Q-ODO w HR, czyli 4 elementy wsparcia dla administratora danych osobowych

RODO było w ostatnich czasach jednym z częściej poruszanych tematów w Internecie. Nic dziwnego – większa część gromadzonych danych osobowych pochodzi właśnie z tego źródła i to zmian związanych z pozyskiwaniem danych w ramach działalności e-commerce najczęściej dotyczą analizy. Rzadziej jednak omawiane są wyzwania, z jakimi muszą poradzić sobie pracodawcy, którzy także przetwarzają dane osobowe.

Tymczasem połowa z nich obawia się problemów, które mogą pojawić się wraz ze zwiększeniem zakresu obowiązków i odpowiedzialności HR. W badaniu „RODO w rekrutacji 2018” zapytano pracodawców o to, który obszar ich zdaniem jest kluczowy, aby rekrutacje były zgodne z nowymi przepisami. Wskazali odpowiednio: dostosowanie wewnętrznych procedur (33 proc.), dostosowanie systemu rekrutacyjnego (32 proc.), a także zarządzanie klauzulami i zgodami (27 proc.).

- Przede wszystkim trzeba pamiętać, że każdy pracodawca ponosi odpowiedzialność za ochronę danych osobowych jako administrator tych danych. To na nim ciąży zapewnienie odpowiednich procedur gromadzenia i zarządzania zbiorami danych oraz opracowanie odpowiedniej polityki informacyjnej firmy, zgodnej z wymaganiami RODO – wyjaśnia Paweł Wysocki, Prezes Zarządu Quercus, firmy specjalizującej się we wdrożeniach SAP w zakresie HR. - Pamiętajmy, że z wprowadzeniem RODO wiąże się także kwestia kar za nieprzestrzeganie przepisów. A są to kary wysokie – nawet do 20 mln euro lub 4% rocznego obrotu firmy. Nic zatem dziwnego, że pracodawcy – jako ADO (Administratorzy Danych Osobowych) – poszukują rozwiązań, które ułatwią im realizację obowiązków określonych w tych przepisach, a jednocześnie zapewnią bezpieczeństwo danych i możliwość ich bieżącej weryfikacji – dodaje.

Obowiązki administratora danych osobowych to m.in.

• ustalenie zakresu danych osobowych i celów ich zbierania w różnych obszarach HR;
• identyfikacja podzbiorów danych (np. obecni pracownicy, byli pracownicy, kandydaci do pracy, pracownicy sezonowi, stażyści, podwykonawcy itp.);
• wprowadzenie procedur dotyczących zabezpieczenia danych osobowych, zasad rozpatrywania żądań do bycia zapomnianym (nie w każdym przypadku kadrowym można je zrealizować), polityki informacyjnej firmy dotyczącej RODO, okresu przechowywania danych;
• opracowanie i podpisanie umów powierzenia danych z podmiotami, którym dane, w związku z realizacją bieżącej działalności firmy, będą udostępniane.

#1 Ewidencja zgód na przetwarzanie danych osobowych

Im bliżej terminu wejścia w życie przepisów RODO, tym większa presja na wdrożenie rozwiązań wspomagających ADO. „Administrator musi być w stanie wykazać, że podmiot udzielił zgody na przetwarzanie swoich danych osobowych, a także danych osobowych członków rodziny. W systemie Q-ODO, który stworzyliśmy z myślą o odciążeniu administratorów danych, w profilu danego pracownika przechowywane są informacje o przekazanym upoważnieniu i zgodzie na przetwarzanie danych dodatkowych, m.in. dotyczących członków rodziny” – wyjaśnia ekspert Quercus, Paulina Kopcińska. Twórcy rozwiązań informatycznych wspierających ADO biorą pod uwagę fakt, że w różnych organizacjach procedury i zakres przetwarzania danych mogą się różnić. Dlatego są to zazwyczaj narzędzia elastyczne, z uprawnieniem generowania upoważnień i klauzul do umów w uzgodnionym wcześniej z pracodawcą-zleceniodawcą zakresie.

#2 Obowiązek udostępniania i prawo do przenoszenia danych

Na ADO ciąży także obowiązek informacyjny, czyli obowiązek udostępniania pracownikom informacji o zakresie przechowywanych danych osobowych na ich temat, na temat członków ich rodzin oraz o planowanym czasie przechowywania tych danych. Sporym ułatwieniem dla ADO jest, gdy system, z którego korzysta, pozwala na automatyczne wygenerowanie raportu dotyczącego zakresu tych danych oraz terminu, w jakim będą one przechowywane/archiwizowane. W przeciwnym wypadku konieczne jest czasochłonne, ręczne przygotowywanie takiego zestawienia.

