Opis

Co w praktyce zmieniło rodo w pracy działów kadr i płac oraz HR? Jakie informacje dotyczące pracownika stanowią dane osobowe, które należy chronić? Jak postępować z danymi w procesie rekrutacyjnym, przy zawieraniu i rozwiązywaniu umowy o pracę? Co zrobić, gdy utracimy kontrolę nad zgromadzonymi informacjami?

Autorzy omawiają obowiązki związane z gromadzeniem, przetwarzaniem i zabezpieczaniem informacji pracowniczych oraz ich trwałym usunięciem lub zniszczeniem. Opisują praktyczne przykłady dotyczące: monitoringu korespondencji służbowej i komputera, wykorzystywania wizerunku pracowników, użytkowania i zabezpieczania urządzeń przenośnych oraz przygotowania do kontroli PUODO.

W książce zostały wyjaśnione zasady ochrony danych osobowych, m.in. w ramach:

  • pozyskiwania i przetwarzania danych pracowników,
  • prowadzenia rozmowy kwalifikacyjnej i współpracy z agencjami rekrutacyjnymi,
  • nawiązywania oraz rozwiązywania stosunku pracy,
  • ewidencji czasu pracy i informowania o planach urlopowych,
  • udzielania informacji podmiotom trzecim na prośbę lub za zgodą pracownika.

Ponadto opisano obowiązki pracodawcy związane z przetwarzaniem danych osobowych w chmurze publicznej i prywatnej oraz zagadnienia dotyczące outsourcingu usług w obszarze HR. Do opracowania została dołączona płyta CD, na której znajdują się przydatne wzory dokumentów związanych z przetwarzaniem i udostępnianiem danych pracowników.

Agata Cisowska:

HR manager w Olesiński i Wspólnicy sp.k. Posiada wieloletnie doświadczenie w pracy w działach personalnych dużych przedsiębiorstw, co zaowocowało praktyczną znajomością zagad­nień z wielu obszarów zarządzania zasobami i relacjami ludzkimi. Zajmowała się projektami wdrożenia narzędzi informatycznych dla HR. Specjalizuje się w zagadnieniach związanych z rozwojem orga­nizacji i personelu oraz outsourcingiem funkcji HR. Członek think tanku HR Influencers.

Andrzej Boboli:

Senior consultant w Olesiński & Wspólnicy sp.k., doradza na gruncie rodo m.in. europejskim liderom branży e-commerce, chemicznej i produkcyjnej. Projektował systemy transgranicznych transferów danych oraz uczestniczył w zespołach wprowadzających na polski rynek pierwsze rozwiązania typu cloud. Regularnie publi­kuje w dziennikach ogólnopolskich i prasie branżowej.

Grzegorz Leśniewski:

Adwokat, założyciel butikowej kancelarii Le­śniewski Legal specjalizującej się m.in. w tematyce ochrony danych osobowych, inspektor ochrony danych (IOD). Od 2011 r. doradza w strategicznych tematach znajdujących się na styku prawa i nowo­czesnych technologii, w tym także pracodawcom zatrudniającym tysiące osób na całym świecie. Przeprowadził dziesiątki audytów, uczestniczył we wdrażaniu rodo m.in. w globalnej firmie telekomu­nikacyjnej oraz jej spółkach zależnych znajdujących się w Europie, USA oraz Azji. Autor książek i wielu publikacji branżowych, prele­gent podczas licznych konferencji.

Kamila Koszewicz:

Adwokat, global privacy counsel odpowiedzial­na za kwestie przetwarzania danych osobowych w globalnej gru­pie spółek technologicznych. Od 2010 r. doradza liderom rynku i międzynarodowym grupom kapitałowym. Projektowała i wdra­żała systemy przetwarzania danych osobowych, w tym w obszarze rekrutacji i zatrudnienia oraz transgranicznego przetwarzania da­nych, a także realizowała kompleksowe audyty i badania due dili­gence. Autorka licznych publikacji i książek o tej tematyce.

Mateusz Borkiewicz:

Adwokat, manager zarządzający zespołem obsłu­gującym liderów rynku e-commerce w Olesiński & Wspólnicy sp.k. Na co dzień doradza w obszarach związanych z ochroną danych osobowych, zwłaszcza w kontekście sprzedaży konsumenckiej i świadczenia usług drogą elektroniczną, w tym cloud computingu, z uwzględnieniem kontekstu transgranicznego. Prelegent oraz au­tor publikacji branżowych.

Spis treści

Wykaz skrótów
Wstęp

Rozdział 1. Praktyczny leksykon
1.1. ABI
1.2. ADO
1.3. Dane osobowe
1.4. Dane osobowe wrażliwe
1.5. EOG
1.6. GIODO
1.7. Inspektor ochrony danych
1.8. Instrukcja zarządzania systemem informatycznym
1.9. Ocena skutków przetwarzania dla ochrony danych
1.10. Polityka bezpieczeństwa
1.11. Podmiot przetwarzający (procesor)
1.12. Powierzenie przetwarzania danych osobowych
1.13. Prezes Urzędu Ochrony Danych Osobowych (PUODO)
1.14. Przekazywanie danych osobowych
1.15. Przetwarzanie danych osobowych
1.16. Rejestr czynności przetwarzania danych osobowych (rejestr)
1.17. Ogólne rozporządzenie o ochronie danych
1.18. Ujawnienie danych osobowych
1.19. Ustawa o ochronie danych osobowych
1.20. Zbiór danych

