Rozporządzenie UE (Unii Europejskiej), znane 2016/679również jako ogólne rozporządzenie o ochronie danych (RODO), weszło w życie 25 maj 2018 po dwuletnim okresie przejściowym. Na jego mocy wszystkie firmy działające w Unii Europejskiej muszą przyjąć nowe zasady, strategie i procesy przetwarzania danych osobowych swoich klientów, użytkowników, dostawców i pracowników.
RODO ma ogromny wpływ na działy kadr, które muszą dostosować swoje procesy do wymogów tych przepisów.
Celem RODO jest standaryzacja i wzmocnienie praw obywateli UE do rozporządzania swoimi danymi osobowymi. Oznacza to, że każda firma mająca do czynienia z danymi osobowymi mieszkańców UE musi działać zgodnie z nowymi standardami w zakresie transparentności, bezpieczeństwa i odpowiedzialności.
Jak RODO wpływa na zasoby ludzkie?
RODO wymaga, aby firmy przechowywały tylko niezbędne, dokładne i aktualne dane pracowników. Ponadto firmy muszą jasno komunikować, w jaki sposób, gdzie i jak długo będą przechowywać dane osobowe pracowników. Pracownicy mogą w każdej chwili dysponować swoimi danymi, poprosić o przesłanie im kopii przechowywanych danych, a także polecić ich usunięcie.
Zespoły ds. kadr muszą rozumieć ryzyko i odpowiedzialność związaną z przetwarzaniem informacji o pracownikach, aby uniknąć sankcji, ponieważ nieprzestrzeganie tego wymogu może skutkować grzywnami w wysokości do milionów EUR20 lub 4 procentem rocznego obrotu.
Kluczowe czynniki RODO w dziale kadr
Aby działać zgodnie z RODO, zespoły ds. kadr muszą dopasować i usprawnić swoje procesy zarządzania pracownikami, gwarantując członkom personelu ochronę ich praw i przestrzegając wytycznych z zakresu ochrony danych.
Poniżej wymieniliśmy najistotniejsze kwestie, o których muszą pamiętać działy kadr:
1. Gromadzenie danych osobowych
Gromadzenie i przetwarzanie danych osobowych musi mieć uzasadnienie i ograniczać się wyłącznie do danych niezbędnych do realizacji umowy o pracę (jak np. dane zbierane w systemach czasu pracy i poświadczania obecności) oraz do wypełniania zobowiązań prawnych (na przykład do obsługi listy płac).
W sytuacji, gdy wymogi prawne nie uzasadniają przetwarzania danych (np. w przypadku zbierania prywatnych adresów mailowych), konieczne jest uzyskanie zgody.
2.Prawo pracowników do uzyskania informacji
Firmy są zobowiązane do informowania pracowników o celu i podstawie prawnej przetwarzania ich danych, a także o okresie, przez jaki ich dane osobowe będą przechowywane. Informacje te muszą zostać udzielone w chwili pozyskiwania danych osobowych pracownika.
3. Nowe praca pracowników
RODO wprowadziło nowe prawa pracownicze, takie jak prawo do przenoszenia danych, które daje pracownikowi prawo do uzyskania zbioru danych zebranych na jego temat i wykorzystywania go wedle własnego uznania w różnych usługach. Reguluje również określone prawa, takie jak prawo do bycia zapomnianym, które umożliwia pracownikom żądanie usunięcia ich danych osobowych, oraz prawo do sprostowania, które daje pracownikom prawo do uzyskania sprostowania nieprawidłowych danych osobowych.
Prawo do sprzeciwu wobec profilowania zabrania firmom podejmowania decyzji wyłącznie w oparciu o automatyczne przetwarzanie danych, co ma istotny wpływ na możliwość wdrażania oprogramowania z funkcjami sztucznej inteligencji w działach kadr.
4. Inspektor ochrony danych
Firmy muszą wyznaczyć Inspektora ochrony danych (IOD), który będzie działać niezależnie i któremu trzeba zapewnić zasoby niezbędne do pełnienia jego lub jej obowiązków. IOD jest odpowiedzialny za monitorowanie zasad firmy w zakresie ochrony danych, ich implementacji oraz za dbanie o zgodność z RODO.
