Termin ”główne dane osobowe” opisuje wszystkie dane zarejestrowane w firmie na temat zatrudnionego w niej personelu. Ponieważ każdy rekord danych jest unikalny dla pracownika, służy on do identyfikacji każdego pracownika. Główną cechą tych danych podstawowych jest ich niska częstotliwość zmian.

Jakie zmiany niesie ze sobą RODO dla działu HR?

Was sind die Änderungen bei der DSGVO (Datenschutz-Grundverordnung) im Hinblick auf die Erhebung und Verwendung von Personalstammdaten? Was müssen z. B. auch die Abteilung HR und der Betriebsrat wissen und beachten? Hier erläutern wir die relevanten Punkte, verdeutlichen, wo und in welcher Form die DSGVO Neues mit sich bringt und geben Anregungen bzgl. des Umgangs mit den neuen Anforderungen.

Słowo kluczowe umowy spółki

RODO będzie miało zastosowanie do dużej części niemieckiego prawa pracy od maja 2018 r., a zatem zasadniczo również do zawierania nowych umów o pracę i zmiany istniejących. Co strony muszą teraz wziąć pod uwagę przy zawieraniu nowych umów o dzieło i czy istnieje potrzeba dostosowania wszystkich istniejących umów o dzieło?

Obsługa w BDSG

Paragraf 4 ust. 1 BDSG zezwala na wykorzystanie danych osobowych, jeśli między innymi zezwala na to inny przepis prawny poza BDSG – np. porozumienie zakładowe, które staje się częścią indywidualnej umowy o pracę pracownika. W szczególności art. 75 ustawy o konstytucji zakładowej zawiera informacje na temat możliwych ram ochrony danych w porozumieniu zakładowym, odwołując się do zasad prawa i słuszności. Według Federalnego Sądu Pracy teoretycznie możliwe byłoby (choć kontrowersyjnie dyskutowane i prawie nigdy nie stosowane w praktyce) obniżenie standardu ochrony danych poniżej poziomu określonego w BDSG za pomocą odpowiedniej umowy o pracę. Nie ma to już zastosowania wraz z wprowadzeniem RODO.

Innowacje wynikające z RODO

Jak powszechnie wiadomo, RODO przewiduje klauzule otwierające, które umożliwiają państwom członkowskim przyjęcie krajowych przepisów o ochronie danych. Dotyczy to również umów spółek: Artykuł 88 ust. 1 RODO zezwala państwom członkowskim na ustanowienie bardziej szczegółowych zasad ochrony danych pracowników w drodze ”ustawodawstwa lub układów zbiorowych”. Nowością jest to, że RODO określa jasne ramy, w których mogą funkcjonować umowy zakładowe. W powyższym punkcie RODO zawiera katalog kryteriów w tym zakresie. Art. 88 ust. 2 RODO ustanawia również standard, którym powinien kierować się ustawodawca przy nowelizacji ustawy o zakładowym układzie zbiorowym pracy oraz strony układu zbiorowego pracy przy zawieraniu odpowiednich porozumień.

Co to oznacza dla danych podstawowych HR?

Po pierwsze: prawo europejskie ma pierwszeństwo. Ponadto: RODO stosuje się bezpośrednio, co oznacza, że od daty wejścia w życie nie można stosować sprzecznych przepisów krajowych. Rozporządzenie to jest zatem od teraz standardem, także i przede wszystkim w odniesieniu do przetwarzania podstawowych danych osobowych. Oznacza to również, że ustawa o zakładach pracy musi być interpretowana zgodnie z RODO, jeśli chodzi o umowy o pracę mające wpływ na ochronę danych.

Umowa spółki – kluczowe punkty:

Przy sporządzaniu lub dostosowywaniu umów o pracę należy wziąć pod uwagę następujące kwestie w odniesieniu do podstawowych danych kadrowych:

  • Obowiązek dostarczania informacji podczas gromadzenia podstawowych danych personelu
  • Prawa osób, których dane dotyczą, do informacji w tym zakresie
  • Prawo do sprostowania, usunięcia i zablokowania danych
  • związane z tym obowiązki sprawozdawcze spółki
  • Prawo do przenoszenia danych (np. w przypadku zmiany pracodawcy)
  • prawo sprzeciwu osoby, której dane dotyczą
  • i praw w środkach profilowania.

Odwrócenie ciężaru dowodu: RODO wprowadza ważne zmiany

Jedną z fundamentalnych zmian w porównaniu do BDSG jest odwrócenie ciężaru dowodu. Konkretnie oznacza to, że firmy muszą teraz udowodnić, że nie dopuściły się naruszenia danych osobowych. Jest to zdecydowana różnica w stosunku do poprzedniego postępowania, zgodnie z którym osoba, której dane dotyczą, musiała udowodnić naruszenie, a ”domniemanie niewinności” miało zastosowanie do firm.

