Jakie obowiazki ma pracodawca w zakresie ochrony danych osobowych

Pracodawca, zgodnie z wymogami RODO, stał się automatycznie administratorem naszych danych osobowych. Do jego obowiązków należy ochrona danych osobowych w taki sposób, by nikt nieupoważniony nie miał do nich dostępu, a wszystkie dane dotyczące pracownika muszą być zbierane zgodnie z prawem i służyć tylko określonym celom. Co więcej tym celom podporządkowany jest również zakres danych, które pracodawcy wolno zbierać. Jeżeli jakieś informacje wykraczają poza ich niezbędny dla charakteru pracy zakres, pracownik nie musi ich udzielać.

Nadzór nad danymi osobowymi

Pracodawca jest zobowiązany do stworzenia takich środków ochrony zbioru danych osobowych, by nikt nieupoważniony nie miał do nich dostępu. Musi przez cały okres stosunku pracy mieć pełną kontrolę nad przechowywaniem danych, ale i ich przetwarzaniem. Co oznacza, że żaden etap procesu wprowadzania danych o pracowniku nie może już być anonimowy. Pracodawca musi wiedzieć kto wprowadza dane do zbioru, kto z nich korzysta i w jakim celu. A każde udostępnienie wykraczające poza uzgodnienia z pracownikiem naraża pracodawcę na odpowiedzialność karną. Za każde nawet nieumyślne spowodowanie wycieku danych osobowych pracodawcy grozi grzywna, kara ograniczenia wolności albo kara pozbawienia wolności. Pracownik ma prawo w każdym momencie sprawdzić sposób przetwarzania własnych danych i pracodawca musi mu to umożliwić.

Nowe zasady rejestracji zbiorów 

Przepisy obowiązującego od 2018 unijnego rozporządzenia RODO znoszą obowiązek rejestracji zbiorów danych osobowych. Rejestracja w GIODO przestała obowiązywać na rzecz prowadzenia rejestru czynności przetwarzania danych. Rejestr prowadzony przez danego administratora danych, np. danych pracowników, musi zawierać dokładne wskazanie nazwy administratora lub/i imienia i nazwiska osób zarządzających bazą danych osobowych w firmie. Jeżeli administrator jest zobligowany do powołania inspektora danych osobowych musi wskazać jego dane kontaktowe. Administrator danych musi również w rejestrze wskazać za każdym razem cel przetworzenia danych konkretnych osób.