Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
Przewodnik po RODOdla przedstawicieli branży pracy tymczasowej
AUTORSTWA EKSPERTÓW Z KANCELARII C&C CHAKOWSKI & CISZEK
Patronat
Prowadzisz APT, jesteś pracownikiem APT albo Pracodawcą Użytkownikiem i nadal nie wiesz jak przygotować się do RODO?
Jeśli tak to nasz Przewodnikjest dla Ciebie!
Dostosuj APT do RODO– 5 niezbędnych kroków
Audyt prawny z zakresu ochrony danych osobowych
• Określenie statusu podmiotów przetwarzających dane
• Określenie procesów, w których przetwarzane są dane
• Weryfikacja podstaw prawnych przetwarzania danych
• Weryfikacja przestrzegania zasad przetwarzania danych
• Przegląd klauzul zgody
• Przegląd klauzul informacyjnych
• Przegląd umów powierzenia przetwarzania danych
• Przegląd upoważnień do przetwarzania danych
• Weryfikacja procedur postępowania z danymi osobowymi
• Weryfikacja konieczności powołania inspektora
1.
Przewodnik po RODO dla przedstawicieli branży pracy tymczasowej | 3
Audyt IT
Przyjęcie Wewnętrznej Polityki Bezpieczeństwa Danych
Przeprowadzenie procesu szacowania ryzyka
Opracowanie dokumentów z zakresu ochrony danych osobowych według wytycznych RODO
• Sprawdzenie poprawności działania systemów informatycznych
• Przeprowadzenie inwentaryzacji zasobów informatycznych
• Ustalenie wytycznych w zakresie zabezpieczeń
• Wykrycie potencjalnych zagrożeń
• Analiza bezpieczeństwa
• Weryfikacja krytycznych zasobów
• Wykaz procesów przetwarzania danych
• Wykaz zasobów danych
• Wykaz przyjętych środków technicznych i organizacyjnych bezpieczeństwa danych
• Instrukcje zarzadzania systemem informatycznym.
• Procedura postępowania w sprawie naruszenia bezpieczeństwa danych – wobec organu oraz podmiotu danych
• Procedury postępowania w przypadku wpłynięcia wniosków od podmiotu danych
• Polityka retencyjności danych
• Rejestr czynności przetwarzania
• Rejestr kategorii czynności przetwarzania
• Rejestr incydentów
• Planowanie zarzadzania ryzykiem
• Identyfikacja ryzyka
• Analiza ryzyka
• Planowanie reakcji na ryzyko i rekomendowane zmiany
• Cykliczna kontrola ryzyka
• Klauzul zgody
• Klauzul informacyjnych
• Umów powierzenia przetwarzania danych
• Upoważnień do przetwarzania danych
2.
5.
4.
3.
Przewodnik po RODO dla przedstawicieli branży pracy tymczasowej | 3
Co to sądane osobowe?Dane osobowe to wszystkie informacje, które bezpośrednio lub pośrednio pozwalają jednoznacznie zidentyfikować osobę fizyczną. Przykładowo może to być imię, nazwisko, numer PESEL, adres IP, płeć, adres e-mail.
Wszelkie informacje zbierane na temat osoby fizycznej, które pozwalają na ustalenie jej tożsamości są danymi osobowymi, niezależnie od tego czy są przetwarzane w formie papierowej czy cyfrowej.
Dnia 25 maja 2018 r. zaczęło obowiązywać rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, Dz.Urz. UE L 119 z 4.5.2016 r. (dalej jako: RODO).
Każdy podmiot – prywatny lub publiczny – który w ramach swojej działalności przetwarza dane osobowe musi stosować i dostosować się do RODO.
Wdrożenie RODO jest o tyle istotne, że konsekwencją może być bardzo wysoka kara pieniężna – nawet do 20 000 000 euro lub równowartości 4% rocznego obrotu.
Zmiana prawa=
zmiana podejścia do ochrony danych
Przewodnik po RODO dla przedstawicieli branży pracy tymczasowej | 5
Specyfika branży APT
Stosunek pracy tymczasowej to relacja prawna trzech podmiotów: APT, pracodawcy użytkownika
oraz pracownika tymczasowego. Ta trójstronna relacja zatrudnieniowa rodzi liczne wątpliwości
w kontekście przetwarzania danych osobowych, a w szczególności określenia ról podmiotów:
podmiot przetwarzający (procesor) – administrator. Status administratora danych osobowych
ma niewątpliwie APT, natomiast rola pracodawcy użytkownika nie jest już taka jednoznaczna.
RODO wprowadza także nową kategorię, jaką jest współadministrator danych i wydaje się,
że w pewnym zakresie może to mieć zastosowanie właśnie do APT i pracodawcy użytkownika.
Rozstrzygniecie tego problemu, czyli określenie statusu stron umowy i związanych z tym obowiązków
jest w praktyce bardzo istotne. Zarówno APT, jak i pracodawca użytkownik muszą bowiem wiedzieć
w jakich przypadkach niezbędne jest zawarcie umowy powierzenia przetwarzania danych
– sięgnij po Audyt prawny.
