RODO - poradnik dla pracodawcy. Poznaj swoje obowiązki i chroń dane pracowników!

Unia Europejska postawiła sobie za cel wprowadzenie jednolitych zasad dotyczących przetwarzania danych. Zaowocowało to powstaniem Rozporządzenia o Ochronie Danych Osobowych (RODO), które w życie weszło w 2018 roku. Przepisy chronią wszystkie osoby fizyczne, jednak przedsiębiorca powinien szczególną uwagę poświęcić swoim obowiązkom wobec pracowników, których informacje przetwarza. Jeśli zatrudniasz, przeczytaj koniecznie ten poradnik!

Obowiązki pracodawcy według RODO - co mówi rozporządzenie o ochronie danych?

Musisz pamiętać, że ochronie podlegają zarówno dane osobowe pracowników, jak i kandydatów, których dokumenty do Ciebie trafiają. W obu przypadkach RODO nakłada na Ciebie obowiązki, których nie możesz zaniedbać.

Przetwarzanie danych osobowych w miejscu pracy

Jak powinno przebiegać przetwarzanie danych osobowych pracowników, kiedy pełnisz rolę ich administratora?

• Zasada minimalizacji danych - Jako pracodawca możesz przetwarzać jedynie dane osobowe pracownika, które są niezbędne do realizacji celów wynikających z przepisów prawa pracy, np. imię, nazwisko, PESEL, adres zamieszkania, numer konta bankowego do wypłaty wynagrodzenia.

• Obowiązek informacyjny - Musisz poinformować pracownika o celu, zakresie i podstawie przetwarzania jego danych osobowych oraz o przysługujących mu prawach, takich jak prawo do dostępu, sprostowania, ograniczenia przetwarzania czy wniesienia skargi do organu nadzorczego.

• Zabezpieczenie danych - Masz obowiązek zapewnić odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych przed ich utratą, nieuprawnionym dostępem czy innymi naruszeniami.

• Zgoda na przetwarzanie danych wrażliwych - Jeśli przetwarzane są dane szczególnej kategorii, np. dotyczące zdrowia, orientacji seksualnej, wymagana jest zgoda pracownika, chyba że przetwarzanie jest wymagane przez prawo.

• Zasada ograniczenia przechowywania - Dane osobowe powinny być przechowywane wyłącznie przez okres niezbędny do realizacji celów, dla których zostały zebrane, np. przez czas trwania zatrudnienia i wymagany okres archiwizacji.

RODO w rekrutacji

W procesie rekrutacji również musisz brać pod uwagę zasady określone przez RODO oraz wymagać tego samego od kandydatów. Najlepiej zaznacz to już na etapie projektowania ogłoszenia o pracę. Pamiętaj, że np. brak klauzuli w CV z wyrażoną zgodą na przetwarzanie danych osobowych, powinien spowodować usunięcie z systemu rekrutacyjnego. O czym jeszcze musisz wiedzieć?

• Minimalizacja danych - Dołóż starań, aby w toku rekrutacji zbierać tylko te dane, które są niezbędne do oceny kandydata, np. imię, nazwisko, wykształcenie, doświadczenie zawodowe. Nie możesz wymagać informacji, które nie są związane z procesem rekrutacyjnym, takich jak zdjęcia czy dane o stanie cywilnym.

• Informacja dla aplikujących - Kandydaci muszą być poinformowani o celach, podstawach prawnych i czasie przechowywania ich danych osobowych. Informacje te możesz umieścić w klauzuli RODO w treści ogłoszenia lub formularza aplikacyjnego.

• Zgoda również na poczet tej i przyszłych rekrutacji - Jeśli dane kandydata mają być wykorzystywane w innych procesach rekrutacyjnych w przyszłości, wymagana jest jego wyraźna zgoda.

• Usunięcie danych po zakończeniu rekrutacji - Po zakończeniu procesu rekrutacyjnego dane kandydata, który nie został zatrudniony, powinny zostać usunięte, chyba że uzyskałeś jego zgody na ich dalsze przetwarzanie.

