Poznaj praktyczne wskazówki, jak przygotować Twoją jednostkę na RODO

f151d16219669cb1ee592991e94f8dc7b0599a0a-medium

Od 25 maja 2018 r. zacznie obowiązywać ogólne rozporządzenie o ochronie danych (RODO). Zmianą, która budzi największe emocje są sankcje finansowe, które grożą za nieprzestrzeganie przepisów o ochronie danych osobowych. Sprawdź, jakie najważniejsze skutki rodzi wejście w życie tego aktu prawnego w praktyce służb kadrowych i księgowych w jednostkach sektora publicznego.

To, jak bardzo zmieni się praca osób z działów kadrowych i księgowych będzie w dużej mierze zależało od dojrzałości jednostki w zakresie przetwarzania danych osobowych i wdrożonych już mechanizmów. Na administratorze danych ciąży bowiem obowiązek zapewnienia odpowiednich środków ochrony danych oraz spoczywa na nim ciężar dowodowy, że środki te są odpowiednie do charakteru, zakresu, kontekstu i celu przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia (art. 24 RODO).

Inspektor ochrony danych w jednostce

W organach i podmiotach publicznych obligatoryjne będzie powołanie inspektora ochrony danych (art. 37 ust. 1 lit. a RODO), którego funkcje będą zbliżone do zadań realizowanych obecnie przez administratora bezpieczeństwa informacji, tzw. ABI, ale z dużo silniej zaznaczoną niezależnością i jej ochroną (art. 39 RODO). Co prawda RODO nie zawiera definicji podmiotu publicznego i takie dookreślenie powinno znaleźć się w uregulowaniach krajowych. Jednak, korzystając z wytycznych Grupy Roboczej Art. 29 (materiały dostępne na stronie www.giodo.gov.pl), przez organy i podmioty publiczne należy rozumieć zarówno organy władzy krajowej, jak i regionalnej czy lokalnej. Obecnie powołanie ABI było dobrowolne, gdyż jego zadania mógł realizować samodzielnie administrator danych i część kierowników jednostek przyjmowało taką rolę.

Obecnie należy przygotować się do powołania inspektora ochrony danych. Jest to jedno z pierwszych zadań kadrowych, z którymi spotkają się kierownicy jednostek publicznych.

Inspektorem ochrony danych może być zarówno pracownik jednostki, jak i osoba z zewnątrz. Niezbędnym kryterium wyboru inspektora ochrony danych są kwalifikacje zawodowe, a w szczególności wiedza fachowa na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań.

RODO nie przybliża, co należy rozumieć jako kwalifikacje zawodowe i jak weryfikować wiedzę fachową w zakresie ochrony danych osobowych czy możliwość wykonywania zadań. Także w tym przypadku warto więc sięgnąć do materiałów Grupy Roboczej Art. 29. I osoba pełniąca funkcję inspektora ochrony danych powinna posiadać zarówno wiedzę w zakresie przepisów ochrony danych osobowych, rozwiązań związanych z ich stosowaniem, ale i przepisów, na których opiera się działalność jednostki. Ponadto osoba ta powinna posiadać odpowiednie cechy osobowościowe umożliwiające niezależne wykonywanie obowiązków inspektora ochrony danych, ale i odpowiednie umiejscowienie w strukturze jednostki.

Kilka jednostek, które mają wspólny rodzaj działalności czy jej charakterystykę może powołać wspólnego inspektora ochrony danych. Warunkiem niezbędnym jest jednak łatwość nawiązania z nim kontaktu w każdej z jednostek.

Biorąc po uwagę specyfikę jsfp i rozliczeń budżetowych, takie rozwiązanie będzie mogło mieć zastosowanie w przypadku powołania inspektora ochrony danych osobowych w jednostce nadrzędnej, który jednocześnie będzie wykonywał swoje zadania w jednostkach podległych czy nadzorowanych.

Z wyborem inspektora ochrony danych nie należy zwlekać do wejścia w życie rozporządzenia, gdyż w podmiotach zobligowanych do powołania inspektora ochrony danych osobowych od 25 maja 2018 r. funkcja ta już powinna istnieć.

