Przewodnik po RODO dla przedstawicieli branży pracy tymczasowej AUTORSTWA EKSPERTÓW Z KANCELARII C&C CHAKOWSKI & CISZEK Patronat
Prowadzisz APT, jesteś pracownikiem APT albo Pracodawcą Użytkownikiem i nadal nie wiesz jak przygotować się do RODO? Jeśli tak to nasz Przewodnik jest dla Ciebie! Dostosuj APT do RODO 5 niezbędnych kroków 1. Audyt prawny z zakresu ochrony danych osobowych Określenie statusu podmiotów przetwarzających dane Określenie procesów, w których przetwarzane są dane Weryfikacja podstaw prawnych przetwarzania danych Weryfikacja przestrzegania zasad przetwarzania danych Przegląd klauzul zgody Przegląd klauzul informacyjnych Przegląd umów powierzenia przetwarzania danych Przegląd upoważnień do przetwarzania danych Weryfikacja procedur postępowania z danymi osobowymi Weryfikacja konieczności powołania inspektora
2. Audyt IT Sprawdzenie poprawności działania systemów informatycznych Przeprowadzenie inwentaryzacji zasobów informatycznych Ustalenie wytycznych w zakresie zabezpieczeń Wykrycie potencjalnych zagrożeń Analiza bezpieczeństwa Weryfikacja krytycznych zasobów 3. Opracowanie dokumentów z zakresu ochrony danych osobowych według wytycznych RODO Klauzul zgody Klauzul informacyjnych Umów powierzenia przetwarzania danych Upoważnień do przetwarzania danych 4. Przeprowadzenie procesu szacowania ryzyka Planowanie zarzadzania ryzykiem Identyfikacja ryzyka Analiza ryzyka Planowanie reakcji na ryzyko i rekomendowane zmiany Cykliczna kontrola ryzyka 5. Przyjęcie Wewnętrznej Polityki Bezpieczeństwa Danych Wykaz procesów przetwarzania danych Wykaz zasobów danych Wykaz przyjętych środków technicznych i organizacyjnych bezpieczeństwa danych Instrukcje zarzadzania systemem informatycznym. Procedura postępowania w sprawie naruszenia bezpieczeństwa danych wobec organu oraz podmiotu danych Procedury postępowania w przypadku wpłynięcia wniosków od podmiotu danych Polityka retencyjności danych Rejestr czynności przetwarzania Rejestr kategorii czynności przetwarzania Rejestr incydentów Przewodnik po RODO dla przedstawicieli branży pracy tymczasowej 3
Co to są dane osobowe? Dane osobowe to wszystkie informacje, które bezpośrednio lub pośrednio pozwalają jednoznacznie zidentyfikować osobę fizyczną. Przykładowo może to być imię, nazwisko, numer PESEL, adres IP, płeć, adres e-mail. Wszelkie informacje zbierane na temat osoby fizycznej, które pozwalają na ustalenie jej tożsamości są danymi osobowymi, niezależnie od tego czy są przetwarzane w formie papierowej czy cyfrowej. Zmiana prawa = zmiana podejścia do ochrony danych Dnia 25 maja 2018 r. zaczęło obowiązywać rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, Dz.Urz. UE L 119 z 4.5.2016 r. (dalej jako: RODO). Wdrożenie RODO jest o tyle istotne, że konsekwencją może być bardzo wysoka kara pieniężna nawet do 20 000 000 euro lub równowartości 4% rocznego obrotu. Każdy podmiot prywatny lub publiczny który w ramach swojej działalności przetwarza dane osobowe musi stosować i dostosować się do RODO.
