RODO w HR. Jak wprowadzać ochronę danych w kadrach

Będąc przedsiębiorcą niejednokrotnie jesteś także pracodawcą. I to, co się z tym wiąże to nie tylko płacenie pensji (chociaż tego najbardziej oczekują pracownicy), ale także kwestie przetwarzania danych osobowych pracowników.

Wówczas jesteś administratorem zarówno dla swoich klientów, jak i pracowników.

Ta podwójna rola sprawia po twojej stronie pewne obowiązki, aby przetwarzanie danych było zgodne z RODO.

Artykuł nie wyczerpuje tematu, ale na kilka kwestii chcę zwrócić uwagę.

Mam nadzieję, że będą pomocne 🙂

Koniec już tego wstępu, przechodzę do sedna.

Czy przepisy o ochronie danych dotyczą działów kadr?

Retoryczne pytanie, prawda?

Oprócz pracodawców lub kierowników jednostek także dział kadr, czy dział finansowo-płacowy z racji swoich obowiązków w ramach wykonywanej pracy przetwarzają dane osobowe  i tym samym muszą wdrożyć RODO.

Czy zatem można się umówić z pracownikiem, że informacje o nim nie będą stanowiły danych osobowych?

Kusząca propozycja, ale nie.

Umówienie takie nie byłoby prawnie skuteczne.

Czy każdy rodzaj informacji przetwarzanych przez dział HR to dane osobowe?

Wystarczy spojrzeć na definicję danych osobowych znajdującą się w rozporządzeniu ogólnym, które reguluje, że dane są to informacje identyfikujące lub dające możliwość do zidentyfikowania osobę fizyczną.

Należy pamiętać, że danymi osobowymi  są nie tylko informacje, które pozwalają na identyfikację konkretnego Jana Kowalskiego, ale także trzeba uwzględnić zarówno dane posiadane już przez pracodawcę, jak i dane, do których jest on w stanie stosunkowo łatwo dotrzeć.

NSA w tej kwestii się wypowiedziało uznając, że informacje, które dają się powiązać z określoną osobą, zwłaszcza przy wykorzystaniu łatwo osiągalnych źródeł powszechnie dostępnych, również zasługują na zaliczenie ich do kategorii danych osobowych (wyr. NSA z 19.05.2011, I OSK 1086/10).

Przetwarzanie danych osobowych na etapie rekrutacji

Na etapie rekrutacji pracodawcy dążą do tego, aby jak najwięcej dowiedzieć się o potencjalnym przyszłym pracowniku.

Dlatego trudno się dziwić, że informacje, których oczekują wykraczają poza określone w Kodeksie pracy.

Dla przypomnienia, art. 22 (1) Kodeksu pracy reguluje zasady uzyskiwania informacji o pracowniku od samego pracownika (kandydata na pracownika).

Nie dotyczy to danych pozyskanych od osoby trzeciej.

Jednak nie oznacza to, że pracodawca będzie mógł dowolnie pozyskiwać takie dane i przetwarzać.

Należy pamiętać jeszcze o prawie do prywatności.

W Internecie można się spotkać z odmiennymi poglądami w kwestii tego, czy kandydat powinien składać  dodatkowe oświadczenia o zgodzie na przetwarzanie jego danych, czy też nie.

Wydaje się, że jeśli kandydat informuje o danych, które wynikają wprost z Kodeksu pracy to rzeczywiście spełnia wymogi prawa.

Jednak rzadko się zdarza, albo wcale, że pracodawca w formularzu nie oczekuje jeszcze innych informacji, wykraczających poza kodeksowe.

Zdarza się również, że pracodawca uzyskuje informacje o pracowniku od samego pracownika, z jego inicjatywy.

Trudno sobie wyobrazić, że będzie wówczas podejmował czynności ochronne na zasadzie: Nie informuj mnie, bo nie mogę przetwarzać…

W takiej sytuacji właściwą podstawą do przetwarzania danych jest zgoda pracownika / kandydata do pracy.

Wyrażenie przez osobę zgody na przetwarzanie danych osobowych oznacza godzenie się na to, aby informacje jej dotyczące były gromadzone i wykorzystywane przez administratora danych.

Zgoda pracownika nie może mieć charakteru abstrakcyjnego, lecz musi obejmować również akceptację celu, dla którego dane mają być przetwarzane. Natomiast dla celów dowodowych warto pamiętać, aby taka zgoda była udzielona na piśmie.

Przykładowy wzór zgody na przetwarzanie danych osobowych kandydata na pracownika w toku procesu rekrutacji może brzmieć następująco:

Wyrażam zgodę na przetwarzanie danych osobowych zawartych w mojej aplikacji dla potrzeb niezbędnych do realizacji procesów rekrutacyjnych zgodnie z rozporządzeniem ogólnym nr 2016/679 o ochronie danych osobowych.

