Od 25 maja 2018 r. zacznie obowiązywać ogólne rozporządzenie o ochronie danych (RODO). Zmianą, która budzi największe emocje są sankcje finansowe, które grożą za nieprzestrzeganie przepisów o ochronie danych osobowych. Sprawdź, jakie najważniejsze skutki rodzi wejście w życie tego aktu prawnego w praktyce służb kadrowych i księgowych w jednostkach sektora publicznego.
To, jak bardzo zmieni się praca osób z działów kadrowych i księgowych będzie w dużej mierze zależało od dojrzałości jednostki w zakresie przetwarzania danych osobowych i wdrożonych już mechanizmów. Na administratorze danych ciąży bowiem obowiązek zapewnienia odpowiednich środków ochrony danych oraz spoczywa na nim ciężar dowodowy, że środki te są odpowiednie do charakteru, zakresu, kontekstu i celu przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia (art. 24 RODO).
W organach i podmiotach publicznych obligatoryjne będzie powołanie inspektora ochrony danych (art. 37 ust. 1 lit. a RODO), którego funkcje będą zbliżone do zadań realizowanych obecnie przez administratora bezpieczeństwa informacji, tzw. ABI, ale z dużo silniej zaznaczoną niezależnością i jej ochroną (art. 39 RODO). Co prawda RODO nie zawiera definicji podmiotu publicznego i takie dookreślenie powinno znaleźć się w uregulowaniach krajowych. Jednak, korzystając z wytycznych Grupy Roboczej Art. 29 (materiały dostępne na stronie www.giodo.gov.pl), przez organy i podmioty publiczne należy rozumieć zarówno organy władzy krajowej, jak i regionalnej czy lokalnej. Obecnie powołanie ABI było dobrowolne, gdyż jego zadania mógł realizować samodzielnie administrator danych i część kierowników jednostek przyjmowało taką rolę.
Obecnie należy przygotować się do powołania inspektora ochrony danych. Jest to jedno z pierwszych zadań kadrowych, z którymi spotkają się kierownicy jednostek publicznych.
Inspektorem ochrony danych może być zarówno pracownik jednostki, jak i osoba z zewnątrz. Niezbędnym kryterium wyboru inspektora ochrony danych są kwalifikacje zawodowe, a w szczególności wiedza fachowa na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań.
RODO nie przybliża, co należy rozumieć jako kwalifikacje zawodowe i jak weryfikować wiedzę fachową w zakresie ochrony danych osobowych czy możliwość wykonywania zadań. Także w tym przypadku warto więc sięgnąć do materiałów Grupy Roboczej Art. 29. I osoba pełniąca funkcję inspektora ochrony danych powinna posiadać zarówno wiedzę w zakresie przepisów ochrony danych osobowych, rozwiązań związanych z ich stosowaniem, ale i przepisów, na których opiera się działalność jednostki. Ponadto osoba ta powinna posiadać odpowiednie cechy osobowościowe umożliwiające niezależne wykonywanie obowiązków inspektora ochrony danych, ale i odpowiednie umiejscowienie w strukturze jednostki.
Kilka jednostek, które mają wspólny rodzaj działalności czy jej charakterystykę może powołać wspólnego inspektora ochrony danych. Warunkiem niezbędnym jest jednak łatwość nawiązania z nim kontaktu w każdej z jednostek.
Biorąc po uwagę specyfikę jsfp i rozliczeń budżetowych, takie rozwiązanie będzie mogło mieć zastosowanie w przypadku powołania inspektora ochrony danych osobowych w jednostce nadrzędnej, który jednocześnie będzie wykonywał swoje zadania w jednostkach podległych czy nadzorowanych.
W związku z tym, szczególnie w jednostkach, w których do tej pory nie funkcjonował ABI, należy przeprowadzić rekrutację na takie stanowisko, powierzyć funkcję zatrudnionemu pracownikowi lub wyłonić wykonawcę takiej usługi, a każde z tych działań wymaga odpowiedniego czasu na realizację odpowiednich procedur.
Z pewnością jednak najistotniejsze czynności dla kadrowców i księgowych będą związane z klauzulami informacyjnymi. Obszar ten był często traktowany po macoszemu. Pracodawcy kierowali się zwykle twierdzeniem, że kandydat do pracy oraz pracownik wiedzą, jakie dane i w jakim celu przetwarza pracodawca. W niewielkim stopniu stosowano również zasadę adekwatności przetwarzania.
Obecnie na administratorach danych osobowych ciąży mocno rozbudowany obowiązek informacyjny, który nie wyklucza sfery związanej z zatrudnieniem. Wprost jest również wyrażona zasada, że dane mają być przetwarzane w minimalnym zakresie, który pozwala na realizację celu przetwarzania (art. 5 ust. 1 lit. c RODO). Takie sformułowanie przeformułowuje dotychczasową zasadę unikania przetwarzania danych nadmiarowych.
Co więc oznacza to dla kadrowców? – przede wszystkim weryfikację, czy zakres danych, których żądają od pracowników jest na pewno minimalny. Musimy więc zadać sobie pytanie:, „do jakiego celu potrzebne są mi te dane”. Jeśli odpowiedź brzmi: „mogą się przydać”, oznacza to, że nie są to dane o zakresie minimalnym i nie mogą być przetwarzane.
