Zbliżające się zmiany w unijnym prawie dotyczącym ochrony danych osobowych wpływają na politykę zarządzania kadrami firm i jednocześnie na audyt absencji chorobowej. Powołanie administratora bezpieczeństwa informacji (ABI) staje się dla firm gwarantem przestrzegania zaleceń Generalnego Inspektora Ochrony Danych Osobowych (GIODO) – zarówno na gruncie aktualnie obowiązujących przepisów jak i nadchodzących zmian.
25 maja 2018 roku we wszystkich krajach Unii Europejskiej rozpocznie się formalne stosowanie Ogólnego Rozporządzenia o Ochronie Danych Osobowych, tzw. RODO. W tym dniu RODO stanie się uniwersalną dla wszystkich krajów członkowskich normą prawną w kwestii ochrony danych osobowych. Głównymi zmianami towarzyszącymi RODO jest poszerzenie zakresu obowiązków administratorów danych osobowych oraz podmiotów przetwarzających takie dane na zlecenie, jak również wyposażenie osób fizycznych i organów nadzorujących w szeroki wachlarz narzędzi reagowania na naruszenia RODO. Zmienia się również charakter administratora bezpieczeństwa informacji (ABI) – od 25 maja 2018 roku stanowisko nazywać będzie się Inspektorem Ochrony Danych (IOD), natomiast jego powołanie będzie w wielu przypadkach obowiązkowe, a nie fakultatywne, jak ma miejsce obecnie powołanie funkcji ABI.
Rozwój technologii i rozbieżności w ustawodawstwach krajów UE powodem zmian
RODO formalnie zastępuje wdrożoną w połowie lat 90. unijną dyrektywę 95/46/WE. Na podstawie tej dyrektywy obowiązuje w Polsce aktualna ustawa o ochronie danych osobowych (w tym roku obchodzi swoje 20-lecie obowiązywania). Twórcy dyrektywy nie mogli przewidzieć wielu istotnych dla ochrony danych wydarzeń i przemian, związanych głównie z rozwojem technologii informatycznych. Na przestrzeni ostatnich lat wykorzystywanie nowoczesnych systemów informatycznych przez przedsiębiorców dostarczyło nowych możliwości operacyjnych, ale jednocześnie przyniosło wiele zagrożeń dla ochrony danych osobowych. Tylko w samym obszarze HR (Human Resources) standardem stało się wykorzystywanie systemów kadrowych opartych o technologie ERP, przeprowadzanie procesów rekrutacji z wykorzystaniem portali społecznościowych, czy też zarządzanie procesem zatrudnienia i świadczeniami z tym związanymi w oparciu o profilowanie danych – zagadnienia nieznane dzisiejszym regulacjom prawnym.
W dodatku, aktualnie stosowana dyrektywa 95/46/WE została wdrożona do ustawodawstw poszczególnych państw UE na zróżnicowanym poziomie, co w praktyce bardzo utrudnia funkcjonowanie międzynarodowym grupom kapitałowym m.in. ze względu na zróżnicowane rozwiązania prawne związane z transferem kadrowych danych osobowych pomiędzy podmiotami z grupy zlokalizowanymi w różnych państwach.