Przewodnik po RODOdla przedstawicieli branży pracy tymczasowej

AUTORSTWA EKSPERTÓW Z KANCELARII C&C CHAKOWSKI & CISZEK

Patronat

Prowadzisz APT, jesteś pracownikiem APT albo Pracodawcą Użytkownikiem i nadal nie wiesz jak przygotować się do RODO?

Jeśli tak to nasz Przewodnikjest dla Ciebie!

Dostosuj APT do RODO– 5 niezbędnych kroków

Audyt prawny z zakresu ochrony danych osobowych

• Określenie statusu podmiotów przetwarzających dane

• Określenie procesów, w których przetwarzane są dane

• Weryfikacja podstaw prawnych przetwarzania danych

• Weryfikacja przestrzegania zasad przetwarzania danych

• Przegląd klauzul zgody

• Przegląd klauzul informacyjnych

• Przegląd umów powierzenia przetwarzania danych

• Przegląd upoważnień do przetwarzania danych

• Weryfikacja procedur postępowania z danymi osobowymi

• Weryfikacja konieczności powołania inspektora

1.

Przewodnik po RODO dla przedstawicieli branży pracy tymczasowej | 3

Audyt IT

Przyjęcie Wewnętrznej Polityki Bezpieczeństwa Danych

Przeprowadzenie procesu szacowania ryzyka

Opracowanie dokumentów z zakresu ochrony danych osobowych według wytycznych RODO

• Sprawdzenie poprawności działania systemów informatycznych

• Przeprowadzenie inwentaryzacji zasobów informatycznych

• Ustalenie wytycznych w zakresie zabezpieczeń

• Wykrycie potencjalnych zagrożeń

• Analiza bezpieczeństwa

• Weryfikacja krytycznych zasobów

• Wykaz procesów przetwarzania danych

• Wykaz zasobów danych

• Wykaz przyjętych środków technicznych i organizacyjnych bezpieczeństwa danych

• Instrukcje zarzadzania systemem informatycznym.

• Procedura postępowania w sprawie naruszenia bezpieczeństwa danych – wobec organu oraz podmiotu danych

• Procedury postępowania w przypadku wpłynięcia wniosków od podmiotu danych

• Polityka retencyjności danych

• Rejestr czynności przetwarzania

• Rejestr kategorii czynności przetwarzania

• Rejestr incydentów

• Planowanie zarzadzania ryzykiem

• Identyfikacja ryzyka

• Analiza ryzyka

• Planowanie reakcji na ryzyko i rekomendowane zmiany

• Cykliczna kontrola ryzyka

• Klauzul zgody

• Klauzul informacyjnych

• Umów powierzenia przetwarzania danych

• Upoważnień do przetwarzania danych

2.

5.

4.

3.

Przewodnik po RODO dla przedstawicieli branży pracy tymczasowej | 3

Co to sądane osobowe?Dane osobowe to wszystkie informacje, które bezpośrednio lub pośrednio pozwalają jednoznacznie zidentyfikować osobę fizyczną. Przykładowo może to być imię, nazwisko, numer PESEL, adres IP, płeć, adres e-mail.

Wszelkie informacje zbierane na temat osoby fizycznej, które pozwalają na ustalenie jej tożsamości są danymi osobowymi, niezależnie od tego czy są przetwarzane w formie papierowej czy cyfrowej.

Dnia 25 maja 2018 r. zaczęło obowiązywać rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, Dz.Urz. UE L 119 z 4.5.2016 r. (dalej jako: RODO).

Każdy podmiot – prywatny lub publiczny – który w ramach swojej działalności przetwarza dane osobowe musi stosować i dostosować się do RODO.

Wdrożenie RODO jest o tyle istotne, że konsekwencją może być bardzo wysoka kara pieniężna – nawet do 20 000 000 euro lub równowartości 4% rocznego obrotu.

Zmiana prawa=

zmiana podejścia do ochrony danych

Przewodnik po RODO dla przedstawicieli branży pracy tymczasowej | 5

Specyfika branży APT

Stosunek pracy tymczasowej to relacja prawna trzech podmiotów: APT, pracodawcy użytkownika

oraz pracownika tymczasowego. Ta trójstronna relacja zatrudnieniowa rodzi liczne wątpliwości

w kontekście przetwarzania danych osobowych, a w szczególności określenia ról podmiotów:

podmiot przetwarzający (procesor) – administrator. Status administratora danych osobowych

ma niewątpliwie APT, natomiast rola pracodawcy użytkownika nie jest już taka jednoznaczna.

RODO wprowadza także nową kategorię, jaką jest współadministrator danych i wydaje się,

że w pewnym zakresie może to mieć zastosowanie właśnie do APT i pracodawcy użytkownika.

Rozstrzygniecie tego problemu, czyli określenie statusu stron umowy i związanych z tym obowiązków

jest w praktyce bardzo istotne. Zarówno APT, jak i pracodawca użytkownik muszą bowiem wiedzieć

w jakich przypadkach niezbędne jest zawarcie umowy powierzenia przetwarzania danych

– sięgnij po Audyt prawny.

