Kontynuując nasz cykl związany z ochroną danych osobowych, w dzisiejszym artykule zajmiemy się bezpieczeństwem danych pracowników w dziale kadr. W związku z tym, że każdy pracodawca przetwarza dane osobowe swoich pracowników, a także sposoby i cel przetwarzania tych danych, co oznacza, że jest on administratorem danych osobowych.

Gdzie w szczególności można znaleźć dane osobowe w dziale kadrowym?

Dane osobowe możemy znaleźć przede wszystkim w dokumentach związanych z:
–rekrutacją,
–przebiegiem zatrudnienia,
–monitoringiem,
–postępowaniem sądowym,
–rejestrze osób wchodzących/wychodzących do/z budynków (w tzw. księdze gości),
-w formie danych powierzonych.

W jaki sposób przetwarzane są dane osobowe pracowników?

Dane osobowe pracowników są zazwyczaj przetwarzane podczas:
–realizacji praw i obowiązków pracowniczych w ramach zatrudnienia,
–przetwarzania danych w ramach zakładowego funduszu świadczeń socjalnych,
–korzystania przez pracowników z dodatkowych benefitów (np. karnetów sportowych, dodatkowego ubezpieczenia),
-wykorzystywania wizerunku pracowników,
–szkolenia pracowników.
Należy przy tym zauważyć, że przetwarzanie danych osobowych pracowników będzie legalne tylko w przypadku, gdy ustalona będzie tak zwana podstawa legalizująca. Może nią być na przykład obowiązek prawny wynikający z przepisów prawa pracy lub innych przepisów prawa, zgoda pracownika, uzasadniony interes prawny pracodawcy lub interes publiczny.

Rejestr czynności przetwarzania danych

Pracodawca jako administrator danych lub podmiot przetwarzający jest zobowiązany do prowadzenia wewnętrznego rejestru czynności przetwarzania danych. Istotne jest jednak to, że z tego obowiązku są zwolnieni przedsiębiorcy lub podmioty zatrudniające mniej niż 250 osób, którzy zgodnie z art. 30 ust. 5 rozporządzenia w sprawie RODO łącznie spełniają następujące kryteria:
-przetwarzanie, którego dokonują, nie powoduje ryzyka naruszenia praw lub wolności osób, których dane dotyczą,
-ma charakter sporadyczny i
-nie obejmuje szczególnych kategorii danych osobowych ani danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

W jaki sposób należy zabezpieczyć i chronić dane pracowników?

Pracodawca chcąc w sposób optymalny zabezpieczyć i chronić dane osobowe pracowników powinien zacząć od przeprowadzenia analizy ryzyka. Podczas tej analizy powinien zidentyfikować ewentualne zagrożenia, które mogą mieć wpływ na utratę lub ujawnienie danych oraz określić prawdopodobieństwo wystąpienia ryzyka. Po dokonaniu analizy ryzyka należy zabezpieczyć dane osobowe pracowników. Powinno to nastąpić poprzez zaszyfrowanie danych osobowych, zapewnienie ciągłej poufności, integralności, dostępności i odporności systemów przetwarzających dane oraz regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Istotne jest również to, że pracodawca powinien dokonywać okresowych przeglądów i zmian w analizie, w miarę pojawiania się nowych zagrożeń związanych np. z rozwojem technologicznym.

RODO a Pracownicze Plany Kapitałowe

Zgodnie z art. 2 pkt. 3 ustawy o Pracowniczych Planach Kapitałowych do danych identyfikacyjnych należą: imię (imiona), nazwisko, adres zamieszkania, adres do korespondencji, numer telefonu, adres poczty elektronicznej, numer PESEL lub data urodzenia w przypadku osób nieposiadających numeru PESEL, seria i numer dowodu osobistego lub numer paszportu albo innego dokumentu potwierdzającego tożsamość w przypadku osób, które nie posiadają obywatelstwa polskiego. Pracodawcy mają obowiązek przesłania instytucji finansowej listy osób, które przystępują do Pracowniczych Planów Kapitałowych. W związku z tym, że zawarcie i realizacja umowy w zakresie PPK jest obowiązkiem prawnym, który ciąży na pracodawcy nie ma on obowiązku podpisywania umowy powierzenia danych osobowych z konkretnym funduszem. Jako, że obowiązek przekazania danych osobowych pracowników wynika wprost z przepisów prawa pracodawca nie ma obowiązku prosić pracownika o wyrażenie zgody na przetwarzanie ich danych w związku z PPK. Jednak należy przy tym wszystkim zaznaczyć, że w związku z udostępnieniem danych pracowników do funduszu, należy wypełnić wobec nich obowiązek informacyjny, gdyż nie byli oni wcześniej informowani o tym celu przetwarzania ich danych.