Długo wyczekiwana, polska ustawa o sygnalistach wejdzie w życie już 25 września 2024 r. Oznacza to, że pracodawcy już teraz powinni przygotowywać właściwe procedury lub przynajmniej zaktualizować już funkcjonujące pod kątem nowych regulacji.
Zgodnie z zapisami ww. ustawy naruszeniem prawa jest działanie lub zaniechanie niezgodne z prawem lub mające na celu obejście prawa, dotyczące m.in. ochrony danych osobowych. Dlatego też zalecamy poza wprowadzaniem nowych procedur dotyczących sygnalistów dokonać także weryfikacji procedur i dokumentacji z zakresu ochrony danych osobowych.
Nadchodzące zmiany prawne a potrzeba aktualizacji procedur ochrony danych osobowych
Długo wyczekiwana, polska ustawa o sygnalistach wejdzie w życie już 25 września 2024 r.. Oznacza to, że pracodawcy już teraz powinni przygotowywać właściwe procedury lub przynajmniej zaktualizować już funkcjonujące pod kątem nowych regulacji.
Zgodnie z zapisami ww. ustawy naruszeniem prawa jest działanie lub zaniechanie niezgodne z prawem lub mające na celu obejście prawa, dotyczące m.in. ochrony danych osobowych. Dlatego też zalecamy poza wprowadzaniem nowych procedur dotyczących sygnalistów dokonać także weryfikacji procedur i dokumentacji z zakresu ochrony danych osobowych.
Procedury muszą być skuteczne i aktualne
Zgodnie z art. 24 RODO Obowiązkiem administratora danych osobowych jest wdrażanie odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie danych osobowych odbywało się zgodnie z prawem i aby móc to wykazać w przypadki potencjalnej kontroli.
Środki te powinny być poddawane przeglądom i uaktualniane. Co oznacza, że niezbędne jest ich regularne dostosowywanie do zmieniających się warunków panujących w firmie, a także wychodząc naprzeciw zmieniającym się przepisom i interpretacjom prawnym.
Dane osobowe też powinny być aktualne i prawidłowe
Warto pamiętać, że nie tylko środki techniczne i organizacyjne służące ochronie danych osobowych powinny być na bieżąco uaktualniane i modyfikowane w zależności od potrzeb, ale również same dane osobowe, które są przetwarzane przez firmę.
Muszą być one bowiem prawidłowe, a w razie potrzeby uaktualniane. Oznacza to, że administrator powinien podjąć działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane.
Odpowiedzialność administratora
Za przestrzeganie zasad dotyczących przetwarzania danych osobowych i prawidłową realizację czynności w tym zakresie jest odpowiedzialny administrator (firma). Oznacza to obowiązek weryfikacji istniejących procedur, wprowadzania nowych, a także przygotowywanie i zmiana dokumentów przygotowanych na potrzeby wdrożenia ochrony danych osobowych, w szczególności rejestru czynności przetwarzania, upoważnień, a razie konieczności również oceny skutków dla ochrony danych.
Weryfikacja ww. procedur i dokumentacji powinna być regularna, ale szczególną uwagę należy zwrócić na wszelkie zmiany organizacyjne wpływające właśnie na wewnętrzne procedury.
Szczególna ostrożność w prawie pracy
Chociaż przetwarzanie danych osobowych dotyczy co do zasady każdego działu danej firmy, to jednak w działach personalnych przetwarza się dane osobowe szczególnej kategorii jak np. dane dotyczące zdrowia pracowników.
Warto przy tym wskazać na wyrok Sądu Najwyższego o sygn. akt II PSKP 7/21, zgodnie z którym pracodawca zlecający prowadzenie postępowania antymobbingowego podmiotowi trzeciemu ponosi jako administrator danych osobowych odpowiedzialność za naruszenie dóbr osobistych pracownika, którego dane osobowe zostały przekazane z naruszeniem przepisów o ochronie danych osobowych. W przedmiotowej sprawie podmiotowi zewnętrznemu zostały przekazane dane dotyczące zdrowia pracownicy, pomimo że ich przekazanie nie było niezbędne do zbadania sprawy, a ponadto pracownica nie wyraziła zgody na ich przekazanie.
Zwracamy również uwagę na wskazówki UODO w zakresie przechowywania dokumentacji pracowniczej. Tytułem przykładu, w zakresie orzeczeń o niepełnosprawności pracodawcy powinno przynajmniej raz na 5 lat przeprowadzić przegląd przydatności przetwarzania danych osobowych. Ocenie będzie w tym zakresie podlegać ich niezbędność dla osiągnięcia określonych i uzasadnionych celów.
Podsumowanie
Niezależnie od nadchodzących zmian prawnych, warto mieć na względzie, że ochrona danych osobowych to proces dynamiczny i co do zasady zmieniający się razem z daną organizacją. Tym samym wymaga ona regularności i bieżącej aktualizacji. Co więcej, nie możemy zapominać o ciągłym rozwoju technicznym i technologicznym, który wpływa na bezpieczeństwo danych i możliwe do zastosowania środki ich ochrony.
Potencjalne naruszenia w zakresie ochrony danych osobowych mogą skutkować nie tylko ewentualnymi roszczeniami ze strony np. pracowników, ale również karami administracyjnymi i potencjalnymi szkodami wizerunkowymi. Z uwagi na negatywne konsekwencje zachęcamy do przeglądu wdrożonych procedur i przygotowanej dokumentacji, a także weryfikacji przetwarzanych danych osobowych pod kątem zarówno ich prawidłowości, aktualności jak również celów ich przetwarzania.
W razie pytań lub wątpliwości zachęcamy do kontaktu z Kancelarią.
Autorzy:
Maria Aleksiejak, Aplikantka radcowska
Krzysztof Łakomski, LL.M., radca prawny
