RODO (GDPR)

Dane niezbędne do realizacji umowy o pracę i obowiązków prawnych (KP, ZUS, US): imię, nazwisko, PESEL, adres, wykształcenie, przebieg zatrudnienia, dane bankowe. Inne dane — tylko na podstawie zgody lub uzasadnionego interesu. Zakaz przetwarzania danych nadmiarowych.

Do 10 mln EUR lub 2% obrotu za naruszenia techniczne/organizacyjne. Do 20 mln EUR lub 4% obrotu za naruszenia praw osób. W Polsce UODO nakładał kary od kilku tys. do kilku mln PLN. Dodatkowo: odszkodowania cywilne dla poszkodowanych.

Rzadko — RODO wymaga, by zgoda była dobrowolna, a w relacji pracodawca-pracownik istnieje nierównowaga sił. Lepsze podstawy to: wykonanie umowy (art. 6.1.b), obowiązek prawny (art. 6.1.c) lub uzasadniony interes (art. 6.1.f). Zgoda głównie przy zdjęciach na stronie, newsletter firmowy.

Pracodawca może zbierać tylko dane adekwatne, istotne i ograniczone do celu przetwarzania. Nie wolno zbierać 'na zapas' ani 'na wszelki wypadek'. Np. nie wolno pytać o stan cywilny, plany rodzinne, poglądy polityczne, jeśli nie jest to niezbędne dla stanowiska.

Akta osobowe: 10 lat (od 2019) lub 50 lat (wcześniej). Dane rekrutacyjne niezatrudnionych: max. 3 miesiące po rekrutacji. Dane podatkowe: 5 lat. Monitoring: max. 3 miesiące. Po upływie okresu — obowiązkowe usunięcie lub anonimizacja.