27
lut

Rodo w pigułce

Rodo w pigułce

Głównym założeniem RODO jest zagwarantowanie bezpieczeństwa osób i podmiotów gospodarczych przed bezprawnym wykorzystaniem ich danych osobowych.

Dane osobowe dzielimy na kilka grup:

  • Dane ogólne, czyli pozwalające na identyfikację danej osoby
  • Dane wrażliwe (sensytywne), do których zaliczamy:
    • Dane dotyczące zdrowia (np. choroby, badania, niepełnosprawność itp.)
    • Dane biometryczne, czyli dotyczące cech biologicznych (rysy twarzy, kształt dłoni, sposób pisania na klawiaturze itp.)
    • Inne, np. rasa, poglądy polityczne, przekonania religijne, seksualność itp.

Osoba, której te dane dotyczą musi dobrowolnie i świadomie podać, w jakim zakresie zgadza się na udostępnianie swoich danych osobowych. Musi to być wyraźnie zaznaczone, w jakim celu dane osobowe danej osoby są zbierane i jak długo będą wykorzystane, np.

  • w procesie tej rekrutacji
  • dla przyszłych rekrutacjach
  • tej i dla przyszłych rekrutacji.

 

Przetwarzanie danych, czyli zbieranie ich i tworzenie swoich baz może się odbywać w następujący sposób:

  • Transgeniczne przetwarzanie, czyli zwykłe zbieranie danych
  • Profilowanie, zbieranie dla konkretnego celu, np. tak robią sklepy, które później przesyłają swoje oferty, bo w podobnym dokonaliśmy zakupu, lub na stronach internetowych zainteresowała nas jakaś rzecz.
    • Są dwie kategorie profilowania:
      • polegające na ocenie prawdziwych informacji pozyskanych na temat danej osoby;
      • polegające na wytworzeniu nowej (statystycznej) informacji o osobie, na podstawie danych pozyskanych od niej;
    • i dwie formy profilowania:
      • profilowanie zwykłe (z udziałem czynnika ludzkiego)
      • zautomatyzowane (w pełni obsługiwane przez program komputerowy)

Nas obowiązują dwie ustawy:

  • 18 ust.1 Ustawy z dnia 20 kwietnia 2004 r. o promocji zatrudnienia i instytucjach rynku pracy (tj. Dz. U.2017 poz. 1065 ze zm.),
  • Ustawa z dnia 10 maja 2018 r. o zatrudnianiu pracowników tymczasowych (tj. Dz. U. z 2018 r., poz. 594, dalej „Ustawa o zatrudnianiu pracowników tymczasowych”).

 

KLUCZOWA JEST ZGODA NA PRZETWARZANIE DANYCH wyrażona na PIŚMIE (art.6  RODO) oraz rzetelności, przejrzystości (art.5 RODO). MAMY SPEŁNIĆ OBOWIĄZEK INFORMACYJNY,  po co nam są te dane osobowe. Tu istotne jest, by dane osobowe były zbierane:

  • W konkretnym celu
  • Właściwie zabezpieczone
  • Wykorzystywane w danym celu
  • Gdy ów cel został już zrealizowany, dane usuwamy, informując o tym właściciela danych osobowych.
  • Dane osobowe mogą być przetwarzane dłużej wyłącznie wówczas, gdy będą one przetwarzane do celów archiwalnych w interesie publicznym, czyli do badań naukowych, historycznych, celów statystycznych.
  • Każdy podmiot decyduje sam, w jakim czasie usuwa nieużywane dane osobowe.
  • Dane nie mogą ulec samoistnemu zniszczeniu, wyciec z bazy danych, należy więc dbać o bezpieczne ich przetwarzanie.

 

RODO zwraca uwagę na:

  1. szyfrowanie danych osobowych, które może być stosowane w szczególności w przypadku przesyłania drogą elektroniczną plików zawierających dane kadrowe (np. wysokość wynagrodzenia, liczba przepracowanych godzin, premie uzyskane przez pracowników); niezależnie od szyfrowania należy dbać o to, aby do tego rodzaju danych osobowych dostęp miały jedynie te osoby, dla których dostęp ten jest niezbędny (np. pracownicy działów kadr).
  2. pseudonimizację, która może przybrać kilka form, np. tokenizacja (dane zastępowane są przez ciągi liczb) lub skracanie, dzięki któremu odczytanie treści danych nie jest możliwe.

