DSGVO - eine Revolution im Arbeitsgesetzbuch im Bereich des Schutzes personenbezogener Daten

Service

Am 25. Mai 2018 tritt die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr in Kraft Kraft und Aufhebung der Richtlinie 95 / 46 / EG, in Polen als DSGVO bekannt. Die Verordnung gilt in 28 Ländern der Europäischen Union. Die vorstehenden Bestimmungen werden im Hinblick auf die neuen Regeln für die Verarbeitung personenbezogener Daten von Arbeitnehmern von Bedeutung sein.

Es sei darauf hingewiesen, dass sich der Gesetzentwurf zum Schutz personenbezogener Daten in Polen noch in der Gesetzgebungsphase befindet. In Ermangelung von Übergangsbestimmungen sollten Arbeitgeber und Unternehmer ab dem 25. Mai 2018 Änderungen in der Verarbeitung personenbezogener Daten auf Grundlage der oben genannten EU-Verordnung einführen.

Arbeitgeber auf die Einführung der DSGVO vorbereiten

Hervorzuheben ist, dass die neuen Bestimmungen zur DSGVO den Arbeitgebern eine größere Verantwortung für die Datenverarbeitung auferlegen. Daher sollten sie das Risiko der Datenverarbeitung analysieren, um Verfahren vorzubereiten, die Dokumentation abzusichern und dann angemessene IT- und organisatorische Sicherheit an den Arbeitsplätzen anzuwenden. Informationen über Mitarbeiter und Kunden des Unternehmens sollten Verfahren unterliegen, die einen angemessenen Sicherheitsstandard gewährleisten.

An erster Stelle sollten Arbeitgeber die Verwalter personenbezogener Daten beauftragen, ein Audit vorzubereiten, das feststellt, welche Daten von wem verarbeitet werden, woher sie erhoben werden und wohin sie gehen. Denken Sie daran, eine geeignete Richtlinie für die Verarbeitung personenbezogener Daten zu erstellen.

Im nächsten Schritt sollten die Klauseln zur Offenlegung personenbezogener Daten überprüft werden, da die Bestimmungen der Verordnung Arbeitgeber verpflichten, die Informationsklauseln für Personen, deren Daten verarbeitet werden, anzupassen. Darüber hinaus müssen Sie ein Informationspaket erstellen, in dem die Speicherdauer, der Zweck der Datenverarbeitung und die Personen, denen diese zugänglich gemacht werden, aufgeführt sind. Personen, deren Daten verarbeitet werden, sollten die Kontrolle über die Verarbeitung ihrer Daten haben, insbesondere das Recht haben, diese zu löschen oder an einen anderen Datenverwalter zu übertragen.

Bei der Erhebung und Verarbeitung von Personendaten zum Zwecke von Einstellungsverfahren sollten Arbeitgeber geeignete Verfahren einführen.

Die derzeitige Institution des Verwalters für personenbezogene Daten (ABI) wird durch den Inspektor für personenbezogene Daten ersetzt, der über Fachwissen und Berufserfahrung in diesem Bereich verfügen sollte. Gemäß der vorstehenden Verordnung sind Inspektoren für die Dokumentation und die Register der personenbezogenen Daten sowie für die Verarbeitung dieser Daten verantwortlich. Das Vorstehende ist erforderlich, um den ordnungsgemäßen Ablauf der Verarbeitungsprozesse personenbezogener Daten im Unternehmen gemäß den eingeführten Vorschriften zu bestätigen.

Personenbezogene Datenregister sollten Folgendes enthalten:

  • die wichtigsten Daten des Administrators;

  • der Zweck der Datenverarbeitung;

  • die Rechtsgrundlage für die Datenverarbeitung;

  • Liste der Personen, deren Daten verarbeitet werden;

  • die Dauer der Speicherung personenbezogener Daten;

  • Liste der Empfänger personenbezogener Daten;

  • detaillierter Zugriff anderer Personen auf personenbezogene Daten;

  • eine Liste der Personen, die die gesammelten personenbezogenen Daten verarbeiten können;

  • die Zeit, nach der die personenbezogenen Daten gelöscht werden.

Darüber hinaus ist es erforderlich, ein Verfahren für den Fall eines Verlusts personenbezogener Daten, ein Verfahren zur Meldung eines Verstoßes gegen den Schutz personenbezogener Daten an die zuständige Behörde und die Vorbereitung von Verfahren für den Fall einer Inspektion durch die Datenschutzbehörde einzurichten Büro (Büro für den Schutz personenbezogener Daten).

Arbeitgeber, die mehr als 250 Mitarbeiter beschäftigen, müssen eine Liste von Administratoren erstellen, die sich mit der Sicherheit der verarbeiteten personenbezogenen Daten befassen.

Jeder Vorfall, der den Schutz personenbezogener Daten verletzt, muss dringend gemeldet werden (72 Stunden nach dem Auftreten des Verstoßes). Die Meldung an die zuständige Behörde und die betroffene Person muss nach dem zuvor entwickelten Verfahren erfolgen.

