy nałożonego przepisem prawa + „Art. 22[2]. §1. Przetwarzanie przez pracodawcę innych danych osobowych niż wymienione w art. 221 §1 i 2 jest dopuszczalne za zgodą osoby ubiegającej się o zatrudnienie lub pracownika i tylko wtedy, gdy jest to dla nich korzystne. Brak zgody – brak negatywnych konsekwencji Dane szczególnych kategorii – przetwarzanie dopuszczalne tylko wtedy, gdy jest to niezbędne do wypełniania obowiązku pracodawcy nałożonego przepisem prawa.

Dane szczególnych kategorii – przetwarzanie dopuszczalne tylko wtedy, gdy jest to niezbędne do wypełniania obowiązku pracodawcy nałożonego przepisem prawa. A co z danymi biometrycznymi?

Projekt z : Przetwarzanie danych biometrycznych pracownika jest dopuszczalne także wtedy, gdy podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę lub dostępu do pomieszczeń wymagających szczególnej ochrony. Dane biometryczne pracownika! czyli nie-kandydata W projekcie z 12 września 2017 było: . Przetwarzanie przez pracodawcę danych biometrycznych obejmuje tylko dane osobowe pracownika, jeśli dotyczą one stosunku pracy i pracownik wyrazi na to zgodę w oświadczeniu złożonym w postaci papierowej lub elektronicznej

Monitoring Projekt zmiany z dnia 12. Września 2017 r. Projekt zmiany z dnia 28 marca 2018 r. Art. 224.§ 1. Dla zapewnienia bezpieczeństwa pracowników lub ochrony mienia lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę, pracodawca podejmuje decyzję o wprowadzeniu szczególnego nadzoru nad miejscem pracy lub terenem wokół zakładu pracy w postaci środków technicznych umożliwiających rejestrację obrazu (monitoring), jeżeli uzna to za koniczne. Monitoring nie może stanowić środka kontroli wykonywania pracy przez pracownika. Art. 22[4]. §1. Jeżeli jest to niezbędne do zapewnienia bezpieczeństwa pracowników lub ochrony mienia lub kontroli produkcji lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę, pracodawca może wprowadzić szczególny nadzór nad terenem zakładu pracy lub terenem wokół zakładu pracy w postaci środków technicznych umożliwiających rejestrację obrazu (monitoring).

Monitoring Projekt zmiany z dnia 12. Września 2017 r. Projekt zmiany z dnia 28 marca 2018 r. § 2. Monitoring nie obejmuje pomieszczeń, które nie są przeznaczone do wykonywania pracy, w szczególności pomieszczeń sanitarnych, szatni, stołówek lub palarni. §2. Monitoring nie obejmuje pomieszczeń sanitarnych, szatni, stołówek, palarni lub pomieszczeń udostępnianych zakładowej organizacji związkowej, chyba, że stosowanie monitoringu w tych pomieszczeniach jest niezbędne do realizacji celu określonego § 1 i nie naruszy to godności oraz innych dóbr osobistych pracownika, a także zasady wolności i niezależności związków zawodowych, w szczególności poprzez zastosowanie technik uniemożliwiających rozpoznanie przebywających w tych pomieszczeniach osób.

Monitoring Projekt zmiany z dnia 12. Września 2017 r. Projekt zmiany z dnia 28 marca 2018 r. § 3. Dane osobowe uzyskane w wyniku zastosowania monitoringu pracodawca przetwarza wyłącznie do celów, dla których zostały zebrane i przechowuje przez okres niezbędny dla realizacji tych celów. § 3. Nagrania obrazu pracodawca przetwarza wyłącznie do celów, dla których zostały zebrane i przechowuje przez okres nieprzekraczający 3 miesięcy. §4. W przypadku, w którym nagrania obrazu stanowią dowód w postępowaniu lub pracodawca powziął wiadomość, iż mogą one stanowić dowód w postępowaniu, termin określony w §3 ulega przedłużeniu do czasu prawomocnego zakończenia postepowania. §5. Po upływie okresów, o których mowa w §3 lub 4, uzyskane w wyniku monitoringu nagrania obrazu, podlegają zniszczeniu.

