Publikacja to praktyczne kompendium informacji na tematy związane z przetwarzaniem danych osobowychw kontekście szeroko rozumianego zatrudnienia. Istotne kwestie omówione przez Autorów w książce to m.in.:
czynności sprawdzające przydatność kandydatów do pracy, np. background screening, weryfikacja niekaralności,
zasady przetwarzania danych w ramach zewnętrznej obsługi kadrowo- płacowej,
przeprowadzanie badań profilaktycznych.
Książka to:
jedyne na rynku kompendium wiedzy o wpływie RODO na przetwarzanie danych osobowych w kontekście zatrudnienia,
zbiór praktycznych komentarzy pozwalający na ocenę wykorzystywanych zasad przetwarzania danych osobowych,
zbiór modelowych rozwiązań, których implementacja zapewni zgodność przetwarzania danych z prawem zarówno unijnym, jak i krajowym,
instrument „wprowadzający” Czytelnika na pole ochrony danych osobowych pracowników odbywające się w ramach społeczeństwa cyfrowego,
przewodnik po niejasnej i skomplikowanej tematyce RODO,
wgląd na problemy i rozwiązania pojawiające się na gruncie ochrony danych osobowych w kontekście zatrudnienia po wejściu w życie RODO.
Dzięki publikacji Czytelnik dowie się, jakie ograniczenia wynikają z obowiązujących przepisów w zakresie:
stosowania monitoringu w miejscu pracy,
kontroli poczty elektronicznej,
korzystania z sieci Intranet,
wykorzystania nowoczesnych technologii,
postępowania z dokumentacją pracowniczą.
Ponadto w książce omówiono praktyczne problemy dotyczące współdziałania pracodawcy ze związkami zawodowymi, jak również przetwarzania danych w związku z realizacją określonych obowiązków publicznoprawnych.
W książce zostały także przedstawione rozwiązania, jakie są obecnie możliwe do zastosowania w zakresie zgodnych z prawem transferów danych osobowych do tzw. państw trzecich, w szczególności pomiędzy podmiotami należącymi do grupy kapitałowej.
W książce Czytelnik znajdzie m.in. omówienie:
ogólnych definicji i zarysu systemu niezbędnych na polu oceny przetwarzania danych osobowych,
wpływu RODO na przetwarzanie danych związanych z zatrudnieniem,
praw i obowiązków podmiotów zaangażowanych w przetwarzanie danych osobowych w kontekście zatrudnienia w otoczeniu prawnym istniejącym po wejściu w życie RODO,
problematyki przetwarzania danych osobowych na etapie rekrutacji, w tym przesłanek dopuszczalności przetwarzania danych o niekaralności,
problematyki przetwarzania danych osobowych przez agencje zatrudnienia,
nowych technologii mających zastosowanie w przetwarzaniu danych osobowych pracowników,
problematyki udostępniania danych osobowych pracowników,
kwestii przetwarzania danych osobowych w związku z odpowiedzialnością porządkową pracownika,
kwestii przetwarzania danych osobowych w okolicznościach współdziałania pracodawcy ze związkami zawodowymi w indywidualnych sprawach pracowniczych,
kwestii przetwarzania danych osobowych w okolicznościach współdziałania pracodawcy ze związkami zawodowymi w ramach toku prowadzonego sporu zbiorowego,
problematyki przetwarzania danych osobowych w działalności zakładowego funduszu świadczeń socjalnych,
dopuszczalnego zakresu przetwarzania danych osobowych dotyczących zdrowia,
zadań oraz uprawnień Inspektora Ochrony Danych,
międzynarodowego transferu danych osobowych,
problematyki bezpieczeństwa danych osobowych osób zatrudnionych, przestępstw przeciwko ochronie danych,
środków ochrony prawnej i sankcji nakładanych na podmioty naruszające przepisy RODO,
kwestii przetwarzania danych osobowych w postępowaniu porządkowym,
instrumentu w postaci prawa do bycia zapomnianym, jako przejawu ochrony sfery pracowniczej,
decyzji PUODO mających znaczenie dla przetwarzania danych osobowych w zatrudnieniu.
