28 lutego 2025
Wprowadzenie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochronie danych osobowych i swobodnego przepływu tych danych, znane jako rozporządzenie o ochronie danych (RODO), nałożyło na pracodawców szereg nowych obowiązków. Dotyczą one nie tylko klientów i kontrahentów, ale również osób zatrudnionych w przedsiębiorstwach.
Zmiany te, zwłaszcza brak przepisów przejściowych, spowodowały wśród przedsiębiorców liczne pytania oraz trudności w dostosowaniu działalności gospodarczej do nowych regulacji. Administrator danych osobowych, czyli pracodawca, musi spełnić wiele wymogów związanych z przetwarzaniem danych osobowych swoich pracowników.
Poniżej omówimy najważniejsze kwestie związane z ochroną danych osobowych w zatrudnieniu oraz przedstawimy główne obowiązki wynikające z przepisów RODO.
Spis treści:
Przedsiębiorca, niezależnie od tego, czy prowadzi jednoosobową działalność gospodarczą, czy większą firmę, ma obowiązek przestrzegania przepisów o ochronie danych osobowych. Obejmuje to zabezpieczenie danych klientów, pracowników oraz kontrahentów zgodnie z RODO. Kluczowe jest zapewnienie odpowiednich środków technicznych i organizacyjnych, aby chronić wolności osób fizycznych przed nieuprawnionym dostępem, utratą czy niezgodnym z prawem przetwarzaniem ich danych.
Tak, pracodawca pełni rolę administratora danych osobowych swoich pracowników, co oznacza, że odpowiada za ich prawidłowe przetwarzanie i ochronę. Dotyczy to zarówno dużych firm, jak i przedsiębiorców prowadzących jednoosobową działalność gospodarczą. Administrator musi zapewnić, że dane są zbierane zgodnie z prawem, wykorzystywane wyłącznie do określonych celów i odpowiednio zabezpieczone, aby chronić wolności osób fizycznych przed naruszeniami.
Przetwarzanie danych osobowych pracownika obejmuje wszelkie operacje wykonywane na tych danych, takie jak zbieranie, przechowywanie, udostępnianie czy usuwanie. Pracodawca, także prowadzący jednoosobową działalność gospodarczą, ma obowiązek przetwarzania danych zgodnie z zasadami RODO. Musi również zadbać o minimalizację zakresu zbieranych informacji i ochronę wolności osób fizycznych, zapewniając, że dane nie będą wykorzystywane w sposób sprzeczny z ich przeznaczeniem.
Przedsiębiorca, który chce prowadzić swoją działalność zgodnie z wytycznymi RODO, musi w pierwszej kolejności sporządzić odpowiednią ilość dokumentacji, w której zawarte zostaną zasady zbierania, przetwarzania oraz przechowywania danych osobowych klientów. Następnie konieczne jest powołanie do życia administratora takich danych oraz inspektora ochrony danych osobowych, którzy będą czuwali nad prawidłowością obiegu informacji wrażliwych w firmie.
10 maja 2018 r. w Polsce uchwalono ustawę o ochronie danych osobowych, która weszła w życie 25 maja 2018 r. Przepisy te dostosowały krajowe regulacje do wymogów rozporządzenia o ochronie danych. Ustawa precyzuje m.in. zasady przetwarzania danych, obowiązki administratora danych oraz kwestie związane z kontrolą przeprowadzaną przez urząd ochrony danych osobowych.
Każdy podmiot przetwarzający dane osobowe ma obowiązek informacyjny wobec osób, których dane dotyczą. Informacja ta powinna zawierać m.in.:
Dane osobowe to informacje pozwalające na identyfikację osoby fizycznej. Mogą to być zarówno dane bezpośrednie (np. imię i nazwisko, PESEL), jak i pośrednie, umożliwiające ustalenie tożsamości na podstawie specyficznych cech fizycznych, psychicznych, kulturowych lub społecznych.
Katalog danych osobowych:
Przedsiębiorca prowadzący rekrutację ma prawo przetwarzać jedynie niezbędne dane kandydatów. Przepisy RODO określają, że można żądać jedynie:
Dane osobowe zgromadzone w procesie rekrutacji powinny zostać usunięte po jego zakończeniu, chyba że kandydat wyrazi zgodę na ich dalsze przetwarzanie.
Po nawiązaniu stosunku pracy pracodawca może żądać dodatkowych informacji, takich jak:
Żądanie dodatkowych danych może być uzasadnione wyłącznie obowiązującymi przepisami prawa.
Akta osobowe muszą być przechowywane zgodnie z przepisami RODO. Okres ich archiwizacji wynosi 10 lat od zakończenia stosunku pracy. Pracodawca nie powinien przechowywać kserokopii dokumentów tożsamości pracownika.
Udostępnienie danych osobowych pracownika podmiotom trzecim wymaga jego zgody, chyba że przepisy prawa stanowią inaczej.
Za naruszenia ochrony danych osobowych grożą wysokie kary:
Administrator danych osobowych powinien być przygotowany na kontrolę urzędu ochrony danych osobowych. Należy prowadzić rejestr czynności przetwarzania, posiadać upoważnienia do przetwarzania danych oraz stosować odpowiednie zabezpieczenia danych.
Ochrona danych osobowych pracowników to kluczowy obowiązek każdego przedsiębiorstwa. Przepisy RODO nakładają na administratora danych szereg obowiązków informacyjnych i organizacyjnych, a ich naruszenie może skutkować poważnymi konsekwencjami prawnymi. Każdy przedsiębiorca powinien zadbać o bezpieczeństwo danych osobowych i wdrożyć odpowiednie procedury w swojej firmie.