Monitoring Projekt zmiany z dnia 12. Września 2017 r. Projekt zmiany z dnia 28 marca 2018 r. § 4. Pracodawca informuje pracowników o wprowadzeniu monitoringu, w sposób przyjęty u danego pracodawcy nie później niż 14 dni przed uruchomieniem monitoringu. Pracodawca przed dopuszczeniem pracownika do pracy informuje go o stosowaniu monitoringu.”; §6. Cele, zakres oraz sposób zastosowania monitoringu ustala się w układzie zbiorowym pracy lub w regulaminie pracy albo w obwieszczeniu, jeżeli pracodawca nie jest objęty układem zbiorowym pracy lub nie jest obowiązany do ustalenia regulaminu pracy. §7. Pracodawca informuje pracowników o wprowadzeniu monitoringu, w sposób przyjęty u danego pracodawcy, nie później niż 2 tygodnie przed jego uruchomieniem. §8. Pracodawca przed dopuszczeniem pracownika do pracy przekazuje mu na piśmie informacje, o których mowa w § 6. §9. W przypadku wprowadzenia monitoringu pracodawca oznacza pomieszczenia monitorowane w sposób widoczny i czytelny, za pomocą odpowiednich znaków lub ogłoszeń dźwiękowych, nie później niż jeden dzień przed jego uruchomieniem. §10. Przepis §9 nie narusza art. 12 i 13 rozporządzenia 2016/679.

Art. 22[5]. §1. Jeżeli jest to niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy, pracodawca może wprowadzić kontrolę służbowej poczty elektronicznej pracownika (monitoring poczty elektronicznej). § 2. Monitoring poczty elektronicznej nie może naruszać tajemnicy korespondencji oraz innych dóbr osobistych pracownika. § 3. Przepis art. 224§ stosuje się odpowiednio § 4. Przepisy §1 – 3 stosuje się odpowiednio do innych form monitoringu, jeśli ich zastosowanie jest konieczne do realizacji celów, określonych w §1.

CO JESZCZE? DPIA

RODO – CO JESZCZE? Data Protection Impact Assessment (DPIA) Zgodnie z powyżej wskazaną koncepcją, w przypadku wdrożenia w Spółce procesów z którymi związane jest przetwarzanie danych mogące skutkować wysokim prawdopodobieństwem naruszania praw lub wolności osób fizycznych, przed rozpoczęciem przetwarzania należy przeprowadzić sformalizowaną ocenę wpływu procesu na ochronę danych osobowych. Przykładem takiego procesu związanego z ryzykiem naruszenia praw lub wolności jest monitorowanie na dużą skalę miejsc dostępnych publicznie.

RODO – OCENTA SKUTKÓW Ocena skutków dla ochrony danych jest wymagana w szczególności w przypadku: a) systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną; b) przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10; lub c) systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

RODO – OCENTA SKUTKÓW Grupa robocza art. 29 Dane przetwarzane na dużą skalę: w RODO nie zawarto definicji pojęcia „przetwarzanie na dużą skalę”, choć w motywie 91 przedstawiono pewne wskazówki w tym zakresie. W każdym razie Grupa Robocza Art. 29 zaleca, aby przy ustalaniu, czy przetwarzanie danych odbywa się na dużą skalę, wziąć pod uwagę w szczególności następujące czynniki: a. liczbę osób, których dane dotyczą – wyrażoną jako konkretna wartość albo jako odsetek populacji odniesienia; b. ilość danych lub zakres poszczególnych przetwarzanych pozycji danych; c. czas trwania lub trwałość czynności przetwarzania danych; d. zakres geograficzny czynności przetwarzania.