RODO zapewniając szereg praw podmiotom
danych jednocześnie nakłada na
administratorów danych osobowych liczne
obowiązki (np. obowiązek informacyjny).
W obszarze zatrudnienia trzeba pamiętać,
że mamy do czynienia niejako z podwójnym
podmiotem danych czyli z kandydatem na
pracownika i z pracownikiem tymczasowym.
APT jest o tyle szczególnym pracodawcą
a zarazem administratorem danych, że po
pierwsze prowadzi bardzo rozbudowany
proces rekrutacyjny – posiada bazę danych
na potrzeby przyszłych rekrutacji.
Po drugie, co do zasady nie jest odbiorcą
pracy osób, które zatrudnia (pracowników
tymczasowych). Tego typu działalność
rodzi konieczności posiadania odpowiedniej
dokumentacji, która będzie dotyczyła
obrotu danymi. Chodzi tutaj przede
wszystkim o odpowiednio skonstruowane
klauzule zgody, ponieważ to właśnie
zgoda jest główną podstawą prawną
przetwarzania danych kandydatów do pracy.
Ponadto niezbędne jest opracowanie
odrębnych klauzul informacyjnych, tak
aby poprawnie wywiązać się z obowiązku
informacyjnego względem kandydatów
do pracy i pracowników tymczasowych.
Istotnym narzędziem codziennej pracy APT
jest także odpowiednio skonstruowana
umowa powierzenia przetwarzania danych,
ponieważ podmiot ten nie jest odbiorcą
pracy pracowników tymczasowych
i przekazanie danych tych osób musi nastąpić
w sposób zgodny z RODO – sięgnij po
Wzory dokumentów.
Przewodnik po RODO dla przedstawicieli branży pracy tymczasowej | 7
RODO jest jednak neutralne technologicznie i nie przewiduje konkretnych wytycznych jakie
zabezpieczenia wdrożyć aby zabezpieczyć dane. Wybrana metoda musi być adekwatna do
zagrożeń, które są właściwe tylko dla konkretnego podmiotu. Jest to bardzo istotne dla APT, które
przetwarzają dane setek lub tysięcy pracowników, zwłaszcza, że zbiory personalne zawierają tzw.
dane wrażliwe (np. stan zdrowia, przynależność związkowa). Niezbędne jest zatem wprowadzenie
podejścia opartego na ryzyku – przeprowadź
Audyt IT.
Szacowanie ryzyka.
Celem RODO jest ochrona prywatnościi zabezpieczenie danych osobowych.
RODO wymaga aby przetwarzane dane
były bezpieczne. Trzeba zatem podjąć
działania, ponieważ słabe zabezpieczenia
lub ich brak może powodować, że osoby,
których dane dotyczą doznają szkody albo
krzywdy. Powoduje to m.in. odpowiedzialność
z tytułu naruszenia RODO a zatem zagrożenie
ukarania karą pieniężną, a ponadto taka
osoba może dochodzić odszkodowania
w postępowaniu cywilnym. W praktyce,
w związku z cyfrowym przetwarzaniem
danych, najwięcej zagrożeń powodują
systemy informatyczne – sięgnij po
Przewodnik po RODO dla przedstawicieli branży pracy tymczasowej | 7
Każdy administrator danych osobowych, a zatem również APT jest odpowiedzialny za
przestrzeganie przepisów o ochronie danych i musi być w stanie to wykazać. W praktyce jeżeli
APT zostanie skontrolowana musi przedstawić dokumentację potwierdzającą stosowanie
odpowiednich zabezpieczeń dla przetwarzanych danych osobowych.
W szczególności wymaga to prowadzenia licznych rejestrów (czynności przetwarzania,
kategorii czynności przetwarzania, incydentów) i wdrożenia stosownych procedur (zgłaszania
naruszeń, rozpatrywania wniosków podmiotów danych)– stwórz
Wewnętrzną Politykę Bezpieczeństwa Danych.
Przewodnik po RODO dla przedstawicieli branży pracy tymczasowej | 9
Analiza ryzyka RODO
Drugim najważniejszym aspektem ochrony danych osobowych prócz kwestii prawnych jest
przeprowadzanie cyklicznej i profesjonalnej analizy ryzyka. Skuteczne planowanie reakcji na
ryzyko jest ściśle powiązanie z uzyskaną wartością punktowej skali ryzyka każdego z zasobów,
którą można uzyskać po zidentyfikowaniu grup zagrożeń.
Głównym celem tej fazy procesu zarządzania ryzykiem jest oszacowanie wielkości
prawdopodobieństwa i skutków zaistnienia zidentyfikowanych uprzednio ryzyk.
