RODO – JAK STOSOWAĆ W PRAKTYCE - Bezpieczenstwo BHP

29.05.2021
0 polubień
1666 odwiedzin
0 komentarzy

Od 25 maja 2018 r. również w Polsce stosowane jest dotyczące ochrony danych osobowych, które reguluje rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679. Od tego czasu stosowanie przepisów RODO wzbogaciło się o orzecznictwa wydawane na jego podstawie:
• decyzje UODO o nakładaniu kar
• decyzje sądów powszechnych.
Daje to podstawy do prognozowania tego, jak działania dotyczące przetwarzania danych osobowych oceniane będą przez sankcjonujące stosowanie prawa organy.

Rozporządzenie zawiera wymogi dla przedsiębiorstw i organizacji odnoszące się do gromadzenia oraz przechowywania danych osobowych i zarządzania nimi. Rozporządzenie ma zastosowanie do:

europejskich organizacji przetwarzających dane osobowe osób fizycznych w Unii Europejskiej,
organizacji spoza UE kierujących swoją ofertę do mieszkańców Unii.

Zasady przetwarzania danych osobowych

Istotnym aspektem harmonijnych działań w zakresie danych osobowych jest przestrzeganie zasad ich przetwarzania. Unijny prawodawca już w początkowej części RODO usytuował ogólne zasady przetwarzania danych osobowych, kładąc szczególny nacisk na ich nadrzędność w stosunku do dalszych norm rozporządzenia. Dlatego, tak ważne jest by pozostałe przepisy odczytywać z zastosowaniem kryteriów spójności z niniejszymi regułami.
Na duże znaczenie działania zgodnie z zasadami przetwarzania danych osobowych wskazuje możliwość nakładania przez organ ochrony danych kar administracyjnych za ich nieprzestrzeganie.

Bezpieczeństwo danych – zasada poufności i integralności

Dane osobowe przetwarzane muszą być w sposób gwarantujący ich bezpieczeństwo, w tym ochronę przed niedozwolonym bądź też nie zgodnym z prawem przetwarzaniem oraz przypadkową utratą, uszkodzeniem czy zniszczeniem. Bezpieczeństwo danych zapewnić trzeba stosując odpowiednie środki techniczne i administracyjne.

Regulacja, o której mowa to zasada poufności i integralności. Opiera się ona na zobowiązaniu administratora danych osobowych do zapewnienia bezpieczeństwa danych osobowych, zwłaszcza przed dostępem osób nieuprawnionych, jak również ryzykiem przypadkowego zmodyfikowania lub usunięcia. Polega na trafności dobru środków mających służyć zabezpieczeniu danych osobowych. RODO nie wskazuje wprost, jakie środki techniczne i organizacyjne przy przetwarzaniu danych osobowych, dając tym samym swobodę wyboru podmiotowi przetwarzającemu dane. Przerzuca w ten sposób obowiązek prawidłowej oceny na administratora i wyboru adekwatnych dla danego przetwarzania i właściwego ich zastosowania zabezpieczeń.

Jaka jest rola administratora?

Administrator uwzględniając charakter, zakres, okoliczności i cele przetwarzania, a także ryzyko naruszenia prawa lub wolności osób fizycznych, wdrażać powinien odpowiednie środki techniczne i organizacyjne. Pozwoli to na przetwarzanie danych zgodne z prawem. Pamiętać jednak trzeba, że środki te poddawane powinny być przeglądom i aktualizowane. Administrator dbać powinien o bezpieczeństwo danych na każdym etapie, to znaczy:

przy określaniu sposobów przetwarzania
w trakcie samego przetwarzania.

Przy wdrażaniu właściwych środków technicznych i administracyjnych zarówno administrator, jak i podmiot przetwarzający uwzględnić powinni stan wiedzy technicznej, koszt wdrożenia, charakter, obszar, kontekst i cele przetwarzania oraz ryzyko naruszania zasady poufności i integralności.

