HRakterna środa – RODO w świecie HRu

Ogólne Rozporządzenie o Ochronie Danych Osobowych, w skrócie RODO, lub po angielsku GDPR. Ten akt prawny zaczął obowiązywać w maju zeszłego roku, przy okazji wywołując tsunami emocji. HR to jeden z działów w firmach, którego praca opiera się na przetwarzaniu danych. Po ponad roku obowiązywania tego aktu prawnego, warto zweryfikować, czy wymogi zostały spełnione, a obowiązki nałożone przez ustawodawcę – realizowane. 

Paulina Leja. Specjalistka do spraw rekrutacji IT i employer brandingu w NeuroSYS. Uwielbia kontakt z ludźmi i relacje społeczne. Chce zastanawiać się nad tym jak świat powinien wyglądać, a następnie takim go tworzyć. Właśnie tę misję codziennie realizuje jako HR-owiec z wyboru. Bardzo ceni podejście projektowe oraz elastyczność w pracy. Karierę zawodową rozpoczynała w firmie outsourcingowej, następnie skoncentrowała się na działalności w software house’ach.


Co to jest RODO i dlaczego dotyczy HRu?

RODO to rozporządzenie unijne, do którego swoje prawo dostosować muszą wszystkie kraje członkowskie. Tak stało się i w przypadku Polski. Obowiązuje ono każdego, kto na terenie UE przetwarza, czyli wykonuje czynności, w skład których wchodzą dane innych osób, dla celów inne niż czysto osobiste lub domowe. Na przykład mowa tu o rekrutacji, tworzeniu akt pracowniczych, czy przygotowywanie systemu kafeteryjnego. 

W akcie znajdziemy wiele reguł, ale dwie najważniejsze zasady, które trzeba mieć w pamięci, rozważając tematykę rozporządzenia to:

  • Mając na uwadze pozbawienie uzależnienia od technologii – wszystkie zapisy nakazują działania rozsądne, dostosowane do potrzeb, czy innymi słowy proporcjonalnie do zagrożenia. W związku z tym prawo nie podaje na tacy łatwych czy precyzyjnych rozwiązań. Trzeba zawsze zastanowić się czy są one potrzebne ze względu na skalę, cele, zakres i kontekst przetwarzania danych osobowych.
  • minimalizm – przetwarzanie jest dopuszczalne tylko w niezbędnym zakresie. Nie można danych gromadzić “na zapas”, bez wyraźnego celu.

Prolog dla spóźnialskich, czyli jak zabrać się do wdrażania RODO?

Najprostszym, ale i najbardziej kosztownym rozwiązaniem jest skontaktowanie się z dobrym prawnikiem, warto jednak podkreślić, że nie ma takiego obowiązku, bo przy dużej dozie chęci i zapału do nauki, to podstawowe działania można podjąć samemu. Niezależnie czy jesteście nastawieni na samodzielne opracowanie tematu, czy współpracujecie z profesjonalnymi pełnomocnikami – na start zapraszam do lektury tego artykułu, który jest zbiorem podstawowych informacji. 

Zacząć należy wówczas od audytu z zakresu RODO, czyli identyfikacji wszelkich osób, procesów i wszelkich obszarów, które w firmie związane są z przetwarzaniem danych osobowych. Następnym krokiem będzie opisanie zasad, według których dane te są przetwarzane i upewnienie się, czy jest to zgodne z prawem, a następnie prowadzenie rejestrów danych czynności związanych z przetwarzaniem danych. 

Warto – powyżej 250 zatrudnionych osób, lub przetwarzania powodującego niesporadyczne ryzyko naruszenia praw lub wolności, a także w przypadku szczególnych danych (np. związane ze zdrowiem czy dotyczące wyroków skazujących) wręcz trzeba – posiadać odpowiednie rejestry. Administrator przygotowuje rejestr dotyczący czynności przetwarzania danych osobowych przez administratora, a procesor katalog czynności przetwarzania danych osobowych. 

Ponadto trzeba przygotować dokument, który informować będzie każdą osobę, której dane są przetwarzane o tym, kto jest administratorem ich danych i jakie prawa mu przysługują. Konieczne jest także zadbanie o bezpieczeństwo danych – zarówno na poziomie technologicznym, jak i organizacyjnym.

RODO dla HR-u

Obszary HR-owe, w których RODO będzie miało zastosowanie, to z jednej strony zarządzanie przetworzonymi danymi i dbanie o bezpieczeństwo danych. Z drugiej zaś procesy rekrutacyjne, zarządzanie danymi pracowników w systemach wewnętrznych i współpraca z firmami zewnętrznymi, gdzie dochodzi do przekazywania danych (np. przy zarządzaniu benefitami pracowniczymi).

