Ogólne rozporządzenie wprowadzi zmiany także dla ADO przetwarzających tylko dane osobowe pracowników

Ogólnerozporządzenie o ochronie danych reguluje m.in. następujące kwestie, które mają znaczenie dla ochrony danych osobowych pracowników przez pracodawców:

• ochronę danych osobowych w grupie kapitałowej,
• obowiązek ustanowienia inspektora ochrony danych osobowych,
• warunki wyrażenia zgody na przetwarzanie danych prywatnych,
• prawo do przenoszenia danych do innego usługodawcy,
• nakładanie administracyjnych kar pieniężnych (do 4% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego) i ich skuteczne egzekwowanie.

W ogólnym rozporządzeniu znajduje się nowa regulacja dotycząca przetwarzania danych osobowych w grupie kapitałowej. Ta grupa kapitałowa jest zwana „grupą przedsiębiorstw”. Grupą przedsiębiorstw w rozumieniu ogólnego rozporządzenia jest bowiem przedsiębiorstwo kontrolujące przetwarzanie danych osobowych w przedsiębiorstwach powiązanych z nim, wraz z tymi przedsiębiorstwami. Grupą przedsiębiorstwa zarządza „główna jednostka organizacyjna”.

Jeżeli Twoja jednostka jest jedną ze spółek wchodzących w skład grupy kapitałowej (a tak może być na przykład w przypadku tzw. centrum usług wspólnych), to grupa może wyznaczyć jednego inspektora ochrony danych dla wszystkich przedsiębiorstw. Wówczas w ramach tej grupy będą obowiązywały jednolite, wiążące reguły korporacyjne ustalone przez samą grupę. Ma to służyć ujednoliceniu zasad przetwarzania danych osobowych w ramach grupy i zminimalizowaniu ryzyka, że któraś ze spółek okaże się słabym ogniwem i potencjalnym źródłem wycieku danych.

Jeżeli grupa jest międzynarodowa, to może wybrać jeden państwowy organ ochrony danych osobowych (np. polskiego GIODO) dla wszystkich przedsiębiorstw grupy (tzw. one-stop-shop).

Inspektor ochrony danych to w pewnym stopniu następca obecnego administratora bezpieczeństwa informacji. Zupełnie inaczej niż do tej pory sprecyzowano natomiast przesłanki obowiązku jego wyznaczenia. Administrator będzie miał obowiązek powołania inspektora ochrony danych, tylko jeżeli jego główna działalność polega na:

• operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,
• przetwarzaniu na dużą skalę danych osobowych.

Zgoda na przetwarzanie danych osobowych według ogólnego rozporządzenia ma być udzielona w formie oświadczenia lub wyraźnego działania, stanowiących przejaw dobrowolnego, konkretnego, świadomego i jednoznacznego przejawu woli, potwierdzającego przyzwolenie na przetwarzanie przez podmiot danych osobowych.

Zgody w takiej formie trzeba będzie zażądać od osób zatrudnionych niepracowniczo (np. na umowie-zlecenia czy umowie o dzieło) w każdym przypadku gdy zajdzie potrzeba przetwarzania danych osobowych takich osób w celach innych niż wykonanie umowy.

Co więcej, takiej wyraźnej, osobnej zgody wymagać będzie także tzw. profilowanie. Chodzi tu o zautomatyzowane przetwarzanie danych osobowych w celu oceny niektórych czynników osobowych osoby fizycznej, np. do analizy lub prognozy sytuacji ekonomicznej, zdrowia czy osobistych preferencji danej osoby.

Administratorzy danych bardzo często w swojej pracy posługują się podwykonawcami czy innymi podmiotami, z którymi stale lub okresowo współpracują, np. informatykami, windykatorami czy prawnikami. Aby podmioty te mogły prawidłowo wykonywać swoje obowiązki, często muszą mieć dostęp do danych osobowych pracowników czy pracowników klienta administratora danych. W związku z tzym już w obecnym stanie prawnym istnieje konieczność powierzenia przez administratora danych posiadanych przez niego danych osobowych w drodze umowy.

Do tej pory umowa miała zawierać jedynie zakres i cel przetwarzania danych osobowych. Po wejściu w życie nowych regulacji unijnych umowa powinna określać:

• przedmiot i czas trwania przetwarzania,
• charakter i cel przetwarzania,
• rodzaj danych osobowych,
• kategorie osób, których dane dotyczą,
• obowiązki i prawa administratora,
• obowiązki procesora.

Trzeba przy tym zaznaczyć, że rozbudowanie w rozporządzeniu elementów umowy o powierzenie przetwarzania nie wprowadza rewolucji, gdyż już obecnie dobrze skonstruowana umowa powierzenia powinna te elementy zawierać.

A co w przypadku gdy np. informatyk zechce powierzyć dane osobowe powierzone mu przez administratora danych, np. gdy musi zatrudnić inną firmę informatyczną w charakterze podwykonawcy? Obecnie ustawa nie reguluje w ogóle kwestii tego tzw. podpowierzenia. Natomiast rozporządzenie przewiduje obowiązek procesora uzyskania pisemnej zgody administratora danych na przekazanie tych danych innemu podmiotowi (czyli zgody na podpowierzenie). Taka zgoda może na szczęście być wyrażona przez administratora danych ogólnie.

Administrator danych przetwarzający dane osobowe swoich pracowników musi też pamiętać, że rozporządzenie poszerza katalog danych wrażliwych o dane genetyczne i biometryczne. Oznacza to konieczność szczególnej ochrony danych osobowych pracowników w przypadku np. limitowania dostępu do pomieszczeń lub ewidencji czasu pracy z wykorzystaniem czytników odcisku palca albo siatkówki oka.

Innym novum jest też:

• zasada privacy by design – obowiązek uwzględniania zagadnień ochrony danych już na etapie projektowania rozwiązań; np. w przypadku zamawiania systemu informatycznego powinien on od początku spełniać wymogi ochrony danych osobowych,
• zasada privacy by default – dane osobowe mają być przetwarzane w minimalnym (niezbędnym) zakresie; np. system informatyczny nie powinien przetwarzać danych osobowych pracownika w zakresie wynagrodzenia, gdy jego wyłącznym zadaniem jest zarządzanie czasem pracy, w tym urlopami. Dane o czasie pracy, które mają znaczenie dla wynagrodzenia, powinny być przekazywane do systemu płacowego. Pozwoli to na wyeliminowanie ryzyka, że dane o wynagrodzeniu pracownika będą przetwarzane przez pracownika administratora danych odpowiedzialnego np. za urlopy.