 

 

W agencji zatrudnienia należy zachować następujące środki bezpieczeństwa:

  • stosowanie haseł zabezpieczających dostęp do komputerów, telefonów i innych nośników danych,
  • stosowanie procedury odnawiania haseł dostępu,
  • zabezpieczenie serwerów poprzez zlokalizowanie ich w zamkniętych pomieszczeniach z ograniczonym dostępem,
  • stosowanie zabezpieczonych szafek kadrowych, w których przechowywane są dokumenty pracownicze,
  • wprowadzenie rejestrów i monitoringu dostępu do danych osobowych,
  • wprowadzenie upoważnień dla osób przetwarzających dane,
  • prowadzenie cyklicznych szkoleń personelu w zakresie ochrony danych osobowych,
  • wprowadzenie zasady czystego biurka,
  • niepowielanie baz danych,
  • skuteczne usuwanie danych.

Agencja, która zamierza poddawać profilowaniu dane osobowe kandydatów lub pracowników, powinna spełnić względem tych osób obowiązek informacyjny, obejmujący następujące informacje:

  • że proces profilowania będzie wykonywany,
  • w jakiej formie (zwykłej, zautomatyzowanej),
  • jakie są konsekwencje i znaczenie profilowania dla tej osoby,
  • że przysługuje każdej osobie prawo wniesienia sprzeciwu względem

profilowania (zarówno w zwykłej, jak i zautomatyzowanej formie).

Ważne:

Jeżeli rekrutacja kandydatów odbywa się wyłącznie poprzez korzystanie z systemów informatycznych, w przypadku których system dokonuje ostatecznego wyboru (tj. wprowadzenie pożądanych kryteriów do systemu kończy się przedstawieniem przez system optymalnych kandydatów) mamy do czynienia z profilowaniem zautomatyzowanym wymagającym zgody kandydata.

DANE OSOBOWE W PROCESIE REKRUTACJI

 

Rekrutacja – pozyskiwanie danych:

  • z inicjatywy kandydata (przesłanie CV, wypełnienie aplikacji online itp.),
  • z inicjatywy agencji (poszukiwania bezpośrednie, portale rekrutacyjne itp.).

 

Realizacja usługi po stronie agencji:

  • analiza zamówienia klienta,
  • weryfikacja źródeł pozyskania kandydatów,
  • kontakt z kandydatem (rozmowa telefoniczna, spotkanie, wideokonferencja itp.),
  • selekcja i wybór kandydatów najlepiej odpowiadających potrzebom klienta,
  • rekomendacje kandydatów klientom.

 

Etap realizacji usługi po stronie klienta:

  • analiza rekomendowanych kandydatów,
  • kontakt z kandydatem (rozmowa telefoniczna, spotkanie, wideokonferencja itp.),
  • wybór ostateczny i decyzja o zatrudnieniu wybranego kandydata.

 

Warunki konieczne przetwarzania danych kandydatów w procesie rekrutacji:

  • zgoda kandydata (art. 6 pkt 1 lit. a RODO),
  • dopełnienie obowiązku informacyjnego (art. 13 RODO).

Przy czym pamiętajmy, że kandydat może udzielić zgody na wszystkie procesy rekrutacyjny (wówczas umieszczamy jego dane w bazie), na niektóre procesy rekrutacyjne (np. do konkretnej firmy lub branży) lub tylko na to konkretne stanowisko.

 

Na etapie rekrutacji do pracy tymczasowej agencja pracy tymczasowej pełni rolę administratora danych osobowych kandydatów. Po zatrudnieniu pracownika tymczasowego w celu skierowania go do wykonywania pracy tymczasowej na rzecz pracodawcy użytkownika, agencja pracy tymczasowej jest administratorem jego danych osobowych jako pracodawca. Czyli w procesie zatrudnienia uczestniczą trzy podmioty:

  • pracownik tymczasowy
  • pracodawca – agencja pracy tymczasowej
  • pracodawca użytkownik (art. 1 ust.2 Ustawy o zatrudnieniu pracowników tymczasowych).

