Przegląd umów i zabezpieczeń w dziale HR

Kolejnym etapem wdrażania RODO w dziale HR jest przegląd umów zawartych z zewnętrznymi dostawcami usług, takimi jak usługi doradztwa personalnego/rekrutacyjne, zewnętrzna obsługa kadrowo-płacowa, obsługa prawna, zewnętrzne archiwa dokumentacji, obsługa IT oraz innymi, za które odpowiedzialność jako administrator danych ponosi pracodawca.

RODO wymaga, by z tymi wszystkimi podmiotami została zawarta umowa powierzenia danych, zgodnie z treścią art. 28.

UWAGA!

Wymagania RODO nakładają obowiązek uwzględnienia w umowach powierzenia danych m.in. takich zagadnień, jak:

  • Nowe zasady korzystania przez podmioty przetwarzające dane na zlecenie z usług innych dostawców (podwykonawców), którzy mieliby uzyskiwać dostęp do powierzonych danych osobowych. Zasadniczo prawo skorzystania z usług takiego podwykonawcy przez podmiot przetwarzający uzależnione jest od pisemnej zgody podmiotu zlecającego, jak administrator danych.
  • Obowiązek współpracy (w miarę dostępnych możliwości) podmiotu przetwarzającego z administratorem danych w zakresie realizacji uprawnień przysługujących osobom fizycznym.
  • Zasady współpracy podmiotu przetwarzającego z administratorem danych w przypadkach wystąpienia naruszeń ochrony danych, w tym powiadamiania o naruszeniu organu nadzorczego oraz osób, których danych osobowych to naruszenie dotyczy.
  • Obowiązek stosowania środków bezpieczeństwa, o których mowa w art. 32 RODO na podstawie analizy ryzyka.

 

Pracodawca jako administrator danych będzie również ponosił odpowiedzialność za to, by podmioty, którym zleca realizację usług związanych z potrzebą przetwarzania danych, spełniały wymagania RODO. Będzie on zobowiązany bowiem korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by procesy przetwarzania danych osobowych odbywały się zgodnie z wymaganiami unijnego rozporządzenia. To z kolei najprawdopodobniej spowoduje tworzenie przez pracodawców list zaufanych dostaw­ców usług.

Aby uchronić się przed wyciekiem danych, należy przeprowadzić przegląd zabezpieczeń stosowanych wobec danych osobowych. Dotyczy to zarówno zabezpieczeń na poziomie systemów i zasobów informatycznych (np. systemów kadrowo-płacowych, zasobów sieciowych, wykorzystywanego sprzętu komputerowego), jak i dokumentacji tradycyjnej (np. zasady bezpiecznego przechowywania dokumentacji papierowej). Główna trudność polega na tym, że RODO nie wskazuje konkretnych rozwiązań ani środków bezpieczeństwa (jedynie w art. 32 określa ogólne kierunki, jakie należy brać pod uwagę). To konkretny administrator danych musi zdecydować, jakie środki bezpieczeństwa w jego przypadku będą skuteczne, a wnioski powinien opierać na przeprowadzonej analizieryzyka.

Uwaga!

Zgodnie z treścią art. 32 każdy pracodawca jako administrator danych zobowiązany jest zapewnić skuteczne środki bezpieczeństwa gwarantujące:

  • pseudonimizację i szyfrowanie danych osobowych;
  • zdolność do ciągłego zapewnienia poufności, inte­gralności, dostępności i odporności systemów i usług przetwarzania;
  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

 

Przy ocenie, czy zastosowane środki bezpieczeństwa są odpowiednie do zagrożeń (skuteczne), należy uwzględnić ryzyko wiążące się w szczególności z potencjalnym przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, modyfikacją, nieuprawnionym ujawnieniem lub nieuprawnionym dostępem do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych przez organizację.

Biorąc pod uwagę powyższe wytyczne, przy ocenie stosowanych środków bezpieczeństwa bezwzględnie trzeba skorzystać ze wsparcia przedstawicieli innych działów dostępnych w organizacji, w tym IT, prawnego, Compliance itp.