RODO – OCENTA SKUTKÓW Jak wskazuje wyrażenie „w szczególności” w zdaniu wprowadzającym w art. 35 ust. 3 RODO, wymienione przykłady nie stanowią wyczerpującego wykazu. Mogą występować operacje przetwarzania „wysokiego ryzyka”, których nie uwzględniono w wykazie, lecz stwarzają równie wysokie ryzyko. Wspomniane operacje przetwarzania powinny również podlegać ocenom skutków dla ochrony danych. Przykład wskazany przez Grupę roboczą w opinii o ocenie skutków: przedsiębiorstwo systematycznie monitoruje działania swoich pracowników, m.in. ich stanowiska pracy i aktywność w internecie, z uwagi na: systematyczne monitorowanie dane dotyczące osób wymagających szczególnej opieki, których dane dotyczą

RODO – OCENTA SKUTKÓW W ASPEKCIE DANYCH PRACOWNICZYCH
Zgodnie z dokumentem GIODO „proponowany wykaz rodzajów przetwarzania wymagających przeprowadzenia oceny skutków” (wersja podlega konsultacjom) Przykłady operacji/zakresu danych/okoliczności, w których może wystąpić wysokie ryzyko naruszenia dla danego rodzaju operacji przetwarzania: przetwarzanie danych spoza zbioru określonego w Kodeksie pracy na podstawie zgody pracownika Systemy służące do zgłaszania nieprawidłowości (związanych np. z korupcją, mobbingiem) – w szczególności, gdy przetwarzane są w nim dane pracowników. Systemy monitorowania czasu pracy oraz przepływu informacji w wykorzystywanych przez pracowników narzędziach (np. poczcie elektronicznej, Internecie) i oceny pracownika Biometria w celu identyfikacji lub weryfikacji osoby w systemach kontroli dostępu

PRAWA PODMIOTÓW DANYCH

RODO – KOMUNIKACJA Z PODMIOTEM DANYCH
Prowadzenie komunikacji z podmiotem danych Obowiązki informacyjne Prawo dostępu przysługujące osobie, której dane dotyczą Sprostowanie i usuwanie danych Prawo do ograniczenia przetwarzania Prawo do przenoszenia danych Prawo do sprzeciwu Prawo do niepodlegania zautomatyzowanemu podejmowaniu decyzji w tym profilowaniu

RODO – OBOWIĄZEK INFORMACYJNY
Rozporządzenie ogólne o ochronie danych osobowych, które zacznie być stosowane od 25 maja 2018 roku, nakłada na administratorów danych osobowych (w tym na pracodawców) obowiązek przekazania osobom, od których dane są zbierane (np. kandydatom do pracy) bardzo wielu informacji (art. 13 i 14 RODO) Obowiązki informacyjne względem kandydata powstają niezależnie od konieczności zapewnienia odpowiedniej podstawy do przetwarzania ich danych (np. przepisu prawa pracy). Oznacza to, że niezależnie od tego, czy administrator będzie przetwarzał dane w oparciu o zgodę, czy np. w celu realizacji ciążącego na nim obowiązku prawnego, będzie musiał przekazać kandydatowi/pracownikowi informacje wymagane Rozporządzeniem. Wyjątkiem będzie wyłącznie sytuacja, w której osoba, której dane dotyczą, będzie już dysponować stosownymi informacjami, co jednak w praktyce będzie mieć miejsce niezwykle rzadko.

Nowa treść obowiązku informacyjnego - zgodna z wymogami art. 13 i 14 RODO (w zakresie treści) Obowiązek zapewnienia przejrzystości przetwarzania – zgodnie z art 12 RODO (sposób przekazania informacji) Informacje zawarte w klauzuli powinny być przekazane w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą (art. 12 Rozporządzenia).