W związku z tym, szczególnie w jednostkach, w których do tej pory nie funkcjonował ABI, należy przeprowadzić rekrutację na takie stanowisko, powierzyć funkcję zatrudnionemu pracownikowi lub wyłonić wykonawcę takiej usługi, a każde z tych działań wymaga odpowiedniego czasu na  realizację odpowiednich procedur.

Klauzule informacyjne

Z pewnością jednak najistotniejsze czynności dla kadrowców i księgowych będą związane z klauzulami informacyjnymi. Obszar ten był często traktowany po macoszemu. Pracodawcy kierowali się zwykle twierdzeniem, że kandydat do pracy oraz pracownik wiedzą, jakie dane i w jakim celu przetwarza pracodawca. W niewielkim stopniu stosowano również zasadę adekwatności przetwarzania.

Obecnie na administratorach danych osobowych ciąży mocno rozbudowany obowiązek informacyjny, który nie wyklucza sfery związanej z zatrudnieniem. Wprost jest również wyrażona zasada, że dane mają być przetwarzane w minimalnym zakresie, który pozwala na realizację celu przetwarzania (art. 5 ust. 1 lit. c RODO). Takie sformułowanie przeformułowuje dotychczasową zasadę unikania przetwarzania danych nadmiarowych.

Co więc oznacza to dla kadrowców? – przede wszystkim weryfikację, czy zakres danych, których żądają od pracowników jest na pewno minimalny. Musimy więc zadać sobie pytanie:, „do jakiego celu potrzebne są mi te dane”. Jeśli odpowiedź brzmi: „mogą się przydać”, oznacza to, że nie są to dane o zakresie minimalnym i nie mogą być przetwarzane.

Ogólne rozporządzenie o ochronie danych osobowych wzmacnia pozycję osoby, której dane dotyczą. Tak więc kandydat do pracy, pracownik czy osoba fizyczna, która wykonuje zadania na podstawie umowy cywilnoprawnej musi otrzymać od administratora określone informacje, do których należą:

  • tożsamość i dane kontaktowe administratora danych osobowych, a więc nazwę i lokalizację podmiotu;
  • dane kontaktowe inspektora ochrony danych, jeśli będzie on powołany, przy czym na organach i podmiotach publicznych spoczywa obowiązek powołania inspektora;
  • cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania;
  • informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
  • informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, jeśli taka sytuacja może mieć miejsce;
  • okres, przez który dane osobowe będą przechowywane;
  • informacje o prawie do cofnięcia zgody w dowolnym momencie;
  • informacje o prawie wniesienia skargi do organu nadzorczego;
  • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Wskazane dane, wynikające z art. 13 RODO należy podać przy zbieraniu danych od osób, których dane dotyczą.

Służby kadrowe będą zobowiązane do zastosowania klauzul informacyjnych już na etapie ogłaszania naboru na stanowisko.

Przepisy RODO wskazują co prawda, że obowiązek taki nie ma zastosowania, gdy osoba, która podaje dane, posiada już wymagane informacje. Zakres tych informacji jest jednak na tyle szeroki, że administrator danych miałby trudność dowieść, że kandydat do pracy posiada pełną wiedzę w powyższym zakresie. W szczególności należy zwrócić uwagę na informacje dotyczące okresu, przez który dane będą przechowywane. W sektorze publicznym tworzy się instrukcje archiwalne oraz wprowadza podział spraw zgodnie z rzeczowym wykazem, dla którego określa się okresy przechowywania dokumentów. Określają one m.in. okres przechowywania dokumentów rekrutacyjnych, co powinno być wskazane przy realizacji obowiązku informacyjnego.

Aby wypełnić prawidłową realizację obowiązku informacyjnego wobec kandydatów do pracy, wystarczające będzie zamieszczenie odpowiedniej klauzuli przy ogłoszeniach na stronie internetowej BIP oraz w innych miejscach publikacji ogłoszeń o naborze. 

Nowe informację po zakończeniu rekrutacji

Kadrowcy muszą zwrócić również uwagę na etap zatrudnienia po zakończonej rekrutacji, gdyż będzie on wymagał przekazania nowych informacji dla pracownika, wynikających ze zmiany jego statusu i okresu, przez jaki pracodawca będzie przetwarzał jego dane.

