RODO w obszarze HR

Najważniejszym tematem, który przewija się przez Działy HR, i wobec którego przedsiębiorstwa nie mogą przejść obojętnie jest Rozporządzenie Unijne o RODO, którego założenia wchodzą w życie 25.05.2018. Zastępuje ono dotychczasową ustawę o ochronie danych osobowych z 1997r., jak również ustawę o GIODO, wymuszając nowe podejście do procesów wewnętrznych, tym samym do zarządzania danymi osobowymi.

W świetle Rozporządzenia, firmy, tu pracodawcy („osoba fizyczna lub prawna, bądź organ publiczny lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych”) staną się administratorami danych osobowych i będą w pełni odpowiadać za bezpieczeństwo ich przetwarzania. Przed szczególnym wyzwaniem staną działy HR, ponieważ to one mają dostęp do danych, szczególnie do danych wrażliwych, podczas całości procesów związanych z Zarządzaniem Zasobami Ludzkimi: głównie w procesach wewnętrznych, m.in. podczas rekrutacji, ale też przy udzielaniu świadczeń pozapłacowych i komunikacji w tym zakresie z firmami zewnętrznymi.

Nowe przepisy istotnie wpłyną na formę i sposób przetwarzania danych, ponieważ wprowadzają pojęcia dotychczas niestosowane oraz udzielają dodatkowych praw wszystkim, których dane są przetwarzane.

Kluczowe zmiany, które Rozporządzenie przewiduje to: rozszerzenie obowiązków informacyjnych, zaostrzenie regulacji podstaw prawnych na przetwarzanie danych osobowych oraz rejestrowanie wszystkich czynności, które wykonujemy na danych osobowych.[1]

Ponadto, Rozporządzenie udziela wielu dodatkowych praw osobom, których dane dotyczą. Oprócz dotychczasowych praw: dostępu, sprostowania bądź ograniczenia przetwarzania, dostajemy nowe prawo do „bycia zapomnianym”- aby instytucja, z którą już nie współpracujemy, nie miała dostępu do naszych danych – oraz prawo do przenoszenia danych. Rozporządzenie wprowadza też nowe sposoby ochrony danych, dostosowując się do globalnej cyfryzacji, aby przedsiębiorstwa mogły dostosować się do nowych wymogów. Wprowadza pojęcia: pseudonimizacji i anonimizacji, jako sposoby odwracalnego i nieodwracalnego szyfrowania danych.

W świetle tak sprecyzowanych praw dochodzimy do wniosku, że nowe podejście procesowe to nie tylko odpowiednio skonstruowane dokumenty, które regulują kwestie bezpieczeństwa przechowywania oraz przetwarzania danych między szukającymi pracy a oferującymi pracę, ale również środki techniczne umożliwiające ewidencję oraz zarządzanie danymi, które wymuszają na pracodawcach nowe przepisy.

Pracodawcy zatem, powinni przeanalizować istniejące procesy HR i zweryfikować je, a jeśli trzeba, przebudować, w odniesieniu do zaostrzonych przepisów. Analiza wymagań powinna obejmować przede wszystkim: zastanowienie się, jakimi danymi administrujemy ( zbiory danych, systemy informatyczne), czy mamy podstawy prawne, aby dane zbierać, czy zbierane dane są konieczne (zasada minimalizmu), o czym powinny wiedzieć podmioty, których dane przetwarzamy, jakie maja prawa w tym zakresie, czy są ich świadome, czy dysponujemy dokumentami potwierdzającymi zgody na przetwarzanie danych osobowych oraz czy odpowiednio zabezpieczamy dane przed nieuprawnionym dostępem.[2] Przy czym słowo: „odpowiednio” jest ważne w kontekście Rozporządzenia. Nowe przepisy nie precyzują, w jaki sposób mamy zabezpieczyć dane, lub w jaki sposób mają wyglądać procesy wewnętrzne. Rozporządzenie nakłada odpowiedzialność na Administratorów i Procesorów, aby to oni, znając specyfikę danej branży czy obszaru, zrobili to „odpowiednio”.

Sposób, w jaki pracodawcy podejdą do przetwarzania danych, i jak bardzo przebudują procesy HR będzie zależało od decyzji wewnętrznych. Wychodząc naprzeciw zaistniałym potrzebom, systemy informatyczne mogą oferować rozwiązania usprawniające przechowywanie i administrowanie danymi. Takim systemem jest enova365, której producent dostosował swój produkt tak, aby mógł pomagać w realizacji założeń ustawy. Najnowsza wersja enova365 posiada wbudowane mechanizmy obsługujące pseudonimizację na okoliczność przenoszenia danych oraz anonimizację w odniesieniu do „prawa do bycia zapomnianym”.

Biorąc pod uwagę administrowanie zgodami na przetwarzanie danych oraz bezpieczeństwem przechowywania samych danych, enova365 dostosowała funkcjonalności, które umożliwiają przedstawienie pełnego procesu zarządzania zgodami, dzięki zastosowaniu przemyślanych rozwiązań i użytecznych mechanizmów.

Podsumowując, Rozporządzenie wprowadza nowe prawa dla podmiotów, tym samym nakłada na pracodawców nowe obowiązki, nie precyzując sposobu, w jaki powinny być wypełnione. Obowiązki precyzowania działań, analiza procesów wewnętrznych i idących za tym decyzji spoczywa na administratorach danych, którzy działając we współpracy z działami HR mogą wprowadzić zmiany, bądź zaprojektować procesy wewnętrzne na nowo. Z pomocą przychodzą systemy informatyczne, które nie są bez znaczenia, jednak są tylko narzędziem, którym steruje człowiek. Sam system nie zapewni nam zgodności z RODO, zgodność z RODO zapewnią dobrze zaprojektowane procesy wewnętrzne i przeszkolona w tym zakresie kadra.

[1] Na podstawie https://www.kadry.abc.com.pl/zmiany-w-prawie/musisz-przygotowac-sie-na-te-zmian-w-ochronie-danych-osobowych-w-2018-r,111649.html

[2] Na podstawie materiałów szkoleniowych „RODO w obszarze HR” organizowanego przez Polską Platformę Szkoleniową