Pytanie użytkownika Serwisu Prawa Pracy i Ubezpieczeń Społecznych:

Zgodnie z art. 30 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r., administrator danych oraz, gdy ma to zastosowanie, przedstawiciel administratora, mają obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych, za który odpowiadają. Czy w związku z tym na osobie prowadzącej sprawy kadrowe spoczywa obowiązek prowadzenia dodatkowej ewidencji pracowników zgodnie z Kodeksem pracy?

 

 

Czy w związku z tym, że kadrowa prowadzi stałą i bieżącą ewidencję czasu pracy oraz na bieżąco uaktualnia akta osobowe pracowników, na podstawie nowych przepisów dotyczących ochrony danych osobowych jest zobowiązana do prowadzenia dodatkowej ewidencji wykonanych czynności w tym zakresie?

Czy w związku ze zmianami dotyczącymi przetwarzania danych osobowych oraz Kodeksu pracy, na osobach wykonujących czynności z zakresu prawa pracy, będą spoczywały dodatkowe obowiązki?

Odpowiedź

Po wejściu w życie RODO należy prowadzić rejestr czynności przetwarzania danych osobowych. Nie oznacza to jednak, że trzeba będzie w rejestrze wykazywać każdą czynność kadrową.

W myśl art. 30 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1) – dalej RODO – każdy administrator oraz, gdy ma to zastosowanie, przedstawiciel administratora, prowadzą rejestr czynności przetwarzania danych osobowych, za które odpowiadają. W rejestrze tym zamieszcza się wszystkie następujące informacje:

  • a) imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie - przedstawiciela administratora oraz inspektora ochrony danych;
  • b) cele przetwarzania;
  • c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
  • d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
  • e) gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, dokumentacja odpowiednich zabezpieczeń;
  • f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
  • g) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.

Z kolei każdy podmiot przetwarzający oraz – gdy ma to zastosowanie – przedstawiciel podmiotu przetwarzającego prowadzą rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora (szerzej zob. art. 30 ust. 2 RODO).

Rejestry powyższe mają formę pisemną, w tym formę elektroniczną.

Powyższe nie ma zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 RODO, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.

Z powyższego wynika, że rejestr czynności przetwarzania danych osobowych będzie musiał prowadzić praktycznie każdy pracodawca. Nawet bowiem jeśli zatrudnia mniej niż 250 pracowników, to przetwarzanie danych nie ma charakteru sporadycznego, a tym samym prowadzenie rejestru będzie wymagane. Należy jednak podkreślić, że omawiany rejestr nie wymaga ewidencji każdej czynności. Jest raczej karta informacyjna, kto przetwarza jakie dane i w jakim celu. W szczególności w rejestrze nie wykazuje się poszczególnych osób, a jedynie wskazuje kategorię tych osób (np. pracownicy). W gruncie rzeczy rejestr będzie mógł być tworzony jednorazowo.

Należy przestrzec, że polskie przepisy mogą wprowadzić dodatkowe regulacje w tym zakresie, wobec czego do czasu ich wydania nie znamy szczegółów.