Mam pytanie dotyczące prawidłowego określenia roli pracodawcy użytkownika i agencji pracy tymczasowej – chodzi o przetwarzanie danych osobowych pracowników. Czy dobrze rozumiem, że jako pracodawca użytkownik przetwarzam dane powierzonych pracowników jako procesor (ponieważ czasem robię to w imieniu i na życzenie agencji), a fakt ten odnotowuję w rejestrze wszystkich kategorii czynności przetwarzania. Natomiast z uwagi że przetwarzam także dane powierzonych mi od agencji pracowników na własne cele i za pomocą własnych środków – jestem jednocześnie administratorem danych osobowych tych pracowników i odnotowuję ten fakt w rejestrze czynności przetwarzania?
Każdy administrator danych osobowych powinien prowadzić dokumentację ochrony danych osobowych, w tym przede wszystkim dokumentację odpowiednich zabezpieczeń. Zgodnie z art. 4 pkt 7 RODO pod pojęciem administratora należy rozumieć osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
Trzeba tu zaznaczyć, że przetwarzanie jest pojęciem zbiorczym, oznaczającym wszystkie możliwe operacje czy zestawy operacji, jakie można potencjalnie wykonywać na danych osobowych. Mówiąc inaczej, przetwarzanie to każdy przejaw dysponowania danymi osobowymi. Natomiast konkretna działalność na danych osobowych to już operacja przetwarzania.
Jak wyjaśniał to jeszcze Generalny Inspektor Ochrony Danych Osobowych, „czynności przetwarzania to zespół powiązanych ze sobą operacji na danych, wykonywanych przez jedną lub kilka osób, które można określić w sposób zbiorczy, w związku z celem, w jakim te czynności są podejmowane”. Rozważania te GIODO poczynił na gruncie obowiązku prowadzenia rejestru czynności przetwarzania.
Od 17 grudnia 2021 r. mają zacząć obowiązywać przepisy, które wprowadzą nowe zasady ochrony osób zgłaszających nieprawidłowości w firmach. Jak wygląda ochrona sygnalistów? Jakie środki muszą zapewnić i podejmować pracodawcy dla zapewnienia ochrony zgłaszającym naruszenia? Jakie działania mogą być uznane za naruszenie zasad ochrony sygnalisty?
Dyrektywa Parlamentu Europejskiego i Rady 2019/1937 w sprawie ochrony osób zgłaszających naruszenia prawa Unii (dalej: dyrektywa) już w samym tytule wskazuje, że jej podstawowym celem jest zapewnienie wspólnych, minimalnych norm zapewniających wysoki poziom ochrony osób, zgłaszających naruszenia prawa Unii.
Czytaj również:
Unijna dyrektywa o sygnalistach – pracodawcy powinni przygotować się na nowe obowiązki
Rezultatem tego założenia jest uregulowanie w sposób bardzo szeroki ochrony sygnalistów. Osoba zgłaszająca naruszenie ma czuć się bezpieczna i być pewna, że nie spotka ją z tytułu zgłoszenia żadna represja lub działanie odwetowe.
Ochrona uregulowana jest na kilku poziomach i sprowadza się do:
Z punktu widzenia pracodawcy znaczenie mają dwie pierwsze kategorie środków ochrony. Omówmy je po kolei.