• Zabezpieczenie danych rekrutacyjnych - Na Tobie spoczywa odpowiedzialność za ochronę danych kandydatów przed nieautoryzowanym dostępem lub ujawnieniem. Wprowadź procedury, które to zapewnią.

Które informacje podlegają ochronie dzięki RODO?

Dane osobowe pracowników, które podlegają ochronie zgodnie z RODO, to wszelkie informacje pozwalające na zidentyfikowanie osoby fizycznej, zarówno bezpośrednio, jak i pośrednio. Dla ułatwienia można podzielić je na sześć kategorii.

1. Dane podstawowe (identyfikacyjne) - Zalicza się do nich imię i nazwisko, numer PESEL, data i miejsce urodzenia, adres zamieszkania lub korespondencyjny, numer telefonu czy adres e-mail.

2. Dane kadrowe (związane z zatrudnieniem) - Będą to numer konta bankowego, informacje o stanowisku pracy, zakresie obowiązków, wymiarze czasu pracy, wynagrodzenie, premie oraz świadczenia dodatkowe, historia zatrudnienia, dane o wykształceniu i kwalifikacjach zawodowych, umowy o pracę, zlecenia, o dzieło, aneksy do umów, dane dotyczące przebiegu zatrudnienia, np. historia awansów, zmiany stanowisk.

3. Dane szczególnej kategorii - Kategoria ta obejmuje tzw. dane wrażliwe. Ich ochrona jest wyjątkowo rygorystyczna, a ich uzyskanie wymaga odpowiedniej podstawy prawnej lub zgody pracownika. Szczególną troską otocz więc informacje o stanie zdrowia (np. zwolnienia lekarskie, orzeczenia lekarskie, niepełnosprawność, wyniki badań okresowych), dane dotyczące przynależności do związków zawodowych, wyroków skazujących i naruszeń prawa (jeśli są wymagane do pracy na określonym stanowisku) oraz informacje ujawniające pochodzenie rasowe lub etniczne, przekonania religijne czy orientację seksualną.

4. Dane dotyczące organizacji pracy - Harmonogramy pracy, grafiki urlopowe, ewidencja czasu pracy, informacje o przyznanych urlopach, zwolnieniach czy delegacjach.

5. Dane związane z bezpieczeństwem i monitoringiem - Zapisy z monitoringu wizyjnego, dane logowania do systemów informatycznych oraz korzystanie służbowych urządzeń, takich jak telefon lub laptop.

6. Inne dane związane z pracownikiem - Tutaj można zaliczyć dokumenty dotyczące ubezpieczenia społecznego, zgłoszenia do ZUS, numer NIP oraz informacje o członkach rodziny.

Jeśli nie chcesz konsekwencji prawnych, musisz dostosować się do powyższych wymogów rekrutując oraz zatrudniając. Potraktuj to jednak również jako okazję, aby uporządkować swoje procesy zbierania danych oraz pokazać, jak ważna jest dla Ciebie odpowiedzialność w biznesie.

O to nie pytaj pracownika - informacje, do których nie masz prawa na mocy RODO

Nie zawsze możesz żądać podania danych od pracownika, nawet jeśli wydają Ci się one potrzebne w kontekście współpracy. RODO oraz przepisy Kodeksu pracy jasno określają, jakie dane pracodawca może przetwarzać. Wymaganie informacji wykraczających poza ten zakres narusza prawo i prywatność pracownika.

Pracownik nie ma obowiązku zdradzać:

• Danych dotyczących życia prywatnego - Stan cywilny (np. czy jest w związku małżeńskim), plany rodzinne, liczba i wiek dzieci (jeśli nie jest to związane z przysługującymi świadczeniami).

• Danych wrażliwych - Pochodzenie rasowe lub etniczne, przekonania religijne lub światopoglądowe, orientacja seksualna, przynależność do partii politycznych, związków wyznaniowych czy organizacji społecznych oraz informacje o stanie zdrowia (jeśli nie są wymagane do wykonywania określonego rodzaju pracy).

• Danych o sytuacji finansowej - Informacje o zobowiązaniach kredytowych, długach czy majątku osobistym.