Zgodnie z RODO każda osoba, której dane zgromadziliśmy, będzie mogła zażądać kopii tych danych oraz zrealizować swoje prawo do ich przenoszenia. W praktyce zazwyczaj oznacza to konieczność przygotowywania specjalnych zestawień. - Rozwiązania systemowe pozwalają na automatyzację tych procesów, zapewniając jednocześnie bezpieczeństwo przetwarzania danych, oszczędzając czas ADO i umożliwiając eksport danych do plików csv, xlix i PDF – podkreśla Paulina Kopcińska.

#3 Prawo do bycia zapomnianym

Uprawnienie do żądania usunięcia danych osobowych z bazy danych, czyli tzw. prawo do bycia zapomnianym, to jedna z szerzej omawianych zmian wprowadzanych nowymi przepisami. Uprawnienie to może być zrealizowane, gdy zaistnieje jedna z poniższych przesłanek:

• dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
• osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie (…) i nie ma innej podstawy prawnej przetwarzania;
• osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania i nie występują nadrzędne, prawnie uzasadnione podstawy przetwarzania
• lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania jej danych w ramach marketingu bezpośredniego (w tym profilowania);
• dane osobowe były przetwarzane niezgodnie z prawem;
• dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;
• dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1.

W praktyce HR przepisy te mają zastosowanie przede wszystkim w przypadku rekrutacji. Nie ma bowiem możliwości, aby pracownik zażądał usunięcia swoich danych z teczki osobowej, gdyż są to informacje przetwarzane w związku z realizacją innych obowiązków prawnych i przepisów szczególnych (m.in. prawa pracy).

Jednakże rzeczywiście zdarzają się sytuacje, kiedy będziemy poproszeni o wykasowanie danych osoby, która ubiegała się o pracę. Pamiętajmy, że informacje takie trzeba usuwać nie tylko z danych bieżących, ale także z kopii zapasowych i archiwum. „Narzędzia takie jak Q-ODO umożliwiają zaplanowanie archiwizacji danych w określonych terminach oraz określenie zakresu danych, które powinny znajdować się w systemie (w tym również określenie czasu ich przechowywania). Po upływie „terminu ważności” danych można je wygodnie usunąć za pomocą raportu do usuwania danych” – tłumaczy Paulina Kopcińska, ekspert Quercus.

#4 Rejestry czynności pod kontrolą

Zgodnie z RODO organizacje mają obowiązek prowadzenia tzw. rejestru czynności przetwarzania danych osobowych. Prowadzenie takiego rejestru jest wyzwaniem organizacyjnym, zwłaszcza przy przetwarzaniu dużego wolumenu danych. Tym bardziej, że przepisy, a konkretnie art. 30 RODO, obejmują dość długą listę informacji, jakie należy objąć raportem.

- Z tego właśnie powodu prowadzenie rejestru dobrze jest zautomatyzować. Rozwiązania informatyczne to nie tylko oszczędność czasu, ale przede wszystkim odciążenie administracji, rzetelne raporty, pewność danych oraz możliwość sprawnego zarządzania nimi. Posiadają na przykład funkcje pozwalające na sprawdzanie aktywności użytkowników (logi aktywności) z wykazem czynności, jakie były wykonywane w rekordach z danymi osobowymi pracowników. Dużym plusem jest także funkcjonalność umożliwiająca definiowanie ról i uprawnień poszczególnym osobom posiadającym dostęp do systemu. Usprawnia nie tylko zarządzanie danymi, jest też dodatkową formą zabezpieczenia przed niepowołanym przetwarzaniem danych osobowych – podsumowuje Paulina Kopcińska z Quercus.

Nowe przepisy RODO dotyczą praktycznie każdego aspektu naszego życia. I choć najczęściej omawia się je z punktu widzenia jednostki (konsumenta, pracownika, użytkownika Internetu), stanowią przede wszystkim wyzwanie dla organizacji, w tym dla pracodawców. Dlatego oprócz wnikliwej analizy przepisów dobrze jest wyposażyć się w narzędzia, które ułatwią ich realizację.