g Planowane zmiany w ustawie o ochronie danych

g
Krajowa Konferencja Ochrony Danych Osobowych
II. Human Resources
6. Wykorzystywanie technologii informatycznych w aspekcie
globalizacji procesów zatrudniania
prelegent
Konrad Czaplicki
JDS Consulting sp. z o.o. sp.k. | ul. Gorzelnicza 9, 04-212 Warszawa
tel. 22 651 60 31 | fax 22 651 60 32 | kom. 501 939 269 | e-mail: [email protected] | www.jds.com.pl, www.dane-osobowe.com
REGON 141620590 | NIP 1132742035 | KRS 0000315726
Bank Zachodni WBK S.A. 32 Oddział w Warszawie | nr 69 1090 1753 0000 0001 1035 7206
1
 Globalne systemy informatyczne wykorzystywane w celach
przetwarzania danych pracowników w ramach międzynarodowych
grup kapitałowych
 Transfer danych pracowników do tzw. państw trzecich- aktualne
wymagania na gruncie polskiej ustawy o ochronie danych
osobowych
 Zasady stosowania ustawodawstwa polskiego z zakresu ochrony
danych osobowych przy międzynarodowym obrocie danymi
osobowymi pracowników
JDS Consulting sp. z o.o. sp.k. | ul. Gorzelnicza 9, 04-212 Warszawa
tel. 22 651 60 31 | fax 22 651 60 32 | kom. 501 939 269 | e-mail: [email protected] | www.jds.com.pl, www.dane-osobowe.com
REGON 141620590 | NIP 1132742035 | KRS 0000315726
Bank Zachodni WBK S.A. 32 Oddział w Warszawie | nr 69 1090 1753 0000 0001 1035 7206
2
W ramach wymiany danych osobowych pracowniczych (tj. dot. pracowników) w
międzynarodowych grupach kapitałowych najczęściej mamy do czynienia z
wymianą danych:
1. poprzez wspólne (tożsame) dla całej grupy systemy informatyczne, służące np.:
a) do rozliczeń stosunku pracy
b) raportowania do organów państwowych (w Polsce np. ZUS , US)
c) prowadzenia elektronicznej dokumentacji pracowniczej (która w polskim
porządku prawnym jest póki co nieuregulowana), albowiem Rozporządzenia
Ministra Pracy i Polityki Socjalnej z dnia 28 maja 1996 r. w sprawie zakresu
prowadzenia przez pracodawców dokumentacji w sprawach związanych ze
stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika, póki
co, reguluje jedynie formę papierową (tradycyjną) prowadzenia teczek akt
osobowych pracownika.
JDS Consulting sp. z o.o. sp.k. | ul. Gorzelnicza 9, 04-212 Warszawa
tel. 22 651 60 31 | fax 22 651 60 32 | kom. 501 939 269 | e-mail: [email protected] | www.jds.com.pl, www.dane-osobowe.com,
www.facebook.com/JDS.Consulting.2003
REGON 141620590 | NIP 1132742035 | KRS 0000315726
Bank Zachodni WBK S.A. 32 Oddział w Warszawie | nr 69 1090 1753 0000 0001 1035 7206
3
W ramach wymiany danych osobowych pracowniczych (tj. dot. pracowników) w
międzynarodowych grupach kapitałowych najczęściej mamy do czynienia z
wymianą danych:
1. poprzez wspólne (tożsame) dla całej grupy systemy informatyczne, służące np. do :
d) dokonywania ocen rocznych, kwartalnych, bądź miesięcznych pracowników
tym ich predyspozycji do awansu
e) obsługi procesów relokacyjnych pracowników i ich rodzin w obrębie grupy
kapitałowej
f) obsługi procesów zarządzania personelem przez przełożonych z centrali,
nierzadko ulokowanej poza Polską.
g) obsługi szkoleń (tzw. e-learning)
h) obsługi delegacji pracowników
JDS Consulting sp. z o.o. sp.k. | ul. Gorzelnicza 9, 04-212 Warszawa
tel. 22 651 60 31 | fax 22 651 60 32 | kom. 501 939 269 | e-mail: [email protected] | www.jds.com.pl, www.dane-osobowe.com,
www.facebook.com/JDS.Consulting.2003
REGON 141620590 | NIP 1132742035 | KRS 0000315726
Bank Zachodni WBK S.A. 32 Oddział w Warszawie | nr 69 1090 1753 0000 0001 1035 7206
4
W ramach wymiany danych osobowych pracowniczych (tj. dot. pracowników)
w międzynarodowych grupach kapitałowych najczęściej mamy do czynienia z
wymianą danych:
2. hostingiem bądź kolokacją powierzchni serwerowych lub dedykowanych serwerów
od innego podmiotu z grupy (będącego swoistym Data Center) dla wszystkich bądź
wybranych spółek z grupy kapitałowej
a) hosting ten może sprowadzać się do wykorzystywania dedykowanej powierzchni
serwerowej na której posadowione są dane osobowe pracowników oraz własne
systemy informatyczne służące do ich przetwarzania, bądź
b) wykorzystywania wspólnych globalnych systemów informatycznych dla grupy
służących do przetwarzania danych pracowniczych, który to system posadowiony jest
na serwerach jakiejś konkretnej spółki z grupy bądź najmowanych od innych
podmiotów spoza grupy.
