Czy pracownicy mogą wykorzystywać dane, do których mają dostęp w ramach wykonywanych obowiązków także do innych celów?
Prezes Urzędu Ochrony Danych Osobowych stoi na stanowisku, iż pracownik nie może wykorzystywać danych osobowych w innym celu niż w ramach wykonywania obowiązków służbowych. Wynika to z obecnie obowiązujących przepisów, ale także takie samo stanowisko było prezentowane na bazie Ustawy o ochronie danych osobowych z 29 sierpnia 1997 r.
Należy dodać, iż Administrator danych osobowych – w tej sytuacji pracodawca – ma obowiązek stosować środki techniczne i organizacyjne, zapewniające bezpieczeństwo przetwarzania danych osobowych.
Jeżeli zaistnieje sytuacja, w której pracownik wykorzysta dane osobowe w innym celu, niż wynika to z jego obowiązku, to pracodawca – administrator naraża się na karę finansową w wysokości do 4 % przychodów rocznych z tytułu: nienależytej kontroli nad przetwarzaniem danych osobowych.
Jak pracownik może zrealizować prawo dostępu do swoich danych?
Każda osoba, której dane dotyczą zgodnie z art. 15 Rozporządzenia RODO ma prawo dostępu do sowich danych osobowych. Aby zrealizować te prawo, w pierwszej kolejności taka osoba, powinna zgłosić się do swojego pracodawcy. Dopiero, gdy prośba nie zostanie uwzględniona, może złożyć skargę do Prezesa Urzędu Ochrony Danych Osobowych.
Czy prowadzenie rekrutacji ukrytych jest zgodne z RODO?
Prezes Urzędu Ochrony Danych Osobowych stoi na stanowisku, iż prowadzenie „rekrutacji ukrytych” jest niezgodne z RODO. Z czego wynika takie stanowisko Prezesa UODO?
Po pierwsze, tego typu rekrutacje mogą służyć wyłudzeniu danych osobowych do celów niezwiązanych z prowadzeniem rekrutacji. Jak pokazuje praktyka w CV udostępniamy bardzo dużo danych osobowych i nie tylko te, które wynikają wprost z Kodeksu pracy. W naszym CV pojawia się zdjęcie, informacja o adresie zamieszkania, numer PESEL, data urodzenia, zainteresowania itp.
Po drugie kandydat do pracy nie ma informacji jaki podmiot będzie przetwarzał jego dane osobowe oraz wobec jakiego podmiotu może realizować swoje prawa. Nawet jeżeli pracodawca, po otrzymaniu CV wysłałby maila z klauzulą informacyjną, to zgodnie z opinią Prezesa UODO, obowiązek ten nie byłby spełniony prawidłowo. Obowiązek informowania o tożsamości pracodawcy powinien być realizowany na etapie zbierania danych osobowych. W praktyce taki obowiązek powinien być umieszczony w ogłoszeniu o pracę.