Dzięki tej książce Czytelnik dowie się:
jak wyglądają jego prawa i obowiązki jako przetwarzającego danego osobowe,
jaki jest zakres dopuszczalności przetwarzania danych osobowych w kontekście zatrudnienia,
jak wyglądają zasady transferu danych do krajów trzecich od dnia wejścia w życie RODO,
jakie sankcje wynikają z naruszenia przepisów RODO.
3.4. Forma przekazywania informacji o niekaralności i możliwe konsekwencje związane z ich przekazywaniem
3.5. Pozostałe istotne kwestie związane z weryfikacją niekaralności
Przetwarzanie danych o niekaralności przez pracodawców w innych jurysdykcjach na przykładzie Wielkiej Brytanii i Irlandii
4.1. Przetwarzanie danych o niekaralności w Wielkiej Brytanii
4.2. Przetwarzanie danych o niekaralności w Irlandii
Wzory dokumentów
5.1. Wzór formularza o zaświadczenie z Krajowego Rejestru Karnego
5.2. Wzór oświadczenia o niekaralności
Podsumowanie
Rozdział X. Przetwarzanie danych dotyczących wyroków skazujących i czynów zabronionych w odniesieniu do sprawców przestępstw seksualnych (Michalina Kaczmarczyk)
Rejestr Sprawców Przestępstw na Tle Seksualnym
Zakres podmiotowy osób, które podlegają weryfikacji
Weryfikacja osób, których obowiązki nie są związane bezpośrednio z pracą z małoletnimi
Weryfikacja pracowników i współpracowników partnerów (kontrahentów)
Zakres danych osobowych pozyskiwanych w celu złożenia zapytania w Rejestrze
Jednorazowość weryfikacji
Brak regulacji odnoszących się do stosunku pracy zawartego przed wejściem w życie PrzestSekU
Problematyka związana z Rejestrem osób, w stosunku do których Państwowa Komisja do spraw wyjaśniania przypadków czynności skierowanych przeciwko wolności seksualnej i obyczajności wobec małoletniego poniżej lat 15 wydała postanowienie o wpisie w Rejestrze – Rejestrem Państwowej Komisji
Podsumowanie
Rozdział XI. Monitoring (Dominika Dörre-Kolasa)
Uwagi wprowadzające
Monitoring wizyjny
2.1. Monitoring terenu zakładu pracy a przetwarzanie danych osobowych
2.2. Monitoring stosowany w celu zapewnienia bezpieczeństwa pracowników
2.3. Monitoring stosowany w celu ochrony mienia
2.4. Monitoring stosowany w celu kontroli produkcji
2.5. Monitoring stosowany w celu zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę
2.6. Monitoring pomieszczeń udostępnianych zakładowej organizacji związkowej
2.7. Monitoring pomieszczeń sanitarnych, szatni, stołówek oraz palarni
Okres przetwarzania danych
Obowiązek informacyjny
Stosowanie ukrytego nadzoru za pomocą monitoringu wizyjnego
Monitoring służbowej poczty elektronicznej
Inne formy monitoringu
7.1. Monitoring GPS w opinii Grupy Roboczej Art. 29 w sprawie przetwarzania danych w miejscu pracy
7.2. Korzystanie z samochodu służbowego do celów prywatnych a monitoring GPS
7.3. Rejestratory danych na temat zdarzeń
Monitorowanie pracy zdalnej
Badania trzeźwości pracowników a RODO
9.1. Kontrole prewencyjne a przetwarzanie danych szczególnej kategorii
9.2. Kontrola trzeźwości a ochrona danych szczególnej kategorii
Wzory dokumentów
10.1. Wzór zapisu dotyczącego monitoringu w regulaminie pracy
10.2. Wzór informacji dla pracownika o zakresie, celach oraz sposobie zastosowania monitoringu GPS
Rozdział XII. Przetwarzanie danych osobowych w związku z odpowiedzialnością porządkową pracownika (Iwona Jaroszewska-Ignatowska)