Co w takim razie z firmami pośredniczącymi w zatrudnieniu?

W przypadku podmiotów zajmujących się pośrednictwem pomiędzy pracodawcą a osobami poszukującymi pracy, to, jak będzie kształtował się status podmiotów, zależeć będzie od formy działalności takiego zakładu.

Zdaniem r.pr. dr Dominiki Dorre-Kolasa, jeżeli podmiot taki zajmuje się pośrednictwem przy ogłaszaniu ofert pracodawców i przesyła im aplikacje osób szukających pracy, wówczas to pracodawca pozostaje administratorem danych, zaś podmiot zajmujący się pośrednictwem będzie operował na danych na podstawie umowy powierzenia (będzie procesorem).

Natomiast, jeżeli podmiot taki we własnym zakresie gromadzi dane osób bez bezpośredniego związku z konkretną ofertą, a następnie na pytanie potencjalnego pracodawcy o kandydatów przesyła aplikacje tych, które odpowiadają poszukiwanym pracownikom, to wówczas będziemy mogli mówić o dwóch administratorach danych.

Pierwszy będzie podmiot pośredniczący, który będzie administratorem danych osób poszukujących pracy, zaś drugim – potencjalny pracodawca, przetwarzający dane w celu rekrutacji.

Ogólne rozporządzenie o ochronie danych wprowadza dodatkowe rozwiązanie, bezpośrednio powiązane z pojęciem administratora danych – współadministratorów danych. Zgodnie z definicją administratora danych, może bowiem decydować o zasadach przetwarzania danych wspólnie w innym podmiotem – w takiej sytuacji mamy do czynienia ze współadministratorami danych. (za: D.Dorre-Kolasa, Ochrona danych osobowych pracowników).

Monitorowanie pracowników

Nowa ustawa o ochronie danych osobowych przewiduje w art. 111 zmiany w Kodeksie pracy (dodany art. 22(2) i art. 22(3)), dotyczące dopuszczalności wprowadzenia monitoringu w zakładach pracy.

Uzasadnieniem tutaj ma być zapewnienie bezpieczeństwa pracowników lub ochrony mienia lub kontroli produkcji lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę, pracodawca.

Także pracodawca może wprowadzić kontrolę służbowej poczty elektronicznej pracownika.

Jednak monitoring poczty elektronicznej nie może naruszać tajemnicy korespondencji oraz innych dóbr osobistych pracownika.

Jak w praktyce poinformować pracowników o tym.

Przykładowo pracodawca może poinformować poprzez wyświetlający się komunikat przy załączaniu stacji roboczej o tym, że: Stacja jest monitorowana zgodnie z zasadami określonymi w Polityce Bezpieczeństwa Informacji. Jeżeli akceptujesz postanowienia PBI naciśnij OK.

Jak wprowadzać przepisy o ochronie danych w działach HR?

Po pierwsze informacja.

Ten obowiązek wynika w szczególności z konieczności zapewnienia osobie, której dane dotyczą, możliwości kontroli przetwarzania jej danych.

Zacznij od przygotowania Polityki Bezpieczeństwa Informacji. Jest to dokument opisujący procesy zachodzące w zakładzie pracy, jakie procedury, jakie zbiory danych przetwarzasz.

Następnie  przygotuj rejestr czynności przetwarzania danych. O rejestrze pisałam tutaj: Rejestr czynności przetwarzania – nowy dokument przetwarzania danych osobowych.

godnie z RODO, obowiązek prowadzenia rejestru dotyczy pracodawców zatrudniających powyżej 250 pracowników.

W rejestrze tym zamieszcza się takie informacje, jak: dane administratora, dane kontaktowe, dane IOD (jeśli został powołany), cele przetwarzania, opis kategorii osób, których dane dotyczą, czy kategorie odbiorców danych.

Kolejnym dokumentem, o którym warto pomyśleć jest Instrukcja zarządzania systemami informatycznymi.

Dokument ten był obowiązkowy do 25 maja. Jeśli jednak na gruncie dotychczasowego GIODO go sporządziłeś to warto go nie wyrzucać do kosza.

To w nim zawierasz informacje o zmianie haseł, aktualizacjach, procedurze naprawy sprzętu, czy stosowaniu certyfikatu SSL.

Ocena skutków dla ochrony danych stanowi następny krok.

Zastanów się, jakie działania, korzystanie z jakich programów, aplikacji, systemu niesie ze sobą wysokie ryzyko naruszenia praw i wolności osób fizycznych.

Mam nadzieję, że tych kilka informacji pomoże rozjaśnić kwestie związane z wdrażaniem RODO w działach kadr.

Jest dużo jeszcze innych aspektów, jeśli będziesz miał pytania, napisz do mnie.