Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO, ang. General Data Protection Regulation, GDPR) jest unijnym aktem prawnym, który reguluje zasady przetwarzania danych osobowych osób fizycznych. Rozporządzenie zostało przyjęte przez Parlament Europejski i Radę Unii Europejskiej w 2016 roku, a jego stosowanie rozpoczęło się 25 maja 2018 roku. Celem RODO jest ustanowienie ram prawnych gwarantujących ochronę danych osobowych w całej Unii Europejskiej, niezależnie od kraju pochodzenia administratora danych.

RODO ma na celu zapewnienie ochrony praw podstawowych i wolności osób fizycznych w związku z przetwarzaniem ich danych osobowych. Rozporządzenie służy także ujednoliceniu przepisów dotyczących ochrony danych w państwach członkowskich Unii Europejskiej, eliminując różnice w krajowych regulacjach. W ten sposób zapewnia spójność oraz przewidywalność prawa dla wszystkich uczestników rynku, zarówno osób fizycznych, jak i podmiotów przetwarzających dane.

Obszar zastosowania RODO obejmuje zarówno podmioty publiczne, jak i prywatne, które przetwarzają dane osobowe na terenie Unii Europejskiej lub dotyczące obywateli UE. Oznacza to, że rozporządzenie znajduje zastosowanie nie tylko wobec organizacji mających siedzibę w UE, lecz także tych spoza Unii, jeśli oferują towary lub usługi osobom z UE lub monitorują ich zachowanie na jej terytorium.

Zakres podmiotowy i przedmiotowy

• Pracodawcy – zobowiązani są do stosowania RODO w zakresie przetwarzania danych osobowych pracowników, kandydatów do pracy oraz byłych pracowników.
• Agencje zatrudnienia – podmioty pośredniczące w zatrudnianiu osób również podlegają przepisom RODO podczas gromadzenia, przechowywania i przekazywania danych osobowych kandydatów oraz pracowników tymczasowych.
• Organizacje HR – firmy świadczące usługi kadrowo-płacowe, doradztwo personalne czy outsourcing procesów HR są zobligowane do przestrzegania RODO w zakresie wszelkich operacji na danych osobowych.
• Inne podmioty rynku pracy – obejmuje m.in. przedsiębiorstwa szkoleniowe, biura pośrednictwa pracy oraz podmioty prowadzące portale rekrutacyjne, które w związku ze swoją działalnością przetwarzają dane osobowe.

Zakres przedmiotowy RODO obejmuje wszelkie operacje wykonywane na danych osobowych, niezależnie od stosowanych technik czy narzędzi. Przepisy odnoszą się do takich czynności jak zbieranie, utrwalanie, przechowywanie, modyfikowanie, udostępnianie, usuwanie czy niszczenie danych osobowych, zarówno w formie elektronicznej, jak i papierowej. Ochrona danych osobowych dotyczy każdego etapu przetwarzania danych, a obowiązki wynikające z RODO obejmują cały cykl życia informacji.

Kluczowe pojęcia związane z RODO

• Dane osobowe – są to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Przykłady obejmują: imię i nazwisko, numer identyfikacyjny (np. PESEL), dane o lokalizacji, identyfikator internetowy (np. adres IP), a także czynniki określające tożsamość fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną.
• Administrator danych – podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Może to być osoba prawna, jednostka organizacyjna lub osoba fizyczna prowadząca działalność gospodarczą.
• Podmiot przetwarzający – jednostka, która przetwarza dane osobowe w imieniu administratora, np. firmy outsourcingowe, dostawcy usług IT czy biura rachunkowe.
• Osoba, której dane dotyczą – każda osoba fizyczna, której dane osobowe są przetwarzane przez administratora lub podmiot przetwarzający.
• Przetwarzanie danych osobowych – obejmuje szeroki katalog czynności, takich jak: zbieranie, utrwalanie, porządkowanie, przechowywanie, adaptowanie, modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie przez przesłanie, rozpowszechnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie oraz niszczenie danych.

