Audyt przetwarzania danych osobowych w dziale HR

Od 25 maja 2018 r. każdy pracodawca przetwarzający dane osobowe może być skontrolowany pod kątem spełnienia wymagań RODO, a każdej osobie fizycznej (kandydatowi do pracy, pracownikowi, osobom korzystającym z Zakładowego Funduszu Świadczeń Socjalnych itp.) będzie przysługiwał szeroki zakres uprawnień. Jednocześnie charakter przetwarzanych danych osobowych w obszarze kadrowym powoduje, że w niektórych przypadkach wybrane wymagania RODO nie będą musiały być spełniane.

Wdrażanie RODO

Przepisy RODO tak skonstruowano, by administrator danych osobowych był zobligowany do oceny, w jakim zakresie i na jakim poziomie musi spełniać wymagania rozporządzenia. Stąd w pierwszej kolejności powinien ustalić charakter, zakres, kontekst i cele przetwarzania danych osobowych oraz ryzyko naruszenia praw i wolności osób fizycznych.

Ustalenie stanu wyjściowego

Jeśli chce się mieć pewność, że organizacja przetwarza dane kadrowe zgodnie z wymaganiami RODO, należy ustalić, z jakimi (czyimi) konkretnie danymi ma się do czynienia, w jakim celu je się przetwarza, za pomocą jakich systemów i na jakiej podstawie prawnej. Wbrew pozorom w obszarze HR, który przecież jest wyjątkowo mocno „uregulowany” pod kątem prawa (np. przepisów prawa pracy), nadal pojawia się dużo problemów ze zbieraniem danych osobowych w zakresie, na jaki aktualne przepisy prawa nie pozwalają, albo też na niewłaściwych podstawach prawnych.

PRZYKŁAD!

Należy ustalić, na jakiej podstawie prawnej są zbierane przez pracodawcę dane osób zatrudnianych, np. w ramach kwestionariuszy osobowych – jeżeli we wzorze kwestionariusza widnieje klauzula zgody na przetwarzanie danych osobowych w celach zatrudnienia, to znaczy, że organizacja nie rozu­mie, iż te dane zbierane są na podstawie przepisów prawa pracy, konkretnie rozporządzenia Ministra Pracy i Polityki Socjalnej z dnia 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika.

Warto zweryfikować, czy stosuje się aktualne wzory kwestionariusza osoby zatrudnianej czy też ubiegającej się o pracę. Załączniki do rozporządzenia zawierają aktualne wzory tych dokumentów.


Określanie rodzaju i zakresu danych osobowych w HR

Zbiory danych to zestawienia danych osobowych przetwarzane w danym celu, zakresie i na określonej podstawie prawnej. Zazwyczaj dane w konkretnych zbiorach są przetwarzane w formie zarówno papierowej, jak i elektronicznej (za pomocą systemów informatycznych). Zbiory danych to podstawowe „aktywa”, które podlegają ochronie prawnej na gruncie RODO.
 

PRZYKŁAD!

Najczęściej występujące zbiory danych osobowych w obszarze HR:

  • kandydatów do pracy – zbiór zawiera dane osób ubiegających się o zatrudnienie i biorących udział w rekrutacjach;
  • kadrowo-płacowy – czyli dane związane z nawiązaniem i zakończeniem stosunku pracy, w tym zawarte w teczkach osobowych pracowników, dane płacowe, dotyczące nieobecności w pracy i wiele innych związanych z realizacją obowiązków pracodawcy wobec pracownika (np. rozliczenia wynagrodzeń, rozliczenia z ZUS, US). Ten zbiór przetwarzany jest często w formie papierowej (np. teczki pracownika),  i elektronicznej (system kadrowo-płacowy, Płatnik, bankowość elektroniczna itp.);
  • współpracowników – a więc osób, z którymi organizacja zawarła umowy cywilnoprawne, takie jak zlecenia czy o dzieło;
  • osoby uprawnione do korzystania z Zakładowego Funduszu Świadczeń Socjalnych – zbiór ten zawiera dane osób uprawnionych do korzystania z ZFŚS, zgodnie z przyjętym w tym zakresie przez pracodawcę regulaminem ZFŚS.

 

UWAGA!