Postępowanie wyjaśniające i dokumenty z tym związane
Zawiadomienie pracownika o zastosowanej karze porządkowej
Sprzeciw pracownika od nałożonej kary
Organizacja związkowa a odpowiedzialność porządkowa pracownika
Sposób i okres przechowywania dokumentacji związanej z odpowiedzialnością porządkową
Rozdział XIII. Ochrona danych osobowych a telepraca i praca zdalna (Edyta Jagiełło-Jaroszewska)
Uwagi wprowadzające
Telepraca a praca zdalna
Status i obowiązki pracodawcy na gruncie RODO
Zasady ochrony danych przekazywanych telepracownikowi (pracownikowi zdalnemu)
Prawo pracodawcy do kontroli a prywatność telepracownika i pracownika zdalnego
Rozdział XIV. Ochrona danych osobowych w aspekcie zbiorowego prawa pracy (Dominika Dörre-Kolasa)
Przetwarzanie danych osobowych w aspekcie współdziałania pracodawcy z zakładową organizacją związkową w sprawach indywidualnych
1.1. Właściwe ustalenie podmiotu uprawnionego do przetwarzania danych osobowych w ramach konsultacji w sprawach indywidualnych
1.2. Zakres przedmiotowy danych osobowych pracowników przetwarzanych w ramach konsultacji związkowych
1.3. Zawiadomienie zakładowej organizacji związkowej o zamiarze wypowiedzenia umowy zawartej na czas nieokreślony
1.4. Zawiadomienie zakładowej organizacji związkowej o zamiarze wypowiedzenia warunków pracy lub/i płacy wynikających z umowy zawartej na czas nieokreślony
1.5. Zawiadomienie reprezentującej pracownika zakładowej organizacji związkowej o przyczynie uzasadniającej rozwiązanie umowy o pracę z pracownikiem z przyczyn zawinionych i niezawinionych
1.6. Zajmowanie stanowiska odnośnie do sprzeciwu pracownika, wobec którego zastosowana została kara porządkowa
1.7. Wyrażenie zgody na rozwiązanie umowy o pracę z pracownicą w ciąży lub w okresie urlopu macierzyńskiego
Przetwarzanie danych osobowych ujawniających przynależność do związków zawodowych
2.1. Niezbędność przetwarzania do wypełnienia obowiązków i wykonywania szczególnych praw w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej
2.2. Urlop bezpłatny w związku z powołaniem pracownika do pełnienia z wyboru funkcji związkowej poza zakładem pracy
2.3. Zwolnienie z obowiązku świadczenia pracy na okres kadencji w zarządzie
2.4. Ochrona szczególna trwałości stosunku pracy
2.5. Składki członkowskie
Obowiązek pracodawcy udzielenia na wniosek zakładowej organizacji związkowej informacji w zakresie potrącanych składek związkowych
Przetwarzanie danych osobowych w ramach wykonywania uprawnionej działalności o celach związkowych
Wzory dokumentów
5.1. Wzór zapytania, czy pracownik korzysta z obrony związkowej
5.2. Wzór wniosku o zajęcie stanowiska w sprawie sprzeciwu pracownika od kary porządkowej
Rozdział XV. Przetwarzanie danych osobowych dotyczących zdrowia (Arleta Nerka)
Pojęcie danych dotyczących zdrowia w stosunkach zatrudnienia
Przesłanki przetwarzania danych o stanie zdrowia pracownika
Dopuszczalny zakres przetwarzania danych osobowych dotyczących zdrowia osoby ubiegającej się o zatrudnienie, przyjmowanej do pracy i pracownika
3.1. Dane zdrowotne przetwarzane w ramach badań profilaktycznych
3.2. Przetwarzanie danych dotyczących czasowej niezdolności do pracy pracownika
3.3. Przetwarzanie danych zdrowotnych dotyczących realizacji uprawnień związanych z rodzicielstwem