Niezależnie od wybranej formy przekazania informacji, pracodawcy powinni zwrócić uwagę na konieczność zapewnienia rozliczalności, tj. powinni być w stanie wykazać, że zrealizowali obowiązek informacyjny zgodnie z przepisami prawa. Zasadę rozliczalności pracodawcy powinni uwzględnić w zakresie momentu spełnienia obowiązku informacyjnego, który jak wskazuje art. 13 Rozporządzenia, powinien być zrealizowany podczas pozyskiwania danych. Będzie to np. moment wypełniania formularza aplikacyjnego przez kandydata w odpowiedzi na zamieszone przez pracodawcę ogłoszenie o pracy. Dla wielu pracodawców spełnienie obowiązku informacyjnego będzie wymagało zmiany wewnątrz organizacji np. w postaci stworzenia procedury przyjmowania papierowych CV na portierni.

RODO – PRAWO DOSTĘPU DO DANYCH
Prawo dostępu do danych – elementy: Żądanie uzyskania zindywidualizowanych informacji Żądanie dostępu do danych osobowych; Żądanie uzyskania kopii danych osobowych Co z notatkami rekrutera na CV?

RODO – PRAWO DOSTĘPU DO DANYCH
.

WSPÓŁPRACA Z INNYMI PODMIOTAMI

Rodo a współpraca z podwykonawcami
Określenie roli w ramach współpracy z danym podmiotem ma znaczenie z punktu widzenia: odpowiedzialności realizacji obowiązku informacyjnego zapewnienia podstaw prawnych współpracy Procesor oznacza podmiot, który przetwarza dane osobowe na zlecenie administratora np. agencja rekrutacyjna Administrator oznacza podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych np. danych osobowych swoich pracowników

Wybór procesora - komu można dane powierzyć na gruncie RODO? Podmiotom, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą. Należy zweryfikować czy procesor zapewnia wystarczające gwarancje i być w stanie to wykazać

Należy zawrzeć z procesorem umowę powierzenia zgodną z RODO Umowa powierzenia na gruncie uodo: cel i zakres zgodnie z art. 28 rodo, umowa powierzenia powinna określać: przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych, kategorie osób, których dane dotyczą, obowiązki i prawa administratora, a także obowiązki procesora, których przykładowe wyliczenie zawiera ustęp 3 wskazanego artykułu. Można powierzyć zbieranie zgód

Procesor a odbiorca Art. 13 ust. 1 lit. e RODO należy w ramach obowiązku informacyjnego należy podać (…) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją; „odbiorca” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią „strona trzecia” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe Procesor jest na gruncie RODO odbiorcą

Odbiorca W niektórych relacjach może dochodzić do udostępnienia danych (przekazania danych między dwoma administratorami) np. udostępnienie danych pracownika do ZUS/US, udostępnienie danych pracownika innej spółce z grupy Administrator jest odbiorcą (obowiązek informacyjny) Należy mieć podstawę do udostępnienia danych np. obowiązek wynikający z przepisu prawa Jeżeli otrzymamy dane od innego administratora – obowiązek informacyjny z art. 14 RODO

Relacje w ramach grupy W zależności od sytuacji w ramach grupy podmiotów może dochodzić do: powierzenia danych między spółkami (administrator- procesor) udostępnienia danych między spółkami (administrator – administrator) współadministrowania danymi (współadministrator – współadministrator) Jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami.

Współadministratorzy
W drodze wspólnych uzgodnień współadministratorzy w przejrzysty sposób określają odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z rozporządzenia, w szczególności w odniesieniu do wykonywania przez osobę, której dane dotyczą, przysługujących jej praw, oraz ich obowiązków w odniesieniu do podawania informacji, o których mowa w art. 13 i 14 (…). W uzgodnieniach można wskazać punkt kontaktowy dla osób, których dane dotyczą. Uzgodnienia należycie odzwierciedlają odpowiednie zakresy obowiązków współadministratorów oraz relacje pomiędzy nimi a podmiotami, których dane dotyczą. Zasadnicza treść uzgodnień jest udostępniana podmiotom, których dane dotyczą. Osoba, której dane dotyczą, może wykonywać przysługujące jej prawa wynikające z rozporządzenia wobec każdego z administratorów.