Rozdział 2. Dane osobowe w HR: podstawowe zasady i obowiązki
2.1. Dane osobowe w HR. Kiedy mamy do czynienia z danymi osobowymi
2.2. Podstawy przetwarzania danych osobowych
2.2.1. Dane osobowe „zwykłe”
2.2.2. Dane zaliczane do „wrażliwych”
2.2.3. Dane osobowe w stosunku pracy
2.2.4. Dane osobowe w stosunkach cywilnoprawnych
2.3. Kluczowe zasady przetwarzania danych osobowych
2.3.1. Celowość przetwarzania danych
2.3.2. Adekwatność przetwarzania danych
2.3.3. Privacy by design i privacy by default
2.4. Bezpieczeństwo danych
2.4.1. Ogólne zasady pracy z danymi osobowymi
2.4.2. Poziomy bezpieczeństwa w poprzedniej uodo
2.4.3. Bezpieczeństwo przetwarzania danych osobowych na gruncie rodo
2.5. Gromadzenie danych – obowiązki informacyjne administratora
2.5.1. Obowiązki informacyjne na gruncie rodo
2.6. Przekazywanie danych osobowych

2.6.1. Powierzenie danych do przetwarzania (outsourcing – utrzymanie kontroli nad przetwarzaniem)
2.6.2. Udostępnianie danych osobowych (utrata kontroli nad przetwarzaniem)
2.6.3. Przekazywanie w Polsce lub w ramach EOG
2.6.4. Przekazywanie danych poza EOG (do państwa trzeciego)
2.7. Prawa osób, których dane dotyczą
2.8. Dokumentacja przetwarzania danych osobowych
2.8.1. Polityka bezpieczeństwa
2.8.2. Instrukcja zarządzania systemami informatycznymi
2.8.3. Upoważnienia do przetwarzania danych osobowych
2.8.4. Dokumentacja przetwarzania danych na gruncie rodo
2.9. Odpowiedzialność za naruszenia, konsekwencje i sankcje

Rozdział 3. Cykl życia danych w HR
3.1. Rekrutacja
3.1.1. Pozyskiwanie danych kandydatów
3.1.2. Przetwarzanie pozyskanych danych w ramach działu kadr
3.1.3. Background screening
3.1.4. Rozmowa kwalifikacyjna
3.1.5. Współpraca z agencjami rekrutacyjnymi
3.2. Okres zatrudnienia
3.2.1. Nawiązanie stosunku pracy (jakie nowe dane mogę przetwarzać)
3.2.2. Ewidencja czasu pracy
3.2.3. Nieobecność w pracy
3.2.4. Zakładowy fundusz świadczeń socjalnych
3.2.5. Uprawnienia związane z rodzicielstwem (przetwarzanie danych członków rodziny)
3.2.6. Pracownicze akta osobowe
3.3. Przetwarzanie danych osobowych po zakończeniu umowy o pracę
3.4. Udzielanie informacji dotyczących zatrudnionych
3.4.1. Udzielanie informacji w ramach struktury pracodawcy
3.4.2. Udzielanie informacji związkom zawodowym
3.4.3. Przekazywanie danych innym podmiotom (w tym w ramach grupy kapitałowej)
3.4.4. Udzielanie informacji podmiotom trzecim na prośbę lub za zgodą pracownika (np. banki)

Rozdział 4. Studium przypadku
4.1. Outsourcing czynności związanych z działalnością HR (w tym w ramach grupy kapitałowej)
4.1.1. Zlecenie usług
4.1.2. Powierzenie do przetwarzania a upoważnienie do przetwarzania
4.2. Monitoring pracy
4.2.1. Monitoring obrazu
4.2.2. Monitoring korespondencji i komputera służbowego
4.2.3. Monitorowanie lokalizacji
4.3. Wykorzystywanie wizerunku osób zatrudnionych
4.4. Przetwarzanie danych osobowych w chmurze (cloud computing)
4.4.1. Chmura obliczeniowa a dane osobowe
4.4.2. Rodzaje chmury obliczeniowej
4.4.3. Wybór dostawcy chmury obliczeniowej
4.4.4. Obowiązki ADO związane z przetwarzaniem danych osobowych w chmurze obliczeniowej
4.5. Urządzenia przenośne (laptopy, telefony, tablety) – wykorzystywanie ich w firmie
4.5.1. Zabezpieczenie urządzeń
4.5.2. Szczególne środki ostrożności
4.6. Kontrola PUODO
4.6.1. Kontrola
4.6.2. Po kontroli

Rozdział 5. Wzory dokumentów
5.1. Wzór umowy powierzenia danych osobowych do przetwarzania (rodo)
5.2. Wzór instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych dostosowanej do rodo
5.3. Wzór polityki bezpieczeństwa
5.4. Wzór upoważnienia do przetwarzania danych osobowych
5.5. Wzór ewidencji osób upoważnionych do przetwarzania danych osobowych
5.6. Wzór rejestru czynności przetwarzania danych osobowych
5.7. Wzór rejestru kategorii czynności przetwarzania danych osobowych
5.8. Wzór udzielenia informacji w trybie art. 15 rodo

Bibliografia
Akty prawne
Orzecznictwo
Decyzje GIODO
O Autorach