Specyfika branży APT Stosunek pracy tymczasowej to relacja prawna trzech podmiotów: APT, pracodawcy użytkownika oraz pracownika tymczasowego. Ta trójstronna relacja zatrudnieniowa rodzi liczne wątpliwości w kontekście przetwarzania danych osobowych, a w szczególności określenia ról podmiotów: podmiot przetwarzający (procesor) administrator. Status administratora danych osobowych ma niewątpliwie APT, natomiast rola pracodawcy użytkownika nie jest już taka jednoznaczna. RODO wprowadza także nową kategorię, jaką jest współadministrator danych i wydaje się, że w pewnym zakresie może to mieć zastosowanie właśnie do APT i pracodawcy użytkownika. Rozstrzygniecie tego problemu, czyli określenie statusu stron umowy i związanych z tym obowiązków jest w praktyce bardzo istotne. Zarówno APT, jak i pracodawca użytkownik muszą bowiem wiedzieć w jakich przypadkach niezbędne jest zawarcie umowy powierzenia przetwarzania danych sięgnij po Audyt prawny. Przewodnik po RODO dla przedstawicieli branży pracy tymczasowej 5
RODO zapewniając szereg praw podmiotom danych jednocześnie nakłada na administratorów danych osobowych liczne obowiązki (np. obowiązek informacyjny). W obszarze zatrudnienia trzeba pamiętać, że mamy do czynienia niejako z podwójnym podmiotem danych czyli z kandydatem na pracownika i z pracownikiem tymczasowym. APT jest o tyle szczególnym pracodawcą a zarazem administratorem danych, że po pierwsze prowadzi bardzo rozbudowany proces rekrutacyjny posiada bazę danych na potrzeby przyszłych rekrutacji. Po drugie, co do zasady nie jest odbiorcą pracy osób, które zatrudnia (pracowników tymczasowych). Tego typu działalność rodzi konieczności posiadania odpowiedniej dokumentacji, która będzie dotyczyła obrotu danymi. Chodzi tutaj przede wszystkim o odpowiednio skonstruowane klauzule zgody, ponieważ to właśnie zgoda jest główną podstawą prawną przetwarzania danych kandydatów do pracy. Ponadto niezbędne jest opracowanie odrębnych klauzul informacyjnych, tak aby poprawnie wywiązać się z obowiązku informacyjnego względem kandydatów do pracy i pracowników tymczasowych. Istotnym narzędziem codziennej pracy APT jest także odpowiednio skonstruowana umowa powierzenia przetwarzania danych, ponieważ podmiot ten nie jest odbiorcą pracy pracowników tymczasowych i przekazanie danych tych osób musi nastąpić w sposób zgodny z RODO sięgnij po Wzory dokumentów.
RODO wymaga aby przetwarzane dane były bezpieczne. Trzeba zatem podjąć działania, ponieważ słabe zabezpieczenia lub ich brak może powodować, że osoby, których dane dotyczą doznają szkody albo krzywdy. Powoduje to m.in. odpowiedzialność z tytułu naruszenia RODO a zatem zagrożenie ukarania karą pieniężną, a ponadto taka osoba może dochodzić odszkodowania w postępowaniu cywilnym. W praktyce, w związku z cyfrowym przetwarzaniem danych, najwięcej zagrożeń powodują systemy informatyczne sięgnij po Audyt IT. Celem RODO jest ochrona prywatności i zabezpieczenie danych osobowych. RODO jest jednak neutralne technologicznie i nie przewiduje konkretnych wytycznych jakie zabezpieczenia wdrożyć aby zabezpieczyć dane. Wybrana metoda musi być adekwatna do zagrożeń, które są właściwe tylko dla konkretnego podmiotu. Jest to bardzo istotne dla APT, które przetwarzają dane setek lub tysięcy pracowników, zwłaszcza, że zbiory personalne zawierają tzw. dane wrażliwe (np. stan zdrowia, przynależność związkowa). Niezbędne jest zatem wprowadzenie podejścia opartego na ryzyku przeprowadź Szacowanie ryzyka. Przewodnik po RODO dla przedstawicieli branży pracy tymczasowej 7
Każdy administrator danych osobowych, a zatem również APT jest odpowiedzialny za przestrzeganie przepisów o ochronie danych i musi być w stanie to wykazać. W praktyce jeżeli APT zostanie skontrolowana musi przedstawić dokumentację potwierdzającą stosowanie odpowiednich zabezpieczeń dla przetwarzanych danych osobowych. W szczególności wymaga to prowadzenia licznych rejestrów (czynności przetwarzania, kategorii czynności przetwarzania, incydentów) i wdrożenia stosownych procedur (zgłaszania naruszeń, rozpatrywania wniosków podmiotów danych) stwórz Wewnętrzną Politykę Bezpieczeństwa Danych.