3.4. Przetwarzanie danych zdrowotnych w zakresie ustalania wypadków przy pracy
Rozdział XVI. Przetwarzanie danych osobowych w działalności ZFŚS (Arleta Nerka)
Pojęcie i zakres działalności socjalnej pracodawcy
Przetwarzanie danych osobowych w zakresie działalności ZFŚS
Dopuszczalność przetwarzania danych osobowych dla realizacji celów ZFŚS
3.1. Zakres pojęcia „osoba uprawniona"
3.2. Przesłanki przetwarzania danych osobowych w celu realizacji świadczeń z ZFŚS
3.3. Ustalanie i weryfikacja kryteriów socjalnych
3.4. Obowiązek informacyjny wobec osób uprawnionych do świadczeń z ZFŚS
3.5. Upoważnienia do przetwarzania danych dotyczących zdrowia w ramach ZFŚS
3.6. Okres retencji danych osobowych przetwarzanych w ramach ZFŚS
3.7. Obowiązek okresowego przeglądu danych osobowych przetwarzanych w ramach ZFŚS
Rozdział XVII. Przetwarzanie danych osobowych w związku z wdrożeniem przez pracodawcę systemu dodatkowego zabezpieczenia emerytalnego (Paulina Zawadzka-Filipczyk)
Uwagi wprowadzające
Określenie roli pracodawcy w procesie przetwarzania danych
Podstawa prawna przetwarzania danych przez pracodawcę
Rodzaje danych osobowych przetwarzanych przez pracodawcę w ramach prowadzenia PPE lub PPK
Obowiązki pracodawcy związane z przetwarzaniem danych na potrzeby prowadzenia PPE i PPK
5.1. Zabezpieczenie danych
5.2. Obowiązki informacyjne
5.3. Obowiązki w zakresie realizacji praw podmiotu danych
5.4. Uregulowanie dostępu do danych osobowych
5.5. Prowadzenie i zarządzanie dokumentacją dotyczącą zakładowego programu emerytalnego
Rozdział XVIII. Inspektor Ochrony Danych Osobowych (Magdalena Czaplińska)
Status IOD w organizacji
Podstawy zatrudnienia IOD
Wyznaczenie IOD jako obowiązek administratora danych
Zadania IOD
Uprawnienia IOD
Obowiązki administratora wobec IOD
Wzór dokumentu wykazującego plan działań IOD
Rozdział XIX. Międzynarodowe transfery danych osobowych (Damian Karwala)
Znaczenie międzynarodowych transferów danych w relacjach pracowniczych
Potrzeba reformy transferowej regulacji ochronnej
Transfer danych na podstawie decyzji Komisji (art. 45 RODO)
Przekazywanie danych w oparciu o odpowiednie zabezpieczenia
Umowy transferowe, w tym standardowe klauzule ochrony danych
Wiążące reguły korporacyjne
Odstępstwa od zakazu transferu danych
Zgoda podmiotu danych
Klauzula prawnie uzasadnionych interesów eksportera danych
Operacje dalszych transferów danych
Obowiązki informacyjne związane z międzynarodowymi transferami danych
Rozdział XX. Bezpieczeństwo danych osobowych osób zatrudnionych (Maciej Kołodziej)
Proces przetwarzania danych osobowych pracowników
Rekomendowane środki zabezpieczające w procesach przetwarzania danych osobowych w zatrudnieniu
Informacje cyfrowe i analogowe
Różnorodność i adekwatność środków ochrony w relacji do ryzyka przetwarzania
Ochrona danych na etapie procedur rekrutacyjnych
5.1. Rekrutacja wewnątrz organizacji
5.2. Rekrutacja przez polecenie wewnętrzne
5.3. Rekrutacja zewnętrzna realizowana bez pośredników
5.4. Rekrutacja zlecona za zewnątrz do specjalistycznych podmiotów rekrutacyjnych
5.5. Rekrutacja we współpracy z zewnętrznymi podmiotami rekrutacyjnymi
Komunikacja z pracownikami i współpracownikami
6.1. Poczta elektroniczna
