Szkolenia dla Inspektorów Ochrony Danych (IOD) z sektora zatrudnienia, 4 października 2018 r.
Pracodawcy, stosując monitoring poczty elektronicznej, muszą pamiętać o tym, by nie naruszyć prywatności pracowników. O stosowanym rozwiązaniu muszą ich poinformować, a w regulaminie pracy lub układzie zbiorowym wskazać cel, zakres oraz sposób monitorowania.
Kiedy podmiot wykorzystujący dane osobowe pracowników i kandydatów do pracy jest ich administratorem, a kiedy przetwarzającym, jakich zasad należy przestrzegać monitorując aktywność i zachowania pracowników, o czym należy pamiętać, przetwarzając dane w grupie kapitałowej - to tylko niektóre z zagadnień omawianych podczas kolejnego szkolenia zorganizowanego 4 października 2018 r. przez Urząd Ochrony Danych Osobowych (UODO) z myślą o inspektorach ochrony danych (IOD).
Rekordowe zainteresowanie i transmisja on-line
Poświęcone ono było omówieniu obowiązków, jakie w zakresie ochrony danych osobowych ciążą na pracodawcach, i cieszyło się rekordowym zainteresowaniem – zgłosiło się na nie ponad 2 tys. osób. Stąd decyzja, by nie tylko transmitować je on-line, ale również udostępnić je w całości w Internecie.
Jego uczestnicy mieli okazję, by w szczegółowo przedyskutować z ekspertami wiele kwestii. Bo choć tego dnia na stronie internetowej urzędu zamieszczony został poradnik UODO dla pracodawców pt. „Ochrona danych osobowych w miejscu pracy”, to szkolenie, które niejednokrotnie odnosiło się do zagadnień poruszonych w poradniku, ponieważ było skierowane do fachowców, jakimi są IOD, miało bardziej pogłębiony charakter i dotyczyło bardziej szczegółowych kwestii.
IOD wsparciem dla pracodawcy
Dr Edyta Bielak-Jomaa, Prezes Urzędu Ochrony Danych Osobowych, otwierając szkolenie podkreśliła, jak ważną rolę pełnią IOD u administratorów będących pracodawcami.
– Inspektorzy ochrony danych nie tylko monitorują operacje przetwarzania danych pod kątem ich zgodności z prawem, ale wspierają pracodawców we wszelkich działaniach, m.in. w tym, by dane pracowników były bezpieczne i przetwarzane z poszanowaniem praw pracowniczych – mówiła dr Edyta Bielak-Jomaa.
Wskazała też na ich ważną rolę w szkoleniu pracowników.
Problematyczny monitoring
Zorganizowane przez UODO wydarzenie było okazją do ponownego podjęcia tematyki monitoringu wizyjnego, którego stosowanie wciąż rodzi wiele pytań.
Krzysztof Król z Zespołu Analiz i Strategii, przedstawiając zasady jego stosowania, wskazał również na wyjątkowe sytuacje, w których monitoring jest dopuszczalny, mimo że co do zasady nie powinien być.
– Jeżeli w szatni dochodziło do kradzieży, to zastosowanie monitoringu może być uzasadnione. Należy jednak ograniczyć go tylko do miejsc, w których zdejmuje się odzież wierzchnią. Nie powinien być skierowany na miejsca w pobliżu natrysków – wyjaśniał. Dodał, że istnieją też technologie, które pozwalają zamazywać pewne obszary objęte zasięgiem kamery, tak aby nie naruszać godności pracowników.
Prowadzący szkolenie eksperci podkreślali też, że pracodawcy, którzy wykorzystują nowoczesne technologie do monitorowania pracowników, powinni podchodzić do nich z należytą ostrożnością i rozwagą.
Wskazywali również, że ci z nich, którzy przetwarzają dane biometryczne, a więc za pomocą specjalnych technik przetwarzają np. odcisk palca czy skan siatkówki oka, nie mogą wykorzystywać ich do kontroli czasu pracy. Zaznaczali jednak, że dopuszczalne byłoby ich użycie dla zabezpieczenia wejść do pomieszczeń, które należy szczególnie chronić, już np. skarbiec w banku.
