Administrator nie może żądać więcej danych osobowych niż jest to mu potrzebne do zrealizowania celu przetwarzania, np. przeprowadzenia rekrutacji, wykonania umowy zlecenia. Kserując lub skanując dowód osobisty administrator pozyskuje w ten sposób również zbędne dane, których co do zasady nie ma prawa przetwarzać.
Agencje zatrudnienia, ze względu na specyfikę swojej działalności, gromadzą i przetwarzają duże ilości danych osobowych. 25 maja 2018 r. na terenie Polski, podobnie jak w pozostałych państwach Unii Europejskiej, zacznie obowiązywać unijne rozporządzenie, regulujące zagadnienia związane z ochroną danych osobowych, w skrócie RODO. Akt ten pociągnie za sobą wejście w życie nowej ustawy o ochronie danych osobowych, a także nowelizację wielu innych polskich ustaw.
1. Jednym z wyzwań, w szczególności dla mniejszych agencji zatrudnienia, będzie odpowiedź na pytanie: .
Każdy administrator danych będzie mógł dobrowolnie powołać inspektora ochrony danych osobowych, natomiast w niektórych przypadkach obowiązek ten został wprost narzucony mocą RODO np. art. 37 ust. 1 lit b: „Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych zawsze gdy, główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę”.
Powszechną praktyką i podstawą działalności agencji zatrudnienia jest tworzenie i stałe korzystanie ze zbioru (bazy) danych, w którym znajdują się dane osobowe zarówno zrekrutowanych pracowników, jak i potencjalnych kandydatów do pracy. Często bowiem zdarza się, że gdy agencja zatrudnienia otrzyma zlecenie wyszukania pracownika, to proces rekrutacji rozpoczyna właśnie od sprawdzenia własnej bazy danych pracowników i kandydatów. Ponadto taką bazę danych ciągle się aktualizuje i uzupełnia, np. na potrzeby związane z obsługą podatkowo - kadrową.
Taki model działania kwalifikuje się jako regularne i systematyczne monitorowanie osób, o którym mowa w art. 37 ust. 1 lit b RODO. W tej mierze dla powołania inspektora ochrony danych kluczowe jest
RODO nie precyzuje konkretnie kiedy mamy do czynienia z dużą skalą (np. nie określona żadnych progów liczbowych), jednakże dość ogólnie wskazuje, iż „operacje przetwarzania o dużej skali to operacje, które służą przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym i które mogą wpłynąć na dużą liczbę osób, które mogą powodować wysokie ryzyko”.
Zatem . O ile nie jest to problem w przypadku dużych ogólnopolskich agencji zatrudnienia, o tyle sytuacja bardzo komplikuje się, gdy mamy do czynienia z agencją średniej wielkości działającą na lokalnym rynku pracy. Błędna ocena i niewyznaczenie inspektora danych osobowych może skutkować karą pieniężną.
2. Innym praktycznym problem związanym z RODO jest
W myśl art. 13 RODO, administrator zbierając dane osobowe o osobie fizycznej, np. od nowego kandydata do pracy, będzie musiał
Przekazanie informacji przez administratora powinno nastąpić przed zakończeniem zbierania danych osobowych, najpóźniej w chwili ich zebrania, co oznacza trudności w przypadku wpływu pliku z CV na skrzynkę mailową agencji zatrudnienia. , o których mowa w art. 13 RODO. Istotne jest również to, aby administrator był w stanie wykazać, iż faktycznie poinformował kandydata o wszystkich zagadnieniach, o których mowa we wspomnianym art. 13 RODO.
3. RODO formułuje również zasadę minimalizacji danych, polegającą na tym, iż „dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane”. Realizacja powyższej zasady będzie oznaczałaDoskonałym przykładem ilustrującym naruszanie tej zasady jest
Administrator nie może żądać więcej danych osobowych niż jest to mu potrzebne do zrealizowania celu przetwarzania, np. przeprowadzenia rekrutacji, wykonania umowy zlecenia. Kserując lub skanując dowód osobisty administrator pozyskuje w ten sposób również zbędne dane, których co do zasady nie ma prawa przetwarzać. Jeżeli agencja zatrudnienia posiada skserowany lub zeskanowany cały dowód osobisty, aby nie narazić się na zarzut naruszenia zasady minimalizacji danych powinna usunąć taką kserokopię lub skan.
Opisane powyżej obowiązki i problemy to tylko niektóre wybrane aspekty związane z RODO. Nieodłącznym elementem reformy prawa ochrony danych osobowych jest także wdrożenie odpowiedniej dokumentacji oraz procedur. Umowy powierzenia przetwarzania danych osobowych, rejestr czynności przetwarzania danych, upoważnienia dla pracowników, odpowiednia treść zgód, ocena ryzyka i skutków przetwarzania danych osobowych, procedura zgłaszania naruszeń do Prezesa Urzędu Ochrony Danych Osobowych, szkolenia i wewnętrzne audyty, to kolejne obowiązki, o których powinna pamiętać agencja zatrudnienia.
Każda agencja zatrudnienia bez względu na skalę swojej działalności powinna szczegółowo zrewidować czy obecnie funkcjonujący model jej działalności w zakresie przetwarzania danych osobowych jest wystarczający i czy będzie zgodny z RODO. Błędna ocena może ściągnąć na agencję nie tylko kary pieniężne, ale także roszczenia odszkodowawcze osób, których prawa i wolności zostały naruszone wskutek nieprawidłowego przetwarzania i niedostatecznej ochrony danych osobowych.
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.
Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję.
Wpisz adres e-mail wybranej osoby, a my wyślemy jej bezpłatny dostęp do tego artykułu