6.2. Serwisy WWW
6.3. Dyski sieciowe
Wykorzystanie pseudonimizacji podczas przetwarzania danych pracowniczych
7.1. Dane osobowe
7.2. Dane zanonimizowane, anonimy
7.3. Dane spseudonimizowane, pseudonimy
Techniczne środki ochrony archiwów kadrowych
8.1. Backup
8.2. Archiwizacja
8.3. Retencja danych
Praktyka ochrony stanowiska pracy
9.1. Stosowanie w aplikacjach i systemach procedur AAA+
5.2.3. Prowadzenie spraw przez wiodący organ nadzorczy
5.2.4. Przypadki szczególne
5.2.4.1. Pozostawienie właściwości przy krajowym organie nadzorczym w okolicznościach przetwarzania transgranicznego
5.2.4.2. Przypadek przetwarzania w okolicznościach, w których ani przetwarzający, ani administrator nie mają siedziby na terenie UE
Sankcje nakładane w trybie administracyjnym przez jednostki legitymujące się odpowiednią autoryzacją ze strony państwa
6.1. Sankcje o charakterze niepieniężnym
6.1.1. Postanowienie tymczasowe w OchrDanychU
6.1.2. Postanowienie tymczasowe stosowane w ramach wzajemnej współpracy organów nadzorczych
6.2. Sankcje o charakterze finansowym
6.3. Odpowiednie stosowanie KPA
6.4. Przedawnienie administracyjnych kar pieniężnych
6.5. Ograniczenie wysokości kary
6.6. Wysokość administracyjnej sankcji finansowej – warunki i sposób obliczenia
6.7. Zasada „walutowości" sankcji
6.8. Termin zapłaty sankcji
6.9. Wyłączenie stosowania KPA
6.10. Potencjalny zbieg zagrożenia sankcjami
6.11. Dodatkowe wątpliwości
Możliwość uruchomienia kontroli decyzji orzekającej o naruszeniu przepisów RODO
Droga sądowa
Sankcje w postaci odszkodowań, jakich mogą domagać się podmioty, których dane osobowe są przedmiotem przetwarzania
9.1. Konkretyzacja sposobu dochodzenia roszczeń za naruszenie przepisów o ochronie danych osobowych w OchrDanychU
9.2. Udział Prezesa UODO w postępowaniu dotyczącym roszczeń dochodzonych w trybie cywilnoprawnym
Analiza wybranych decyzji europejskich organów ochrony danych osobowych nakładających sankcję za naruszenie przepisów o ochronie danych osobowych.
10.1. Problem: brak ograniczenia dostępu do przetwarzanych danych osobowych
10.2. Problem: nieprawidłowe stosowanie systemu nadzoru nad lokalizacją pracowników
10.3. Problem: stosowanie danych biometrycznych w celu kontroli czasu pracy
10.4. Problem: naruszenie poufności danych zawartych w skardze skierowanej do pracodawcy
10.5. Problem: objęcie monitoringiem wizyjnym zbyt dużego obszaru, nieprawidłowe wykorzystanie danych osobowych byłego pracownika
10.6. Problem: brak określenia zasad korzystania ze służbowego konta mailowego, dostęp do prywatnej korespondencji pracownika przez pracodawcę
10.7. Problem: dostęp pracowników do danych osobowych, które nie są im niezbędne do wykonywania swoich obowiązków
10.8. Problem: stosowanie systemu informatycznego, który nie pozwala na usunięcie danych osobowych
10.9. Problem: brak możliwości wykazania przekazania informacji o przetwarzaniu danych osobowych, nieprawidłowe wywieszenie informacji z danymi osobowymi pracowników
10.10. Problem: dostęp do prywatnych informacji pracownika, zapisanych na sprzęcie służbowym
10.11. Problem: wadliwe określenie podstawy przetwarzania danych osobowych pracowników – zbyt szerokie stosowanie zgód na przetwarzanie danych osobowych