Cele przetwarzania danych – zasada celowości i adekwatności

Dane osobowe gromadzone są w określonych, wyraźnych i prawnie uzasadnionych celach i nie są przetwarzane dalej w sposób niezgodny z tymi celami. Poza tym dane osobowe muszą być dopasowane, stosowane i ograniczone do celów, w których będą przetwarzane.
Wszystkie procesy przetwarzania danych zgodne muszą być ze wszystkimi zasadami łącznie. Naruszenie jakiejkolwiek z tych zasad sprawia, że przetwarzanie danych osobowych jest niezgodne z obowiązującymi przepisami prawa.
Przedsiębiorcy sami ocenić muszą, jakie ryzyko wiąże się z przetwarzaniem danych osobowych i jakie środki należy przedsięwziąć.

Przetwarzanie zgodne z prawem – zasada zgodności z prawem

Przetwarzanie danych zgodne jest z prawem wtedy, gdy następuje:

na podstawie ustawy lub aktu prawnego wydanego na podstawie ustawy
niezbędne jest do osiągnięcia uzasadnionego celu.

Obowiązek deklaracji przez administratora, by dane przetwarzane były zgodnie z prawem, oznacza przetwarzanie ich na wszystkich płaszczyznach zarządzania danymi, czyli od chwili ich zebrania aż do chwili ich usunięcia na podstawie co najmniej jednej podstawy prawnej przetwarzania. Wykorzystanie jednej z tych podstaw ustalone musi zostać przed przetwarzaniem i w odniesieniu do określonego celu.
WAŻNE! Nie dopuszcza się przetwarzania danych osobowych w sposób pozbawiony podstawy prawnej oraz bez określonego zamiaru.

Ograniczenie przechowywania danych – zasada retencji/czasowości

Dane osobowe powinny być przechowywane w formie, dającej możliwość identyfikacji osoby, której dane dotyczą, jednak tylko przez okres niezbędny do celów, dla realizacji których dane te są przetwarzane. Stosowanie ograniczenia przechowywania (retencji), może nastąpić głównie poprzez wewnętrzne procedury, definiujące zasady oraz okresy usuwania danych osobowych, jakie wynikają z przepisów prawa bądź celów administratora.

Ochrona danych osobowych zgodnie z RODO

Kiedy stosuje się ogólne rozporządzenie RODO?

RODO, czyli ogólne rozporządzenie o ochronie danych stosuje się, gdy:

firma przetwarza dane osobowe i ma siedzibę w Unii Europejskiej, bez względu na fakt, gdzie realnie dochodzi do przetwarzania danych
firma ma siedzibę poza Unią Europejską, jednak przetwarza dane osobowe ze względu na oferowanie towarów lub usług osobom fizycznym w UE lub monitorowanie zachowań osób fizycznych w Unii.

WAŻNE! Przedsiębiorstwa spoza UE przetwarzające dane obywateli Unii zobowiązane są do wyznaczenia swojego przedstawiciela w Unii.

Kiedy nie stosuje się ogólnego rozporządzenia RODO?

RODO, czyli ogólne rozporządzenie o ochronie danych nie stosuje się, gdy:

osoba, której dane dotyczą, jest osobą prawną
osoba, której dane dotyczą, nie żyje
dane są przetwarzane w celach nie mających związku z działalnością handlową, gospodarczą lub zawodową osoby przetwarzającej dane.

Co to są dane osobowe?

Dane osobowe to informacje o zidentyfikowanej bądź możliwej do zidentyfikowania osobie, obejmujące:

imię i nazwisko
adres
numer dowodu tożsamości/paszportu
cechy kulturowe
dochody
adres IP
dane znajdujące się w szpitalu lub u lekarza, identyfikują jednoznacznie daną osobę w celach medycznych.

WAŻNE! Zabrania się przetwarzanie szczególnych danych osobowych obejmujących:

orientację seksualną
pochodzenie rasowe lub etniczne
poglądy polityczne
przynależność do związków zawodowych
przekonania religijne lub filozoficzne
dane genetyczne, biometryczne i zdrowotne (poza szczególnymi przypadkami)
dane osobowe dotyczące naruszeń prawa i wyroków skazujących, chyba że pozwala na to unijne lub krajowe prawo .

Kto przetwarza dane osobowe?

