Artykuł

Kara za niezgodne z RODO przetwarzanie danych pracowniczych

Biuletyn prawny dla branży finansowej | marzec 2020 r.

RODO wprost wskazuje sytuacje, w których dochodzi do przetwarzania danych osobowych pracowników w związku z zatrudnieniem. Na każdym z etapów konieczne jest zapewnienie przestrzegania przepisów Rozporządzenia.

Dane osobowe pracowników mogą być przetwarzane w szczególności do celów rekrutacji, wykonania umowy o pracę, w tym wykonania obowiązków określonych przepisami lub porozumieniami zbiorowymi, zarządzania, planowania i organizacji pracy, równości i różnorodności w miejscu pracy, bezpieczeństwa i higieny pracy, ochrony własności pracodawcy lub klienta oraz do celów indywidualnego lub zbiorowego wykonywania praw i korzystania ze świadczeń związanych z zatrudnieniem, a także do celów zakończenia stosunku pracy.

Naruszenie przepisów Rozporządzenia w zakresie danych pracowniczych może skutkować nałożeniem kary przez organ nadzorczy. Przekonała się o tym jedna z greckich firm.

W lipcu 2019 roku grecki urząd ochrony dany (Hellenic Data Protection Authority) nałożył na przedsiębiorcę karę w wysokości 150 000 euro za naruszenie przepisów RODO. Spółka pobierała od pracowników zgody na przetwarzanie ich danych osobowych, podczas gdy właściwa podstawa do przetwarzania danych była inna (wykonanie umowy o pracę, realizacja obowiązku prawnego ciążącego na administratorze, czy uzasadniony interes).

Grecki nadzór wskazał, iż ukarany podmiot, zignorował zasadę przejrzystości i naruszył art. 13 ust. 1 lit. c oraz art. 14 ust. 1 lit. c RODO poprzez stworzenie pracownikom fałszywego wrażenia o przetwarzaniu ich danych osobowych na podstawie wyrażonej zgody, podczas gdy w rzeczywistości przetwarzanie odbywało się na innej podstawie prawnej, o której pracownicy nigdy nie zostali poinformowani.

Grecki organ nadzoru stwierdził ponadto, że administrator naruszył zasadę rozliczalności, wyrażoną w art. 5 ust. 2 RODO. Ukarany podmiot nie wywiązał się bowiem z obowiązku dostarczenia na wniosek organu nadzoru wewnętrznej dokumentacji, zawierającej analizę, potwierdzającą zasadność wyboru zastosowanej podstawy prawnej. Przeprowadzenie analizy, mającej na celu ustalenie podstawy prawnej przetwarzania, powinno poprzedzać tworzenie każdego nowego procesu, a jedynie jej udokumentowanie – zapewni zgodność z zasadą rozliczalności.

Autor:

Agata Jankowska-Galińska, Radca prawny

RODO

Rozporządzenie o Ochronie Danych Osobowych

Dowiedz się więcej

Kontakt

Julia Rojewska

Aplikantka adwokacka, Managing Associate

jrojewska@deloittece.com

Julia jest Associate w Zespole Finansów i Bankowości kancelarii Deloitte Legal. Jej doświadczenie obejmuje udział w projektach z zakresu ochrony danych osobowych obejmujących audyt pod kątem zgodności... Więcej

Audit & Assurance

Consulting

Doradztwo podatkowe

Zarządzanie ryzykiem

Doradztwo prawne

Deloitte Digital

Forensic, AML i compliance

Cloud Transformation

Doradztwo finansowe

Outsourcing finansowy i płacowy

Administracja i Sektor Publiczny

Deloitte Private

Dobra konsumenckie

Energia, Surowce i Przemysł

Life Sciences i ochrona zdrowia

Sektor finansowy

Technologie, media i telekomunikacja

Studenci i Absolwenci

Specjaliści

Alumni

Wydarzenia rekrutacyjne

Wyszukiwarka ofert pracy i praktyk

Kara za niezgodne z RODO przetwarzanie danych pracowniczych

RODO

Kontakt

Julia Rojewska

Aplikantka adwokacka, Managing Associate

Rekomendowane strony