Słowniczek

Polityka ochrony danych osobowych

Polityka ochrony danych osobowych to wewnętrzny dokument organizacyjny określający zasady, procedury i środki techniczne i organizacyjne stosowane w celu ochrony danych osobowych przetwarzanych przez pracodawcę. RODO nie wymaga wprost jednego dokumentu o tej nazwie, ale wymaga wdrożenia odpowiednich polityk ochrony danych (art. 24.2) i udowodnienia zgodności (zasada rozliczalności). W praktyce polityka obejmuje: zakres i cele przetwarzania, role i odpowiedzialności (administrator, IOD, osoby upoważnione), zasady dostępu do danych, procedury realizacji praw osób (dostęp, sprostowanie, usunięcie), procedurę reagowania na naruszenia, zasady retencji i usuwania danych, środki bezpieczeństwa (techniczne i organizacyjne), zasady transferu danych do podmiotów trzecich i instrukcje dla pracowników. Polityka powinna być regularne przeglądana (co 12-24 miesiące), dostępna dla wszystkich pracowników i obowiązkowa do zapoznania przy zatrudnieniu.

RODO wymaga wdrożenia odpowiednich polityk ochrony danych (art. 24.2). Choć nie wymaga jednego dokumentu o konkretnej nazwie, w praktyce spisana polityka jest niezbędna do wykazania zgodności (zasada rozliczalności). UODO kontroluje jej istnienie.

Zakres danych pracowniczych, podstawy prawne przetwarzania, procedury rekrutacyjne (CV, aplikacje), zasady prowadzenia akt osobowych, retencja danych, procedury realizacji praw pracowników, monitoring, ZFŚS, powierzenie danych (outsourcing płac), reagowanie na naruszenia.

Administrator danych (zarząd/pracodawca) odpowiada za przyjęcie polityki. IOD doradza i monitoruje wdrożenie. HR odpowiada za stosowanie w procesach kadrowych. IT zapewnia środki techniczne. Wszyscy pracownicy odpowiadają za przestrzeganie w zakresie swoich obowiązków.

Co 12-24 miesiące lub po: zmianie przepisów, wdrożeniu nowych systemów IT, zmianie struktury organizacyjnej, incydencie bezpieczeństwa, kontroli UODO. Przegląd powinien obejmować adekwatność środków technicznych i organizacyjnych.

Tak — RODO wymaga, by osoby upoważnione do przetwarzania znały zasady ochrony danych. Szkolenie przy zatrudnieniu (obowiązkowe) i cyklicznie (co 12-24 miesiące). Pracownicy HR — rozszerzone szkolenie. Szkolenia dokumentowane (potwierdzenie uczestnictwa).

Powiązane pojęcia

Dane biometryczne pracowników

Inspektor Ochrony Danych (IOD)

Monitoring pracowników

Naruszenie ochrony danych osobowych

Obowiązek informacyjny RODO