Kara za niezgodne z RODO przetwarzanie danych pracowniczych

Artykuł

Kara za niezgodne z RODO przetwarzanie danych pracowniczych

Biuletyn prawny: Finanse i bankowość | marzec 2020 r.

RODO wprost wskazuje sytuacje, w których dochodzi do przetwarzania danych osobowych pracowników w związku z zatrudnieniem. Na każdym z etapów konieczne jest zapewnienie przestrzegania przepisów Rozporządzenia.

Dane osobowe pracowników mogą być przetwarzane w szczególności do celów rekrutacji, wykonania umowy o pracę, w tym wykonania obowiązków określonych przepisami lub porozumieniami zbiorowymi, zarządzania, planowania i organizacji pracy, równości i różnorodności w miejscu pracy, bezpieczeństwa i higieny pracy, ochrony własności pracodawcy lub klienta oraz do celów indywidualnego lub zbiorowego wykonywania praw i korzystania ze świadczeń związanych z zatrudnieniem, a także do celów zakończenia stosunku pracy.

Naruszenie przepisów Rozporządzenia w zakresie danych pracowniczych może skutkować nałożeniem kary przez organ nadzorczy. Przekonała się o tym jedna z greckich firm.

W lipcu 2019 roku grecki urząd ochrony dany (Hellenic Data Protection Authority) nałożył na przedsiębiorcę karę w wysokości 150 000 euro za naruszenie przepisów RODO. Spółka pobierała od pracowników zgody na przetwarzanie ich danych osobowych, podczas gdy właściwa podstawa do przetwarzania danych była inna (wykonanie umowy o pracę, realizacja obowiązku prawnego ciążącego na administratorze, czy uzasadniony interes).

Grecki nadzór wskazał, iż ukarany podmiot, zignorował zasadę przejrzystości i naruszył art. 13 ust. 1 lit. c oraz art. 14 ust. 1 lit. c RODO poprzez stworzenie pracownikom fałszywego wrażenia o przetwarzaniu ich danych osobowych na podstawie wyrażonej zgody, podczas gdy w rzeczywistości przetwarzanie odbywało się na innej podstawie prawnej, o której pracownicy nigdy nie zostali poinformowani.

Grecki organ nadzoru stwierdził ponadto, że administrator naruszył zasadę rozliczalności, wyrażoną w art. 5 ust. 2 RODO. Ukarany podmiot nie wywiązał się bowiem z obowiązku dostarczenia na wniosek organu nadzoru wewnętrznej dokumentacji, zawierającej analizę, potwierdzającą zasadność wyboru zastosowanej podstawy prawnej. Przeprowadzenie analizy, mającej na celu ustalenie podstawy prawnej przetwarzania, powinno poprzedzać tworzenie każdego nowego procesu, a jedynie jej udokumentowanie – zapewni zgodność z zasadą rozliczalności.

 

Autor:

Agata Jankowska-Galińska, Radca prawny

RODO

Rozporządzenie o Ochronie Danych Osobowych

Dowiedz się więcej
Czy ta strona była pomocna?