poleca e-book Instrukcja RODO

Transkrypt

1 poleca e-book Instrukcja RODO

2 Sprawdź czy dobrze wdrożyłeś przepisy RODO w kadrach 1 Czy w zakładzie została opracowana polityka bezpieczeństwa danych osobowych Polityka bezpieczeństwa obrazuje cały obrót posiadanymi danymi, od wyrażenia zgody konkretnej osoby na ich udostępnienie, poprzez przetwarzanie tych danych, aż do ich usuwania w systemie. Powinna być zawarta w przepisach wewnątrzzakładowych. 2 Upewnij się, czy w posiadanych przez jednostkę danych nie pozostały jeszcze takie, których zbieranie i przetwarzanie jest zabronione przez RODO lub nie posiadasz zgody na ich przetwarzanie. Jeśli takie dokumenty są, jak najszybciej je zlikwiduj. RODO generalnie zabrania przetwarzania danych osobowych tzw. wrażliwych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby. Takie dane można gromadzić i przetwarzać tylko w szczególnych przypadkach np. gdy pozwala na to ustawa lub administrator otrzymał zgodę osoby, której te dane dotyczą.

3 3 Sprawdź czy zgody pracowników i kandydatów do pracy na przetwarzanie ich danych są zgodne z RODO Zgodnie z przepisami RODO zgoda na przetwarzanie danych powinna być: dobrowolna, konkretna, świadoma, jednoznaczna, wyrażona w formie każdego rodzaju oświadczenia (pisemnego, elektronicznego, dokumentowego i ustnego), jak również poprzez podjęcie określonych czynności, np. zaznaczenie właściwego okienka w formularzu przygotowanym przez pracodawcę. Kandydat do pracy i pracownik muszą mieć świadomość, że w każdej chwili mogą wycofać swoją zgodę na przetwarzanie danych. W przypadku pracowników zgoda na przetwarzanie danych powinna dotyczyć celów innych niż związane z przetwarzaniem danych na potrzeby realizacji stosunku pracy np. może odnosić się do celów marketingowych. Przetwarzanie danych pracownika na potrzeby stosunku pracy odbywa się bowiem na podstawie ustawy. 4 Sprawdź, czy zmodyfikowałeś zgodnie z RODO klauzule informacyjne dla pracowników dotyczące przetwarzania danych osobowych Obowiązek aktualizacji klauzul informacyjnych wynika z art RODO. Przepisy te zawierają poszerzony w stosunku do dotychczasowych regulacji katalog informacji, które kandydat do pracy i pracownik powinni otrzymać od pracodawcy. Z tego powodu należało przejrzeć formularze kadrowe i dokonać zmiany/uzupełnienia zawartych w nich klauzul. Informacje, które powinny być przekazane przez pracodawcę kandydatowi do pracy i pracownikowi w związku z przetwarzaniem ich danych: tożsamość i dane kontaktowe pracodawcy oraz - jeśli jest to niezbędne - jego przedstawiciela, dane kontaktowe inspektora ochrony danych, jeśli jest wyznaczony, cele i podstawa prawna przetwarzania danych, prawnie uzasadnione interesy realizowane przez pracodawcę lub stronę trzecią, jeśli jest to konieczne - nie dotyczy sytuacji pozyskania danych od innej osoby niż kandydat do pracy lub pracownik, informacje o odbiorcach danych i ich kategoriach, jeżeli istnieją, informacje o zamiarze przekazania danych do państwa nieunijnego lub organizacji międzynarodowej albo wzmianka o zabezpieczeniach i możliwości uzyskania kopii danych bądź miejscu ich udostępnienia, okres przechowywania danych, a gdy nie jest możliwe jego określenie - kryteria jego ustalenia,