Analiza ryzyka RODO Drugim najważniejszym aspektem ochrony danych osobowych prócz kwestii prawnych jest przeprowadzanie cyklicznej i profesjonalnej analizy ryzyka. Skuteczne planowanie reakcji na ryzyko jest ściśle powiązanie z uzyskaną wartością punktowej skali ryzyka każdego z zasobów, którą można uzyskać po zidentyfikowaniu grup zagrożeń. Głównym celem tej fazy procesu zarządzania ryzykiem jest oszacowanie wielkości prawdopodobieństwa i skutków zaistnienia zidentyfikowanych uprzednio ryzyk. Natomiast samo planowanie zarządzania ryzykiem można podzielić na dwa punkty 1. Przygotowanie i zorganizowanie procesu zarządzania ryzykiem powinno zawierać Metodykę określającą sposoby, narzędzia w zarządzaniu ryzykiem Wyłonienie zespołu wdrożeniowego Listę terminów określających wszystkie działania związane z procesem Progi akceptacji, czyli kryteria określające, kiedy powinny zostać podjęte działania będące odpowiedzią na zaistniałe ryzyko 2. Podjęcie działań ograniczającego lub niwelującego ryzyko Unikanie ryzyka Łagodzenie ryzyka Transfer ryzyka Plan awaryjny Przewodnik po RODO dla przedstawicieli branży pracy tymczasowej 9
25,00 20,00 15,00 10,00 5,00 0,00 Skuteczność planowania reakcji na ryzyko ma bezpośredni wpływ na wzrost lub spadek ryzyka realizacji całego bezpieczeństwa danych osobowych. Planowane reakcje muszą być proporcjonalne do skutków wystąpienia niekorzystnych zjawisk, likwidować (lub niwelować) wpływy danego zagrożenia w sposób kosztowo efektywny oraz być realizowane terminowo. Poziom akceptowalnego ryzyka Punktowa wartość ryzyka Rezultatem jakościowej analizy ryzyka jest 1. Ogólny ranking procesu lub projektu umożliwiający porównanie ryzyk 2. Lista hierarchii ryzyka Uzyskane informacje pozwolą skupić się na tych zasobach, które przekraczają poziom akceptowalnego ryzyka. Pozwoli to optymalnie kosztowo zarządzać wdrażaniem zmian w przedsiębiorstwie. Wraz z każdą kolejną analizą ryzyka nowe zasoby mogę osiągać wyższe wartości ryzyka niż poprzednio. Dlatego ważne jest cykliczne sprawdzanie czy OO OO OO OO OO Wdrożono zgodnie z planem strategie reakcji na ryzyka Działanie podejmowane w ramach realizacji planów reakcji na ryzyko skutkują oczekiwanymi rezultatami Nie doszło do zmian w poziomie ryzyka Wystąpiły czynniki wyzwalające zidentyfikowane ryzyka Wystąpiły nowe ryzyka nierozpoznane uprzednio Sama analiza ryzyka powinna być wykonywana minimum raz do roku lecz zaleca się miesięczne odstępy w pierwszym okresie obowiązywania RODO. Po ustabilizowaniu się naszych wyników wystarczy kwartalna kontrola jednak bezwzględnie analiza ryzyka powinna zostać wykonana: Przy wdrażaniu nowego procesu Dla nowych pracowników zajmujących się danymi osobowymi Zmiany obecnej infrastruktury IT
Zapraszamy do założenia darmowego konta DEMO www.erodo.eu Wynikiem naszych działań doradczych jest aplikacja erodo.eu służąca do zarządzania ryzykiem RODO w branży Pracy Tymczasowej. Jako jedni z nielicznych oferujemy aplikację do praktycznego zarządzania ryzykiem zgodnie z art. 32 RODO. Aplikacja do zarządzania ryzykiem RODO RODO Realizacja obowiązku prawnego RODO Automatyzacja procesu oceny ryzyka Łatwa identyfikacja zagrożeń RODO Przewodnik po RODO dla przedstawicieli branży pracy tymczasowej 11
Jest inżynierem produkcji, związany z projektami szkoleniowymi i doradczymi z zakresu szeroko pojętej analizy danych w firmach produkcyjnych w szczególności czasem pracy oraz analizy ryzyka RODO. Paweł Wróbel Jest ekspertem w zakresie optymalnego organizacyjnie i kosztowo harmonogramowania w różnych branżach produkcyjnych oraz logistycznych w Polsce. Jest współtwórcą specjalistycznej aplikacji do planowania i rozliczania czasu pracy WorkTimePlanner.pl oraz aplikacji do zarządzania analizą ryzyka erodo.eu a także stałym konsultantem technicznym kancelarii C&C Chakowski & Ciszek. Jest prawnikiem specjalizującym się w zakresie problematyki ochrony danych osobowych i prawa pracy, w tym w szczególności kontroli i monitorowania pracowników, dyskryminacji i prawnych aspektów rekrutacji oraz uprawnień związanych z rodzicielstwem. Jest stałym współpracownikiem kancelarii C&C Chakowski & Ciszek. Anna Kamińska-Pietnoczko Jest także wykładowcą prawa pracy na Wydziale Zarządzania Uniwersytetu Warszawskiego, Akademii im. Leona Koźmińskiego oraz w Szkole Wyższej Psychologii Społecznej. Jest doktorantką w Katedrze Prawnych Problemów Zarządzania na Wydziale Zarządzania Uniwersytetu Warszawskiego z otwartym przewodem doktorskim. Ponadto jest redaktorem prowadzącym Monitor Prawa Pracy C.H. Beck oraz autorką licznych publikacji naukowych, w tym komentarzy do Kodeksu Pracy. dr Maciej Chakowski Partner Paweł Wróbel Kontakt m.chakowski@cc.info.pl +48 668 163 241 www.cc.info.pl pawel.wrobel@erodo.eu +48 698 090 050 www.erodo.eu