RODO zapewniając szereg praw podmiotom

danych jednocześnie nakłada na

administratorów danych osobowych liczne

obowiązki (np. obowiązek informacyjny).

W obszarze zatrudnienia trzeba pamiętać,

że mamy do czynienia niejako z podwójnym

podmiotem danych czyli z kandydatem na

pracownika i z pracownikiem tymczasowym.

APT jest o tyle szczególnym pracodawcą

a zarazem administratorem danych, że po

pierwsze prowadzi bardzo rozbudowany

proces rekrutacyjny – posiada bazę danych

na potrzeby przyszłych rekrutacji.

Po drugie, co do zasady nie jest odbiorcą

pracy osób, które zatrudnia (pracowników

tymczasowych). Tego typu działalność

rodzi konieczności posiadania odpowiedniej

dokumentacji, która będzie dotyczyła

obrotu danymi. Chodzi tutaj przede

wszystkim o odpowiednio skonstruowane

klauzule zgody, ponieważ to właśnie

zgoda jest główną podstawą prawną

przetwarzania danych kandydatów do pracy.

Ponadto niezbędne jest opracowanie

odrębnych klauzul informacyjnych, tak

aby poprawnie wywiązać się z obowiązku

informacyjnego względem kandydatów

do pracy i pracowników tymczasowych.

Istotnym narzędziem codziennej pracy APT

jest także odpowiednio skonstruowana

umowa powierzenia przetwarzania danych,

ponieważ podmiot ten nie jest odbiorcą

pracy pracowników tymczasowych

i przekazanie danych tych osób musi nastąpić

w sposób zgodny z RODO – sięgnij po

Wzory dokumentów.

Przewodnik po RODO dla przedstawicieli branży pracy tymczasowej | 7

RODO jest jednak neutralne technologicznie i nie przewiduje konkretnych wytycznych jakie

zabezpieczenia wdrożyć aby zabezpieczyć dane. Wybrana metoda musi być adekwatna do

zagrożeń, które są właściwe tylko dla konkretnego podmiotu. Jest to bardzo istotne dla APT, które

przetwarzają dane setek lub tysięcy pracowników, zwłaszcza, że zbiory personalne zawierają tzw.

dane wrażliwe (np. stan zdrowia, przynależność związkowa). Niezbędne jest zatem wprowadzenie

podejścia opartego na ryzyku – przeprowadź

Audyt IT.

Szacowanie ryzyka.

Celem RODO jest ochrona prywatnościi zabezpieczenie danych osobowych.

RODO wymaga aby przetwarzane dane

były bezpieczne. Trzeba zatem podjąć

działania, ponieważ słabe zabezpieczenia

lub ich brak może powodować, że osoby,

których dane dotyczą doznają szkody albo

krzywdy. Powoduje to m.in. odpowiedzialność

z tytułu naruszenia RODO a zatem zagrożenie

ukarania karą pieniężną, a ponadto taka

osoba może dochodzić odszkodowania

w postępowaniu cywilnym. W praktyce,

w związku z cyfrowym przetwarzaniem

danych, najwięcej zagrożeń powodują

systemy informatyczne – sięgnij po

Przewodnik po RODO dla przedstawicieli branży pracy tymczasowej | 7

Każdy administrator danych osobowych, a zatem również APT jest odpowiedzialny za

przestrzeganie przepisów o ochronie danych i musi być w stanie to wykazać. W praktyce jeżeli

APT zostanie skontrolowana musi przedstawić dokumentację potwierdzającą stosowanie

odpowiednich zabezpieczeń dla przetwarzanych danych osobowych.

W szczególności wymaga to prowadzenia licznych rejestrów (czynności przetwarzania,

kategorii czynności przetwarzania, incydentów) i wdrożenia stosownych procedur (zgłaszania

naruszeń, rozpatrywania wniosków podmiotów danych)– stwórz

Wewnętrzną Politykę Bezpieczeństwa Danych.

Przewodnik po RODO dla przedstawicieli branży pracy tymczasowej | 9

Analiza ryzyka RODO

Drugim najważniejszym aspektem ochrony danych osobowych prócz kwestii prawnych jest

przeprowadzanie cyklicznej i profesjonalnej analizy ryzyka. Skuteczne planowanie reakcji na

ryzyko jest ściśle powiązanie z uzyskaną wartością punktowej skali ryzyka każdego z zasobów,

którą można uzyskać po zidentyfikowaniu grup zagrożeń.

Głównym celem tej fazy procesu zarządzania ryzykiem jest oszacowanie wielkości

prawdopodobieństwa i skutków zaistnienia zidentyfikowanych uprzednio ryzyk.

Natomiast samo planowanie zarządzania ryzykiem można podzielić na dwa punkty

Przygotowanie i zorganizowanie procesu zarządzania ryzykiem powinno zawierać

Podjęcie działań ograniczającego lub niwelującego ryzyko

• Metodykę określającą sposoby, narzędzia w zarządzaniu ryzykiem

• Wyłonienie zespołu wdrożeniowego

• Listę terminów określających wszystkie działania związane z procesem

• Progi akceptacji, czyli kryteria określające, kiedy powinny zostać podjęte działania będące odpowiedzią na zaistniałe ryzyko

• Unikanie ryzyka

• Transfer ryzyka

• Łagodzenie ryzyka

• Plan awaryjny

1.