4 informacje o prawie do żądania od pracodawcy/administratora dostępu do danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania albo o prawie sprzeciwu wobec przetwarzania oraz prawie do przenoszenia danych, informacje o prawie do cofnięcia zgody w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania, które zostało dokonane przed wycofaniem zgody, informacje o prawie wniesienia skargi do organu nadzorczego (Urząd Ochrony Danych Osobowych, dalej UODO), informacja o tym, czy podanie danych osobowych jest wymogiem ustawowym lub umownym albo warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych - nie dotyczy sytuacji pozyskania danych od innej osoby niż kandydat do pracy lub pracownik, informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, jeśli takie procesy są stosowane u pracodawcy, źródło pochodzenia danych osobowych, a gdy ma to zastosowanie - czy pochodzą one ze źródeł publicznie dostępnych - dotyczy tylko przypadku pozyskania danych od innej osoby niż kandydat do pracy lub pracownik. 5 Sprawdź, czy masz aktualną umowę na przetwarzanie danych przez podmiot zewnętrzny, jeśli to przetwarzanie powierzyłeś temu podmiotowi Umowa powierzenia przetwarzania danych osobowych przez pracodawcę innym podmiotom zewnętrznym musi spełniać warunki wskazane w przepisach RODO. Regulacje te natomiast wymagają, aby w jej treści znalazły się zobowiązania zewnętrznego podmiotu przetwarzającego do: przetwarzania danych wyłącznie na udokumentowane polecenie administratora lub na mocy samego prawa, zapewnienia, żeby osoby upoważnione do przetwarzania danych osobowych zachowywały tajemnicę, podejmowania wszelkich środków bezpieczeństwa przetwarzania danych, przestrzegania warunków korzystania z usług innego podmiotu przetwarzającego, w tym ponoszenia pełnej odpowiedzialności za jego działania, pomagania pracodawcy jako administratorowi - w miarę możliwości - w wywiązywaniu się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, a także zagwarantowania bezpieczeństwa danych, zgłoszeń ewentualnych naruszeń i konsultacji, usunięcia lub zwrócenia wszystkich danych administratorowi po zakończeniu świadczenia usług, jeśli nie ma obowiązku ich przechowywania, udostępnienia administratorowi wszystkich informacji niezbędnych do wykazania spełnienia obowiązków ustawowych, przeprowadzenia audytów i inspekcji, a także poinformowania o możliwości naruszenia RODO przez polecenie pracodawcy.

5 6 Sprawdź czy zaktualizowałeś przepisy wewnątrzzakładowe dotyczące monitoringu w zakładzie pracy i dopełniłeś wszystkich obowiązków z tym związanych Od 25 maja 2018 r. obowiązują przepisy dotyczące stosowania monitoringu wizyjnego i poczty elektronicznej w zakładzie pracy. Nowe przepisy o monitoringu powodują konieczność przygotowania/ zmiany zapisów odpowiednio w: układzie zbiorowym pracy (zakładowym lub ponadzakładowym), regulaminie pracy, a gdy pracodawca nie musi ich posiadać - w obwieszczeniu. W tych dokumentach należy bowiem określić cel, zakres i sposób monitoringu. Bez względu na rodzaj stosowanych przepisów wewnątrzfirmowych pracodawca ma obowiązek poinformować pracowników w sposób przyjęty w zakładzie pracy o wprowadzeniu monitoringu na co najmniej 2 tygodnie przed jego uruchomieniem. Pracodawca ma też obowiązek wprowadzić oznaczenie monitorowanych pomieszczeń i terenu w sposób widoczny i czytelny, za pomocą odpowiednich znaków lub ogłoszeń dźwiękowych, nie później niż jeden dzień przed jego uruchomieniem. Należy uznać, że dotyczy to także pracodawców korzystających z monitoringu przed 25 maja 2018 r., mimo że przepisy tego wprost nie określają. Nowym obowiązkiem pracodawcy jest też poinformowanie pracowników na piśmie przed dopuszczeniem do pracy o celach, zakresie i sposobie monitoringu. Pracodawca nie musi wcześniej uzyskiwać zgody pracownika na wprowadzenie monitoringu. Nagrywanie nie jest możliwe w pomieszczeniach sanitarnych, szatniach, stołówkach, palarniach, pomieszczeniach udostępnianych zakładowej organizacji związkowej, chyba że stosowanie monitoringu w tych pomieszczeniach jest niezbędne do realizacji celu dla jakiego został monitoring w zakładzie wprowadzony. 7 Sprawdź, czy stworzyłeś rejestr czynności przetwarzania Dla zachowania zgodności z RODO pracodawca lub podmiot przetwarzający dane w jego imieniu powinni prowadzić rejestry czynności przetwarzania. Rejestr czynności przetwarzania ma obowiązek prowadzić pracodawca, który zatrudnia co najmniej 250 osób lub mniej, gdy przetwarzanie przez niego danych: może powodować ryzyko naruszenia praw i wolności osób, których one dotyczą, nie ma charakteru sporadycznego,