Ogólne zasady

W przypadków działów HR, dane przechowywane są najczęściej w sposób niezorganizowany i rozproszony. Od CV, które spływają różnymi źródłami, po prezentacje czy raporty przygotowywane na potrzeby biznesowe. Uporządkowanie tych danych ma przede wszystkim na celu uregulowanie sposobu i czasu przechowywania danych. 

Kolejnym krokiem jest ustalenie poszczególnych ról w firmie, uwzględniając dostęp do określonych rodzajów danych osobowych – pamiętając, że można je udostępniać wyłącznie do uzasadnionych celów. 

Bezpieczeństwo

Następnie konieczne jest zadbanie o wspomniane już bezpieczeństwo, które właśnie ze względu na zasadę dostosowania działań do środków, stanowi największe wyzwanie, również dla działów HR. Również w tym dziale musi być ono organizacyjne i techniczne. 

W przypadku dokumentów, które posiadamy fizycznie, przy przetwarzaniu danych trzeba stosować zasadę czystego biurka – nie trzymać np. aplikacji kandydatów czy oświadczeń pracowników zawierających dane w widocznym miejscu, a co więcej zamykać je w szafie zamykanej na klucz. 

Rozwiązania technologiczne mają natomiast dawać możliwość pseudonimizacji (które również należy stosować podczas rozmów w miejscach publicznych), anonimizacji (czyli np. usuwanie danych kandydatów i pozostawienie wyłącznie statystyk po konkretnej rekrutacji), czy szyfrowania danych osobowych. 

Przetwarzając dane, trzeba mieć również na uwadze, że konieczna jest zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie naruszenia/utraty danych.

W związku z tym do zadań HR należy analiza procesów przetwarzania danych osobowych. Trzeba szczególnie zwracać uwagę na możliwość ryzyka przypadkowego czy niezgodnego z prawem zniszczenia, utraty czy nieuprawnionego ujawnienia danych osobowych.
Każdorazowo trzeba (co kolejny raz podkreślę) dostosowywać środki techniczne (czyli np. narzędzia, systemy ATS, kadrowe, kafeteryjne), tak by zapewniały bezpieczeństwo przechowywanych danych, do stwierdzonego ryzyka. 

Procesy rekrutacyjne

Zgoda

W związku z tym, że każde przetwarzanie musi mieć swoje uzasadnienie i cel, od kandydatów na stanowisko pracy, należy oczekiwać oświadczenia o wyrażeniu zgody na przetwarzanie danych osobowych w procesie rekrutacji. Spotkałam się co prawda ze stanowiskiem, któremu nie można odmówić logiki, że wysłanie CV jest w dorozumiany sposób wyrażeniem zgody na proces rekrutacji. Z drugiej strony, można podnieść argument, że nie jest to zachowanie należytej staranności i dostosowanie środków do ryzyka. Lepiej więc przychylić się do dominującego stanowiska o konieczności zbierania zgód. 

Z konieczności posiadania zgód, wypływają dwie istotne kwestie – po pierwsze, trzeba weryfikować czy klauzule zgody są napisane jasnym i zrozumiałym językiem, a także zgodne z rozporządzeniem. Muszą się tam pojawić informacje o administratorze i celach przetwarzania, zadbać również trzeba o to, by były one wyraźnie oddzielone od innych oświadczeń, czy zostały udzielone dobrowolnie.

Cele przetwarzania nie mogą być łączne – oznacza to, że zgoda na obecny proces rekrutacji, musi być oddzielna od zgody na przetwarzanie danych na przyszły proces rekrutacji. Jeżeli druga zgoda nie zostanie udzielona, pracodawca nie może zachowywać CV i korespondencji z kandydatem – niezależnie od tego czy kandydat został zatrudniony czy nie. 

Niedopuszczalne jest budowanie bazy przyszłych kandydatów bez ich zgody. Wydłużenie okresu przechowywania danych zawartych w aplikacji powinno być wyjątkiem od reguły niezwłocznego ich usuwania i powinno być szczególnie uzasadnione.