• Historii karalności - To może zaskoczyć, ale jako pracodawca nie masz prawa pytać o wyroki skazujące, chyba że jest to wymagane przepisami prawa dla konkretnego stanowiska (np. praca w ochronie, opieka nad dziećmi).

• Danych biometrycznych - Pracodawca nie może zbierać odcisków palców, skanów siatkówki oka czy innych danych biometrycznych, chyba że jest to konieczne do ochrony mienia lub bezpieczeństwa .

Jakich pytań nie może zadać pracodawca?

Niestosowne pytania na rozmowach kwalifikacyjnych lub zadane podczas pogadanki z przełożonym wciąż mają miejsce, mimo zmieniających się standardów. Jeśli nie chcesz być bohaterem anegdoty, a przy okazji narazić się na naruszenie RODO, pamiętaj, by nie zadawać pytań dotyczących życia osobistego, naruszających prywatność finansową lub zahaczających o kwestie zdrowotne. Pilnuj również, by pytania nie miały znamion dyskryminacji.

Orientacja seksualna, wyznanie czy poglądy polityczne nie powinny interesować pracodawcy, jednak przedsiębiorcom i rekruterom zdarza się źle ocenić sytuację i poprosić o informacje, do których nie mają prawa. Pamiętaj, aby nawet w atmosferze względnego zaufania, uczynić priorytetem prywatność pracownika.

💡Przeczytaj więcej: O co nie może pytać pracodawca podczas rozmowy kwalifikacyjnej?

Jak prawidłowo przetwarzać dane osobowe? Wdrożenie RODO

Istnieje szereg narzędzi i technik, które pomogą we wdrożeniu RODO. Jako pracodawca, który chce działać zgodnie z ogólnym rozporządzeniem o ochronie danych, powinieneś sięgnąć po sprawdzone narzędzia i metody. Poniżej niektóre z nich.

Technologie, które wspomagają RODO

• Systemy HR (Human Resources Management Systems, HRMS) - Oprogramowanie takie jak SAP SuccessFactors, BambooHR czy Workday, ułatwia zarządzanie danymi pracowników, pozwalając na ich bezpieczne przechowywanie, aktualizowanie oraz dostęp wyłącznie przez uprawnione osoby.

• Systemy kadrowo-płacowe - Narzędzia takie jak Symfonia Kadry i Płace czy Enova365 wspierają przetwarzanie danych związanych z wynagrodzeniami, umowami i urlopami, jednocześnie automatyzując procesy i minimalizując ryzyko błędów.

• Systemy zarządzania zgodnością - Oprogramowanie pomagające monitorować zgodność przetwarzania danych z przepisami, np. z RODO, oraz rejestrować incydenty naruszeń.

• Szyfrowanie danych - Stosowanie narzędzi szyfrujących dokumenty oraz przesyłane dane minimalizuje ryzyko nieuprawnionego dostępu.

Procedury i polityki wewnętrzne

• Polityka ochrony danych osobowych - Sporządź dokument określający zasady przetwarzania danych w firmie, np. zakres uprawnień poszczególnych pracowników czy sposób postępowania z naruszeniami.

• Rejestr czynności przetwarzania danych - Obowiązkowy dla administratorów, zawiera informacje o celach, podstawach prawnych i okresach przechowywania danych pracowników.

• Audyt danych - Zarządź regularne sprawdzanie, jakie dane są przetwarzane, czy są aktualne, czy nie ma nadmiarowego gromadzenia informacji i czy dostęp mają wyłącznie osoby upoważnione.

• Szkolenia pracowników - Postaw na edukację pracowników w zakresie ochrony danych osobowych, w tym rozpoznawaniu prób wyłudzeń danych i właściwego zabezpieczania dokumentów.

Dobre praktyki

• Ograniczony dostęp - Umożliwiaj dostęp do danych tylko tym pracownikom, którzy rzeczywiście tego potrzebują (zasada minimalizacji dostępu).

• Regularne usuwanie danych - Usuwaj lub archiwizuj dane, które nie są już potrzebne, zgodnie z zasadą ograniczenia przechowywania.

