Łukasz Rutkowski
Łukasz Rutkowski, radca prawny, doradza podmiotom z różnych branż, m.in. usług finansowych (w tym bankom), e-commerce, IT, logistycznej czy FMCG. Uczestniczy w projektach wdrożeniowych i audytach zgodności z RODO. Analizuje produkty, procesy, rozwiązania IT (oprogramowanie, aplikacje mobilne) i usługi (wykorzystujące m.in. profilowanie, sztuczną inteligencję i internet rzeczy) pod kątem ich zgodności z przepisami o ochronie danych osobowych (w tym sektorowymi) i e-privacy. Wspiera klientów w przeprowadzaniu oceny skutków dla ochrony danych (DPIA) oraz w zarządzaniu naruszeniami ochrony danych i żądaniami podmiotów danych (DSR).
Kiedy pracownik jest długo nieobecny – lub w innych okolicznościach, w których pracodawca ma trudności ze skontaktowaniem się z pracownikiem za pośrednictwem służbowych środków komunikacji – działy HR często zastanawiają się, czy mogą skorzystać z prywatnych danych kontaktowych pracownika. Niektórzy co bardziej zapobiegliwi pracodawcy wprowadzają kwestionariusze dla pracowników, w których żądają podania prywatnego adresu e-mail lub numeru telefonu, lub w inny sposób zbierają tego typu dane od pracowników. A jak kwestia pozyskiwania prywatnych danych kontaktowych wygląda z perspektywy przepisów o ochronie danych osobowych?
„Exit interviews”, czyli rozmowy przeprowadzane przez pracodawców z pracownikami kończącymi współpracę to narzędzie szeroko stosowane przez działy HR, które może dostarczyć informacji istotnych z punktu widzenia zarządzania zakładem pracy. W dzisiejszej publikacji przyjrzymy się „exit interviews” z perspektywy przepisów o ochronie danych osobowych.
To czwarty artykuł z serii, w której poruszamy kwestię obowiązków administratorów danych w zakresie naruszeń ochrony danych osobowych w kontekście pracowniczym – wspierając się wytycznymi 01/2021 w sprawie przykładów dotyczących zgłaszania naruszeń ochrony danych osobowych przyjętymi 14 grudnia 2021 r. (wersja 2.0) opublikowanych przez Europejską Radę Ochrony Danych (EROD).
To trzeci artykuł z serii, w której omawiamy obowiązki administratorów danych w zakresie naruszeń ochrony danych osobowych w kontekście pracowniczym, wspierając się wytycznymi 01/2021 w sprawie przykładów dotyczących zgłaszania naruszeń ochrony danych osobowych przyjętymi 14 grudnia 2021 r. (wersja 2.0) opublikowanych przez Europejską Radę Ochrony Danych (EROD).
To drugi artykuł z serii, w której omawiamy obowiązki administratorów danych w zakresie naruszeń ochrony danych osobowych w kontekście pracowniczym – wspierając się wytycznymi 01/2021 w sprawie przykładów dotyczących zgłaszania naruszeń ochrony danych osobowych przyjętymi 14 grudnia 2021 r. (wersja 2.0) opublikowanymi przez Europejską Radę Ochrony Danych (EROD).
Odpowiednie reagowanie na naruszenia ochrony danych osobowych to jeden z podstawowych obowiązków administratorów danych wynikających z RODO. Jak wynika z praktyki, realizacja tych obowiązków często nastręcza administratorom istotnych trudności, w tym gdy naruszenia obejmują kontekst pracowniczy. Trudności dotyczą w szczególności oceny:
- czy doszło do naruszenia,
- jakie jest ryzyko związane z naruszeniem,
- jakie obowiązki prawne spoczywają na administratorze w związku z naruszeniem,
- jakie środki powinny być wdrożone w związku z naruszeniem.