Zasady ogólne

Generalne reguły przetwarzania danych osobowych określa art. 5 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE... (Dz. Urz. UE L 119/1 z 04.05.2016), dalej RODO. Przepis ten zobowiązuje każdego pracodawcę, jako administratora danych (osobę fizyczną, prawną, podmiot publiczny, inne jednostki i podmioty ustalające cele i sposoby przetwarzania danych osobowych), do przetwarzania danych osobowych w myśl następujących zasad:

• zgodności z prawem, rzetelności i przejrzystości - dopuszczono przetwarzanie danych uzyskanych na podstawie dobrowolnej zgody osoby, której dotyczą lub na innej uzasadnionej podstawie przewidzianej prawem; pracownik musi wiedzieć kto, w jakim celu i na jakiej podstawie prawnej zbiera i przetwarza jego dane osobowe, a informację na ten temat powinien otrzymać (lub mieć do niej łatwy dostęp) w prostym i przystępnym języku (motywy 39-47, 58 i 60 preambuły RODO),
   
• ograniczenia co do celu - dane są zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach, wynikających ze stosunków pracy oraz obowiązków podatkowo-składkowych i innych przepisów, o których pracodawca informuje pracowników w momencie zbierania danych (motywy 39, 50 i 61 preambuły oraz art. 13-14 RODO),
   
• minimalizacji danych - gromadzone są wyłącznie te dane osobowe, które są niezbędne do wyznaczonych celów (motyw 39 preambuły RODO),
   
• prawidłowości - zgromadzone dane mają być prawidłowe (uaktualniane), a nieprawidłowe - niezwłocznie prostowane lub usuwane (motywy 39 i 65 preambuły oraz art. 16-17 RODO),
   
• ograniczenia przechowywania - okres przechowywania danych ma być zredukowany do minimum, adekwatnego do celu ich przetwarzania, zgodnie z przepisami o archiwizacji dokumentacji pracowniczej, 
   
• integralności i poufności - zapewnienie danym osób zatrudnionych bezpieczeństwa, ochrony przed niedozwolonym i niezgodnym z prawem przetwarzaniem, utratą, zniszczeniem lub uszkodzeniem, przy użyciu odpowiednich środków technicznych i organizacyjnych - dostęp do danych mogą mieć tylko osoby upoważnione, które są zobowiązane do zachowania tajemnicy (motyw 39 preambuły oraz art. 9 ust. 3 i art. 29 RODO), 
   
• rozliczalności - możliwość wykazania, że przedstawione wyżej zasady są przestrzegane (art. 5 ust. 2 RODO).

Reguły te powinny znaleźć swoje odbicie w regulacjach wewnątrzfirmowych. W polityce bezpieczeństwa pracodawca, mimo złagodzenia wymogów co do funkcjonalności systemów informatycznych, dodatkowo powinien umieścić gwarancje:

• pseudonimizacji i szyfrowania danych, 
   
• poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
   
• zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, 
   
• regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych.

Zapewnienia bezpieczeństwa wymaga art. 32 RODO, w tym na etapie projektowania (np. zatwierdzony mechanizm certyfikacji, którego zasady pozyskiwania reguluje ustawa krajowa).