RODO – obowiązki dla pracodawców

Za niespełna miesiąc, 25 maja, wejdą w życie przepisy RODO (GDPR), co spowoduje poważne zmiany dla pracodawców. To ostatnie chwile, aby się do tego dobrze przygotować, ponieważ za niedopełnienie tego obowiązku grożą wysokie kary.

Zmiany dotyczą przetwarzania danych osobowych, a dla pracodawców będzie to spora rewolucja. RODO to unijne regulacje – Rozporządzenie o Ochronie Danych Osobowych. Po wejściu w życie tego dokumentu, dane osobowe będzie można zbierać wyłącznie w jasno określonym i uzasadnionym celu, który musi być wskazany już w chwili ich pozyskania. Pracodawcy będą więc musieli dostosować wewnętrzne regulacje do nowych zasad.

Ich obowiązek dotknie między innymi zgód na pozyskiwanie i przetwarzanie danych osobowych, które muszą być zrozumiałe, proste, dobrowolne i wyrażone świadomie. Pracodawca będzie musiał wskazać, już na etapie rekrutacji, jak długo będzie chciał te dane przetwarzać oraz powiadomić kandydata, że zgoda może być wycofana w dowolnym momencie. Dodatkowo będzie go musiał poinformować o tym, kto jest administratorem danych, gdzie znajduje się siedziba pracodawcy, jaki będzie cel i zakres przetwarzania danych, na jakiej podstawie prawnej oraz jak skontaktować się z Inspektorem Ochrony Danych (IOD). Jeśli dojdzie do naruszenia danych osobowych, lub np. ich wycieku, wówczas pracodawca będzie musiał poinformować o tym incydencie organ nadzorczy, czyli Urząd Ochrony Danych Osobowych. Będzie miał na to 72 godziny.

Nie można wskazać jednolitego sposobu zachowania, aby przystosować się do nowych przepisów. Rozporządzenie również nie daje gotowych rozwiązań, co jest raczej zaletą, ponieważ pracodawcy mają dowolność w doborze rozwiązań, mogą przy tym uwzględniać dostępne zasoby, czy specyfikę prowadzonej działalności. Administrator danych, czyli w tym wypadku pracodawca, jest zobowiązany do podejmowania wszelkich środków, aby informacje dotyczące zbierana danych osobowych były przekazywane prostym językiem, w sposób zwięzły i zrozumiały. RODO kładzie więc duży nacisk na politykę informacyjną.

Warto jednak zacząć od przygotowania dokumentu Polityka Bezpieczeństwa, w którym określone zostaną procesy zachodzące w zakładzie pracy, istniejące bazy danych osobowych, miejsca, w których dochodzi do przetwarzania tych danych.

Kary za złamanie nowych przepisów są potężne, mogą sięgać do 20 milionów euro lub 4% całkowitego obrotu przedsiębiorstwa za poprzedni rok obrotowy. RODO obejmie każdy podmiot, który pozyskuje i przetwarza dane osobowe. Będzie to więc każdy pracodawca, ale i agencje pośrednictwa pracy, które w swoich bazach posiadają tysiące CV z takimi danymi.

Pracodawcy, którzy zatrudniają co najmniej 250 osób, będą musieli przygotować ponadto rejestr czynności przetwarzania. Będzie on zawierał informacje o nazwie administratora, jego danych kontaktowych, celach przetwarzania danych osobowych, kategoriach odbiorców oraz osób, których te dane dotyczą.