RODO

Należy pamiętać, że administrator danych, i to niezależnie od tego ile osób zatrudnia, musi prowadzić rejestr czynności przetwarzania danych osobowych w odniesieniu do spraw kadrowych. Forma rejestru czynności przetwarzania danych jest „elastyczna” może być prowadzona w tradycyjne formie pisemnej (papierowej) lub „nowoczesnej” tj. elektronicznej.

Co w rejestrze należy odnotować? Przede wszystkim imię i nazwisko lub nazwę administratora, jego dane kontaktowe – ewentualnie gdy ma to zastosowanie, przedstawiciela administratora lub, o ile jest powołany, Inspektora Ochrony Danych.

W dalszej kolejności wskazać należy nazwę zbioru, tj. określić zbiór danych i go opisać (w tym opisie zawiera się określenie kategorii osób, których dane dotyczą, tj. pracowników, wykonawców umów cywilnoprawnych, praktykantów, stażystów, samozatrudnionych etc.).

Istotne jest także wskazanie miejsca, tudzież programu do przetwarzania danych. Wskazać trzeba dział, w którym przetwarzane są dane oraz programów komputerowych, w których się to odbywa (przykładowo będzie to dział kadrowy, płacowy, księgowość, systemy kadrowo-płacowe, systemy księgowy itp.).

Istotni są również odbiorcy danych osobowych –  jak. np. w przypadku kwestii kadrowych: ZUS, US, etc.

W tzw. polach informacyjnych określamy przetwarzane dane osobowe, jak np. imię, nazwisko, PESEL etc.).

W kolejnej rubryce określamy cel przetwarzania poprzez wskazanie, z czego wynika przetwarzanie danych (takim celem jest np. realizacja zawartych umów, obowiązków wynikających z przepisów prawa etc.).

W rejestrze wskazać należy także na kategorię danych osobowych. Tymi kategoriami są dane zwykłe (dane, które nie należą do szczególnych kategorii danych) lub dane wrażliwe (zaliczające się do szczególnych kategorii danych, tj. ujawniające pochodzenie razowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące zdrowia seksualności oraz orientacji seksualnej).

Zaplanować należy także terminy usunięcia poszczególnych kategorii danych. Należy to uczynić przez określić okres, przez jaki będą przechowywane poszczególne – wcześniej określone – zbiory danych osobowych, z uwzględnieniem przepisów szczególnych (dane kadrowo-płacowe) oraz okresy uwzględniające indywidualne rozwiązania firmy (rekrutacja), przepisy podatkowe, przedawnienia roszczeń etc.

Rejestr wskazuje także jakie środki bezpieczeństwa zastosowano, aby gromadzone (przetwarzane dane) chronić. Jest to ogólny opis technicznych i organizacyjnych środków bezpieczeństwa danych.

Rejestr jest dokumentem indywidualnym – stworzenie go wymaga przeprowadzenie wcześniejszego audytu.

Macie Państwo pytania? Zachęcamy do kontaktu z nami!


Jak zgłosić się do ubezpieczenia w KRUS? Ochrona danych a sprzedaż w internecie