Paulina Dawidczyk, dyrektor Zespołu ds. Sektora Zdrowia, Zatrudnienia i Szkolnictwa zaznaczyła, że pracodawca nie może kontrolować prywatnej korespondencji swoich pracowników.
– Jeżeli po jej otwarciu pracodawca po początkowej treści zorientuje się, że jest to korespondencja prywatna, a nie służbowa, absolutnie powinien zaprzestać dalszego zapoznawania się z nią – podkreśliła.
Międzynarodowe korporacje a transfer danych
Część szkolenia została poświęcona zagadnieniu, które w praktyce rodzi wiele problemów, choć nie dotyczy ono każdego pracodawcy. Chodzi o transgraniczne przekazywanie danych osobowych, co ma szczególne znaczenia dla funkcjonowania podmiotów, które np. w ramach swojej grupy kapitałowej przekazują dane do innych swoich spółek lub oddziałów w tzw. państwach trzecich (spoza Europejskiego Obszaru Gospodarczego), które nie mają takiego poziomu ochrony danych, jak w Unii Europejskiej.
– W sytuacji, gdy pracodawca deleguje pracownika do wykonywania pewnych zadań w państwie trzecim, a te wiążą się z wykorzystywaniem tam komputera i wykonywaniem na nim czynności związanych przetwarzaniem danych osobowych, nie mamy do czynienia z przekazaniem danych. W takim przypadku nie ma odbiorcy danych – wyjaśniał Piotr Drobek, dyrektor Zespołu Analiz i Strategii. Dodał, że należy jednak zagwarantować odpowiednie zabezpieczenie danych.
Piotr Drobek zwrócił uwagę, że przekazywanie danych do państw trzecich jest możliwe m.in. wówczas, gdy Komisja Europejska stwierdzi, że dane państwo zapewnia odpowiedni stopień ochrony – wówczas nie jest potrzebne specjalne zezwolenie organu ds. ochrony danych osobowych.
– Kolejnymi instrumentami, które można wykorzystywać przy przekazywaniu danych do państwa trzeciego są standardowe klauzule umowne oraz wiążące reguły korporacyjne, które są indywidualnym sposobem zabezpieczenia przekazania danych – mówił Piotr Drobek. Dodał, że zgodnie z RODO transfer danych jest również możliwy na podstawie kodeksów postępowań i zatwierdzonych mechanizmów certyfikacji, o ile umożliwiają one ich wyegzekwowanie w państwie trzecim.
Wymiana doświadczeń
Po każdej części szkolenia przewidziany był czas na dyskusje i wymianę doświadczeń. To dodatkowa wartość szkoleń organizowanych przez UODO.
To odbywające się 4 października 2018 r. już 11 szkoleniem dla IOD. W tych zorganizowanych w 2017 i 2018 r. wzięło już udział ponad 1700 osób pełniących tę funkcję.
Wręczenie nagród studentom - laureatom konkursu na esej
Szkolenie było również okazją do uroczystego wręczenia przez dr Edytę Bielak-Jomaa, Prezes UODO nagród laureatom VIII edycji konkursu na esej dla studentów.
W tym roku jego uczestnicy mieli za zadanie przenalizować poprawność pozyskiwania zgód przez administratora prowadzącego serwis internetowy służący do wymiany notatek. Zadanie to było o tyle trudne, że ponieważ termin nadsyłania prac upływał w kwietniu 2018 r., to oceny działania administratora musieli oni dokonać na podstawie obowiązującego wówczas stanu prawnego, a dodatkowo przeanalizować, czy zebrane zgody będą ważne po 25 maja 2018 r., gdy zacznie być stosowane ogólne rozporządzenie o ochronie danych (RODO). Studenci biorący udział w organizowanym przez UODO (we współpracy z Kobylańska & Lewoszewski Kancelaria Prawna sp.j.) konkursie poradzili sobie z nim świetnie. Wykazali się nie tylko dużą wiedzą w zakresie przepisów o ochronie danych osobowych. W swoich pracach, dokonując oceny zebranych zgód, umiejętnie popierali swoje sądy bogatym orzecznictwem, literaturą i decyzjami organu ds. ochrony danych osobowych. Wszystkim należą się słowa uznania, a zwycięzcom gratulacje.
Zapis wideo ze szkolenia znajdziecie Państwo na oficjalnym koncie YouTube Urzędu Ochrony Danych Osobowych.