Odpowiedzialność przedsiębiorstw

Ponadto firmy są odpowiedzialne, a ich wdrożenie musi być udokumentowane. Należy zdefiniować realną koncepcję bezpieczeństwa; należy opisać odpowiednie procesy i udokumentować koncepcje testowe dla procedur kontrolnych. Zaleca się również, aby rejestry aktywności były przechowywane i automatycznie rejestrowane.

Procedura w przypadku naruszenia ochrony danych

Firmy muszą przygotować się na ewentualną sytuację kryzysową: należy ustanowić procesy zgłaszania ewentualnych naruszeń danych – w tym natychmiastowe powiadamianie poszkodowanych pracowników, odpowiedzialnych działów w firmie i organów ochrony danych. Ma to kluczowe znaczenie w świetle drakońskich kar, jakie pociąga za sobą wprowadzenie RODO.

Wszystkie te punkty pokazują, jak ważne jest skuteczne przygotowanie w odniesieniu do RODO: własne procesy i dokumenty firmy muszą być przejrzyste i skonfigurowane w taki sposób, aby dowód niewinności mógł zostać dostarczony w krótkim czasie i w dowolnym momencie.

APplus jest tutaj cenną pomocą, ponieważ jako system ERP, który jest zawsze aktualny, oferuje optymalną podstawę do stałego spełniania wszystkich wymogów RODO.

Nota prawna:

Bezpłatna i swobodnie dostępna zawartość tej strony internetowej została stworzona z największą możliwą starannością. Wyraźnie zaznaczamy jednak, że nie ponosimy żadnej gwarancji ani innej odpowiedzialności za dokładność, aktualność lub kompletność przewodników dziennikarskich i informacji zamieszczonych na tej stronie.

Treści zawarte na tej stronie internetowej nie stanowią porady prawnej dla firmy, na której można polegać w zakresie zgodności z przepisami prawa dotyczącymi ochrony danych – w szczególności RODO – ani nie mogą zastąpić indywidualnej porady prawnej.

Ponadto, uzyskując dostęp do tych bezpłatnych i swobodnie dostępnych treści, nie zostaje nawiązany żaden stosunek umowny między nami a użytkownikiem strony internetowej w przypadku braku odpowiedniego prawnie wiążącego zamiaru z naszej strony.

FAQ zu Personalstammdaten

Was versteht man unter Personalstammdaten?

Personalstammdaten bezeichnen alle in einem Unternehmen über die dort beschäftigten Mitarbeitenden erfassten Informationen, die eine eindeutige Identifikation ermöglichen und im Arbeitsverhältnis weitgehend unverändert bleiben – etwa Name, Eintrittsdatum oder Personalnummer.

Welche Daten gehören typischerweise zu den Personalstammdaten?

Zu den Personalstammdaten zählen persönliche Angaben wie Vor- und Nachname, Geburtsdatum, Anschrift, Bankverbindung oder Steuer- und Sozialversichertennummer sowie beschäftigungsbezogene Daten wie Eintrittsdatum, Vertragsart, Abteilung und Personalnummer.

Warum sind Personalstammdaten für Unternehmen wichtig?

Personalstammdaten bilden die Basis für zahlreiche HR-Prozesse wie Gehalts- und Lohnabrechnung, Arbeitszeit- und Einsatzplanung oder Personalentwicklung. Fehlerhafte oder unvollständige Stammdaten können zu Fehlbelegungen, rechtlichen Risiken oder falschen Abrechnungen führen.

Wie hängt die Pflege der Personalstammdaten mit gesetzlichen Anforderungen zusammen?

Die Verarbeitung von Personalstammdaten unterliegt der Datenschutz‑Grundverordnung (DSGVO) und weiteren arbeits- sowie sozialversicherungsrechtlichen Vorgaben. Das bedeutet, dass Unternehmen sicherstellen müssen, dass sie nur notwendige Daten erheben, dass die Daten korrekt und aktuell sind und dass entsprechende Schutz- und Löschfristen eingehalten werden.

Wie hängen Personalstammdaten mit einem ERP-System zusammen?

Ein ERP-System bündelt sämtliche relevanten Daten – darunter auch Personalstammdaten – und ermöglicht es, diese zentral und integriert in Unternehmens- und HR-Prozessen zu nutzen. So kann z. B. die Mitarbeiterzuordnung, Kostenstelle, Rolle oder Zeiterfassung im ERP-System auf Basis der Stammdaten erfolgen. Damit wird die Administration effizienter, transparenter und weniger fehleranfällig.

Welche Herausforderungen bestehen bei der Verwaltung von Personalstammdaten?

Zu den zentralen Herausforderungen zählen die Sicherstellung der Datenqualität – d. h. Vollständigkeit, Aktualität und Korrektheit –, die digitale Vernetzung unterschiedlicher Systeme, die Einhaltung von Datenschutzvorgaben sowie die Organisation, wer Daten ändert und wer welche Rechte hat. Ohne gut strukturierte Prozesse und klare Verantwortlichkeiten steigt das Risiko von Fehlern und Datenschutzverstößen.