Podczas przetwarzania dane trafiają niekiedy do różnych instytucji lub organizacji. W cyklu tym występują dwa podstawowe podmioty zajmujące się przetwarzaniem danych osobowych:

administrator danych, który decyduje o celu i sposobie przetwarzania danych
przetwarzający, który przechowuje i przetwarza dane w imieniu administratora danych.

Kto monitoruje sposób przetwarzania danych osobowych wewnątrz firmy?

Inspektor ochrony danych, którego wyznaczyć może firma, jest odpowiedzialny za monitorowanie sposobu przetwarzania danych osobowych, jak również informowanie pracowników odpowiedzialnych za przetwarzanie danych osobowych o spoczywających na nich obowiązkach i doradztwo, w tym zakresie. Inspektor ochrony danych, jako punkt kontaktowy dla tego organu i osób fizycznych współpracuje również z organem ochrony danych.

Kiedy dozwolone jest przetwarzanie danych?

Unijne przepisy w sprawie ochrony danych wymagają, by były one przetwarzane uczciwie i zgodnie z prawem, w konkretnym, prawnie uzasadnionym celu. Aby móc przetwarzać dane osobowe, trzeba spełnić jeden z następujących warunków; jeżeli:

otrzymasz pozwolenie osoby, której dane dotyczą
potrzebujesz danych osobowych do wypełnienia zobowiązania umownego względem tej osoby,
potrzebujesz danych osobowych do wykonania obowiązku prawnego,
potrzebujesz danych osobowych, celem ochrony żywotnych interesów osoby, której dane dotyczą,
przetwarzasz dane osobowe, by przeprowadzić zadanie leżące w interesie publicznym,
działasz w uzasadnionym interesie firmy, o ile nie ma to istotnego wpływu na podstawowe prawa i wolności osoby, której dane są przetwarzane.

Nie można przetwarzać danych osoby, której prawa są nadrzędne wobec interesów firmy.

Zgoda na przetwarzanie danych

W RODO przewidziane zostały ścisłe zasady przetwarzania danych na podstawie zgody. Celem tych zasad jest zapewnienie, by osoba fizyczna w pełni rozumiała, na co wyraża zgodę.
Oznacza to zatem, że zgoda powinna być dobrowolna, konkretna, świadoma i jednoznaczna, zaś samo zapytanie o zgodę musi być jasne i wyrażone prostym językiem. Zgoda taka, powinna być wyrażona w formie działania potwierdzającego, którym może być zaznaczenie pola wyboru na stronie internetowej lub podpisanie formularza.
Jeśli wyrażona zostanie zgoda na przetwarzanie danych osobowych, można przetwarzać je tylko w celach, na które wyrażono zgodę. Trzeba także umożliwić wycofanie zgody.

Naruszenie przepisów oraz kary

Nieprzestrzeganie postanowień RODO w przypadku niektórych naruszeń prowadzić może do nałożenia wysokich kar. Organ ochrony danych nakazać może dodatkowe środki naprawcze, takie jak zaprzestanie przetwarzania danych osobowych.

Dane osobowe pracowników – przetwarzanie zgodne z RODO

W maju br. upływają 3 lata od od czasu, kiedy w Polsce stosowane jest RODO, a tym samym od momentu, w którym pracodawcy wdrażać powinni w swoich firmach zasady prawidłowego przetwarzania danych osobowych. Na proces ten składa się nie tylko konieczność stworzenia odpowiednich dokumentów, systemów i procedur działających zgodnie z RODO, a też wynikający z rozporządzenia o RODO obowiązek kontroli i weryfikacji tychże procesów.

Ogólne zasady RODO w zakładzie pracy

Ogólne rozporządzenie o przetwarzaniu danych osobowych RODO w zakładzie pracy reguluje sposób, w jaki administrator–pracodawca przetwarzać powinien dane osobowe. Jest to zbiór zasad ogólnych, które przestrzegane muszą być w trakcie przetwarzania danych. Rolą administratora– pracodawcy jest ustalenie, w jaki sposób będzie realizować te zasady u siebie.
WAŻNE! Poziom tej ogólności przepisów i pozostawienia administratorom–pracodawcom swobody w doborze indywidualnych rozwiązań cały czas stanowi problem dla pracodawców.

Jak wygląda weryfikacja procesu przetwarzania pracowniczych danych osobowych?

