Upoważnienie RODO do danych wrażliwych
Upoważnienie powinno być tak sporządzone, że zakres oraz cel upoważnienia powinien być adekwatny tj. nienadmiarowy. Przedmiot upoważnienia winien pozwalać na prawidłowe wykonywanie swoich obowiązków przez pracownika upoważnionego do przetwarzania danych. W naszej ocenie nadanie upoważnień to wisienka na torcie we wdrożeniu RODO. Podobno etap ten jest najbardziej czasochłonny, gdyż wymaga wielu konsultacji oraz opinii merytorycznych – w tym zaangażowania całej organizacji. Od prezesa zarządu, po pracownika produkcji.
Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego. Winna posiadać upoważnienie do przetwarzania.
Nowy obowiązek RODO, po nowelizacji Kodeksu Pracy w 2019 roku
Nie lada wyzwaniem, okazuje się nawet dla doświadczonych praktyków w ochronie danych osobowych, interpretacja Art. 22 [1b] Kodeksu Pracy. Dotyczy on obowiązku nadania upoważnień dla przetwarzania danych wrażliwych pracowników. Artykuł 22 KP, jest bardzo krótki, jednak w swojej prostocie kompleksowy. Najczęstszym błędem jest interpretacja nagłówka artykułu, który brzmi tak: „Przetwarzanie danych biometrycznych ubiegającego się o pracę lub pracownika”. Dla wielu bez wiedzy z zakresu prawa – a nie każdy inspektor jest prawnikiem – wynika, że wspomniane upoważnienia należy wydać wyłącznie jeśli nasza organizacja przetwarza dane biometryczne.
Art. 22 [1b] Kodeks Pracy
Przetwarzanie danych biometrycznych ubiegającego się o pracę lub pracownika
§1.
Zgoda osoby ubiegającej się o zatrudnienie lub pracownika może stanowić podstawę przetwarzania przez pracodawcę danych osobowych, o których mowa w art. 9 przetwarzanie szczególnych kategorii danych osobowych ust. 1 rozporządzenia 2016/679, wyłącznie w przypadku, gdy przekazanie tych danych osobowych następuje z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika. Przepis art. 22 [1a] zgoda ubiegającego się o zatrudnienie lub pracownika na przetwarzanie danych §2 stosuje się odpowiednio.
§2.
Przetwarzanie danych biometrycznych pracownika jest dopuszczalne także wtedy, gdy podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej ochrony.
§3.
Do przetwarzania danych osobowych, o których mowa w §1, mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania takich danych wydane przez pracodawcę. Osoby dopuszczone do przetwarzania takich danych są obowiązane do zachowania ich w tajemnicy.
Jak wyłuskać prawdziwy przekaz? Górale mawiają, że jest przecież napisane „jak byk” w §1, że mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie.
Zapomnijmy na chwilę o słowie biometria. Innymi słowy, nie interesuje nas w analizie kwestii wydawania upoważnienia do innych danych niż biometryczne paragraf 2. Jeszcze raz powtórzę – nie zwracajmy również uwagi na nagłówek artykułu, który może być mylący.
Dane wrażliwe, a nie tylko biometryczne
Gdy odczytujemy przepis, w opisany powyżej sposób, znajdujemy jasną odpowiedź. Przede wszystkim należy wydać upoważnienie do przetwarzania wszystkich kategorii danych wrażliwych pracowników. Poczynając od informacji o stanie zdrowia, po przynależność związkową, a nawet w niektórych wypadkach o poglądach religijnych.
Na przykład dział HR jednego z naszych Klientów, przekonał nas, że przetwarza dane wyznaniowe i ma ku temu podstawę. Celem dopasowania harmonogramu pracy, zgodnie z wyznaniem pracownika – by pójść mu na rękę, np. w zakresie wolnych świąt.
Podsumowując, by wszystko było jasne i klarowne. Udostępniamy wzór upoważnienia do danych wrażliwych, na podstawie art. 22 [1b]. Do pobrania za darmo: Upoważnienie RODO do danych wrażliwych
Ponadto pamiętajmy, że zarządzanie upoważnieniami jest bardzo czasochłonne. Wyobraźmy sobie, że mamy wydać 300 upoważnień oraz realizując rozliczalność, na bieżąco je aktualizować. Narzędzie, które skutecznie pomoże, generując nie tylko upoważnienia do przetwarzania, to: Program do RODO – Kryptos72.