Natomiast samo planowanie zarządzania ryzykiem można podzielić na dwa punkty
Przygotowanie i zorganizowanie procesu zarządzania ryzykiem powinno zawierać
Podjęcie działań ograniczającego lub niwelującego ryzyko
• Metodykę określającą sposoby, narzędzia w zarządzaniu ryzykiem
• Wyłonienie zespołu wdrożeniowego
• Listę terminów określających wszystkie działania związane z procesem
• Progi akceptacji, czyli kryteria określające, kiedy powinny zostać podjęte działania będące odpowiedzią na zaistniałe ryzyko
• Unikanie ryzyka
• Transfer ryzyka
• Łagodzenie ryzyka
• Plan awaryjny
1.
2.
Skuteczność planowania reakcji na ryzyko ma
bezpośredni wpływ na wzrost lub spadek ryzyka
realizacji całego bezpieczeństwa danych osobowych.
Planowane reakcje muszą być proporcjonalne
do skutków wystąpienia niekorzystnych zjawisk,
likwidować (lub niwelować) wpływy danego
zagrożenia w sposób kosztowo efektywny oraz być
realizowane terminowo.
Uzyskane informacje pozwolą skupić się na tych zasobach, które przekraczają poziom akceptowalnego
ryzyka. Pozwoli to optymalnie kosztowo zarządzać wdrażaniem zmian w przedsiębiorstwie. Wraz z każdą
kolejną analizą ryzyka nowe zasoby mogę osiągać wyższe wartości ryzyka niż poprzednio.
Sama analiza ryzyka powinna być wykonywana minimum raz do roku lecz zaleca się miesięczne odstępy
w pierwszym okresie obowiązywania RODO. Po ustabilizowaniu się naszych wyników wystarczy kwartalna
kontrola jednak bezwzględnie analiza ryzyka powinna zostać wykonana:
• Przy wdrażaniu nowego procesu
• Dla nowych pracowników zajmujących się danymi osobowymi
• Zmiany obecnej infrastruktury IT
Rezultatem jakościowej analizy ryzyka jest1. Ogólny ranking procesu lub projektu umożliwiający porównanie ryzyk2. Lista hierarchii ryzyka
O Wdrożono zgodnie z planem strategie reakcji na ryzyka
O Działanie podejmowane w ramach realizacji planów reakcji na ryzyko skutkują oczekiwanymi rezultatami
O Nie doszło do zmian w poziomie ryzyka
O Wystąpiły czynniki wyzwalające zidentyfikowane ryzyka
O Wystąpiły nowe ryzyka nierozpoznane uprzednio
Dlatego ważne jest cykliczne sprawdzanie czy
Poziom akceptowalnego ryzyka
Punktowa wartość ryzyka
25,00
20,00
15,00
10,00
5,00
0,00
Przewodnik po RODO dla przedstawicieli branży pracy tymczasowej | 11Przewodnik po RODO dla przedstawicieli branży pracy tymczasowej | 11
Wynikiem naszych działań doradczych jest aplikacja
eRODO.eu służąca do zarządzania ryzykiem RODO
w branży Pracy Tymczasowej. Jako jedni z nielicznych
oferujemy aplikację do praktycznego zarządzania
ryzykiem zgodnie z art. 32 RODO.
Zapraszamy do założenia darmowego
konta DEMO
Aplikacja do zarządzania ryzykiem RODO
www.eRODO.eu
Realizacja obowiązku prawnego RODO
Automatyzacja procesu oceny ryzyka
Łatwaidentyfikacja zagrożeń RODO
RODO
Jest inżynierem produkcji, związany z projektami szkoleniowymi i doradczymi z zakresu szeroko pojętej analizy danych w firmach produkcyjnych w szczególności czasem pracy oraz analizy ryzyka RODO.
Jest ekspertem w zakresie optymalnego organizacyjnie i kosztowo harmonogramowania w różnych branżach produkcyjnych oraz logistycznych w Polsce. Jest współtwórcą specjalistycznej aplikacji do planowania i rozliczania czasu pracy WorkTimePlanner.pl oraz aplikacji do zarządzania analizą ryzyka eRODO.eu a także stałym konsultantem technicznym kancelarii C&C Chakowski & Ciszek.
Jest prawnikiem specjalizującym się w zakresie problematyki ochrony danych osobowych i prawa pracy, w tym w szczególności kontroli i monitorowania pracowników, dyskryminacji i prawnych aspektów rekrutacji oraz uprawnień związanych z rodzicielstwem. Jest stałym współpracownikiem kancelarii C&C Chakowski & Ciszek.
Jest także wykładowcą prawa pracy na Wydziale Zarządzania Uniwersytetu Warszawskiego, Akademii im. Leona Koźmińskiego oraz w Szkole Wyższej Psychologii Społecznej. Jest doktorantką w Katedrze Prawnych Problemów Zarządzania na Wydziale Zarządzania Uniwersytetu Warszawskiego z otwartym przewodem doktorskim. Ponadto jest redaktorem prowadzącym Monitor Prawa Pracy C.H. Beck oraz autorką licznych publikacji naukowych, w tym komentarzy do Kodeksu Pracy.
Paweł Wróbel
AnnaKamińska-Pietnoczko
Kontakt
dr Maciej Chakowski Partner
+48 668 163 241
www.cc.info.pl
Paweł Wróbel
+48 698 090 050
www.erodo.eu