Weryfikując procesy przetwarzania pracowniczych danych osobowych pracodawca zobowiązany jest do dokonania przeglądu każdego procesu przetwarzania pod kątem ośmiu elementarnych zasad RODO. Zasady, które przestrzegane muszą być w trakcie przetwarzania danych osobowych zgodnie z RODO to:

zgodność z prawem, rzetelność i przejrzystość,
ograniczenie celu
prawidłowość danych
minimalizacja danych
ograniczenie przechowywania
integralność i poufność
obowiązek informacyjny administratora–pracodawcy
rozliczalność.

Zawsze pamiętać należy o przestrzeganiu weryfikacji tych zasad.

Obowiązek samokontroli administratora-pracodawcy

Administrator-pracodawca, chcący posiadać pewność prawidłowego przetwarzania danych osobowych pracowników zobowiązany jest, by każdy z procesów przetwarzania danych na bieżąco analizować pod kątem powyższych zasad.

Check lista procesów przetwarzania pracowniczych danych osobowych

Działy zarządzania zasobami ludzkimi (HR) są jednymi z najbardziej newralgicznych miejsc w przedsiębiorstwie pod względem przetwarzania danych osobowych. W ich zakresie zadań znajduje się szereg procesów wymagających przetwarzania dużej ilości szczegółowych danych, także danych wrażliwych. Jednym z ważnych elementów weryfikacji poprawności przetwarzania danych osobowych jest spisanie ustalonych wcześniej procesów, w których dane te są przetwarzane, tak aby następnie dokonać można było przeglądu procesów przetwarzania.
Do najczęściej występujących w działach HR procesów, w których przetwarzane są dane osobowe, należą:

rekrutacja,
badania medyczne,
nawiązanie stosunku pracy,
prowadzeni akt pracowniczych,
wypłata wynagrodzeń i rozliczenia podatków, składek na ubezpieczenia społeczne i PPK,
prowadzenie monitoringu,
współdziałanie z komornikami, syndykami, organami ścigania i organami administracji publicznej,
organizacja szkoleń dla pracowników,
dane pracownika w wykonywaniu zadań na stanowisku,
potwierdzenie zatrudnienia oraz wysokości zarobków pracownika,
obsługa benefitów pracowniczych,
organizacja konkursów dla pracowników,
współpraca z organizacjami związkowymi,
prowadzeni zfśs i działania socjalne ze środków obrotowych,
archiwizacja dokumentów po ustaniu zatrudnienia.

Każdy z tych procesów podlega weryfikacji pod kątem poprawności przetwarzania danych osobowych podczas jego trwania.

Procedura działania w przypadku wystąpienia incydentu naruszenia bezpieczeństwa danych osobowych

Jednym z fundamentalnych elementów prawidłowego przetwarzania danych osobowych jest stworzenie procedury, uruchamianej w przypadku zaistnienia incydentu naruszenia bezpieczeństwa danych osobowych.
WAŻNE! Warto więc zweryfikować, czy pracodawca posiada taką procedurę oraz czy pracownicy są z nią zaznajomieni.

Ochrona danych osobowych w czasie epidemii

Pracodawca ma prawo żądać od pracownika informacji o zarażeniu wirusem SARS CoV2, jak również innych danych mających związek z przeciwdziałaniem chorobie COVID-19. Podstawę prawną zapewniają, w tej sytuacji przepisy RODO. Wymagają jednak one zagwarantowania tym danym bezpieczeństwa oraz poufności.

Polecane wpisy

Udostępnij ten wpis

Komentarze (0)

Brak komentarzy w tym momencie.