Rzeczywistości może występować znacznie więcej zbiorów danych. Wszystko zależy od konkretnej organizacji i sposobu jej funkcjonowania (np. korzystanie z pracy pracowników tymczasowych, praktykantów lub stażystów również może spowodować powstanie dodatkowego zbioru danych).

 

Uprawnienia wynikające z RODO

 

Po określeniu rodzaju danych osobowych należy ustalić, jakie uprawnienia wynikające z RODO mogą przysługiwać konkretnym osobom, których dane są przetwarzane w poszczególnych zbiorach. Wiąże się to z koniecznością inwentaryzacji poszczególnych danych osobowych w postaci zbiorów z uwzględnieniem kryteriów celu, zakresu i podstawy prawnej przetwarzania danych, a także formy przetwarzania (papierowa czy elektroniczna). Te elementy mają bowiem wpływ na zakres uprawnień, jakie będą przysługiwały osobom fizycznym z racji tego, że organizacja przetwarza ich dane. O jakie uprawnienia chodzi? Jest ich sporo (odnoszą się do nich art. 15–22 RODO), ale po części obowiązują już obecnie. Poza tym nie wszystkie uprawnienia będą miały zastosowanie (lub będą miały zastosowanie, ale w niewielkim zakresie) wobec danych kadrowych.

 

PRZYKŁAD!

HR musi zwrócić uwagę na prawo dostępu do danych – każdej osobie fizycznej przysługiwać będzie prawo do potwierdzenia, czy jej dane są przetwarzane przez konkretny podmiot, a jeśli tak, czy będzie mogła żądać informacji m.in. o:

  • celach przetwarzania jej danych oraz zakresie danych, jaki jest przetwarzany;
  • odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione (np. innym podmiotom z grupy kapitałowej pracodawcy);
  • planowanym okresie przechowywania jej danych osobowych, a gdy nie jest możliwe podanie dokładnej informacji, o kryteriach ustalania tego okresu;
  • prawie wniesienia skargi do organu nadzorczego.

Jeżeli dane osobowe nie zostały zebrane bezpośrednio od tej osoby, może ona żądać wszelkich dostępnych informacji o źródle pozyskania danych.


 

UWAGA!

Jeżeli dane osobowe nie zostały zebrane bezpośrednio od tej osoby, może ona żądać wszelkich dostępnych informacji o źródle pozyskania danych. Ponadto każda osoba będzie mogła zażądać również kopii swoich danych.
 

Kopia może dotyczyć danych przetwarzanych w formie zarówno tradycyjnej (papierowej), jak i elektronicznej, przy czym jeżeli konkretna osoba zwróci się o uzyskanie tego typu kopii drogą elektroniczną (i o ile nie wskaże inaczej), informację zwrotną również należy przekazać drogą elektroniczną. Przekazanie pierwszej kopii powinno odbywać się bezpłatnie, za wszelkie kolejne kopie można pobierać opłaty w wysokości odpowiadającej kosztom ich wytworzenia.

Mało prawdopodobne jest to, by w obszarze HR miało szersze zastosowanie np. uprawnienie do przenoszenia danych (art. 20 RODO), zgodnie z którym osobie fizycznej przysługuje prawo do żądania kopii danych, przekazanych w formie elektronicznej i w powszechnie używanym formacie danych. Prawo takie przysługuje jedynie wówczas, gdy dane osobowe konkretnej osoby są przetwarzane w formie elektronicznej oraz to przetwarzanie odbywa się w związku z realizacją umowy lub na podstawie zgody udzielonej przez tę osobę. Prawo do przenoszenia danych będzie więc potencjalnie przysługiwało tylko w takich wypadkach.

Nowym uprawnieniem jest prawo do bycia zapomnianym (art. 17 RODO), czyli uprawnienie żądania usunięcia danych osobowych, m.in. wówczas, gdy te dane są przetwarzane na podstawie udzielonej zgody na przetwarzanie, a osoba tę zgodę cofnęła, albo gdy przetwarzanie odbywa się niezgodnie z prawem. W praktyce jednak to uprawnienie nie powinno mieć dużego zastosowania wobec danych kadrowych. Skoro większość danych w obszarze HR jest przetwarzana na podstawie szczególnych przepisów prawa (np. prawa pracy), to nie ma możliwości, aby np. pracownik zażądał usunięcia jego danych zawartych w teczce osobowej, oczywiście, o ile te dane są przetwarzane w zakresie dozwolonym przez te przepisy.