Änderungen der DSGVO im Arbeitsgesetzbuch

Zunächst ist auf die Änderungen bezüglich Art. 221 ff. des Arbeitsgesetzbuches, das es ermöglichte, Informationen von einem am Einstellungsverfahren beteiligten Arbeitnehmer anzufordern. Insbesondere kann der Arbeitgeber zu diesem Zeitpunkt keine Auskunft über den Namen der Eltern oder die Wohnadresse verlangen. Wichtig ist, dass der Arbeitgeber die Person im Gegenzug dazu verpflichten kann, eine Postanschrift und eine E-Mail-Adresse oder Telefonnummer anzugeben. Im Falle der Beschäftigung eines Arbeitnehmers wird die Aufforderung zur Angabe der Wohnanschrift begründet. Es wird darauf hingewiesen, dass die oben genannten Daten nur mit Zustimmung des Mitarbeiters in einer entsprechenden Erklärung verarbeitet werden dürfen. Die verarbeiteten personenbezogenen Daten des Arbeitnehmers sollen ausschließlich im Zusammenhang mit der Durchführung des Arbeitsverhältnisses stehen. Im Falle der Erhebung anderer Daten, die in der vorstehenden Bestimmung nicht aufgeführt sind, muss der Arbeitgeber die Zustimmung des Arbeitnehmers in Form einer Erklärung einholen.

Einwilligungen in die Verarbeitung personenbezogener Daten können durch Erklärungen in Papierform oder in elektronischer Form erfolgen. Zu beachten ist jedoch, dass das Fehlen einer Einwilligung in die Datenverarbeitung keinen Grund für eine negative Behandlung eines Bewerbers oder eines Arbeitnehmers, insbesondere kein Grund für die Beendigung des Arbeitsverhältnisses oder Verweigerung der Beschäftigung.

Starten Sie eine kostenlose 30-tägige Testphase ohne Bedingungen!

Zu beachten ist die Frage der biometrischen Daten, die nur in Bezug auf beschäftigte Arbeitnehmer zusammen mit der von ihnen in der Erklärung eingeholten Einwilligung verarbeitet werden dürfen. Der Arbeitgeber sollte keine personenbezogenen Daten zu Gesundheit (mit Ausnahme eines Arbeitsfähigkeitszeugnisses), Sucht oder sexueller Orientierung erhalten.

Erwähnenswert ist, dass die neuen Regelungen zur Überwachung darauf hinweisen, dass sie bestimmten Zwecken dienen soll, wie der Sicherheit der Mitarbeiter, der Wahrung von Betriebsgeheimnissen und dem Schutz von Eigentum. Die Überwachung sollte nicht zur Kontrolle der Arbeit eines Arbeitnehmers verwendet werden, so dass der Arbeitgeber die auf diese Weise erhaltenen Materialien nicht gegen ihn verwenden kann, wenn er vom Arbeitnehmer verursachte Verstöße entdeckt. Überwachungseinrichtungen dürfen sich nicht in leistungsfremden Räumen wie Umkleidekabinen, Personalküchen, Sanitärräumen etc 14 Tage vor dem Start.

Nutzung bestehender Einwilligungen

Der Arbeitgeber kann in der Regel die bisher eingeholten Einwilligungen zum Zwecke der Verarbeitung personenbezogener Daten vor dem 25.05.2018 verwenden, wenn die Person diese Einwilligung freiwillig, bewusst, eindeutig und konkret erteilt hat und über die Möglichkeit des Widerrufs informiert wurde jederzeit (Art. 11 DSGVO). Die bisher eingeholten Zustimmungen sollten den Standards der neuen Verordnungen entsprechen.

Gemäß Erwägungsgrund 171 der DSGVO muss die betroffene Person, wenn die Verarbeitung personenbezogener Daten auf einer Einwilligung gemäß Richtlinie 95/46 / EG beruht, keine erneute Einwilligung erteilen, sofern die ursprüngliche Methode den Bestimmungen dieser Richtlinie entspricht Verordnung; dies ermöglicht es dem Verantwortlichen, die Verarbeitung nach dem Geltungsbeginn dieser Verordnung fortzusetzen. Wenn die bestehenden Einwilligungen die oben genannten Bedingungen erfüllen, behalten sie daher ihre Gültigkeit.

Nach dem 25.05.2018 sollten Einwilligungen in die Verarbeitung personenbezogener Daten ausdrücklich ausgesprochen werden. Der Widerruf der Einwilligung sollte jederzeit ohne unnötige Schwierigkeiten möglich sein. Arbeitgeber sollten auf die Rechtsgrundlage der bisher erteilten Einwilligungen achten.

Arbeitgeber sollten darauf vorbereitet sein, dass sie im Falle einer Inspektion durch das Amt für den Schutz personenbezogener Daten (UODO) nicht nur aktuelle Einwilligungen, sondern auch historische Einwilligungen zur Verarbeitung personenbezogener Daten zusammen mit der Rechtsgrundlage vorlegen müssen.