JDS Consulting sp. z o.o. sp.k. | ul. Gorzelnicza 9, 04-212 Warszawa
tel. 22 651 60 31 | fax 22 651 60 32 | kom. 501 939 269 | e-mail: [email protected] | www.jds.com.pl, www.dane-osobowe.com,
www.facebook.com/JDS.Consulting.2003
REGON 141620590 | NIP 1132742035 | KRS 0000315726
Bank Zachodni WBK S.A. 32 Oddział w Warszawie | nr 69 1090 1753 0000 0001 1035 7206
5
Treść art. 36 ust. 1 ustawy o ochronie danych osobowych:
„Administrator danych jest obowiązany zastosować środki techniczne i
organizacyjne zapewniające ochronę przetwarzanych danych osobowych
odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w
szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom
nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z
naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.”
JDS Consulting sp. z o.o. sp.k. | ul. Gorzelnicza 9, 04-212 Warszawa
tel. 22 651 60 31 | fax 22 651 60 32 | kom. 501 939 269 | e-mail: [email protected] | www.jds.com.pl, www.dane-osobowe.com
REGON 141620590 | NIP 1132742035 | KRS 0000315726
Bank Zachodni WBK S.A. 32 Oddział w Warszawie | nr 69 1090 1753 0000 0001 1035 7206
6
Treść art. 38 ustawy o ochronie danych osobowych:
„Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie
dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu
są przekazywane.”
JDS Consulting sp. z o.o. sp.k. | ul. Gorzelnicza 9, 04-212 Warszawa
tel. 22 651 60 31 | fax 22 651 60 32 | kom. 501 939 269 | e-mail: [email protected] | www.jds.com.pl, www.dane-osobowe.com
REGON 141620590 | NIP 1132742035 | KRS 0000315726
Bank Zachodni WBK S.A. 32 Oddział w Warszawie | nr 69 1090 1753 0000 0001 1035 7206
7
Kiedy transfer do państwa trzeciego jest legalny? (Art. 47 ust. 2 i 3
UODO):
 gdy przesłanie danych osobowych wynika z obowiązku nałożonego
na administratora danych przepisami prawa lub postanowieniami
ratyfikowanej umowy międzynarodowej, gwarantującymi odpowiedni
poziom ochrony tych danych.
 osoba, której dane dotyczą, udzieliła na to zgody na piśmie;
 przekazanie jest niezbędne do wykonania umowy pomiędzy
administratorem danych a osobą, której dane dotyczą, lub jest
podejmowane na jej życzenie;
 przekazanie jest niezbędne do wykonania umowy zawartej w
interesie osoby, której dane dotyczą, pomiędzy administratorem
danych a innym podmiotem;
JDS Consulting sp. z o.o. sp.k. | ul. Gorzelnicza 9, 04-212 Warszawa
tel. 22 651 60 31 | fax 22 651 60 32 | kom. 501 939 269 | e-mail: [email protected] | www.jds.com.pl, www.dane-osobowe.com
REGON 141620590 | NIP 1132742035 | KRS 0000315726
Bank Zachodni WBK S.A. 32 Oddział w Warszawie | nr 69 1090 1753 0000 0001 1035 7206
8
Kiedy transfer do państwa trzeciego jest legalny? (Art. 47 ust. 3 i art. 48
ust. 1 UODO):
 przekazanie jest niezbędne ze względu na dobro publiczne lub do
wykazania zasadności roszczeń prawnych;
 przekazanie jest niezbędne do ochrony żywotnych interesów osoby,
której dane dotyczą;
 dane są ogólnie dostępne;
 Administrator danych uzyska zgodę Generalnego Inspektora,
wydaną w drodze decyzji administracyjnej, pod warunkiem że
administrator danych zapewni odpowiednie zabezpieczenia w
zakresie ochrony prywatności oraz praw i wolności osoby, której
dane dotyczą
JDS Consulting sp. z o.o. sp.k. | ul. Gorzelnicza 9, 04-212 Warszawa
tel. 22 651 60 31 | fax 22 651 60 32 | kom. 501 939 269 | e-mail: [email protected] | www.jds.com.pl, www.dane-osobowe.com
REGON 141620590 | NIP 1132742035 | KRS 0000315726
Bank Zachodni WBK S.A. 32 Oddział w Warszawie | nr 69 1090 1753 0000 0001 1035 7206
9
Art. 48 ust. 2 ustawy o ochronie danych osobowych po nowelizacji:
Zgoda Generalnego Inspektora nie jest wymagana, jeżeli administrator
danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności
oraz praw i wolności osoby, której dane dotyczą, przez:
 standardowe klauzule umowne ochrony danych osobowych, zatwierdzone
przez Komisję Europejską zgodnie z art. 26 ust. 4 dyrektywy 95/46/WE
Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie
ochrony osób fizycznych w zakresie przetwarzania danych osobowych i
swobodnego przepływu tych danych (Dz.Urz. WE L 281 z 23.11.1995, str.