6 obejmuje tzw. dane wrażliwe, ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, a także dane genetyczne, biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności czy orientacji seksualnej tej osoby, dotyczy wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa. 8 Sprawdź, czy musisz wyznaczyć inspektora ochrony danych W wyniku zmiany przepisów od 25 maja 2018 r. pracodawca musi wyznaczyć inspektora ochrony danych (IOD). Obowiązek wyznaczenia IOD dotyczy: organów lub podmiotów publicznych (wyjątek stanowią sądy w zakresie sprawowania wymiaru sprawiedliwości), podmiotów, których główna działalność polega na przetwarzaniu danych, które ze względu na swój charakter, zakres lub cel wymagają regularnego i systematycznego monitorowania osób na dużą skalę, podmiotów zajmujących się przede wszystkim przetwarzaniem na dużą skalę danych wrażliwych. Pracodawca może powierzyć zadania IOD osobie ze swojego personelu (nie powinna zajmować się jednocześnie systemami informatycznymi albo przetwarzaniem danych w danym obszarze, np. kadrowym) albo komuś spoza firmy. Taką osobę można zatrudnić na umowę o pracę albo umowę o świadczenie usług. Dane kontaktowe wybranej osoby muszą być opublikowane i przesłane do organu nadzorczego (UODO). Jeśli pracodawca miał w swojej strukturze ABI (Administratora Bezpieczeństwa Informacji), to osoba pełniąca tę funkcję 24 maja 2018 r. stała się z dniem następnym IOD. Może zajmować to stanowisko do 1 września 2018 r., chyba że przed tym dniem pracodawca zawiadomi UODO o wyznaczeniu innej osoby. Niewykluczone jest też, że po tej dacie nadal będzie wykonywać zadania IOD, jeśli pracodawca właśnie ją wskaże w zawiadomieniu składanym do UODO do 1 września 2018 r. Pracodawca musi wyznaczyć IOD do 31 lipca 2018 r., jeśli ma taki obowiązek, a dotychczas nie było u niego ABI. Do tego dnia musi też zawiadomić o wyborze UODO. Do zadań IOD należy m.in. informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach związanych z danymi osobowymi i doradzanie im w tej sprawie oraz monitorowanie przestrzegania przepisów w zakresie ochrony danych i współpraca z organem nadzorczym.

7 9 Sprawdź czy dane osobowe w Twoim zakładzie są właściwe zabezpieczone Pracodawca po wejściu w życie RODO musi zapewnić w zakresie ochrony danych osobowych: pseudonimizację i szyfrowanie danych, poufność, integralność, dostępność i odporność systemów i usług przetwarzania danych, zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych. 10 Sprawdź czy masz rejestr naruszeń Ponieważ naruszenie ochrony danych osobowych od 25 maja 2018 r. wiąże się z koniecznością zgłoszenia tego faktu do UODO w ciągu 72 godz. od jego wystąpienia (nie ma tego obowiązku jedynie w razie braku ryzyka naruszenia praw i wolności osób fizycznych), warto, aby pracodawca przygotował i wdrożył procedurę postępowania w tej sprawie. Przyda się ona również z tego powodu, że każde naruszenie musi być dokumentowane w zakresie okoliczności jego zaistnienia, podjętych działań zaradczych i ich skutków. Gdy dane zdarzenie będzie prowadzić do ryzyka naruszenia praw i wolności osoby fizycznej, musi ona zostać o tym zawiadomiona, chyba że pracodawca wyeliminował zagrożenie. 11 Sprawdź, czy zapoznałeś swoich pracowników z polityką bezpieczeństwa, oraz obowiązkami jakie na nich spoczywają w związku z RODO Pracodawca w związku z wejście w życie RODO powinien zapoznać pracowników z obowiązującą w zakładzie pracy polityką bezpieczeństwa zawartą np. w przepisach wewnątrzzakładowych oraz obowiązkami jakie na nich w związku z tym spoczywają.

8 12 Sprawdź, czy upoważniłeś pracowników do przetwarzania danych innych osób na podstawie RODO, czy każdy pracownik podpisał oświadczenie o zapoznaniu się z zasadami ochrony danych osobowych w Twoim zakładzie pracy RODO wymaga wydania upoważnienia do przetwarzania danych osobowych w imieniu i na polecenie administratora danych. Zatem pracownicy, którzy przetwarzają dane osobowe np. innych pracowników w imieniu pracodawcy powinni zostać do tego upoważnieni. 13 Sprawdź, czy masz procedurę dotyczącą dostępu do danych osobowych pracowników i kandydatów do pracy i możliwości ich prostowania oraz usuwania Pracodawca powinien opracować procedurę, która ma ułatwić kandydatom do pracy i pracownikom wykonywanie przysługujących im praw, w tym mechanizmy żądania i gdy ma to zastosowanie - bezpłatnego uzyskiwania w szczególności dostępu do danych osobowych i ich sprostowania lub usunięcia oraz możliwości wykonywania prawa do sprzeciwu. Pracodawca jest także zobowiązany do zapewnienia możliwości wnoszenia tych żądań również drogą elektroniczną oraz udzielania na nie odpowiedzi bez zbędnej zwłoki - najpóźniej w terminie miesiąca, a jeżeli pracodawca nie zamierza spełnić takiego żądania - podania przyczyn odmowy.