Zasady ogólne
Generalne reguły przetwarzania danych osobowych określa art. 5 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE... (Dz. Urz. UE L 119/1 z 04.05.2016), dalej RODO. Przepis ten zobowiązuje każdego pracodawcę, jako administratora danych (osobę fizyczną, prawną, podmiot publiczny, inne jednostki i podmioty ustalające cele i sposoby przetwarzania danych osobowych), do przetwarzania danych osobowych w myśl następujących zasad:
- zgodności z prawem, rzetelności i przejrzystości - dopuszczono przetwarzanie danych uzyskanych na podstawie dobrowolnej zgody osoby, której dotyczą lub na innej uzasadnionej podstawie przewidzianej prawem; pracownik musi wiedzieć kto, w jakim celu i na jakiej podstawie prawnej zbiera i przetwarza jego dane osobowe, a informację na ten temat powinien otrzymać (lub mieć do niej łatwy dostęp) w prostym i przystępnym języku (motywy 39-47, 58 i 60 preambuły RODO),
- ograniczenia co do celu - dane są zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach, wynikających ze stosunków pracy oraz obowiązków podatkowo-składkowych i innych przepisów, o których pracodawca informuje pracowników w momencie zbierania danych (motywy 39, 50 i 61 preambuły oraz art. 13-14 RODO),
- minimalizacji danych - gromadzone są wyłącznie te dane osobowe, które są niezbędne do wyznaczonych celów (motyw 39 preambuły RODO),
- prawidłowości - zgromadzone dane mają być prawidłowe (uaktualniane), a nieprawidłowe - niezwłocznie prostowane lub usuwane (motywy 39 i 65 preambuły oraz art. 16-17 RODO),
- ograniczenia przechowywania - okres przechowywania danych ma być zredukowany do minimum, adekwatnego do celu ich przetwarzania, zgodnie z przepisami o archiwizacji dokumentacji pracowniczej,
- integralności i poufności - zapewnienie danym osób zatrudnionych bezpieczeństwa, ochrony przed niedozwolonym i niezgodnym z prawem przetwarzaniem, utratą, zniszczeniem lub uszkodzeniem, przy użyciu odpowiednich środków technicznych i organizacyjnych - dostęp do danych mogą mieć tylko osoby upoważnione, które są zobowiązane do zachowania tajemnicy (motyw 39 preambuły oraz art. 9 ust. 3 i art. 29 RODO),
- rozliczalności - możliwość wykazania, że przedstawione wyżej zasady są przestrzegane (art. 5 ust. 2 RODO).
Reguły te powinny znaleźć swoje odbicie w regulacjach wewnątrzfirmowych. W polityce bezpieczeństwa pracodawca, mimo złagodzenia wymogów co do funkcjonalności systemów informatycznych, dodatkowo powinien umieścić gwarancje:
- pseudonimizacji i szyfrowania danych,
- poufności, integralności, dostępności i odporności
systemów i usług przetwarzania,
- zdolności do szybkiego przywrócenia dostępności
danych osobowych i dostępu do nich w razie
incydentu fizycznego lub technicznego,
- regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych.
Zapewnienia bezpieczeństwa wymaga art. 32 RODO, w tym na etapie projektowania (np. zatwierdzony mechanizm certyfikacji, którego zasady pozyskiwania reguluje ustawa krajowa).
| Jeśli nie znalazłeś informacji, której szukasz, wejdź do serwisu | ||
| www.KodeksPracy.pl » |
Serwis Głównego Księgowego
Gazeta Podatkowa
z obszernym komentarzem »
Firma »
Aplikacja mobilna dla Księgowych »
Księgowego,Kadrowego,VAT »
Serwisy internetowe »
Pobierz darmową aplikację »
Posłuchaj »
Terminarz
20.11.2024 (środa)
16.12.2024 (poniedziałek)
DRUKI
Darmowe druki aktywne
WSKAŹNIKI
Bieżące wskaźniki wraz z archiwum
KALKULATORY
Narzędzia księgowego i kadrowego
PRZEPISY PRAWNE - Prawo pracy
Ustawy, rozporządzenia - teksty ujednolicone
FORUM - Prawo pracy
Forum aktywnych księgowych i kadrowców
| ||||||||||||
|
||||||||||||