Dane wrażliwe zawsze powinny być należycie chronione, szczególnie przed osobami nieuprawnionymi do wglądu w nie. Naruszenie ochrony danych osobowych jest jednoznaczne z naruszeniem bezpieczeństwa na skutek niewłaściwego ich niszczenia, utraty, zmodyfikowania, udostępnienia lub ujawnienia osobom trzecim. Można mówić o naruszeniu poufności, dostępności i integralności. Jeśli dojdzie do wycieku danych osobowych, to ich administrator jest zobligowany do niezwłocznego powiadomienia o zaistniałej sytuacji właściwego organu nadzorczego.
Korzystanie z outsourcingu kadrowo-płacowego.
Jeśli firma decyduje się na powierzenie obsługi kadrowo-płacowej zewnętrznemu podmiotowi, musi pamiętać o właściwym zabezpieczeniu danych osobowych. Bez tego outsourcer nie powinien przetwarzać danych wrażliwych, co jest oczywiste przy delegowaniu takich prac jak obsługa z zakresu kadry i płace. Jest to niezgodne z ustawą o ochronie danych osobowych. Jeżeli jednak wszystkie znajdujące się w niej wytyczne zostaną spełnione, to biuro rachunkowe świadczące usługi outsourcingu może pełnić także funkcję administratora danych, przy jednoczesnym świadczeniu outsourcingu kadr i płac.
Podczas podpisywania umowy z usługodawcą powinno się zadbać o to, aby umieścić w niej zapisy jasno określające zobligowanie do zabezpieczenia wszystkich zbiorów danych zgodnie z artykułem 36-39 w ustawie o ochronie danych osobowych. Warto także od razu podkreślić, że ich przetwarzanie może odbywać się wyłącznie w zakresie zadań wykonywanych przewidzianych umową na świadczenie usług kadrowo – płacowych. Wszelkie wykroczenia należy traktować jako naruszenie warunków umowy i ustawy o ochronie danych osobowych. Strona odpowiedzialna za powstanie uchybień musi liczyć się ze wszczęciem wobec niej postępowania karnego.
Zależność pomiędzy działalnością typu outsourcing kadrowo płacowy a przepisami RODO.
Należy zadbać o to, aby w umowie podpisywanej z firmą outsourcingową jasno wskazać na sposób, w jaki będzie ona przetwarzała dane osobowe z obszaru kadr i płac. Najczęściej działania opierają się na ich gromadzeniu, przechowywaniu, modyfikowaniu, opracowywaniu, udostępnianiu, usuwaniu. Jeśli dojdzie do bezprawnego przetwarzania danych, wykraczających poza obsługę kadrowo – płacową, co wiąże się z naruszeniem dóbr osobistych, można domagać się odszkodowania zgodnie z przepisami widniejącymi w kodeksie cywilnym. Pracodawcy jako administratorzy danych odpowiadają za właściwe przygotowanie lub aktualizowanie regulaminów, umów i rozmaitych procedur mających miejsce w firmie z uwzględnieniem zakresu prawa pracy. Jest to niezwykle istotne, aby uchronić się przed konsekwencjami będącymi wynikiem naruszenia przepisów RODO z jednoczesnym sprawnym wywiązywaniem się z zakresu zadań wykonywanych przez firmę świadczącą outsourcing kadr i płac.
Konieczne jest dostosowanie wewnętrznej dokumentacji do wymogów. Należy także wiedzieć, jakich danych można wymagać od pracowników. Należy opracować prawidłową treść oświadczenia dotyczącego wyrażenia zgody na przetwarzanie danych osobowych. Należy zająć się opracowaniem klauzul informacyjnych RODO dla wszystkich zatrudnionych osób. W przypadku outsourcingu kadr i płac pracodawca nie musi zajmować się tym wszystkim osobiście. W ramach podpisanej umowy obejmującej prowadzenie kadr i płac, usługodawca stanie się administratorem danych osobowych i to on będzie ponosił odpowiedzialność za ewentualne naruszenia ochrony danych.
Fachowe wsparcie w dziale kadr i płac – Inspektor Ochrony Danych Osobowych.
W przypadku przetwarzania danych osobowych konieczne jest przestrzeganie zasady zgodności z prawem, rzetelności i przejrzystości, zasady ograniczenia celu przetwarzania danych, zasady minimalizacji danych, zasady prawidłowości danych, zasady ograniczenia przechowywania danych, zasady integralności i poufności danych, zasady rozliczalności. Bardzo ważną kwestią staje się obieg dokumentów w dziale kadrowym oraz wykorzystanie odpowiednich systemów informatycznych przeznaczonych do przetwarzania danych kadrowo-płacowych. Wszystko musi zostać dostosowane do przepisów RODO.
Warto także wiedzieć, że administratorzy danych mogą liczyć na fachowe wsparcie. Jest nim Inspektor Ochrony Danych Osobowych. Musi on działać zgodnie z przepisami o ochronie przetwarzania danych. Jego zadaniem jest także kontaktowanie się z Urzędem Ochrony Danych Osobowych. Za wyznaczenie inspektora ochrony danych odpowiada administrator danych. Warto jednak od razu zaznaczyć, że inspektor ochrony danych osobowych nie musi być osobą zatrudnioną w firmie. Można zdecydować się na skorzystanie z usług wyspecjalizowanej firmy, czyli z outsourcingu świadczonego przez biuro rachunkowe Warszawa Vamik. W drugim przypadku znika konieczność ponoszenia wysokich kosztów związanych z doszkalaniem pracowników. Firma zewnętrzna wyspecjalizowana w obsłudze kadr i płac zna mechanizmy ich przetwarzania w danej branży. Ma doświadczenie wynikające z obsługi wielu klientów a tym samym proceduralnie zapobiega naruszeniu danych osobowych.
Źródło: akademia.infor.pl