Już 25 maja w życie wchodzi nowe, unijne rozporządzenie o ochronie danych osobowych. W zakresie planowanych zmian znajdzie się aż 130 aktów prawnych, w tym także Kodeks Pracy. Na co należy się przygotować? Przedstawiamy nasze zestawienie 8 najważniejszych faktów dotyczących RODO.
1. RODO dotyczy wszystkich
Uściślając – dotyczy każdego podmiotu gromadzącego i wykorzystującego dane osób fizycznych. W praktyce, oznacza to że zdecydowana większość firm będzie zobowiązana do dostosowania się do nowych przepisów.
2. Wzmocnienie roli pracodawcy
Nadchodzące RODO wzmacnia pozycję pracodawcy – ewolucji ulega m.in. „żądanie” zamiast „prawa żądania” danych osobowych od pracownika oraz zasady przetwarzania tych danych (dodanie danych teleadresowych kontaktowych, usunięcie z przetrzymywanych danych imion rodziców oraz miejsca zamieszkania).
3. Dane biometryczne – przetwarzanie przez pracodawcę
Najistotniejsza zmiana dotyczy możliwości przechowywania i zbierania (za pisemną zgodą pracownika) danych biometrycznych. Obowiązuje jednak przy tym całkowity zakaz przetrzymywania informacji o danych wrażliwych, nawet po uprzednio wyrażonej, wyżej wymienionej zgodzie. Do takich danych należą m.in. informacje o wyznaniu, nałogach, orientacji seksualnej itp.
4. Monitoring w pracy
W projekcie ustawy zawarte została także badanie uregulowania monitoringu wizyjnego w miejscu pracy (art. 224 § 1). Zgodnie z RODO monitoring nie może zostać zastosowany do kontroli pracy pracowników, a jedynie na cele związane z bezpieczeństwem, ochroną mienia czy zachowania w tajemnicy informacji, mogących zaszkodzić pracodawcy.
5. Wysokie kary finansowe
RODO wprowadza duże kary finansowe za niestosowanie się do zapisów – sięgają nawet 20 mln euro lub 4% wartości rocznego obrotu firmy. Lżejsze kary obowiązują w administracji publicznej – na poziomie 100.000 zł. Obowiązuje oczywiście proporcjonalność wysokości kary do przewinienia.
6. Nowa funkcja – IOD (Inspektor Ochrony Danych)
Za sprawą RODO powołana zostaje nowa funkcja. IOD będzie nie tylko odpowiedzialny za bezpieczeństwo danych lecz także za zgłaszanie do urzędów kontroli przypadków naruszeń przepisów. Tym samym funkcja ABI przestaje istnieć. Wybranie IOD jest obowiązkowe dla podmiotów, które prowadząc swoją działalność, przetwarzają takie dane, wśród których brak odpowiedniego zabezpieczenia może przyczynić się naruszeniu praw i wolności osób fizycznych np. dzieci.
7. 72 godziny na informację
Obowiązkiem wyżej wspomnianego Inspektora Ochrony Danych będzie zgłoszenie naruszenia w nieprzekraczalnym terminie 72 godzin od tego naruszenia, do odpowiedniego organu kontroli. Co istotne, ma się to odbyć niezależnie od przekazania informacji przełożonym.
8. Obowiązek prowadzenia analizy ryzyka
Wykonanie ryzyka będzie obowiązkowe przed działaniami „wysokiego ryzyka”, np.: przetwarzanie danych dotyczących zdrowia (fizycznego, psychicznego, korzystania z usług medycznych), danych dzieci, danych wrażliwych itd. Analiza ryzyka powinna umożliwić pracodawcy udowodnienie, że zachowano wszelką staranność co do poprawności przetwarzania danych, zwłaszcza przed organem nadzorczym w momencie kontroli.
Jeżeli czujesz się zagubiony w gąszczu zmian, warto uszeregować swoją wiedzę i poradzić się ekspertów. Zachęcamy do udziału w naszych dedykowanych szkoleniach: poziom podstawowy i poziom zaawansowany dedykowany dla działów HR.
Jeżeli specyfika Twojej firmy wymaga szczegółowego szkolenia z uwzględnieniem grupy docelowej (Klientów) napisz do nas na szkolenia@helion.pl.