JAK SIĘ PRZYGOTOWAĆ?

Wniosek – należy zweryfikować:
Jakie procesy rekrutacyjne prowadzone są w organizacji Np.: rekrutacja prowadzone poprzez portale internetowe poprzez zakładkę „kariera” na stronie internetowej rekrutacje wewnętrzne rekrutacje prowadzone w ramach spółek powiązanych rekrutacje w ramach APT

Jakie procesy prowadzona są w związku z zatrudnieniem? Np.: Agencja pracy tymczasowej Obsługa kadrowa - Badania wstępne pracowników Dokształcanie Komunikacja wewnętrzna Kontrole i postępowania sądowe Obsługa benefitów – (np. Multisport / ubezpieczenia grupowe / świadczenia zdrowotne) Obsługa kadrowa - Wypłata świadczeń z umowy o pracę Ocena pracownika (okresowa, premia kwartalna) Obsługa płacowa - Potrącenia z wynagrodzenia

Obsługa płacowa - Pracownicy delegowani (obcokrajowcy) Obsługa delegacji Monitoring (np. stacji roboczych) Program praktyk Obsługa kadrowa - przetwarzanie wizerunku przez (cele wewnętrzne) Rozliczanie czasu pracy Rozwój pracowników - szkolenia

Obsługa płacowa - Wypłata świadczeń na podstawie listy uprawnionych Obsługa płacowa – realizacja obowiązków publicznoprawnych (ZUS/US) Obsługa kadrowa - Zatrudnienie i zmiana warunków pracy Obsługa płacowa - Zawieranie i rozliczanie umów cywilnoprawnych Obsługa socjalna - ZFŚS BHP (wypadki / szkolenia) Archiwizacja dokumentacji pracowniczej

Jaki jest cel przetwarzania danych (obecna rekrutacja, rekrutacja przyszła)? Jaki jest zakres danych przetwarzanych (np. imię, nazwisko, etc.)? Czy przetwarzane są dane wrażliwe? Czy i gdzie przetwarzane są dane osobowe nieustrukturyzowane? Jakie narzędzia wykorzystywane są do przetwarzania danych? kto je dostarcza? Czy przetwarzane są dane w zakresie szerszym niż wskazują na to przepisy? Jeżeli dane są przetwarzane w zakresie szerszym niż to wynika z przepisów prawa to czy jest on minimalny? Jeżeli dane są przetwarzane w zakresie szerszym niż to wynika z przepisów czy jest to niezbędne do realizacji stosunku pracy? Czy zbierane były zgody?

Wniosek – należy zweryfikować (c.d.)
W jaki sposób dane osobowe są pozyskiwane – bezpośrednio czy z innych źródeł (np. w ramach polecenia i rekrutacji wewnętrznej; agencja rekrutacyjna)? Komu dane są udostępniane / powierzane? Jakie formularze wykorzystywane są do pozyskiwania danych osobowych? Czy przetwarzane są dane osobowe dzieci (pracownicy młodociani)? Kto wewnątrz organizacji ma dostęp do danych i na jakich zasadach? Czy dane są archiwizowane? Jeżeli tak to gdzie?

Dziękuję za uwagę!

audytor wewnętrzny systemu zarządzania

Podobne prezentacje

Prezentacja na temat: "audytor wewnętrzny systemu zarządzania"— Zapis prezentacji:

Podobne prezentacje

О projekcie

Zwrotny adres

Wejść

Zaloguj się poprzez sieć społeczną:

audytor wewnętrzny systemu zarządzania

Podobne prezentacje

Prezentacja na temat: "audytor wewnętrzny systemu zarządzania"— Zapis prezentacji:

Podobne prezentacje

О projekcie

Zwrotny adres