Zaostrzenie przepisów dotyczących administrowania danymi osobowymi. Już tylko rok na przygotowanie się

Unijna reforma dotycząca ochrony danych osobowych (zwana RODO), zostanie wprowadzona już za rok. Firmy, które nie będą przygotowane na zmiany, może czekać kara w wysokości nawet 20 milionów euro.
Ogólne Rozporządzenie o Ochronie Danych wejdzie w życie już 25 maja 2018 roku. Czasu zostało więc niewiele. Unijna reforma ma na celu przede wszystkim zwiększenie poziomu ochrony danych osobowych oraz ujednolicenie związanych z tym przepisów na terenie całej Unii Europejskiej. Fakt, że zmiany będą rewolucyjne, szczególnie dla działów HR oraz agencji zatrudnienia, nie pozostawia wątpliwości.

Według prawa, agencje rekrutacyjne oraz działy HR, które gromadzą i przetwarzają dane osobowe pracowników, są administratorami danych osobowych. W związku z tym, nowe przepisy nałożą na te podmioty więcej obowiązków informacyjnych. Jedną z najważniejszych zmian będzie konieczność poinformowania kandydata na pracownika nie tylko o celach przetwarzania jego danych, ale także okresie, przez który będą one przechowywane, odbiorcach tych danych, a także prawie wniesienia skargi do organu nadzorczego. Według nowych przepisów, wymagane będzie również określenie, czy osoba, której dotyczą owe dane, jest w rzeczywistości zobowiązana do ich podania oraz jakie mogą być ewentualne konsekwencje niepodania tych informacji.

Według przepisów RODO zgoda nie może być domniemana, a użytkownicy będą mieli prawo do jej cofnięcia, przy czym wycofanie zgody na przetwarzanie danych osobowych musi być równie łatwe, jak i jej wyrażenie. Zmiana może okazać się kosztowna dla pracodawców oraz agencji pośrednictwa pracy, bo wymagać będzie rewizji i często wymiany formularzy dotyczących zgody na przetwarzanie danych osobowych

wyjaśnia Iwona Szmitkowska, prezes Stowarzyszenia Agencji Zatrudnienia, wiceprezes Work Service S.A.

Zgodnie z rozporządzeniem, prowadzenie przez administratora danych osobowych wymaga rejestru czynności ich przetwarzania. Musi on zawierać nazwę oraz dane kontaktowe administratora, cele przetwarzania tych danych, opis kategorii osób, których owe dane dotyczą, kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, planowane terminy usunięcia poszczególnych kategorii danych (w miarę możliwości), a także ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Niestety, podmioty, które nie zastosują się do nowych przepisów, mogą ponieść dotkliwą karę. Grzywna za niedotrzymanie powyższych obowiązków może wynieść nawet 20 milionów euro, a w przypadku przedsiębiorstw może to być nawet do 4 procent całkowitego rocznego obrotu z poprzedniego roku. Jeśli zaś nastąpi wyciek danych osobowych, w niektórych przypadkach (kwalifikowanych), administratorzy owych danych będą musieli zgłosić ten fakt do GIODO i poinformować o tym kandydatów lub inne osoby, których dane wyciekły. Z kolei użytkowników zainteresować może fakt, że nastąpi zniesienie opłat za złożenie skargi do GIODO. Efektem może być wzmożona kontrola firm przez odpowiednie organy nadzorcze.