Portal kadrowy - pierwszy i największy w polskim Internecie serwis udzielający indywidualnych porad z zakresu prawa pracy i ZUS. Zawiera aktualne przepisy i ich interpretacje.

Na jakiej podstawie mogą być przetwarzane dane pracowników w ramach zewnętrznego audytu?

a286761c2027f9fbaea9a353f308076afb3e5756-small

Pytanie: Czy w trakcie audytu zewnętrznego (nie jest to audyt ochrony danych osobowych), który przeprowadzany jest w firmie, audytorom można udostępniać dokumentację pracowników (np. badania, szkolenia bhp itp.) bez upoważnienia administratora danych do wglądu w dane osobowe? Żadne przepisy prawa powszechnie obowiązującego nie przewidują obowiązku przeprowadzania takiego audytu. Jest to audyt certyfikujący, po którym firma otrzymuje określony certyfikat, który chce posiadać, ale nie ma takiego obowiązku, by go mieć. Jak zachować się w stosunku do audytorów, przeprowadzających audyt w kadrach, a nie mających upoważnienia do przetwarzania danych osobowych?

Czy procesor można zawierać kolejne umowy o powierzenie przetwarzania danych?

f151d16219669cb1ee592991e94f8dc7b0599a0a-medium

Pytanie: Czy tzw. procesor może zawierać dalsze umowy powierzenia danych osobowych? Chodzi mi o sytuację, gdy np. lekarz medycyny pracy wysyła pracownika do laboratorium, okulisty, psychologa itp.

Klauzula informacyjna dla pracownika – gdzie ją przechowujemy?

Depositphotos_40522743_s-2015

Realizując obowiązek informacyjny, o którym mowa w art. 13 RODO, pracodawca powinien przekazać pracownikowi informacje dotyczące przetwarzania jego danych osobowych. Czy przekazaną pracownikowi klauzulę informacyjną powinniśmy przechowywać w aktach osobowych? Jeśli tak, to w której części akt?

Czy możemy zachowywać CV kandydatów „na przyszłość”?

Depositphotos_5047137_s-2015

Zasadniczo przepisy wymagają od pracodawcy, aby po zakończonej rekrutacji zaprzestał przetwarzania danych tych kandydatów, którzy nie zostali wybranina dane stanowisko pracy. Może być jednak tak, że pracodawca jest np. zainteresowany zachowaniem CV kandydata na potrzeby przyszłych rekrutacji lub otrzymywaniem ofert od zainteresowanych osób poza procesami rekrutacyjnymi, na które daje ogłoszenia i stworzeniem sobie bazy danych kandydatów do pracy.

Zdjęcie w CV, Intranecie lub na identyfikatorze. Jaka jest właściwa podstawa przetwarzania danych?

Identyfikator firmowy

Po 25 maja 2018 r. można przetwarzać zdjęcia pracowników i kandydatów do pracy na dotychczasowych zasadach, tj. za ich zgodą. Nie w każdym przypadku jest ona jednak wymagana.

Monitoring wizyjny: 3 miesiące na dostosowanie do nowych zasad

Depositphotos_54480761_s-2015

Prezes Urzędu Ochrony Danych Osobowych przygotował wskazówki dla administratorów danych w kwestii stosowania monitoringu wizyjnego. Dał również czas administratorom (w tym pracodawcom) do końca września 2018 roku na dostosowanie się do nowych regulacji.

O czym pracodawca musi informować kandydata?

Depositphotos_53493611_original

RODO, ze względu na zasady rzetelnego i przejrzystego przetwarzania danych, wymaga żeby osoba której dane dotyczą była informowana o prowadzeniu operacji przetwarzania i o jej celach. Informacje o przetwarzaniu danych osobowych dotyczących osoby, której dane dotyczą, należy przekazać tej osobie w momencie zbierania danych.

Dane kandydatów – które z nich pracodawca może przetwarzać bez zgody?

Depositphotos_21187181_s-2015

RODO stanowi, że aby przetwarzanie danych było zgodne z prawem, powinno się odbywać na podstawie zgody osoby, której dane dotyczą lub na innej uzasadnionej podstawie przewidzianej prawem (wskazanej w art. 6 ust. 1 albo art. 9 ust. 2 RODO) albo w innym akcie prawnym (np. w Kodeksie pracy) i z poszanowaniem obowiązku prawnego, któremu podlega administrator danych.

IOD zamiast ABI – jak wprowadzić tę zmianę

bfede2a8b79c3bc1a97f01de040daf7f9f3c2648-medium

Dotychczasowy Administrator Bezpieczeństwa Informacji (ABI) został zastąpiony 25 maja tego roku przez Inspektora Ochrony Danych (IOD). RODO zmieniło nie tylko nazwę tej funkcji, ale także wymagania wobec osoby, która miałaby ją pełnić w organizacji oraz rozszerzyła zakres jej obowiązków. Wyznaczenie IOD jest obowiązkowe w wybranych sytuacjach jasno określonych w europejskim rozporządzeniu. Co warto wiedzieć o tej ewolucji oraz jak ją przeprowadzić w firmie we właściwy sposób?

Podawanie na liście obecności powodu nieobecności w pracy – co z ochroną danych osobowych?

d060fe4914e7d9565341f2fcc0de3dd3ca3e0cfa-medium

Pytanie: Mojej pytanie dotyczy zasad prowadzenia listy obecności w związku z obowiązującymi przepisami o ochronie danych osobowych. Jeden z pracowników zarzucił mam, że na liście zamieszczamy dane wrażliwe, np. związane z nieobecnością chorobową. Czy pracownik ma rację? Jeśli tak, to w jaki sposób powinno się oznaczać nieobecność pracownika w czasie choroby? Czy trzeba np. prowadzić dwie osobne listy obecności? W mojej ocenie oznaczanie na liście symbolu („ch”) nie wskazuje w żaden sposób na symbol choroby, a jedynie określa powód nieobecności. Poza tym do listy mają wgląd wyłącznie pracownicy, a siłą rzeczy wiedzą o nieobecności, gdyż muszą przejąć obowiązki nieobecnej osoby.

Kategorie