10.12. Problem: objęcie zakresem monitoringu wizyjnego nadmiernego obszaru, brak należytego zabezpieczenia systemów informatycznych, w których przetwarzane są dane osobowe
10.13. Problem: odmowa usunięcia danych osobowych byłego pracownika, przetwarzanych na stronach internetowych prowadzonych przez pracodawcę
10.14. Problem: korzystanie przez pracodawcę z nagrań sporządzonych przez innych pracowników do wyciągnięcia sankcji dyscyplinarnych wobec pracownika
10.15. Problem: konflikt interesów przy łączeniu funkcji Inspektora Ochrony Danych oraz wykonywania innych zadań u administratora
Rozdział XXIII. Naprawienie szkody z tytułu naruszenia RODO (Magdalena Czaplińska)
Pojęcie szkody
Zasady odpowiedzialności na gruncie RODO
Odpowiedzialność pracownika
Odpowiedzialność administratora
Odpowiedzialność podmiotu przetwarzającego
Odpowiedzialność IOD
Zbieg roszczeń
Rozdział XXIV. Przestępstwa przeciwko ochronie danych osobowych (Damian Tokarczyk)
Uwagi wprowadzające. Odpowiedzialność karna na tle innych reżimów odpowiedzialności
1.1. Funkcje prawa karnego
1.2. Prawo karne pozakodeksowe
Zasady odpowiedzialności karnej
2.1. Przestępstwo jako podstawa odpowiedzialności karnej. Elementy struktury przestępstwa
2.2. Osobisty i indywidualny charakter odpowiedzialności
2.3. Formy stadialne popełnienia przestępstwa
2.4. Współdziałanie przestępne
2.5. Kary, środki karne, środki kompensacyjne
2.6. Przedawnienie i zatarcie skazania
Przestępstwa przeciwko ochronie danych osobowych
3.1. Przestępstwa przeciwko ochronie danych osobowych w ujęciu historycznym
3.2. Bezprawne lub nieuprawnione przetwarzanie danych osobowych
3.2.1. Podmiot przestępstwa
3.2.2. Nawiązania systemowe i strona przedmiotowa
3.2.3. Typ kwalifikowany
3.2.4. Strona podmiotowa
3.2.5. Kary i środki karne
3.3. Udaremnienie lub utrudnianie kontroli inspektora
3.3.1. Podmiot przestępstwa
3.3.2. Nawiązania systemowe i strona przedmiotowa
3.3.3. Strona podmiotowa
3.3.4. Kary i środki karne
Odpowiedzialność podmiotów zbiorowych za czyny zabronione pod groźbą kary
Rozdział XXV. Przegląd decyzji Prezesa UODO mających znaczenie dla przetwarzania danych osobowych w zatrudnieniu (Kinga Ciosk)
Przetwarzanie danych biometrycznych w monitorowaniu czasu pracy oraz systemach kontroli dostępu (decyzja Prezesa UODO z 18.2.2020 r., ZSZZS.440.786.2018)
1.1. Wprowadzenie
1.2. Pojęcie danych biometrycznych
1.3. Dopuszczalność przetwarzania danych biometrycznych
1.4. Szczególna ochrona danych biometrycznych
Prawo pracownika dostępu do danych (decyzja Prezesa UODO: z 18.3.2019 r., ZSZZS.440.842.2018; z 22.3.2019 r., ZSZZS.440.660.2018)
2.1. Wprowadzenie
2.2. Pracodawca jako administrator danych osobowych pracownika
Korzystanie z adresu e-mail byłego pracownika przez pracodawcę (decyzja Prezesa UODO z 19.2.2020 r., ZSZZS.440.658.2018)
3.1. Wprowadzenie
3.2. Dopuszczalność używania służbowego, imiennego adresu e-mail byłego pracownika
Realizacja obowiązku informacyjnego (decyzja Prezesa UODO z 15.3.2019 r., ZSPR.421.3.2018)
4.1. Wprowadzenie
4.2. Wyłączenia od realizacji obowiązku informacyjnego
4.3. Rezygnacja z obowiązku informacyjnego podyktowana niewspółmiernie dużym wysiłkiem celem jego realizacji
4.4. Iluzoryczny charakter wyłączeń od powinności realizacji obowiązku informacyjnego