5. Ocena wpływu i naruszenia bezpieczeństwa
Firmy są zobowiązane do przeprowadzania tak zwanej oceny wpływu, w ramach której muszą zidentyfikować czynności, które rodzą duże zagrożenie dla praw pracowników lub mogą skutkować naruszeniem bezpieczeństwa. W przypadku, gdy dojdzie do wycieku danych osobowych, firmy muszą powiadomić władze nie później, niż w ciągu 72 godzin od wykrycia tego faktu.
6. Telematyka i kodeksy postępowania
Aby dostosować się do nowych wymogów ochrony danych, firmy muszą przeanalizować swoje wewnętrzne polityki i kodeksy postępowania dotyczące stosowania telematyki. Ponadto firmy muszą dostosować ich treść do wyroków Europejskiego Trybunału Praw Człowieka (ECHR), a także uwzględnić wpływ nowych technologii na miejsca pracy.
7. Nadzór wideo
Firmy muszą też przejrzeć swoje procedury dotyczące montażu systemów monitoringu wizyjnego i korzystania z nich. ECHR orzekł, że w przypadku stałej instalacji kamer pracownicy muszą wcześniej zostać dokładnie poinformowani o celu takiego postępowania, zgodnie z zapisami regulacji odnoszących się do ochrony danych.
8. Międzynarodowe transfery danych poza UE
Przesyłanie danych osobowych pracowników do krajów spoza UE wiąże się z dużym ryzykiem, ponieważ nie ma gwarancji, że będą one należycie chronione. RODO nałożyło pewne ograniczenia w zakresie możliwości przesyłania takich danych przez firmy, dbając o zachowanie praw pracowników.
9. Umowy z dostawcami zewnętrznymi
Niezbędne jest zaktualizowanie umów z dostawcami lub wykonawcami mającymi dostęp do zgromadzonych przez firmę danych osobowych, aby mieć pewność co do zachowania zgodności z wymogami RODO. Dotyczy to tak samo umów z podmiotami obsługującymi dla firmy listę płac i rekrutację.
Ze względu na ilość danych osobowych przetwarzanych we wszystkich procesach realizowanych przez firmę, dbałość o zgodność z RODO w dziale kadr ma kluczowe znaczenie. Tak więc, chcąc opracować skuteczny plan działania, trzeba uwzględnić wszystkie elementy RODO.
Co mogą zrobić zespoły ds. kadr, aby zachować zgodność z RODO?
RODO wymaga od firm proaktywnego i odpowiedzialnego podejścia do wdrożenia środków technicznych i organizacyjnych, które zagwarantują zgodne z przepisami przetwarzanie danych.
Firmy są zobowiązane do przeanalizowania tego, jakiego rodzaju dane przetwarzają, jaki jest tego cel i w jaki sposób się to odbywa. Oto kilka wskazówek, które pomogą zespołowi ds. kadr zachować zgodność z RODO:
1. Zatrudnienie inspektora ochrony danych (Data Protection Officer, DPO)
Jak wskazuje artykuł 37 RODO, zatrudnienie IOD ma kluczowe znaczenie. IOD jest odpowiedzialny za monitorowanie zasad firmy w zakresie ochrony danych oraz za dbanie o zgodność z RODO.
2. Spiszcie czynności, przy których dochodzi do przetwarzania danych osobowych.
Ustalenie, gdzie w firmie występują dane osobowe, ułatwia ich śledzenie i przetwarzanie, a także pomaga zachować zgodność z przepisami. Poniżej wymieniliśmy wybrane istotne kwestie, które trzeba mieć na uwadze podczas ustalania, gdzie w firmie przetwarzane są dane osobowe:
- Ustalcie, z jakimi danymi osobowymi, w tym danymi wrażliwymi, macie do czynienia, a także w ramach jakich procesów są one obecnie przetwarzane i zweryfikujcie zgodność tych procesów z RODO.
- Określcie, kto (pracownicy, wykonawcy, dostawcy) ma dostęp do danych i w jakim celu.
- Nadzorujcie pracowników, wykonawców i dostawców mających dostęp do danych zgromadzonych w firmie i sprawdźcie, czy nie trzeba niczego zmienić w ich umowach.
