5 praktycznych wskazówek z zakresu ochrony danych osobowych w działach HR

Działy HR przetwarzają duże ilości danych osobowych, często również o wrażliwym charakterze. Warto dowiedzieć się, jak przechowywać je i dysponować nimi w bezpieczny sposób, uwzględniając przy tym rygorystyczne przepisy.

freepik

Ochrona danych osobowych staje się jednym z największych wyzwań w funkcjonowaniu firmy. Szczególne wymogi są związane przede wszystkim z rozporządzeniem RODO, które podchodzi do tej kwestii bardzo restrykcyjnie i nakłada różnego typu zobowiązania na administratorów danych osobowych. Wyjątkowe zadania w tym zakresie dotyczą działów HR, które podczas realizacji bieżących działań praktycznie nieustannie przetwarzają dane osobowe i zbierają duże zasoby informacji, w tym również dane wrażliwe. W związku z tym wiele obowiązków związanych z zarządzaniem zasobami ludzkimi wzbudza wątpliwości pracowników, a nawet osób odpowiedzialnych za nadzorowanie i delegowanie prac. Warto je rozwiać, aby podejmować działania zgodne z prawem i umożliwić efektywniejsze wykonywanie obowiązków.

Dane osobowe w działach HR

Zakres działań podejmowany przez działy HR jest bardzo szeroki: dotyczy z jednej strony przeprowadzania działań rekrutacyjnych, bezpośrednio związanych z pozyskiwaniem i przetwarzaniem danych osobowych, a często również ich przechowywaniem i późniejszym wykorzystywaniem w kolejnych procesach. Z drugiej zarządzanie zasobami ludzkimi jest również powiązane z kwestiami kadrowymi. Konieczne staje się wobec tego przechowywanie danych dotyczących zatrudnionych pracowników, w tym nie tylko danych osobowych, ale również danych wrażliwych, w tym tych dotyczących stanu zdrowia. Rzecz jasna zyskuje to szczególne znaczenie w trakcie pandemii, kiedy pojawia się jeszcze więcej pytań dotyczących m.in. kwestii przeprowadzania testów na obecność koronawirusa, mierzenia temperatury pracowników, a następnie przechowywania informacji na ten temat.

Sięgnij po sprawdzoną wiedzę

W dzisiejszym biznesie, który z jednej strony wiąże się z coraz bardziej rygorystycznymi normami, a z drugiej stawia jednoznacznie na elastyczność i swobodny przepływ informacji, jeszcze większe znaczenie odgrywa umiejętna interpretacja przepisów i wypracowanie odpowiednich praktyk, które będą sprawdzać się nie tylko w standardowej rzeczywistości, ale również w dobie kryzysu, takiego jak ten wywołany przez pandemię COVID-19. Znakomitym sposobem na pogłębienie wiedzy będzie wzięcie udziału w konferencji RODO w HR, podczas której prawnik z doświadczeniem w ochronie danych osobowych przedstawi kompleksowe informacje na temat ich wykorzystania i zabezpieczenia w działach HR, uwzględniając także wyjątkowe scenariusze.

Ochrona danych osobowych w dziale HR: wskazówki

Implementacja dobrych praktyk w zakresie ochrony danych osobowych w działach HR nie musi być trudnym i czasochłonnym zadaniem. Przede wszystkim – im lepiej będzie przemyślana i im większe doświadczenie osób odpowiedzialnych za tworzenie procedur i wdrażanie zmian – tym mniejsze ryzyko narażenia całej organizacji na dodatkową odpowiedzialność. Zajmując się tym zagadnieniem, należy także przeanalizować zdecydowanie szerszy zakres funkcjonowania firmy, zakładający także współpracę z innymi podmiotami i outsourcing części zadań, związanych np. z rekrutacją.

1. Zasada adekwatności, czyli minimum danych

Obowiązujące ustawodawstwo nakłada na administratorów danych osobowych obowiązek ograniczania zasobów pozyskiwanych i przetwarzanych informacji do minimum wystarczającego do osiągnięcia zakładanego celu. Gromadzenie informacji nadmiarowych godzi więc w zasadę adekwatności i w niektórych przypadkach może oznaczać złamanie przepisów. To, czy dojdzie do takiej sytuacji, zależy natomiast od innych aktów prawnych regulujących tę kwestię. Zamknięty katalog danych osobowych, do których uzyskania uprawniony jest pracodawca, określa m.in. Kodeks Pracy w artykule 21 § 1. Ustawodawca zaznacza jednak, że w uzasadnionych przypadkach zakres informacji może być rozszerzany. Warto jednak przemyśleć, czy konieczne i celowe będzie np. dostarczanie zaświadczenia o niekaralności czy szczegółowych danych medycznych. W wielu przypadkach może się okazać, że tak prowadzony proces narusza obowiązujące prawo dotyczące ochrony danych osobowych. Inną popularną praktyką jest także wymaganie od kandydatów dostarczania zdjęcia, które następnie miałoby być wykorzystywane np. w kanałach social media pracodawcy. Może być to kolejnym nadużyciem, zwłaszcza jeżeli pracownik nie wyrazi stosownej zgody albo będzie zmuszony do dostarczenia fotografii wbrew woli.