Zasady przetwarzania danych osobowych

• Legalność, rzetelność i przejrzystość – przetwarzanie danych osobowych musi odbywać się zgodnie z prawem, w sposób uczciwy wobec osób, których dane dotyczą, oraz być transparentne, czyli jasne i zrozumiałe dla tych osób.
• Ograniczenie celu – dane osobowe powinny być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nie mogą być dalej przetwarzane w sposób niezgodny z tymi celami.
• Minimalizacja danych – przetwarzane mogą być wyłącznie te dane, które są niezbędne do realizacji określonego celu.
• Prawidłowość – dane osobowe muszą być prawidłowe i w razie potrzeby aktualizowane; należy podjąć wszelkie rozsądne działania, aby natychmiast usunąć lub sprostować dane nieprawidłowe.
• Ograniczenie przechowywania – dane osobowe należy przechowywać w formie umożliwiającej identyfikację osób tylko przez okres niezbędny do realizacji celów przetwarzania.
• Integralność i poufność – dane muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, przy użyciu odpowiednich środków technicznych i organizacyjnych.
• Rozliczalność – administrator danych jest zobowiązany do wykazania przestrzegania wszystkich zasad przetwarzania danych osobowych i ponosi odpowiedzialność za ich realizację.

Prawa osób, których dane dotyczą

1. Prawo dostępu do danych – osoba, której dane dotyczą, ma prawo uzyskać od administratora potwierdzenie, czy jej dane są przetwarzane, a jeśli tak – dostęp do nich oraz do informacji o celach, kategoriach danych i odbiorcach.
2. Prawo do sprostowania – umożliwia żądanie poprawienia nieprawidłowych lub uzupełnienia niekompletnych danych osobowych.
3. Prawo do usunięcia danych („prawo do bycia zapomnianym”) – przewiduje możliwość żądania usunięcia danych osobowych w określonych przypadkach, np. gdy dane nie są już niezbędne do celów, dla których zostały zebrane.

4. Prawo do ograniczenia przetwarzania – pozwala osobie zażądać ograniczenia przetwarzania jej danych w określonych sytuacjach, np. podczas weryfikacji prawidłowości danych.

5. Prawo do przenoszenia danych – umożliwia otrzymanie dostarczonych danych osobowych w ustrukturyzowanym, powszechnie używanym formacie oraz przeniesienie ich do innego administratora.

6. Prawo do sprzeciwu wobec przetwarzania – osoba, której dane dotyczą, może wnieść sprzeciw wobec przetwarzania jej danych na podstawie prawnie uzasadnionego interesu administratora lub w celach marketingowych.

W praktyce HR i na rynku pracy realizacja praw osób, których dane dotyczą, odbywa się m.in. poprzez tworzenie przejrzystych procedur obsługi wniosków pracowników i kandydatów dotyczących ich danych osobowych, wdrażanie odpowiednich narzędzi informatycznych umożliwiających dostęp oraz sprostowanie danych, a także prowadzenie rejestrów żądań i odpowiedzi. Kluczowe jest także zapewnienie łatwości składania wniosków oraz terminowe udzielanie odpowiedzi przez administratorów danych.

Obowiązki administratorów i podmiotów przetwarzających

Administratorzy i podmioty przetwarzające dane osobowe są zobowiązani do wdrażania odpowiednich środków technicznych i organizacyjnych, które zapewnią stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw i wolności osób fizycznych. Obowiązek ten obejmuje m.in. pseudonimizację i szyfrowanie danych, regularne testowanie oraz ocenę skuteczności zastosowanych środków. Wybór działań powinien być uzależniony od charakteru, zakresu, kontekstu i celów przetwarzania danych oraz prawdopodobieństwa i powagi ryzyka dla osób, których dane dotyczą.