- Sprawdźcie, czy sposób przetwarzania danych przez wykonawców i dostawców jest zgodny z RODO.
- Przeanalizujcie praktyki w zakresie archiwizacji danych osobowych z działu kadr i czasu ich przechowywania.
- Upewnijcie się, że rozwiązania stosowane w dziale kadr, w tym systemy informatyczne do zarządzania kadrami (HRIS), o ile z takich korzystacie, są zgodne z RODO.
3. Podejmijcie działania
Gdy będziecie już mieli spis danych i określicie konieczne do wprowadzenia poprawki w umowach i procedurach, opracujcie i wdróżcie plan działania, w którym będą określone kolejne kroki do podjęcia.
Upewnijcie się, że:
- Audyt danych
- Dokonacie niezbędnej oceny
- Zrobicie przegląd środków bezpieczeństwa
- Przeanalizujecie procesy i procedury.
4.Wdrażanie planu komunikacji
Ważne jest wdrożenie planu komunikacji wewnętrznej, tak aby wszyscy pracownicy wiedzieli, jak mogą uzyskać dostęp do swoich danych i co mają robić, jeśli w procedurach zajdą jakiekolwiek zmiany. Nowe przepisy mówią między innymi, że firmy muszą jasno komunikować, w jaki sposób, gdzie i jak długo będą przechowywać dane osobowe pracowników.
5. Upewnijcie się, że przechowywane dane są prawidłowe
Firmy muszą dbać o to, żeby przechowywały tylko dokładne i aktualne dane. Muszą też ustalić, które dane faktycznie wymagają przechowywania, a które należy usunąć. Im mniej danych w firmie, tym łatwiej uzyskać zgodność z RODO.
6. Przejrzyjcie polityki prywatności
Firmy muszą być transparentne, jeśli chodzi o sposób postępowania z danymi. Przegląd polityk prywatności zaowocuje transparentnością i budową zaufania. Zaktualizujcie polityki i procedury bezpieczeństwa, posługując się w nich prostym, jasnym językiem i zadbajcie o to, żeby każdy miał do nich łatwy dostęp.
7. Egzekwowanie praw pracowników
Jak już wspomniano, RODO nadało pracownikom pewne nowe prawa. Kluczowe jest uniknięcie sankcji poprzez zadbanie o to, aby mogli oni z nich korzystać.
8. Sprawcie, by RODO stało się częścią kultury firmy
Jest rzeczą istotną, aby wiedza o RODO była powszechna w całej firmie. Czyniąc z RODO integralną część kultury firmy, można zadbać o to, aby każdy pracownik znał te przepisy i rozumiał je.
9. Zwiększcie bezpieczeństwo
Upewnijcie się, że dane są bezpieczne i unikajcie ich wyciekania. W przypadku, gdy dojdzie do wycieku danych osobowych, ich właściciele muszą zostać o tym powiadomieni w ciągu 72 godzin. Aby nie dopuszczać do wycieku danych, korzystajcie z godnych zaufania usług przechowywania danych, a poza tym zaktualizujcie polityki bezpieczeństwa.
10. Uzyskajcie zgodę pracowników
Bardzo ważne jest informowanie pracowników o stosowanych środkach i procedurach oraz uzyskanie ich zgody na przetwarzanie i przesyłanie ich danych. Zgoda musi zostać wyrażona dobrowolnie, w oparciu o pełne informacje, i w sposób jednoznaczny.
RODO to nie tylko obowiązki. Może ono także przyczynić się do poprawy wyników Twojej firmy, zwiększyć zaufanie pracowników i poprawić ich samopoczucie. Jednak aby było to możliwe, trzeba najpierw przeprowadzić uproszczenie wszystkich danych, środków bezpieczeństwa, narzędzi, metod i procesów.
Te nowe wyzwania dają działom kadr szansę na to, aby stały się one koniem pociągowym firm na drodze do ich umiędzynarodowienia poprzez poprawę jakości współpracy z dostawcami i wykonawcami. Ponadto posiadanie jasnej polityki zarządzania danymi osobowymi poprawia reputację firm i czyni je atrakcyjnymi dla pracowników.