2. Klauzule w kontekście współpracy z agencjami

Outsourcing procesów rekrutacji staje się zasadniczo standardem na współczesnym rynku. Nic w tym dziwnego: pozwala na efektywne poszukiwanie kandydatów bez konieczności obciążania własnych działów HR, co jest szczególnie ważne w kontekście np. braków kadrowych. Jednocześnie wiąże się to jednak również ze sporym ryzykiem związanym z ochroną danych osobowych. Szczególną uwagę należy zwrócić na klauzule umieszczane przez kandydatów na dokumentach aplikacyjnych, w tym przede wszystkim CV. Łatwo o pomyłkę w tym zakresie, jeżeli np. administratorem danych osobowych będzie wyłącznie agencja rekrutacyjna. Klauzule powinny być w związku z tym odpowiednio przemyślane i skonsultowane z prawnikami, tak aby okazały się wsparciem a nie przeszkodzą w procesie rekrutacyjnym.

3. Ustandaryzowanie rozmowy rekrutacyjnej i formularzy informacyjnych

O złamanie przepisów o ochronie danych osobowych szczególnie łatwo w trakcie rozmowy rekrutacyjnej. Rekruterzy mogą prosić o udostępnienie informacji, które nie tylko w świetle przepisów są nadmiarowe i w żaden sposób niepowiązane z osiągnięciem celu, jakim jest znalezienie odpowiedniego pracownika, ale często są również danymi wrażliwymi. Poza tym już samo zadanie niektórych pytań może być przesłanką do posądzenia potencjalnego pracodawcy o dyskryminację. Warto więc zweryfikować przebieg rozmów kwalifikacyjnych i upewnić się, że nie padają w ich trakcie pytania dotyczące np. życia prywatnego, intymnego, poglądów politycznych, społecznych czy stanu zdrowia. To samo dotyczy również oczywiście różnego typu formularzy informacyjnych, które pracownicy wypełniają po zatrudnieniu. Nie mogą zawierać one danych, które mają wrażliwy charakter i przesadnie ingerują w prywatność pracownika.

4. Odpowiednie przechowywanie dokumentów

Każdy pracodawca zdaje sobie sprawę z tego, że dane osobowe muszą zostać otoczone szczególną ochroną. Dotyczy to przy tym różnego typu nośników, w tym przede wszystkim elektronicznych sposobów magazynowania i przetwarzania informacji. Jednocześnie wciąż jest jednak wiele sytuacji, w których dane osobowe, a niekiedy również dane wrażliwe są przechowywane w niewłaściwy sposób. Dotyczy to zwłaszcza procesów rekrutacyjnych, podczas których dokumenty aplikacyjne bywają często powielane bez ograniczeń, a następnie łatwo o utratę kontroli nad kopiami lub ich niewłaściwe niszczenie, co pozwala na odtworzenie poufnych informacji. Należy wobec tego pamiętać o monitorowaniu liczby egzemplarzy i niepozostawianiu dokumentów do wglądu osób nieuprawnionych.

5. Uprawnienia pracodawcy w dobie pandemii

Szczególnym wyzwaniem w kontekście ochrony danych osobowych staje się pandemia COViD-19 oraz związane z nią restrykcje sanitarne. Większość pracodawców zadaje sobie pytanie m.in. o to, czy może przeprowadzać testy potwierdzające zakażenie koronawirusem oraz przeprowadzać pomiar temperatury ciała pracowników w celu ograniczenia ryzyka rozprzestrzeniania choroby. To zagadnienie jest o tyle trudne, że z jednej strony to na pracodawcy ciąży obowiązek zapewnienia bezpiecznego środowiska pracy, z drugiej jednak musi również stosować się do obowiązujących przepisów w zakresie ochrony danych osobowych w tym danych wrażliwych. Pracodawca ma wobec tego prawo m.in. do skierowania pracownika, u którego istnieje podejrzenie choroby, do lekarza medycyny pracy, lub zgłosić wątpliwości do sanepidu. Jeżeli uzyska stosowną zgodę, może również przeprowadzić test, jednak powinien pamiętać o szczególnym obowiązku zapewnienia bezpieczeństwa danych o charakterze medycznym. Każda sytuacja musi być rozpatrywana indywidualnie, granica pomiędzy troską o spełnienie norm BHP a naruszeniem prawa jest często nieostra.

Autor: Paweł Łaniewski

Dlaczego warto wziąć udział w naszych konferencjach?

14

ORGANIZUJEMY SZKOLENIA I EVENTY JUŻ OD 14 LAT

Lata doświadczenia

Dział konferencji „Pulsu Biznesu” istnieje od 2004 r. Kilkanaście lat doświadczeń i silna marka „Pulsu Biznesu”, pod którą odbywają się wydarzenia, sprawiły, że jesteśmy dziś czołowym organizatorem konferencji biznesowych skierowanych do wyższej kadry zarządzającej.

800

OD 2004 ROKU ZORGANIZOWALIŚMY PONAD 800 KONFERENCJI I WARSZTATÓW

Profesjonalizm w każdym calu

W ciągu roku kalendarzowego organizujemy ponad 50 konferencji, kongresów, warsztatów i debat, podczas których do dyskusji zapraszamy najlepszych mówców, wybitnych ekspertów i praktyków z poszczególnych branż.

20000

MOŻEMY SIĘ POCHWALIĆ TYLOMA KLIENTAMI Z PONAD 1000 FIRM

Tysiące zadowolonych klientów

Naszą ambicją jest kreowanie przedsięwzięć związanych z istotnymi, bieżącymi wydarzeniami w gospodarce, przewidywanie trendów oraz umożliwianie wymiany doświadczeń i dzielenia się wiedzą. Od 2004 roku zaufało nam już blisko 20 tys. uczestników.