Firmy mają już niewiele czasu na dostosowanie się do unijnych wymogów w zakresie ochrony danych osobowych – alarmuje Stowarzyszenie Agencji Zatrudnienia. Te, które nie zdążą, muszą liczyć się z karami – do 20 mln euro.
– 25 maja 2018 r. wejdą w życie regulacje zwane RODO. Unia chce zwiększenia poziomu ochrony danych i ujednolicenia przepisów na jej terenie – przypomina Iwona Szmitkowska, prezes Stowarzyszenia Agencji Zatrudnienia, wiceprezes Work Service SA.
Agencje rekrutacyjne czy działy HR gromadzące i przetwarzające dane pracowników i kandydatów są też ich administratorami. Nowe regulacje nałożą i na nie więcej obowiązków. A rok na dostosowanie się do nowych przepisów to niewiele, biorąc pod uwagę skalę zmian.
– Wdrożenie rozporządzenia będzie się wiązało z koniecznością przeszkolenia kadry. Oraz sporymi wydatkami na informatyzację procesów gromadzenia i przetwarzania danych – zarówno w procesach rekrutacyjnych, jak i kadrowo-płacowych czy szkoleniowych – komentuje prezes SAZ.
Dane pracownika będzie można wykorzystywać tylko na podstawie jego dobrowolnego i świadomego wyrażenia woli na przetwarzanie danych osobowych w konkretnym celu.
– W praktyce oznacza to, że np. w procesie rekrutacji trzeba będzie poinformować kandydata m.in. o celach przetwarzania danych osobowych, okresie, przez który będą one przechowywane, odbiorcach danych czy o prawie wniesienia skargi do organu nadzorczego. Dodatkowo rozporządzenie wprowadza wymóg określenia czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje odmowy – wylicza Szmitkowska.
Według RODO zgoda nie będzie mogła być domniemana, a użytkownicy będą mieli prawo do jej cofnięcia, przy czym będzie to musiało być równie łatwe jak i jej wyrażenie. – Zmiana może okazać się kosztowna dla pracodawców oraz agencji pośrednictwa pracy, bo wymagać będzie rewizji i często wymiany formularzy dotyczących tej zgody – wyjaśnia Iwona Szmitkowska.
Rozporządzenie przewiduje również prowadzenie przez każdego administratora rejestru czynności przetwarzania danych osobowych. Powinien on zawierać m.in. nazwę oraz dane kontaktowe administratora, cele przetwarzania, opis kategorii osób, których dane dotyczą, czy kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, (jeżeli jest to możliwe).
Kary za niestosowanie się do nowych regulacji będą zdecydowanie bardziej dotkliwe niż dotychczas. Mogą wynieść do 20 mln euro, a w przypadku przedsiębiorstwa nawet do 4 proc. całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
W razie wycieku danych osobowych ich administratorzy będą zobowiązani zgłaszać to do GIODO oraz informować osoby, których dane wyciekły. SAZ przestrzega też, że firmy mogą spodziewać się zwiększenia częstotliwości kontroli.