• Prowadzenie rejestrów czynności przetwarzania danych – dokumentowanie wszystkich operacji na danych osobowych wraz z określeniem ich celu i podstawy prawnej.
• Analiza ryzyka – regularne przeprowadzanie oceny potencjalnych zagrożeń związanych z przetwarzaniem danych osobowych.

• Ocena skutków dla ochrony danych – przeprowadzanie szczegółowej analizy skutków planowanych operacji przetwarzania dla ochrony danych osobowych, zwłaszcza w przypadkach wysokiego ryzyka naruszenia praw osób fizycznych.

• Zgłaszanie naruszeń ochrony danych organowi nadzorczemu – administrator ma obowiązek niezwłocznie powiadomić właściwy organ nadzorczy o stwierdzonym naruszeniu ochrony danych osobowych, co do zasady nie później niż w ciągu 72 godzin od jego wykrycia.

• Informowanie osób, których dane dotyczą, o naruszeniu – w określonych przypadkach administrator zobowiązany jest poinformować także osoby, których dane zostały objęte naruszeniem, jeśli istnieje wysokie ryzyko dla ich praw i wolności.

RODO a HR i rynek pracy

Przetwarzanie danych osobowych w działach HR oraz na rynku pracy cechuje się szczególną specyfiką, wynikającą z zakresu, różnorodności oraz wrażliwości gromadzonych informacji. Dotyczy to danych pracowników, kandydatów do pracy, współpracowników oraz osób zatrudnionych na podstawie innych umów cywilnoprawnych. HR odpowiada za gromadzenie, przechowywanie i przetwarzanie danych niezbędnych do realizacji obowiązków pracodawcy, takich jak prowadzenie dokumentacji pracowniczej, obsługa procesu rekrutacji czy rozliczanie wynagrodzeń. Uwzględnia się przy tym zarówno dane podstawowe (np. imię, nazwisko, adres), jak i dane szczególnej kategorii.

Przetwarzanie szczególnych kategorii danych osobowych, takich jak informacje o stanie zdrowia, przynależności do związków zawodowych, przekonaniach religijnych czy pochodzeniu rasowym, jest dozwolone jedynie w ściśle określonych warunkach przewidzianych przez RODO. Pracodawca może przetwarzać takie dane tylko wtedy, gdy jest to niezbędne do realizacji obowiązków wynikających z prawa pracy, ochrony zdrowia i bezpieczeństwa pracy lub za wyraźną zgodą osoby, której dane dotyczą. Istnieją także szczególne ograniczenia dotyczące zakresu, celu i okresu przechowywania tych danych, a także obowiązek zapewnienia im podwyższonego poziomu ochrony.

• Treść i forma klauzul informacyjnych – pracodawcy i podmioty HR są zobowiązani do przekazywania osobom, których dane są przetwarzane, wyczerpujących informacji na temat celów, podstaw prawnych, odbiorców danych, okresu przechowywania oraz praw przysługujących osobom, których dane dotyczą. Klauzule powinny być sformułowane w sposób jasny i zrozumiały, zarówno w formie papierowej, jak i elektronicznej.
• Obowiązek przekazania klauzuli informacyjnej – klauzula powinna być udostępniona pracownikom i kandydatom najpóźniej w momencie pozyskania ich danych osobowych.

• Aktualizacja klauzul informacyjnych – w przypadku zmiany zakresu przetwarzania danych lub podstawy prawnej konieczne jest zaktualizowanie klauzuli i poinformowanie osób, których dane dotyczą.

• Procedura obsługi wniosków o realizację praw – opracowanie i wdrożenie procedur dotyczących przyjmowania, rozpatrywania i dokumentowania wniosków o dostęp, sprostowanie, usunięcie lub ograniczenie przetwarzania danych osobowych.