 

Pracodawca użytkownik ma następujące zadania:

  1. pracodawca użytkownik wyznacza pracownikowi tymczasowemu zadania i kontroluje ich wykonanie (art. 2 ust. 1 Ustawy o zatrudnianiu pracowników tymczasowych),
  2. pracodawca użytkownik informuje agencję zatrudnienia o wynagrodzeniu, jakie ma być wypłacane pracownikom tymczasowym (art. 9 ust. 2 pkt 1 Ustawy o zatrudnianiu pracowników tymczasowych),
  3. pracodawca użytkownik wykonuje obowiązki i korzysta z praw przysługujących pracodawcy w zakresie niezbędnym do organizowania pracy z udziałem pracownika tymczasowego (art. 14 ust. 1 Ustawy o zatrudnianiu pracowników tymczasowych),
  4. pracodawca użytkownik jest obowiązany zapewnić pracownikowi tymczasowemu bezpieczne i higieniczne warunki pracy w miejscu wyznaczonym do wykonywania pracy tymczasowej (art. 14 ust. 2 pkt. 1 Ustawy o zatrudnianiu pracowników tymczasowych),
  5. pracodawca użytkownik prowadzi ewidencję czasu pracownika tymczasowego w zakresie i na zasadach obowiązujących w stosunku do pracowników (art. 14 ust. 2 pkt. 2 Ustawy o zatrudnianiu pracowników tymczasowych),
  6. pracodawca użytkownik prowadzi ewidencję osób wykonujących pracę tymczasową (art. 14 a Ustawy o zatrudnianiu pracowników tymczasowych),
  7. poprzez sprawowanie nadzoru nad przebiegiem pracy, pracodawca użytkownik może zdecydować np. o przyznaniu premii, nagrody, ale również zastosowaniu kary porządkowej, czy rozwiązaniu stosunku pracy z danym pracownikiem tymczasowym (art. 2 ust. 1 i art. 14 ust. 1 Ustawy o zatrudnianiu pracowników tymczasowych),
  8. pracodawca użytkownik dostarcza pracownikowi tymczasowemu odzież i obuwie robocze oraz środki ochrony indywidualnej, zapewnia napoje i posiłki profilaktyczne, przeprowadza szkolenia w zakresie bezpieczeństwa i higieny pracy, ustala okoliczności i przyczyny wypadku przy pracy, przeprowadza ocenę ryzyka zawodowego oraz informuje o tym ryzyku (art. 9 ust. 2a Ustawy o zatrudnianiu pracowników tymczasowych),
  9. pracodawca użytkownik ma obowiązek stosować wobec pracowników tymczasowych tzw. zasadę równego traktowania (art. 15 Ustawy o zatrudnianiu pracowników tymczasowych).

 

Przetwarzanie danych osobowych w poszczególnych etapach świadczenia usług pracy tymczasowej

Rekrutacja – pozyskiwanie danych:

  • z inicjatywy kandydata (osobiste dostarczanie i przesyłanie CV, wypełnianie aplikacji online, itp.),
  • z inicjatywy agencji (ogłoszenia rekrutacyjne, spotkania rekrutacyjne osobiste dostarczanie lub przesyłanie CV, wypełnianie aplikacji online, itp.).

Etap realizacji usługi pracy tymczasowej po stronie agencji:

  • analiza zamówienia pracodawcy użytkownika,
  • selekcja i wybór kandydatów najlepiej odpowiadających potrzebom pracodawcy użytkownika,
  • zatrudnienie pracownika tymczasowego i udostępnienie jego danych pracodawcy użytkownikowi.

Etap realizacji usługi pracy tymczasowej po stronie pracodawcy użytkownika:

  • organizowanie pracy z udziałem pracownika tymczasowego,
  • wykonywanie praw i obowiązków pracodawcy użytkownika wynikających z Ustawy i umowy z agencją pracy tymczasowej.

 

BPO NETWORK 🙂