2.

Skuteczność planowania reakcji na ryzyko ma

bezpośredni wpływ na wzrost lub spadek ryzyka

realizacji całego bezpieczeństwa danych osobowych.

Planowane reakcje muszą być proporcjonalne

do skutków wystąpienia niekorzystnych zjawisk,

likwidować (lub niwelować) wpływy danego

zagrożenia w sposób kosztowo efektywny oraz być

realizowane terminowo.

Uzyskane informacje pozwolą skupić się na tych zasobach, które przekraczają poziom akceptowalnego

ryzyka. Pozwoli to optymalnie kosztowo zarządzać wdrażaniem zmian w przedsiębiorstwie. Wraz z każdą

kolejną analizą ryzyka nowe zasoby mogę osiągać wyższe wartości ryzyka niż poprzednio.

Sama analiza ryzyka powinna być wykonywana minimum raz do roku lecz zaleca się miesięczne odstępy

w pierwszym okresie obowiązywania RODO. Po ustabilizowaniu się naszych wyników wystarczy kwartalna

kontrola jednak bezwzględnie analiza ryzyka powinna zostać wykonana:

• Przy wdrażaniu nowego procesu

• Dla nowych pracowników zajmujących się danymi osobowymi

• Zmiany obecnej infrastruktury IT

Rezultatem jakościowej analizy ryzyka jest1. Ogólny ranking procesu lub projektu umożliwiający porównanie ryzyk2. Lista hierarchii ryzyka

O Wdrożono zgodnie z planem strategie reakcji na ryzyka

O Działanie podejmowane w ramach realizacji planów reakcji na ryzyko skutkują oczekiwanymi rezultatami

O Nie doszło do zmian w poziomie ryzyka

O Wystąpiły czynniki wyzwalające zidentyfikowane ryzyka

O Wystąpiły nowe ryzyka nierozpoznane uprzednio

Dlatego ważne jest cykliczne sprawdzanie czy

Poziom akceptowalnego ryzyka

Punktowa wartość ryzyka

25,00

20,00

15,00

10,00

5,00

0,00

Przewodnik po RODO dla przedstawicieli branży pracy tymczasowej | 11Przewodnik po RODO dla przedstawicieli branży pracy tymczasowej | 11

Wynikiem naszych działań doradczych jest aplikacja

eRODO.eu służąca do zarządzania ryzykiem RODO

w branży Pracy Tymczasowej. Jako jedni z nielicznych

oferujemy aplikację do praktycznego zarządzania

ryzykiem zgodnie z art. 32 RODO.

Zapraszamy do założenia darmowego

konta DEMO

Aplikacja do zarządzania ryzykiem RODO

www.eRODO.eu

Realizacja obowiązku prawnego RODO

Automatyzacja procesu oceny ryzyka

Łatwaidentyfikacja zagrożeń RODO

RODO

Jest inżynierem produkcji, związany z projektami szkoleniowymi i doradczymi z zakresu szeroko pojętej analizy danych w firmach produkcyjnych w szczególności czasem pracy oraz analizy ryzyka RODO.

Jest ekspertem w zakresie optymalnego organizacyjnie i kosztowo harmonogramowania w różnych branżach produkcyjnych oraz logistycznych w Polsce. Jest współtwórcą specjalistycznej aplikacji do planowania i rozliczania czasu pracy  WorkTimePlanner.pl oraz aplikacji do zarządzania analizą ryzyka eRODO.eu a także stałym konsultantem technicznym kancelarii C&C Chakowski & Ciszek.

Jest prawnikiem specjalizującym się w zakresie problematyki ochrony danych osobowych i prawa pracy, w tym w szczególności kontroli i monitorowania pracowników, dyskryminacji i prawnych aspektów rekrutacji oraz uprawnień związanych z rodzicielstwem. Jest stałym współpracownikiem kancelarii C&C Chakowski & Ciszek.

Jest także wykładowcą prawa pracy na Wydziale Zarządzania Uniwersytetu Warszawskiego, Akademii im. Leona Koźmińskiego oraz w Szkole Wyższej Psychologii Społecznej. Jest doktorantką w Katedrze Prawnych Problemów Zarządzania na Wydziale Zarządzania Uniwersytetu Warszawskiego z otwartym przewodem doktorskim. Ponadto jest redaktorem prowadzącym Monitor Prawa Pracy C.H. Beck oraz autorką licznych publikacji naukowych, w tym komentarzy do Kodeksu Pracy.

Paweł Wróbel

AnnaKamińska-Pietnoczko

Kontakt

dr Maciej Chakowski Partner

m.chakowski@cc.info.pl

+48 668 163 241

www.cc.info.pl

Paweł Wróbel

pawel.wrobel@erodo.eu

+48 698 090 050

www.erodo.eu