Rosnące znaczenie ochrony danych osobowych przy kontroli zwolnień chorobowych
Zbliżające się zmiany w unijnym prawie dotyczącym ochrony danych osobowych wpływają na politykę zarządzania kadrami firm i jednocześnie na audyt absencji chorobowej. Powołanie administratora bezpieczeństwa informacji (ABI) staje się dla firm gwarantem przestrzegania zaleceń Generalnego Inspektora Ochrony Danych Osobowych (GIODO) – zarówno na gruncie aktualnie obowiązujących przepisów jak i nadchodzących zmian.
25 maja 2018 roku we wszystkich krajach Unii Europejskiej rozpocznie się formalne stosowanie Ogólnego Rozporządzenia o Ochronie Danych Osobowych, tzw. RODO. W tym dniu RODO stanie się uniwersalną dla wszystkich krajów członkowskich normą prawną w kwestii ochrony danych osobowych. Głównymi zmianami towarzyszącymi RODO jest poszerzenie zakresu obowiązków administratorów danych osobowych oraz podmiotów przetwarzających takie dane na zlecenie, jak również wyposażenie osób fizycznych i organów nadzorujących w szeroki wachlarz narzędzi reagowania na naruszenia RODO. Zmienia się również charakter administratora bezpieczeństwa informacji (ABI) – od 25 maja 2018 roku stanowisko nazywać będzie się Inspektorem Ochrony Danych (IOD), natomiast jego powołanie będzie w wielu przypadkach obowiązkowe, a nie fakultatywne, jak ma miejsce obecnie powołanie funkcji ABI.
Rozwój technologii i rozbieżności w ustawodawstwach krajów UE powodem zmian
RODO formalnie zastępuje wdrożoną w połowie lat 90. unijną dyrektywę 95/46/WE. Na podstawie tej dyrektywy obowiązuje w Polsce aktualna ustawa o ochronie danych osobowych (w tym roku obchodzi swoje 20-lecie obowiązywania). Twórcy dyrektywy nie mogli przewidzieć wielu istotnych dla ochrony danych wydarzeń i przemian, związanych głównie z rozwojem technologii informatycznych. Na przestrzeni ostatnich lat wykorzystywanie nowoczesnych systemów informatycznych przez przedsiębiorców dostarczyło nowych możliwości operacyjnych, ale jednocześnie przyniosło wiele zagrożeń dla ochrony danych osobowych. Tylko w samym obszarze HR (Human Resources) standardem stało się wykorzystywanie systemów kadrowych opartych o technologie ERP, przeprowadzanie procesów rekrutacji z wykorzystaniem portali społecznościowych, czy też zarządzanie procesem zatrudnienia i świadczeniami z tym związanymi w oparciu o profilowanie danych – zagadnienia nieznane dzisiejszym regulacjom prawnym. W dodatku, aktualnie stosowana dyrektywa 95/46/WE została wdrożona do ustawodawstw poszczególnych państw UE na zróżnicowanym poziomie, co w praktyce bardzo utrudnia funkcjonowanie międzynarodowym grupom kapitałowym m.in. ze względu na zróżnicowane rozwiązania prawne związane z transferem kadrowych danych osobowych pomiędzy podmiotami z grupy zlokalizowanymi w różnych państwach.
Wysokie kary
Jak dotąd, GIODO nie miał możliwości prawnych nałożenia kary finansowej bezpośrednio z tytułu wykrycia naruszeń. Ewentualną grzywnę mógł nałożyć wyłącznie w przypadku, gdy konkretny przedsiębiorca nie zastosował się do jego zaleceń pokontrolnych w wyznaczonym terminie. W celu wymuszenia przestrzegania nowych wymagań wynikających z RODO, organ nadzorczy będzie mógł nałożyć karę bezpośrednio w ramach decyzji stwierdzającej naruszenie przepisów, a sama kara będzie mogła sięgnąć kwoty nawet 20 mln EUR lub do wysokości 4% rocznego międzynarodowego obrotu.
Kontrola zwolnień chorobowych z zachowaniem ochrony danych osobowych
Kontrola zwolnień chorobowych opiera się na analizie i przetwarzaniu danych osobowych pracowników, w tym ich danych wrażliwych (w szczególności dotyczących ich stanu zdrowia) – tłumaczy mec. Jakub Wezgraj, pełniący funkcję ABI w firmie Conperio specjalizującej się w problematyce absencji chorobowej. Jako podmiot zarządzający tymi danymi na zlecenie pracodawców – klientów Conperio – musimy zwracać szczególną uwagę na zachowanie wszystkich niezbędnych norm bezpieczeństwa dotyczących ich gromadzenia, przechowywania i dalszego przetwarzania. Jest to niezwykle istotne nie tylko ze względu na ochronę praw samych pracowników, ale również bezpieczeństwo prawne ich pracodawców, którzy zlecają Conperio przeprowadzanie kontroli zwolnień chorobowych. RODO wprowadza bowiem bardzo restrykcyjne rozwiązania w zakresie odpowiedzialności pracodawców za przetwarzanie danych osobowych – zarówno gdy te czynności realizują samodzielnie, jak i wówczas, gdy ich realizację zlecają innym podmiotom. Firma Conperio daje gwarancję, że pracodawcy powierzają przetwarzanie danych osobowych swoich pracowników w dobre ręce i nie narażają się na niepotrzebną odpowiedzialność w tym zakresie. Często wręcz zauważamy, że proponowane przez nas standardy ochrony danych są wyższe, niż te występujące u naszych Zleceniodawców.
Obecność ABI stanowi gwarancję prawidłowego i – przede wszystkim – bezpiecznego przechowywania, analizowania oraz przetwarzania danych osobowych. W przypadku firmy Conperio są to również dane wrażliwe, nad którymi należy sprawować szczególną pieczę, zwłaszcza że zbliżające się RODO poszerzy zakres danych osobowych uznawanych za „wrażliwe”.
Patrząc przyszłościowo, Conperio powołało na stanowisko administratora bezpieczeństwa informacji radcę prawnego Jakuba Wezgraja, wieloletniego praktyka i eksperta w dziedzinie ochrony danych osobowych z kancelarii prawnej „ODOekspert”. Kiedy zacznie obowiązywać RODO, wdrożenie nowego zakresu odpowiedzialności związanego z przekształceniem funkcji ABI w funkcję Inspektora Ochrony Danych (IOD) odbędzie się płynnie i w naturalny sposób, co jest niezwykle istotne w przypadku firmy zarządzającej ogromnymi ilościami danych osobowych, w tym danych wrażliwych.