Skopiuj link
Na opisane zmiany będą musieli przygotować się wszyscy pracodawcy, gdyż są oni administratorami danych osobowych swoich pracowników. Będą musieli przede wszystkim przeanalizować ryzyka, jakie mogą występować w związku z przetwarzaniem przez nich danych osobowych pracowników i kandydatów na pracowników. Na tej podstawie konieczne będzie opracowanie rejestru czynności przetwarzania danych. Ponadto niektórzy pracodawcy będą zobligowani do powołania Inspektora Ochrony Danych.
Jeżeli pracodawca nie przetwarza takich danych samodzielnie, lecz dostęp do nich mają również niektórzy pracownicy, to zgodnie z RODO pracodawca musi prowadzić rejestr upoważnień. Każda osoba, która będzie miała dostęp do danych osobowych pracowników, musi zostać wdrożona we wszystkie procedury występujące u pracodawcy w zakresie ochrony danych osobowych oraz musi zostać upoważniona do przetwarzania danych osobowych (ze wskazaniem zakresu i podstawy). Pracodawcy, którzy sprawy dotyczące swoich pracowników zlecają podmiotom zewnętrznym (firmom rekrutacyjnym, biurom rachunkowym), są zobowiązani do zawarcia z tymi podmiotami (zwanymi procesorami) umów na powierzenie przetwarzania danych osobowych. Ponadto dla własnego bezpieczeństwa powinni również dokonać oceny tych podmiotów z punktu widzenia bezpieczeństwa przetwarzania danych osobowych, gdyż odpowiedzialność administratora danych osobowych i procesora jest solidarna.
RODO przewiduje ponadto o wiele szerzej niż dotychczas zakrojone obowiązki informacyjne pracodawcy. Każdej osobie, której dane będą przez niego przetwarzane muszą zostać przekazane informacje dotyczące:
- danych pracodawcy będącego administratorem danych i jego danych kontaktowych;
- danych kontaktowych inspektora ochrony danych, jeżeli został powołany;
- celu przetwarzania danych osobowych oraz podstawy prawnej ich przetwarzania wraz ze wskazaniem, czy podanie danych jest wymogiem umownym, ustawowym lub warunkiem zawarcia umowy oraz określeniem skutków ich niepodania;
- czasu przechowywania danych lub kryteriów jego ustalenia;
- praw osoby, której dane są przetwarzane: poprawienie, usunięcie, ograniczenie przetwarzania danych, sprzeciw wobec ich przetwarzania, profilowania, prawa do przenoszenia danych, dostępu do danych;
- ewentualnego zamiaru przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej;
- prawa cofnięcia zgody w dowolnym momencie;
- prawa wniesienia skargi do organu nadzorczego.
Oczywiście, niezależnie od powyższego, konieczne jest fizyczne zabezpieczenie przetwarzanych przez pracodawcę danych osobowych z uwzględnieniem zarówno dokumentów papierowych, jak również wszelkich informacji przechowywanych w wersjach elektronicznych. Pracodawca powinien pamiętać o przechowywaniu dokumentów w miejscach niedostępnych dla osób nieupoważnionych, zabezpieczeniu komputerów i wewnętrznych systemów hasłami oraz szyfrowaniu dokumentów i maili. Może on dobrać dowolne metody, które pozwolą na bezpieczne przechowywanie i przetwarzanie danych i których skuteczność będzie w stanie wykazać w razie ewentualnej kontroli Urzędu Ochrony Danych Osobowych.