Ogólne rozporządzenie o ochronie danych osobowych wzmacnia pozycję osoby, której dane dotyczą. Tak więc kandydat do pracy, pracownik czy osoba fizyczna, która wykonuje zadania na podstawie umowy cywilnoprawnej musi otrzymać od administratora określone informacje, do których należą:
Wskazane dane, wynikające z art. 13 RODO należy podać przy zbieraniu danych od osób, których dane dotyczą.
Przepisy RODO wskazują co prawda, że obowiązek taki nie ma zastosowania, gdy osoba, która podaje dane, posiada już wymagane informacje. Zakres tych informacji jest jednak na tyle szeroki, że administrator danych miałby trudność dowieść, że kandydat do pracy posiada pełną wiedzę w powyższym zakresie. W szczególności należy zwrócić uwagę na informacje dotyczące okresu, przez który dane będą przechowywane. W sektorze publicznym tworzy się instrukcje archiwalne oraz wprowadza podział spraw zgodnie z rzeczowym wykazem, dla którego określa się okresy przechowywania dokumentów. Określają one m.in. okres przechowywania dokumentów rekrutacyjnych, co powinno być wskazane przy realizacji obowiązku informacyjnego.
Kadrowcy muszą zwrócić również uwagę na etap zatrudnienia po zakończonej rekrutacji, gdyż będzie on wymagał przekazania nowych informacji dla pracownika, wynikających ze zmiany jego statusu i okresu, przez jaki pracodawca będzie przetwarzał jego dane.
Taka informacja będzie musiała być przekazana bezpośrednio osobie zatrudnianej. Należy zadbać o zapewnienie dowodu spełnienia obowiązku informacyjnego, a więc np. przedłożenia przez pracownika oświadczenia, że zostały mu przekazane powyższe informacje. Zadanie spełnienia obowiązku informacyjnego nie jest trudne, ale wymaga odpowiedniego przygotowania. Pracodawca przetwarza bowiem informacje nie tylko w zakresie wymaganym prawem.
Szczególną uwagę należy zwrócić przy przetwarzaniu danych związanych z przyznawaniem świadczeń socjalnych, dla których również należy zapewnić realizację obowiązku informacyjnego. Z praktycznego punktu widzenia największy problem będzie dla pracodawców stanowiło właściwe wskazanie okresów przechowywania danych, gdyż są to dane różnych kategorii. Dlatego przed wejściem w życie RODO należy dokonać inwentaryzacji danych wraz z okresami ich przechowywania wynikającymi z obowiązujących przepisów oraz wewnętrznych regulacji.
Dopiero takie przygotowanie pozwoli na właściwe przygotowanie klauzul informacyjnych dla poszczególnych rodzajów danych. Zgodnie z RODO wskazany powyżej obowiązek informacyjny ma być realizowany na etapie zbierania danych, nie zaś wobec osób, których dane zostały już zebrane.
Administrator danych ma na każdym etapie przetwarzania obowiązek zapewnienia rzetelności i przejrzystości przetwarzania.
W związku z tym należy rozważyć przekazanie pracownikom, np. w formie zarządzenia czy regulaminu, informacji dotyczących przetwarzania ich danych osobowych, jak również praw z tego wynikających, w tym dostępu do danych, otrzymania ich kopii oraz prawa wniesienia skargi do organu nadzorczego.
Służby kadrowe muszą zwrócić uwagę za wyraźne zapisy art. 15 ust. 3, wskazującego na prawo otrzymania kopii danych osobowych podlegających przetwarzaniu. Zapis ten ostatecznie zamyka wątpliwości niektórych pracodawców co do udostępnienia dokumentów kadrowych pracownikowi. Wskazuje również, że jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się powszechnie stosowaną drogą elektroniczną.
W związku z tym służby kadrowe powinny przygotować się do praktycznej realizacji tego obowiązku, szczególnie że przepis dotyczący przekazywania kopii danych osobowych wejdzie wcześniej niż zmiana zasad prowadzenia dokumentacji pracowniczej.
Jak widać z omówienia niektórych zmian wynikających z RODO, przygotowanie jednostki do przestrzegania przepisów ochrony danych osobowych wymaga dużego zaangażowania osób posiadających odpowiedni poziom kompetencji i zbliżający się okres do wdrożenia tych przepisów powinien być wykorzystany na inwentaryzację przetwarzanych danych i wdrożenie odpowiednich procedur, aby w momencie wejścia w życie RODO kierownik jednostki posiadał dowody spełnienia wszystkich swoich obowiązków w zakresie ochrony danych osobowych.
Zgodnie z RODOkary będą w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające (art. 83 ust. 1). Wysokość kar wskazanych w RODO jest zależna od podmiotów, które dokonają naruszenia, rodzaju naruszenia przepisów, stopnia umyślności działania administratora danych i innych czynników wpływających na ocenę tego naruszenia.
Tylko teraz możesz BEZPŁATNIE przetestować PortalFK.pl przez 24h! GWARANTUJEMY:
Jeśli masz jakiekolwiek pytania skorzystaj z indywidualnej porady grona naszych wybitnych Ekspertów.
@ Wiedza i Praktyka Sp. z o.o. \\ Wszystkie prawa zastrzeżone.