• Kontrola narzędzi zewnętrznych - Jeśli firma korzysta z zewnętrznych dostawców usług (np. outsourcingu kadrowego), konieczne jest podpisanie umowy powierzenia przetwarzania danych.

• Pseudonimy i anonimowość - W razie potrzeby przetwarzania danych statystycznych lub analitycznych, stosuj metody, które uniemożliwiają identyfikację konkretnej osoby.

Wsparcie prawne

• Inspektor Ochrony Danych (IOD) - W firmach, w których przetwarzanie danych jest na dużą skalę lub obejmuje szczególne kategorie danych, warto wyznaczyć IOD, który będzie doradzać i kontrolować zgodność działań z RODO.

• Wsparcie specjalistów zewnętrznych - Konsultacja z prawnikami lub ekspertami ds. ochrony danych osobowych pomaga uniknąć błędów interpretacyjnych i dostosować procesy do zmieniających się przepisów.

Logistyka przechowywania danych

• Zabezpieczenie dokumentacji papierowej - Przechowywanie danych w zamkniętych szafach w pomieszczeniach o ograniczonym dostępie oraz regularna ich utylizacja za pomocą niszczarek.

• Kopie zapasowe - Regularne tworzenie backupów danych w bezpiecznych lokalizacjach.

Nie musisz korzystać ze wszystkich dostępnych metod wspomagających RODO naraz – ważniejsze jest dopasowanie ich do specyfiki Twojej działalności. Wybierz rozwiązania, które najlepiej odpowiadają Twoim potrzebom i skali, w jakiej przetwarzasz dane osobowe.

Inspektor Danych Osobowych - kim jest i czy musisz go wyznaczyć?

Kim jest Inspektor Danych Osobowych? To osoba odpowiedzialna za nadzorowanie przestrzegania przepisów RODO w firmie, w tym za edukowanie pracowników, monitorowanie procedur ochrony danych i współpracę z organem nadzorczym.

Wyznaczenie IOD jest obowiązkowe w przypadku podmiotów publicznych, a także firm, które przetwarzają dane na dużą skalę lub operują danymi wrażliwymi, takimi jak informacje medyczne czy dane biometryczne. Jeśli Twoja działalność nie spełnia tych kryteriów, nie musisz powoływać inspektora, ale możesz to zrobić dobrowolnie, by zapewnić dodatkowe wsparcie w zarządzaniu danymi osobowymi.

Co grozi za nieprzestrzeganie RODO? Konsekwencje prawne

Rozporządzenie o ochronie danych ma zabezpieczać zatrudnionych, ale także pracodawcę przed ewentualnymi konsekwencjami prawnymi. Co może Ci grozić, jeśli naruszysz przepisy prawa zawarte w RODO?

• Do 10 milionów euro lub 2% rocznego światowego obrotu firmy (za mniej poważne naruszenia, np. brak prowadzenia rejestru czynności przetwarzania).

• Do 20 milionów euro lub 4% rocznego światowego obrotu firmy (za poważne naruszenia, np. brak odpowiedniej podstawy prawnej do przetwarzania danych lub niezapewnienie praw osobom, których dane dotyczą).

• Osoby, których dane zostały naruszone, mogą dochodzić odszkodowania za poniesione szkody – zarówno materialne, jak i niematerialne (np. utrata reputacji czy szkody emocjonalne).

• Organ nadzorczy (w Polsce Prezes Urzędu Ochrony Danych Osobowych) może przeprowadzić kontrolę i wydać nakaz wprowadzenia zmian w procedurach firmy, a także wstrzymać przetwarzanie danych.

• W skrajnych przypadkach, gdy naruszenie przepisów jest umyślne i poważne, sprawa może zostać skierowana do prokuratury.

Zdecydowanie warto ustrzec się przed tymi konsekwencjami i zająć się ochroną danych osobowych z odpowiednim zaangażowaniem, zanim nieprawidłowości zostaną zgłoszone. Pamiętaj też, że niewłaściwe zarządzanie danymi może zaszkodzić reputacji Twojej firmy, prowadząc do utraty klientów, pracowników i kontrahentów. Wykorzystaj więc przydatne informacje, które ten poradnik podaje i chroń siebie oraz pracowników.