RODO w outsourcingu kadr i płac

RODO w działach outsourcingu kadr i płac

Od 25 maja 2018 roku zacznie obowiązywać rozporządzenie unijne o ochronie danych osobowych. Nowe przepisy RODO będą obowiązywać w przypadku wszystkich podmiotów, które na terenie Unii Europejskiej przetwarzają dane osobowe w sposób zautomatyzowany. Wprowadzenie nowych przepisów ma na celu przede wszystkim wzmocnienie ochrony danych osobowych wraz z postępującym rozwojem technologicznym i poszerzającym się zakresem cyfryzacji. Działy związane z obsługą kadrową pracowników nieustannie przetwarzają dane osobowe, dlatego prawdziwym wyzwaniem będzie dla nich zapewnienie odpowiedniego poziomu bezpieczeństwa, w pełni odpowiadającego wymogom RODO. 

Outsourcing kadr i płac

Usługi kadrowo-płacowe są bardzo często zlecane firmom zewnętrznym, celem zoptymalizowania kosztów i lepszego wykorzystania potencjału pracowników już zatrudnionych w danym przedsiębiorstwie. Powierzenie firmie zewnętrznej obsługi kadrowej wiąże się ze wzmożoną potrzebą zapewnienia odpowiedniego stopnia bezpieczeństwa przetwarzanych danych osobowych. Przepisy RODO mówią w tym przypadku o konieczności wdrożenia pewnych środków, zarówno technicznych, jak i organizacyjnych.

Trzeba mieć na uwadze fakt, że firma, która zleca outsourcing kadr i płac, nadal pozostaje administratorem danych osobowych. Powierzając firmie zewnętrznej usługi związane z obsługą kadrowo-płacową i zakładające tym samym przetwarzanie danych osobowych, przekazuje te dane podwykonawcy. Sytuacja taka wiąże się zatem z koniecznością podpisania z dostawcą tego rodzaju usług umowy powierzenia danych osobowych.

Umowa powierzenia danych osobowych

W treści umowy powierzenia danych osobowych powinny znaleźć się takie elementy jak: przedmiot, czas trwania oraz charakter i cel przetwarzania, rodzaj danych osobowych, kategorie osób, których dane te dotyczą, obowiązki oraz prawa administratora czy obowiązki firmy, której dane zostają powierzane. W umowie należy zawrzeć ponadto zasady dalszego powierzenia danych, a więc informacje o tym, czy administrator danych osobowych zgadza się na dalsze powierzenie - w przypadku zgody konieczne jest określenie, komu dane te będą powierzane oraz jaki jest stopień odpowiedzialności podmiotu przetwarzającego za każde dalsze powierzenie.

Przepisy RODO bardzo szczegółowo określają obowiązki podmiotu przetwarzającego dane osobowe. Zobligowany jest on do zapewnienia takiego samego stopnia ochrony jak administrator danych, a także do dokonywania systematycznych szacunków ryzyka.

Zgodnie z art. 28.3b RODO podmiot przetwarzający dane osobowe zobowiązany jest do upoważnienia i zobligowania do poufności swoich pracowników. Po zakończeniu realizacji usługi podmiot przetwarzający, a więc w tym przypadku firma świadcząca obsługę kadrowo-płacową, zobowiązana jest dane te usunąć lub zwrócić je administratorowi. Jeżeli w trakcie realizacji usługi pojawi się jakiekolwiek naruszenie lub choćby podejrzenie naruszenia poufności powierzonych danych, administrator danych osobowych powinien być o tym niezwłocznie informowany.