Gemäß Art. 5 Sek. 1 Buchstabe a der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/ 46 / EG (DSGVO) personenbezogene Daten müssen sein:

  • rechtmäßig, fair und transparent für die betroffene Person verarbeitet werden („Rechtmäßigkeit, Fairness und Transparenz“);

  • auf eine Weise verarbeitet werden, die eine angemessene Sicherheit personenbezogener Daten gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und versehentlichem Verlust, Zerstörung oder Beschädigung durch geeignete technische oder organisatorische Maßnahmen ("Integrität und Vertraulichkeit") (vgl. Artikel 5 Absatz 1 Buchstabe f) .

Aufgrund des Vorstehenden war der Arbeitgeber verpflichtet, die Dokumentation so aufzubewahren, dass Vertraulichkeit, Verfügbarkeit, Vollständigkeit und Integrität gewährleistet sind (Artikel 94 Nummer 9b des Arbeitsgesetzbuches).

Unter Berücksichtigung des Stands der Technik, des Implementierungsaufwands sowie der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie des Risikos der Verletzung der Rechte oder Freiheiten natürlicher Personen mit unterschiedlicher Wahrscheinlichkeit und Schwere des Risikos, der Verantwortliche und der Auftragsverarbeiter treffen geeignete technische und organisatorische Maßnahmen, um das diesem Risiko entsprechende Sicherheitsniveau zu gewährleisten, einschließlich, aber nicht beschränkt auf:

  • Pseudonymisierung und Verschlüsselung personenbezogener Daten;

  • die Fähigkeit, die ständige Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und -diensten zu gewährleisten;

  • die Fähigkeit, die Verfügbarkeit und den Zugriff auf personenbezogene Daten im Falle eines physischen oder technischen Vorfalls schnell wiederherzustellen;

  • regelmäßige Prüfung, Messung und Bewertung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Verarbeitungssicherheit (siehe Artikel 32 Absatz 1 Buchstabe b DSGVO).

Verstöße gegen die Bestimmungen zum Schutz personenbezogener Daten werden mit hohen Geldstrafen geahndet

Hervorzuheben ist, dass die neuen Bestimmungen der DSGVO bei Verstößen gegen den Schutz personenbezogener Daten hohe Strafen vorsehen. Gemäß Art. 83 Sek. 5 zur DSGVO Verstöße gegen die Bestimmungen in folgenden Angelegenheiten sind gemäß Abs. 2 eine Geldbuße bis zu 20.000.000 EUR und im Falle eines Unternehmens bis zu 4 % seines weltweiten Gesamtjahresumsatzes aus dem vorangegangenen Geschäftsjahr, wobei der höhere Wert gilt:

  • die Grundprinzipien der Verarbeitung, einschließlich der Bedingungen für die Einwilligung, die in Art. 5, 6, 7 und 9;

  • die Rechte der betroffenen Personen nach Art. 12-22;

  • die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation im Sinne des Art. 44-49;

  • alle Verpflichtungen nach dem Recht eines Mitgliedstaats gemäß Kapitel IX;

  • Nichtbefolgung einer Anordnung, vorübergehende oder endgültige Einschränkung der Verarbeitung oder Aussetzung des Datenflusses durch die Aufsichtsbehörde gemäß Art. 58 Sek. 2 oder Unterlassung des Zugangs entgegen Art. 58 Sek. 1.

Arbeitgeber und Unternehmer sollten daher besonders auf einen angemessenen Schutz personenbezogener Daten, die Ausarbeitung einer Datenschutzrichtlinie und angemessene Verfahren achten, da nach dem 25.

Abschließend sei an den Katalog personenbezogener Daten erinnert, den der Arbeitgeber vom Stellenbewerber erhalten kann. Dies sind insbesondere: Vor- und Nachname, Geburtsdatum, Korrespondenzadresse, E-Mail-Adresse, Telefonnummer, Ausbildung, Angaben zur früheren Beschäftigung. Was den Arbeitnehmer betrifft, so kann der Arbeitgeber zur Verarbeitung seiner Daten folgende Informationen einholen: Anschrift des Wohnsitzes, PESEL-Nummer oder Art und Nummer des Personalausweises, Daten von Kindern oder anderen Familienangehörigen, wenn dies erforderlich ist, um andere zu erhalten Arbeitnehmerrechte. Die ernannten Inspektoren für personenbezogene Daten sollten aufgrund der geführten Register, der gesammelten Dokumente und der Verarbeitung personenbezogener Daten über Fachwissen verfügen. Die Meldung einer Verletzung des Schutzes personenbezogener Daten muss dringend innerhalb von 72 Stunden erfolgen. Die Überwachung am Arbeitsplatz und die Erhebung biometrischer Daten sind nach Einholung entsprechender Einwilligungen und entsprechender Information der Mitarbeiter möglich. Die bestehenden Einwilligungen zur Verarbeitung personenbezogener Daten behalten ihre Gültigkeit, wenn sie den Bestimmungen der Verordnung entsprechen. Mitarbeiter sollten das Recht haben, ihre Einwilligung jederzeit zu widerrufen, während ihr Fehlen einer Einwilligung zur Verarbeitung personenbezogener Daten keine negativen Folgen für sie haben sollte.