Punkty widzenia
Rozwiązania technologiczne w dziale HR a RODO
Newsletter Employee Experience | Wrzesień 2019
W funkcjonowanie działów HR z coraz większą śmiałością wkracza technologia. Pracownicy HR powinni jednak pamiętać, że technologia niesie ze sobą nie tylko ułatwienia dla organizacji, ale także pewne ryzyka. Jednym z takich ryzyk jest naruszenie przepisów z zakresu ochrony danych osobowych.
Istotne jest, aby pracownicy działu HR uświadomili sobie, że to na nich ciąży odpowiedzialność za zgodność działań organizacji z obszaru HR z RODO i za zidentyfikowanie nowych projektów związanych z przetwarzaniem danych osobowych w ich obszarze i zgłoszenie ich odpowiednim osobom w organizacji.
Aby móc zapewnić taką zgodność, dyrektor HR powinien znać się na technologii i rozumieć, w jaki sposób funkcjonuje narzędzie lub system IT, które mają zostać wdrożone w organizacji. Dopiero ta wiedza pozwoli świadomie odpowiedzieć na pytanie, czy organizacja działa zgodnie z przepisami. Warto uświadomić sobie, na co, z perspektywy danych osobowych, powinien zwracać uwagę dział HR decydując się na wdrożenie nowych rozwiązań technologicznych.
Status pracodawcy
W pierwszej kolejności dział HR powinien odpowiedzieć sobie na następujące pytania:
- kto podjął decyzję o tym żeby wdrożyć dane narzędzie/system IT?
- kto decyduje o zakresie danych osobowych, które podlegają przetwarzaniu?
- kto decyduje o tym jak długo dane będą przechowywane?
- kto decyduje o technicznych sposobach przetwarzania danych w ramach narzędzia/systemu IT?
- kto oprócz pracodawcy ma dostęp do danych osobowych przechowywanych w narzędziu/systemie IT i kto o tym decyduje?
Dopiero odpowiedź na powyższe pytania pozwoli pracodawcy ustalić, jaki jest jego status w stosunku do danych osobowych przetwarzanych w ramach narzędzia/systemu IT (czy jest administratorem, współadministratorem czy podmiotem przetwarzającym dane?) i jakie kroki należy podjąć, by zapewnić zgodność z przepisami o ochronie danych osobowych. W niektórych przypadkach może okazać się, że to nie pracodawca, ale np. jego spółka-matka będzie administratorem danych osobowych przetwarzanych w ramach narzędzia.
Zakres danych przetwarzanych w ramach narzędzia/systemu IT
Każdy system/narzędzie IT powinny zostać szczegółowo przeanalizowane pod kątem następujących kwestii:
Jak uregulowany jest poziom dostępu do danych? kto ma dostęp do określonych danych i dlaczego?
Nie zawsze jest tak, że wszyscy użytkownicy systemu powinni mieć dostęp do wszystkich danych, np. nie wszyscy pracownicy danej organizacji powinni mieć dostęp do danych o przyczynach nieobecności pozostałych pracowników.
Jakie dane przechowywane są w narzędziu/systemie?
Warto pamiętać, że dane przechowywane w systemie nie mogą być dowolne. Dział HR powinien upewnić się, że może przetwarzać określone dane zgodnie z przepisami. Przyczyną zamieszczenia danych w systemie nie może być sam fakt, że dostawca zaprojektował go w określony sposób, np. dostawca systemu dla kandydatów do pracy umieścił w nim rubrykę „PESEL” – rubryka ta powinna zostać usunięta, ponieważ brak jest podstaw w przepisach do żądania takich danych osobowych od kandydata.
Czy dane przechowywane w systemie są niezbędne dla celu, dla którego utrzymywany jest system?
Mając na względzie zasadę minimalizacji danych osobowych, dział HR powinien zastanowić się, czy wszystkie dane, które przechowuje w systemie są niezbędne dla celu, dla którego jest on utrzymywany, np. jeśli system służy zarządzaniu czasem pracy to niekoniecznie muszą być w nim zamieszczone dane dotyczące adresów zamieszkania pracowników.
Dostęp do danych w ramach grupy kapitałowej
W przypadku organizacji będących częścią grup kapitałowych, istotna jest weryfikacja, czy dostęp do danego narzędzia/systemu IT będą miały pozostałe spółki z grupy, a jeśli tak to na jakiej podstawie i czy konieczne jest umowne uregulowanie tej kwestii. Szczególnie istotne jest także zweryfikowanie, czy dostęp do danych będą miały podmioty z krajów trzecich – wtedy konieczne może być zapewnienie odpowiednich zabezpieczeń.
Co dzieje się z danymi poza systemem?
Warto pamiętać także o zabezpieczeniu takich kwestii jak to, co dzieje się z dokumentami/raportami wydrukowanymi z systemu i co dzieje się z dokumentami/raportami przekazanymi do innych działów. Często bowiem okazuje się, że organizacja pamiętała o wprowadzeniu odpowiednich zabezpieczeń samego systemu, jednak nie zostały wprowadzone odpowiednie procedury postępowania z dokumentami, które zostały z niego eksportowane. W praktyce może to wiązać się z wysokim ryzykiem dla organizacji.
Employee Experience Newsletter - Wrzesień 2019
- Od stanowiska do superstanowiska
- HR w chmurze: punkt wyjścia, nie cel
- Rozwiązania technologiczne w dziale HR a RODO
- Rynek pracy: zmiana szansą i wyzwaniem transformacji cyfrowej
- Nadchodzący webcast: Cyfryzacja HR: doświadczenie pracownika – istotne momenty
- Nagranie webcastu: Co powinieneś wiedzieć o stosowanych w dziale HR rozwiązaniach technologicznych, aby umieć ocenić zgodność z RODO?