Informacje na poczet rekrutacji 

Warto zaznaczyć, że zatrudniając pracownika, czyli osobę zatrudnioną na umowę o pracę (nie dotyczy to osób zatrudnionych na umowę cywilnoprawną, bądź inne formy współpracy), możemy od niej wymagać wyłącznie danych określonych przez prawo pracy. Należą do nich:  

  • Imię
  • Nazwisko
  • Data urodzenia 
  • Adres zamieszkania i adres korespondencyjny 
  • Wykształcenie 
  • Dotychczasowe doświadczenie zawodowe.

Żadne inne informacje – jak np. zdjęcie, stan cywilny nie mogą być wymagane od kandydata którego chcemy zatrudnić na umowie o pracę, a odrzucenie go z powodu braku innej informacji jest bezprawne i stanowi naruszenie przepisów prawa pracy. Co jest już chyba oczywiste, kobiet ubiegających się o zatrudnienie nie można pytać czy żądać udzielenia informacji o ciąży, ani tym bardziej tego, by poddała się badaniu mającemu ustalić czy w niej jest. Jedynym wyjątkiem jest sytuacja, gdy ubiega się o zatrudnienie przy pracy wzbronionej kobiecie w ciąży. 

Ponadto informacje o wykształceniu, kwalifikacjach zawodowych czy doświadczeniu można wymagać tylko, gdy jest to niezbędne na określonym stanowisku i musi być każdorazowo uzasadnione. Jeżeli kandydat aplikuje na stanowisko niezwiązane ze swoją poprzednią ścieżka zawodową i nie chce udostępniać informacji o poprzednich doświadczeniach – nie ma takiego obowiązku. 

Otrzymane dane mogą być weryfikowane, jednak wyłącznie w zakresie podanym przez kandydata. Wymaga to za każdym razem poinformowania zainteresowanej osoby i otrzymanie od niej zgody. Bez niej research, pytanie o opinię byłych pracodawców czy współpracowników jest niedopuszczalny.

Out-source’ując usługi HR 

Nawiązując współpracę z zewnętrzną firmą, trzeba pamiętać, że zlecający nadal jest administratorem danych. Zlecenie działań związanych z przekazaniem danych jest de facto powierzeniem danych. Trzeba więc poinformować o tym pracowników, a z podmiotem, któremu dane są zlecane trzeba zawrzeć umowę powierzenia danych. 

Po stronie zlecającego jest również upewnienie się, że m.in. zobowiązanie do przetwarzania danych odbędzie się wyłącznie na udokumentowane polecenie administratora. Wszystkie dane będą przetwarzane w sposób bezpieczny, z uwzględnieniem środków technicznych i organizacyjnych, dane będą odpowiednio pseudonimizowane i szyfrowane. 

Ponadto podmiot, któremu outsourcujemy dane musi mieć zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania. Powinien także zapewnić szybkie przywrócenie dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, a także regularne testować, mierzyć i oceniać skuteczność środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

A co jeśli coś pójdzie nie tak? 

Mimo najlepszych starań dbania o bezpieczeństwo i zachowywania ostrożności, może wydarzyć się coś, co nie powinno mieć miejsca. Takie “coś” to przypadkowe lub niezgodne z prawem zniszczenie, utracenie lub zmodyfikowanie danych, a także nieuprawnione ujawnienie czy dostęp innych osób, czy złe przekazywanie czy przechowywanie. Pracodawca musi przede wszystkim wyłapać, a także zgłaszać ten fakt organowi nadzoru, najpóźniej w ciągu 72 godzin od stwierdzenia nastąpienia wystąpienia takiego faktu. Natomiast jeżeli takie naruszenie niesie wysokie ryzyko naruszenia praw czy wolności, trzeba poinformować również osobę, której to dotyczy.

Podsumowanie

Powyższe informacje stanowią, co jeszcze raz podkreślę, zbiór podstawowych informacji, które warto znać i wdrażać w życie. Każda osoba pracująca z danymi musi dbać o legalność ich przetwarzania, co obecnie nie można takie zachowanie przekuć jako wartość w firmie. W dzisiejszych czasach stanowi to element szacunku do kandydata, by faktycznie, a nie tylko na papierze mógł on dobrowolnie rozporządzać danymi. Pracodawca natomiast bez unikania konfrontacji z rzeczywistością prawną powinien dostosować się do tej woli kandydatów i dbać o to, by na każdym etapie kontaktu z danymi jego zachowania było legalne, motywowany właśnie pożądaną postawą względem pracowników. 


Zdjęcie główne artykułu pochodzi z unsplash.com.

Źródła:

Zapraszamy do dyskusji

Patronujemy

 
 
Polecamy
HRakterna środa – 13 sposobów na pomoc pracownikom w podnoszeniu kompetencji