Tylko zarejestrowani i zalogowani użytkownicy mogą dodawać komentarze

Informacje o sklepie

BEZPIECZEŃSTWO BHP ANNA RACZKOWSKA
ul. Bieżuńska 1 lok. 2, 03-578 Warszawa, NIP: 118-079-36-97

Telefon: 48 606 334 729
e-mail: biuro@bezpieczenstwo-bhp.pl

Nr konta BNP Paribas Bank Polska: PL57 1750 0009 0000 0000 3637 1935

Konto w walucie EURO IBAN: PL81 1750 0012 0000 0000 4076 2701
EURO SWIFT/BIC: PPABPLPKXXX

Adres Banku: BNP Paribas Bank Polska S.A. Kasprzaka 10/16, 01-211 Warszawa

Prowadzimy sprzedaż wysyłkową

SKLEP CZYNNY:
Poniedziałek - Piątek, w godzinach 9:00- 15:00

Możliwy termin odbioru towaru na miejscu od poniedziałku do piątku po wcześniejszym umówieniu się w godz. 9:00- 15:00

Wszystkie przesyłki dostarczamy w 24-48 godzin kurierem - szczegóły

INPOST tel. 722 444 000, 746 600 000

Informacje dotyczące plików cookies

Ta witryna korzysta z własnych plików cookie, aby zapewnić Ci najwyższy poziom doświadczenia na naszej stronie . Wykorzystujemy również pliki cookie stron trzecich w celu ulepszenia naszych usług, analizy a nastepnie wyświetlania reklam związanych z Twoimi preferencjami na podstawie analizy Twoich zachowań podczas nawigacji.

Zarządzanie plikami cookies

Niezbędne ciasteczka do zapewnienia prawidłowego działania i świadczenia usług naszego sklepu internetowego. Pozwalają na zapamiętanie ustawień użytkownika, np. języka, waluty, koszyka, wyglądu strony, itp. Funkcjonalne ciasteczka nie zbierają żadnych danych osobowych ani nie przesyłają żadnych informacji do zewnętrznych stron.

Cookies	Dostawca	Przeznaczenie	Czas przechowywania
PHPSESSID	Bezpieczenstwo BHP	PHPSESSID jest plikiem cookie, który jest używany do identyfikowania sesji użytkownika na stronie internetowej. Sesja jest mechanizmem umożliwiającym zachowanie stanu i informacji o użytkowniku pomiędzy poszczególnymi żądaniami w trakcie jednej sesji połączenia. Ciasto PHPSESSID przechowuje unikalny identyfikator sesji, który jest wymagany do przetwarzania żądań i odpowiedzi pomiędzy przeglądarką a serwerem. Te pliki cookie trwają tylko do momentu zamknięcia przeglądarki.	Sesja
PrestaShop-#	Bezpieczenstwo BHP	W tym pliku cookie PrestaShop przechowuje dane umożliwiające utrzymanie otwartej sesji użytkownika. Zapisuje takie dane jak walutę, język, identyfikator klienta i inne informacje niezbędne do prawidłowego działania sklepu.	480 godzin
_x13eucookie	Bezpieczenstwo BHP	Zapamiętuje preferencje dotyczące plików cookie.	365 dni
rc::a	Google	Służy do odróżnienia ludzi od botów. Wykorzystywany jest do prawidłowego raportowania na temat korzystania z tej witryny.	Sesja
rc::c	Google	Służy do filtrowania i odczytywania zapytań od botów.	Sesja

Marketingowe ciasteczka są używane do śledzenia użytkowników przez witryny. Celem jest pokazywanie bardziej dopasowanych treści reklamowych.

Cookies	Dostawca	Przeznaczenie	Czas przechowywania
ads/ga-audiences	Google	Pliki cookie Google AdWords służą do powrotnego zaangażowania potencjalnych klientów na podstawie ich aktywności w sieci.	Sesja
_fbp	Facebook	Pliki cookie Google AdWords służą do powrotnego zaangażowania potencjalnych klientów na podstawie ich aktywności w sieci.	3 miesiące

O Cookies

Pliki cookie to niewielkie pliki tekstowe, które są zapisywane na komputerze lub urządzeniu mobilnym przez strony internetowe, które odwiedzasz. Służą do różnych celów, takich jak zapamiętywanie informacji o logowaniu użytkownika, śledzenie zachowania użytkownika w celach reklamowych i personalizacji doświadczenia przeglądania użytkownika. Istnieją dwa rodzaje plików cookie: sesyjne i trwałe. Te pierwsze są usuwane po zakończeniu sesji przeglądarki, podczas gdy te drugie pozostają na urządzeniu przez określony czas lub do momentu ich ręcznego usunięcia.

RODO – JAK STOSOWAĆ W PRAKTYCE