31, z późn. zm.; Dz.Urz. UE Polskie wydanie specjalne, rozdz. 13, t. 15, str.
355, z późn. zm.) lub

prawnie wiążące reguły lub polityki ochrony danych osobowych, zwane
dalej „wiążącymi regułami korporacyjnymi”, które zostały zatwierdzone
przez Generalnego Inspektora
JDS Consulting sp. z o.o. sp.k. | ul. Gorzelnicza 9, 04-212 Warszawa
tel. 22 651 60 31 | fax 22 651 60 32 | kom. 501 939 269 | e-mail: [email protected] | www.jds.com.pl, www.dane-osobowe.com
REGON 141620590 | NIP 1132742035 | KRS 0000315726
Bank Zachodni WBK S.A. 32 Oddział w Warszawie | nr 69 1090 1753 0000 0001 1035 7206
10
Art. 48 ust. 2 ustawy o ochronie danych osobowych po nowelizacji:
Standardowe
klauzule umowne
Transfer
Wiążące reguły
korporacyjne
Transfer po
zatwierdzeniu
przez GIODO
JDS Consulting sp. z o.o. sp.k. | ul. Gorzelnicza 9, 04-212 Warszawa
tel. 22 651 60 31 | fax 22 651 60 32 | kom. 501 939 269 | e-mail: [email protected] | www.jds.com.pl, www.dane-osobowe.com
REGON 141620590 | NIP 1132742035 | KRS 0000315726
Bank Zachodni WBK S.A. 32 Oddział w Warszawie | nr 69 1090 1753 0000 0001 1035 7206
11
Prawo właściwe przy globalnych procesach wymiany danych:
• Zasada terytorialności (podstawowa zasada porządku prawnego polskiego)
Inne (pomocnicze) kryteria wynikające z Opinii 8/2010 w sprawie prawa
właściwego wydanej przez Grupę roboczą ds. ochrony danych powołaną na
mocy art. 29:
 efektywne i rzeczywiste prowadzenie działań w kontekście, w którym
przetwarzane są dane osobowe
 rzeczywista rola poszczególnych przedsiębiorstw w procesach wymiany
danych,
 rodzaj działań które mają miejsce w kontekście danej działalności
gospodarczej
 prawo bardziej restrykcyjne wobec bezpieczeństwa danych osobowych przy
modelu powierzania danych osobowych
JDS Consulting sp. z o.o. sp.k. | ul. Gorzelnicza 9, 04-212 Warszawa
tel. 22 651 60 31 | fax 22 651 60 32 | kom. 501 939 269 | e-mail: [email protected] | www.jds.com.pl, www.dane-osobowe.com
REGON 141620590 | NIP 1132742035 | KRS 0000315726
Bank Zachodni WBK S.A. 32 Oddział w Warszawie | nr 69 1090 1753 0000 0001 1035 7206
12
Opinia 8/2010 w sprawie prawa właściwego przyjęta w dniu
16 grudnia 2010 r. – najważniejsze regulacje:
Problem jaki porusza:
 czy w odniesieniu do konkretnej działalności związanej z
przetwarzaniem danych osobowych zastosowanie ma prawo
europejskie – czy to łącznie z prawem państwa trzeciego czy też nie;
oraz
 prawo krajowe którego państwa członkowskiego UE ma
zastosowanie do przetwarzania w przypadku, gdy do przetwarzania
stosuje się prawo europejskie.
JDS Consulting sp. z o.o. sp.k. | ul. Gorzelnicza 9, 04-212 Warszawa
tel. 22 651 60 31 | fax 22 651 60 32 | kom. 501 939 269 | e-mail: [email protected] | www.jds.com.pl, www.dane-osobowe.com
REGON 141620590 | NIP 1132742035 | KRS 0000315726
Bank Zachodni WBK S.A. 32 Oddział w Warszawie | nr 69 1090 1753 0000 0001 1035 7206
13
Prawo właściwe w obszarze UE/EOG:
 Jeżeli administrator danych prowadzi jedną działalność
gospodarczą, obowiązywać będzie jedno prawo na całym
terytorium UE/EOG, w zależności od miejsca, w którym
znajduje się ta działalność.
 Jeżeli działalność gospodarcza prowadzona jest w kilku
państwach: stosowanie przepisów prawa krajowego będzie
uzależnione od działań realizowanych przez daną
działalność gospodarczą.
14
Dziękuję za uwagę
KONRAD CZAPLICKI
starszy prawnik
Kierownik Zespołu w Dziale Outsourcingu JDS Consulting sp. z o.o.
[email protected]
JDS Consulting sp. z o.o. sp.k. | ul. Gorzelnicza 9, 04-212 Warszawa
tel. 22 651 60 31 | fax 22 651 60 32 | kom. 501 939 269 | e-mail: [email protected] | www.jds.com.pl, www.dane-osobowe.com,
www.facebook.com/JDS.Consulting.2003
REGON 141620590 | NIP 1132742035 | KRS 0000315726
Bank Zachodni WBK S.A. 32 Oddział w Warszawie | nr 69 1090 1753 0000 0001 1035 7206
15