Słowniczek

Obowiązek informacyjny RODO

Obowiązek informacyjny to wymaganie RODO (art. 13-14), aby administrator danych (pracodawca) przekazał osobie, której dane dotyczą, komplet informacji o przetwarzaniu jej danych osobowych. W HR obowiązek ten realizuje się na kilku etapach: w ogłoszeniu o pracę i formularzu aplikacyjnym (kandydaci), przy zatrudnieniu (pracownicy), przy wdrażaniu monitoringu, przy powierzeniu danych procesorom i wobec osób trzecich (kontrahenci, goście firmy). Informacja musi zawierać: tożsamość administratora i dane kontaktowe IOD, cele i podstawy prawne przetwarzania, odbiorców danych, okres przechowywania, prawa osoby (dostęp, sprostowanie, usunięcie, ograniczenie, przenoszenie, sprzeciw), prawo do skargi do UODO, czy podanie danych jest obowiązkowe i konsekwencje niepodania oraz informację o zautomatyzowanym podejmowaniu decyzji (w tym profilowaniu). Informacja musi być jasna, zrozumiała i łatwo dostępna.

Przy zbieraniu danych bezpośrednio od osoby (art. 13): w momencie zbierania (np. formularz rekrutacyjny, podpisanie umowy). Przy pozyskaniu danych z innego źródła (art. 14): w rozsądnym terminie, max. 1 miesiąc. Przy każdej zmianie celu przetwarzania.

Dane administratora, cel (rekrutacja), podstawa prawna (art. 6.1.b/c RODO, art. 22¹ KP), odbiorcy, okres przechowywania (czas rekrutacji + 3 mies.), prawa kandydata, kontakt do IOD, informacja o dobrowolności i konsekwencjach niepodania danych.

Może być w dowolnej formie (pisemnie, elektronicznie, ustnie), ale administrator musi wykazać, że informacja została przekazana. W praktyce: pisemne potwierdzenie zapoznania się, e-mail z informacją, klauzula w umowie o pracę z podpisem.

Kara do 20 mln EUR lub 4% obrotu. W Polsce UODO nakładał kary za brak klauzul informacyjnych. Dodatkowo: naruszenie może skutkować nieważnością zgody (jeśli osoba nie była świadoma zakresu przetwarzania) i skargami do UODO od pracowników/kandydatów.

Art. 13 wymaga podania kategorii odbiorców lub konkretnych odbiorców. W praktyce wystarczą kategorie: 'podmioty obsługujące kadry i płace, ZUS, US, firmy szkoleniowe'. Na żądanie osoby — administrator musi podać konkretnych odbiorców.

Powiązane pojęcia

Dane biometryczne pracowników

Inspektor Ochrony Danych (IOD)

Monitoring pracowników

Naruszenie ochrony danych osobowych

Ocena skutków dla ochrony danych (DPIA)