Jakie informacje zawrzeć w klauzuli informacyjnej stosowanej w zakresie ochrony danych osobowych według RODO

Barbara Dąbrowska

Autor: Barbara Dąbrowska

Dodano: 4 lipca 2018
Pytanie:  Jako biuro rachunkowe podpisaliśmy z naszymi klientami umowy o powierzenie danych osobowych. Obecnie wielu klientów pyta nas o umowę na poziomie pracodawca – pracownik. Czy nasi klienci jako pracodawcy muszą mieć podpisane jakieś klauzule z pracownikami? Nawet jeśli nie to czy mogą? Mam taki wzór, który chciałbym z Państwem omówić, czy jest prawidłowy. Poniżej klauzula: Klauzula informacyjna stosowana w zakresie ochrony danych osobowych według RODO. Informuję, że: 1) administratorem Pani/Pana danych osobowych jest ……… z siedzibą w ……… przy ul. ………, zwany dalej Administratorem; Administrator prowadzi operacje przetwarzania Pani/Pana danych osobowych, 2) inspektorem danych osobowych u Administratora jest ………, 3) Pani/Pana dane osobowe przetwarzane będą w celu ewidencjonowania czasu pracy, naliczania wynagrodzeń, ubezpieczeniu w ZUS i będą udostępniane jedynie dla Biura Rachunkowego .................................., 4) podstawą przetwarzania Pani/Pana danych osobowych jest ………, 5) podanie danych jest niezbędne do zawarcia umowy, w przypadku niepodania danych niemożliwe jest zawarcie umowy, 6) posiada Pani/Pan prawo do żądania od Administratora dostępu do swoich danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych, wniesienia sprzeciwu wobec takiego przetwarzania, przenoszenia danych, wniesienia skargi do organu nadzorczego, cofnięcia zgody na przetwarzanie danych osobowych. 7) Pani/Pana dane osobowe nie podlegają zautomatyzowanemu podejmowaniu decyzji, w tym profilowaniu, 8) Pani/Pana dane osobowe będą przechowywane przez ……… W związku z tym moje pytania. Czy ten wzór jest prawidłowy? Czy w punkcie 2 zawsze musi być inspektor, jeśli takiego u pracodawcy nie ma? Czy w punkcie 3 jeszcze powinniśmy coś wskazać? Co jest podstawą prawną dla punktu 4 – Kodeks pracy? Czy mogę prosić o wyjaśnienia tych żądań z punktu 6? Czy w punkcie 8 wpisać – przechowywane przez 30 lat czy już 10? Czy coś jeszcze dopisać?
Odpowiedź: 

Wszyscy pracodawcy od dnia 25 maja 2018 r. są zobligowani do spełnienia obowiązku informacyjnego wobec pracowników.

Odpowiadam po kolei na Pana pytania.

Jest to standardowy wzór spełniający wymogi RODO.

W punkcie 2 podajemy namiary kontaktowe do IOD tylko w przypadku, gdy został powołany przez Administratora Danych Osobowych, jeśli nie został powołany nie mamy możliwości podania namiarów. Jeśli nie ma Inspektora Ochrony Danych Osobowych nie wypełniamy pkt.2

Jeżeli chodzi o zapis w punkcie 3 to – będą przetwarzane w celu realizacji obowiązków wynikających z zatrudnienia – nie należy wymieniać enumeratywnie czynności.

Jako podstawę prawną przetwarzania danych trzeba wskazać art. 6 ust.1 lit b i c RODO.

Jeżeli chodzi o punkt 6, to są to standardowe ustawowe obowiązki Administratora Danych Osobowych – zgodnie z art. 20 RODO osoba, której dane dotyczą, ma prawo otrzymać w powszechnie używanym formacie nadającym się do odczytu dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe. Ponadto osoba, której dane dotyczą ma prawo żądania, by dane osobowe zostały przesłane przez administratora bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe.

Jeżeli chodzi o punkt 8, to zgodnie z obowiązującymi przepisami z zakresu prowadzenia akt osobowych na dzień 25 maja 2018 r. nie przechowujemy danych osobowych ani przez 30, ani przez 10 lat, należy użyć formuły „Pani/Pana dane osobowe będą przetwarzane przez okres określony  w przepisach obowiązującego prawa” obecnie dane osobowe są przechowywane przez okres 50 lat a od 1 stycznia 2019 r. okres ten w odniesieniu do osób zatrudnionych od 1 stycznia 1999 r., czyli funkcjonowania Płatnika zostanie skrócony do 10 lat, oprócz górników – ale tych informacji nie podajemy.

Należy dodać - Pani/Pana dane osobowe nie będę przekazywane do państwa trzeciego/organizacji międzynarodowych (jeśli nie będą, a jeśli będą należy o tym fakcie poinformować pracownika).

Uprawnienie dotyczące wniesienia skargi do organu nadzorczego powinno być w oddzielnym punkcie.

Barbara Dąbrowska

Autor: Barbara Dąbrowska

absolwentka studiów MBA, dyrektor ds. finansów i compliance w firmie consultingowej, manager Działu Księgowości w międzynarodowej firmie leasingowej, trener – wykładowca Centrum Szkoleniowe FRR Sp. z o.o.
Nie ma jeszcze komentarzy do tego dokumentu.
Zaloguj się aby dodać komentarz

@ Wiedza i Praktyka Sp. z o.o. \\ Wszystkie prawa zastrzeżone.