• Polityka retencji danych osobowych – określenie zasad dotyczących okresów przechowywania i usuwania danych w zależności od celu przetwarzania.
• Szkolenia z zakresu ochrony danych osobowych – regularne prowadzenie szkoleń dla pracowników działów HR w celu podnoszenia świadomości i kompetencji w zakresie ochrony danych.
• Wdrożenie środków technicznych i organizacyjnych – stałe podnoszenie poziomu zabezpieczeń, w tym kontrola dostępu do danych, szyfrowanie oraz monitorowanie systemów przetwarzania informacji.

Sankcje i odpowiedzialność za naruszenie RODO

• Sankcje administracyjne – organy nadzorcze mogą nakładać na administratorów i podmioty przetwarzające wysokie kary pieniężne za naruszenia przepisów RODO. Ich wysokość uzależniona jest od rodzaju i skali naruszenia, przy czym maksymalnie może wynosić do 20 mln euro lub 4% całkowitego rocznego światowego obrotu przedsiębiorstwa, w zależności od tego, która kwota jest wyższa.
• Upomnienia i ostrzeżenia – organ nadzorczy może udzielić upomnienia lub ostrzeżenia w przypadku stwierdzenia nieprawidłowości, które nie skutkują jeszcze poważnymi naruszeniami.
• Nakazy i zakazy przetwarzania – organ może nakazać administratorowi lub podmiotowi przetwarzającemu dostosowanie się do przepisów, ograniczyć lub zakazać przetwarzania danych.

Odpowiedzialność cywilna za naruszenia RODO obejmuje obowiązek naprawienia szkody wyrządzonej osobie, której dane dotyczą, w wyniku naruszenia przepisów o ochronie danych osobowych. Może mieć ona postać odszkodowania za straty materialne lub niematerialne. W niektórych przypadkach naruszenie RODO może skutkować także odpowiedzialnością karną, jeśli przetwarzanie danych odbywało się w sposób sprzeczny z prawem lub z naruszeniem obowiązków wynikających z innych aktów prawnych.

Organy nadzorcze, takie jak Prezes Urzędu Ochrony Danych Osobowych w Polsce, odgrywają kluczową rolę w egzekwowaniu przestrzegania przepisów RODO. Do ich zadań należy rozpatrywanie skarg, przeprowadzanie kontroli, nakładanie sankcji oraz wydawanie wytycznych dotyczących interpretacji i stosowania rozporządzenia.

Znaczenie RODO dla rynku pracy i praktyki HR

RODO wywarło istotny wpływ na procesy rekrutacji, selekcji, ewidencji oraz zarządzania personelem w organizacjach. Wdrożenie nowych regulacji wymusiło modyfikację procedur związanych z pozyskiwaniem i przetwarzaniem danych kandydatów do pracy oraz pracowników, w tym wprowadzenie szczegółowych klauzul informacyjnych, ograniczenie zakresu zbieranych danych oraz zapewnienie adekwatnych środków technicznych i organizacyjnych chroniących informacje. RODO wpłynęło również na konieczność dokumentowania czynności przetwarzania danych oraz wprowadzenie procedur obsługi wniosków dotyczących realizacji praw osób, których dane dotyczą.

Znaczenie kultury ochrony danych osobowych w środowisku pracy stale rośnie. Przestrzeganie przepisów RODO przekłada się nie tylko na bezpieczeństwo prawne i finansowe organizacji, ale również na budowanie zaufania w relacjach z pracownikami i kandydatami. Wysoka świadomość w zakresie ochrony danych osobowych sprzyja tworzeniu odpowiedzialnego i etycznego środowiska pracy, w którym poszanowanie prywatności traktowane jest jako jeden z kluczowych elementów zarządzania zasobami ludzkimi.

• Prowadzenie regularnych szkoleń i działań edukacyjnych – podnoszenie wiedzy pracowników na temat ochrony danych i aktualnych prz

Powiązane pojęcia

• Ogólne rozporządzenie o ochronie danych
• Dane osobowe
• Ochrona danych
• Kodeks postępowania
• Administrator danych osobowych