Przed działami kadr stoją nowe wyzwania

Materiał partnera
aktualizacja: 27-03-2018, 11:47

Unijna reforma dotycząca ochrony danych osobowych wprowadza spore zmiany w funkcjonowaniu działów HR oraz w firmach zajmujących się rekrutacją. Warto zapoznać się z nimi zanim wejdą w życie.

Administratorzy danych osobowych, a w tej grupie znajdują się zarówno działy HR w każdej firmie, agencje rekrutacyjne, jak i agencje pracy tymczasowej, powinny odpowiednio przygotować się do nowych obowiązków, jakich trzeba będzie przestrzegać od 25 maja 2018 r., czyli dnia rozpoczęcia egzekwowania regulacji Ogólnego Rozporządzenia o Ochronie Danych (RODO).

ODPOWIEDZIALNOŚĆ PRACODAWCY
Zobacz więcej

ODPOWIEDZIALNOŚĆ PRACODAWCY

Po wejściu w życie zapisów RODO, jednym z głównych zadań działów HR będzie zapewnienie odpowiedniego stopnia bezpieczeństwa posiadanych i przetwarzanych danych osobowych – mówi Tomasz Mamys, menedżer projektu RODO w Sage. [FOT. ARC]

— Działy HR przetwarzają ogromne zasoby danych osobowych i to na bardzo wielu polach. Począwszy od rekrutacji, gdy nie mamy jeszcze do czynienia z pracownikiem, a kandydaci składają swoje aplikacje i CV, przez codzienną obsługę administracyjną i kadrowo-płacową, wymagającą pozyskania dodatkowych informacji o rodzinach pracowników, niezbędnych np. do ubezpieczeń grupowych, świadczeń socjalnych czy imprez firmowych, aż po zakończenie współpracy. A to nie koniec przetwarzania danych. Warto bowiem pamiętać, że nawet po rozwiązaniu współpracy z pracownikiem dane są często gromadzone i przetwarzane w firmie — tłumaczy Tomasz Mamys, menedżer projektu RODO w Sage.

Dobrowolna zgoda

W gestii każdego państwa członkowskiego pozostaje uszczegółowienie przepisów o przetwarzaniu danych osobowych pracowników. W Polsce w przygotowaniu jest nowelizacja kodeksu pracy. Jeśli wejdzie w życie, pracodawca będzie mógł przetwarzać dane pracowników dotyczące stosunku pracy, w tym dane biometryczne, tylko wtedy, gdy osoby zatrudnione wyrażą na to zgodę.

— Nie wiadomo jeszcze, jaka będzie finalna wersja zapisów kodeksowych. Warto jednak wiedzieć, że dla legalności podstawy przetwarzania danych osobowych zgoda pracownika musi być przede wszystkim dobrowolna. Nie można np. uzależniać wykonania umowy od takiej zgody, jeśli przetwarzanie danych osobowych jest zbędne. Wykluczona jest również wymuszona zgoda osoby, udzielona w sytuacji gdy np. pracownik nie ma rzeczywistego wyboru czy nie może odmówić ani wycofać zgody bez niekorzystnych dla siebie konsekwencji. Jeżeli zgoda zawarta jest w pisemnym oświadczeniu obejmującym również inne kwestie, zapytanie o zgodę musi zostać przedstawione w sposób wyraźnie odróżniony od pozostałych zapisów, w formie zrozumiałej i łatwo dostępnej. Osoba, która udziela takiej zgody, powinna też znać przynajmniej tożsamość administratora oraz zamierzone cele przetwarzania danych osobowych, co stanowi niezbędne elementy klauzuli zgody — wyjaśnia Tomasz Mamys. Jak podkreślają specjaliści Sage, to głównie na barkach działów HR spoczywa zapewnienie bezpieczeństwa posiadanych i przetwarzanych danych osobowych pracowników i współpracowników. Wiąże się to zatem z koniecznością wdrożenia odpowiednich środków technicznych i organizacyjnych.

— Pracownicy działu kadr mogą np. korzystać z tzw. pseudonimizacji, anonimizacji i szyfrowania danych osobowych. Muszą zapewniać poufność tych informacji, dostępność i odporność systemów i usług przetwarzania. W ramach współpracy z IT działy HR muszą zapewnić zdolność do szybkiego przywrócenia dostępności do danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego. Nie można też zapominać, że obowiązek odpowiedniego zabezpieczenia danych dotyczy również papierowych akt pracowniczych. Dokumenty te powinny być gromadzone w odizolowanej przestrzeni, np. zamykanych szafach, w pomieszczeniach, do których dostęp mają tylko osoby upoważnione do przetwarzania danych osobowych — opowiada Tomasz Mamys.

Prawo i obowiązek informacji

Unijna reforma o RODO zmieni również proces samej rekrutacji. Według nowych zapisów pracodawca będzie musiał podać osobie aplikującej na wybrane stanowisko szereg informacji przy zbieraniu danych osobowych kandydata. Są to m.in.: nazwa, adres i dane kontaktowe firmy, dane kontaktowe inspektora ochrony danych (jeżeli jest powołany), cele przetwarzania danych, prawnie uzasadnione interesy realizowane przez administratora w sytuacji, gdy są one podstawą przetwarzania, informacje o odbiorcy lub odbiorcach danych osobowych, a także np. o zamiarze przekazania danych do państwa trzeciego lub organizacji międzynarodowej. Pracodawca musi również poinformować, na jaki okres jego dane osobowe będą przechowywane, a gdy nie jest to możliwe — kryteria ustalania tego okresu. Kandydat powinien również poznać prawa osób, których dane są zbierane, w tym prawo do żądania od administratora dostępu do danych osobowych, ich przenoszenia, sprostowania, cofnięcia zgody na przetwarzanie danych, do wniesienia sprzeciwu wobec przetwarzania czy też usunięcia lub ograniczenia przetwarzania albo wniesienia skargi do organu nadzorczego itd. Zapisy RODO sporo nowości wprowadzą także w procesach delegowanych na zewnątrz firmy jak np. czynności kadrowo-płacowe czy rekrutacja — gdy firma nadal pełni rolę administratora danych osobowych, ale ich przetwarzanie powierza na zewnątrz.

— By sprostać prawu, przedsiębiorca powinien zawrzeć umowę powierzenia danych osobowych, która powinna zawierać informacje o przedmiocie przetwarzania, czasie trwania przetwarzania, charakterze i celu przetwarzania, rodzaju danych osobowych, kategorii osób, których dane dotyczą, obowiązkach i prawach administratora. Co ważne, taka dobrze skonstruowana umowa z firmą zewnętrzną powinna przewidywać wiele obowiązków podmiotu przetwarzającego dane osobowe. Będzie to chociażby zobowiązanie do przetwarzania danych wyłącznie na udokumentowane polecenie administratora czy zapewnienie wdrożenia wszelkich środków technicznych i organizacyjnych dla odpowiedniego zabezpieczenia danych osobowych — tłumaczy ekspert Sage.

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Materiał partnera

Polecane

Inspiracje Pulsu Biznesu

Puls Biznesu

Inne / Przed działami kadr stoją nowe wyzwania