Narzędzia:
Pytanie: Czy w trakcie audytu zewnętrznego (nie jest to audyt ochrony danych osobowych), który przeprowadzany jest w firmie, audytorom można udostępniać dokumentację pracowników (np. badania, szkolenia bhp itp.) bez upoważnienia administratora danych do wglądu w dane osobowe? Żadne przepisy prawa powszechnie obowiązującego nie przewidują obowiązku przeprowadzania takiego audytu. Jest to audyt certyfikujący, po którym firma otrzymuje określony certyfikat, który chce posiadać, ale nie ma takiego obowiązku, by go mieć. Jak zachować się w stosunku do audytorów, przeprowadzających audyt w kadrach, a nie mających upoważnienia do przetwarzania danych osobowych?
Pytanie: Czy tzw. procesor może zawierać dalsze umowy powierzenia danych osobowych? Chodzi mi o sytuację, gdy np. lekarz medycyny pracy wysyła pracownika do laboratorium, okulisty, psychologa itp.
Realizując obowiązek informacyjny, o którym mowa w art. 13 RODO, pracodawca powinien przekazać pracownikowi informacje dotyczące przetwarzania jego danych osobowych. Czy przekazaną pracownikowi klauzulę informacyjną powinniśmy przechowywać w aktach osobowych? Jeśli tak, to w której części akt?
Zasadniczo przepisy wymagają od pracodawcy, aby po zakończonej rekrutacji zaprzestał przetwarzania danych tych kandydatów, którzy nie zostali wybranina dane stanowisko pracy. Może być jednak tak, że pracodawca jest np. zainteresowany zachowaniem CV kandydata na potrzeby przyszłych rekrutacji lub otrzymywaniem ofert od zainteresowanych osób poza procesami rekrutacyjnymi, na które daje ogłoszenia i stworzeniem sobie bazy danych kandydatów do pracy.
Po 25 maja 2018 r. można przetwarzać zdjęcia pracowników i kandydatów do pracy na dotychczasowych zasadach, tj. za ich zgodą. Nie w każdym przypadku jest ona jednak wymagana.
Prezes Urzędu Ochrony Danych Osobowych przygotował wskazówki dla administratorów danych w kwestii stosowania monitoringu wizyjnego. Dał również czas administratorom (w tym pracodawcom) do końca września 2018 roku na dostosowanie się do nowych regulacji.
RODO, ze względu na zasady rzetelnego i przejrzystego przetwarzania danych, wymaga żeby osoba której dane dotyczą była informowana o prowadzeniu operacji przetwarzania i o jej celach. Informacje o przetwarzaniu danych osobowych dotyczących osoby, której dane dotyczą, należy przekazać tej osobie w momencie zbierania danych.
RODO stanowi, że aby przetwarzanie danych było zgodne z prawem, powinno się odbywać na podstawie zgody osoby, której dane dotyczą lub na innej uzasadnionej podstawie przewidzianej prawem (wskazanej w art. 6 ust. 1 albo art. 9 ust. 2 RODO) albo w innym akcie prawnym (np. w Kodeksie pracy) i z poszanowaniem obowiązku prawnego, któremu podlega administrator danych.
Dotychczasowy Administrator Bezpieczeństwa Informacji (ABI) został zastąpiony 25 maja tego roku przez Inspektora Ochrony Danych (IOD). RODO zmieniło nie tylko nazwę tej funkcji, ale także wymagania wobec osoby, która miałaby ją pełnić w organizacji oraz rozszerzyła zakres jej obowiązków. Wyznaczenie IOD jest obowiązkowe w wybranych sytuacjach jasno określonych w europejskim rozporządzeniu. Co warto wiedzieć o tej ewolucji oraz jak ją przeprowadzić w firmie we właściwy sposób?
Pytanie: Mojej pytanie dotyczy zasad prowadzenia listy obecności w związku z obowiązującymi przepisami o ochronie danych osobowych. Jeden z pracowników zarzucił mam, że na liście zamieszczamy dane wrażliwe, np. związane z nieobecnością chorobową. Czy pracownik ma rację? Jeśli tak, to w jaki sposób powinno się oznaczać nieobecność pracownika w czasie choroby? Czy trzeba np. prowadzić dwie osobne listy obecności? W mojej ocenie oznaczanie na liście symbolu („ch”) nie wskazuje w żaden sposób na symbol choroby, a jedynie określa powód nieobecności. Poza tym do listy mają wgląd wyłącznie pracownicy, a siłą rzeczy wiedzą o nieobecności, gdyż muszą przejąć obowiązki nieobecnej osoby.
Copyright © Wszelkie prawa zastrzeżone