Taka informacja będzie musiała być przekazana bezpośrednio osobie zatrudnianej. Należy zadbać o zapewnienie dowodu spełnienia obowiązku informacyjnego, a więc np. przedłożenia przez pracownika oświadczenia, że zostały mu przekazane powyższe informacje. Zadanie spełnienia obowiązku informacyjnego nie jest trudne, ale wymaga odpowiedniego przygotowania. Pracodawca przetwarza bowiem informacje nie tylko w zakresie wymaganym prawem.

Przechowywanie danych

Szczególną uwagę należy zwrócić przy przetwarzaniu danych związanych z przyznawaniem świadczeń socjalnych, dla których również należy zapewnić realizację obowiązku informacyjnego. Z praktycznego punktu widzenia największy problem będzie dla pracodawców stanowiło właściwe wskazanie okresów przechowywania danych, gdyż są to dane różnych kategorii. Dlatego przed wejściem w życie RODO należy dokonać inwentaryzacji danych wraz z okresami ich przechowywania wynikającymi z obowiązujących przepisów oraz wewnętrznych regulacji.

Dopiero takie przygotowanie pozwoli na właściwe przygotowanie klauzul informacyjnych dla poszczególnych rodzajów danych. Zgodnie z RODO wskazany powyżej obowiązek informacyjny ma być realizowany na etapie zbierania danych, nie zaś wobec osób, których dane zostały już zebrane.

Administrator danych ma na każdym etapie przetwarzania obowiązek zapewnienia rzetelności i przejrzystości przetwarzania.

W związku z tym należy rozważyć przekazanie pracownikom, np. w formie zarządzenia czy regulaminu, informacji dotyczących przetwarzania ich danych osobowych, jak również praw z tego wynikających, w tym dostępu do danych, otrzymania ich kopii oraz prawa wniesienia skargi do organu nadzorczego.

Służby kadrowe muszą zwrócić uwagę za wyraźne zapisy art. 15 ust. 3, wskazującego na prawo otrzymania kopii danych osobowych podlegających przetwarzaniu. Zapis ten ostatecznie zamyka wątpliwości niektórych pracodawców co do udostępnienia dokumentów kadrowych pracownikowi. Wskazuje również, że jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się powszechnie stosowaną drogą elektroniczną.

W związku z tym służby kadrowe powinny przygotować się do praktycznej realizacji tego obowiązku, szczególnie że przepis dotyczący przekazywania kopii danych osobowych wejdzie wcześniej niż zmiana zasad prowadzenia dokumentacji pracowniczej.

Jak widać z omówienia niektórych zmian wynikających z RODO, przygotowanie jednostki do przestrzegania przepisów ochrony danych osobowych wymaga dużego zaangażowania osób posiadających odpowiedni poziom kompetencji i zbliżający się okres do wdrożenia tych przepisów powinien być wykorzystany na inwentaryzację przetwarzanych danych i wdrożenie odpowiednich procedur, aby w momencie wejścia w życie RODO kierownik jednostki posiadał dowody spełnienia wszystkich swoich obowiązków w zakresie ochrony danych osobowych.

Surowe kary

Zgodnie z RODOkary będą w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające (art. 83 ust. 1). Wysokość kar wskazanych w RODO jest zależna od podmiotów, które dokonają naruszenia, rodzaju naruszenia przepisów, stopnia umyślności działania administratora danych i innych czynników wpływających na ocenę tego naruszenia.

PRZYKŁAD
Za nieprzestrzeganie przepisów dotyczących powołania inspektora ochrony danych może zostać nałożona administracyjna kara pieniężna w wysokości do 10.000.000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Za naruszanie praw osób, których dane dotyczą, w tym spełnienia obowiązku informacyjnego czy odmowy dostępu do danych kara może sięgać do 20.000.000 EUR, a w przypadku przedsiębiorstwa – do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Rozporządzenie Parlamentu Europejskiego i  Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Maria Kucharska-Fiałkowska

Autor: Maria Kucharska-Fiałkowska

Specjalista ds. audytów, administrator bezpieczeństwa Informacji, specjalista ds. kadrowych w jednostkach publicznych
Nie ma jeszcze komentarzy do tego dokumentu.
Zaloguj się aby dodać komentarz