Rozporządzenie UE (Unii Europejskiej) 2016/679, znane również jako Ogólne rozporządzenie o ochronie danych (RODO, Ogólne rozporządzenie o ochronie danych (RODO), weszło w życie w maju 25, 2018 po dwuletnim okresie przejściowym. Rozporządzenie nakłada na wszystkie przedsiębiorstwa działające w Unii Europejskiej obowiązek przyjęcia nowej polityki, procesów i praktyk w zakresie zarządzania danymi osobowymi swoich Klientów, użytkowników, dostawców i pracowników.

RODO ma ogromny wpływ na działy kadr, które muszą dostosować swoje procesy do wymogów tych przepisów.

Celem RODO jest standaryzacja i wzmocnienie praw obywateli UE do rozporządzania swoimi danymi osobowymi. Oznacza to, że każda firma mająca do czynienia z danymi osobowymi mieszkańców UE musi działać zgodnie z nowymi standardami w zakresie transparentności, bezpieczeństwa i odpowiedzialności.

Jak RODO wpływa na pracę działu kadr?

Ogólne rozporządzenie o ochronie danych (RODO nakłada na firmy obowiązek przechowywania wyłącznie niezbędnych, dokładnych i aktualnych danych pracowników). Ponadto firmy muszą jasno informować, w jaki sposób, gdzie i jak długo będą przechowywane dane osobowe pracowników. Podobnie pracownicy mogą w dowolnym momencie korzystać ze swoich danych, zażądać kopii przechowywanych danych i nakazać ich usunięcie.

Zespoły KADRY muszą zdawać sobie sprawę z ryzyka i odpowiedzialności związanych z przetwarzaniem informacji o pracownikach, aby uniknąć sankcji, gdyż nieprzestrzeganie przepisów może skutkować karami finansowymi w wysokości do 20 mln EUR lub 4 procent rocznych obrotów.

Kluczowe elementy RODO z punktu widzenia działu kadr

Aby działać zgodnie z RODO, zespoły ds. kadr muszą dopasować i usprawnić swoje procesy zarządzania pracownikami, gwarantując członkom personelu ochronę ich praw i przestrzegając wytycznych z zakresu ochrony danych.

Poniżej wymieniliśmy najistotniejsze kwestie, o których muszą pamiętać działy kadr:

1. Zbieranie danych osobowych

Gromadzenie i przetwarzanie danych osobowych musi mieć uzasadnienie i ograniczać się wyłącznie do danych niezbędnych do realizacji umowy o pracę (jak np. dane zbierane w systemach czasu pracy i poświadczania obecności) oraz do wypełniania zobowiązań prawnych (na przykład do obsługi listy płac).

W sytuacji, gdy wymogi prawne nie uzasadniają przetwarzania danych (np. w przypadku zbierania prywatnych adresów mailowych), konieczne jest uzyskanie zgody.

2. Prawo pracowników do informacji

Firmy są zobowiązane do informowania pracowników o celu i podstawie prawnej przetwarzania ich danych, a także o okresie, przez jaki ich dane osobowe będą przechowywane. Informacje te muszą zostać udzielone w chwili pozyskiwania danych osobowych pracownika.

3. Nowe praca pracowników

Ogólne rozporządzenie o ochronie danych (RODO) wprowadziło nowe prawa pracowników, takie jak prawo do przenoszenia danych, które umożliwia pracownikom uzyskiwanie i ponowne wykorzystywanie ich danych osobowych do własnych celów w ramach różnych usług. Reguluje również konkretne prawa, takie jak prawo do bycia zapomnianym, które umożliwia pracownikom żądanie usunięcia ich danych osobowych, oraz prawo do sprostowania, które przyznaje pracownikom prawo do uzyskania sprostowania niedokładnych danych osobowych.

Prawo do sprzeciwu wobec profilowania uniemożliwia firmom podejmowanie decyzji wyłącznie w oparciu o zautomatyzowane przetwarzanie, co będzie miało istotny wpływ na wdrażanie oprogramowania sztuczna inteligencja w obszarze zasobów ludzkich.

4. Inspektor ochrony danych

Firmy muszą wyznaczyć Oficera ds. Ochrony Danych (DPO), który działa samodzielnie, dysponując niezbędnymi zasobami do wykonywania swoich obowiązków. IOD odpowiada za monitorowanie polityki ochrony danych firmy i jej wdrażanie w celu zapewnienia zgodności z Ogólne rozporządzenie o ochronie danych (RODO.

5. Ocena wpływu i naruszenia bezpieczeństwa

Firmy muszą przeprowadzać oceny wpływu, aby zidentyfikować operacje, które stwarzają znaczące ryzyko dla praw pracowniczych lub naruszenia bezpieczeństwa. W przypadku naruszenia ochrony danych osobowych firmy muszą powiadomić władze nie później niż 72 godzin po identyfikacji.

6. Telematyka i kodeksy postępowania

Aby dostosować się do nowych wymogów dotyczących ochrony danych, firmy muszą przeanalizować swoje wewnętrzne polityki i kodeksy postępowania dotyczące korzystania z telematyki. Ponadto firmy muszą dostosować swoje treści do wyroku Europejskiego Trybunału Praw Człowieka (ETPC) oraz do wpływu nowych technologii w miejscu pracy.

7. Monitoring wizyjny

Firmy muszą też przejrzeć swoje procedury dotyczące montażu systemów monitoringu wizyjnego i korzystania z nich. ECHR orzekł, że w przypadku stałej instalacji kamer pracownicy muszą wcześniej zostać dokładnie poinformowani o celu takiego postępowania, zgodnie z zapisami regulacji odnoszących się do ochrony danych.

8. Międzynarodowe transfery danych poza UE

Przekazanie danych osobowych pracowników do krajów spoza UE stanowi ogromne ryzyko, ponieważ nie ma gwarancji ochrony. Ogólne rozporządzenie o ochronie danych (RODO nałożyło pewne ograniczenia mające na celu ograniczenie możliwości przekazywania przez firmę takich danych oraz egzekwowanie praw pracowniczych).

9. Umowy z dostawcami będącymi stronami trzecimi

Niezbędne jest zaktualizowanie umów z dostawcami lub wykonawcami mającymi dostęp do zgromadzonych przez firmę danych osobowych, aby mieć pewność co do zachowania zgodności z wymogami RODO. Dotyczy to tak samo umów z podmiotami obsługującymi dla firmy listę płac i rekrutację.

Ze względu na ilość danych osobowych przetwarzanych we wszystkich procesach realizowanych przez firmę, dbałość o zgodność z RODO w dziale kadr ma kluczowe znaczenie. Tak więc, chcąc opracować skuteczny plan działania, trzeba uwzględnić wszystkie elementy RODO.

Infografika na temat kluczowych elementów RODO z punktu widzenia działu kadr

Co mogą zrobić zespoły ds. kadr, aby zachować zgodność z RODO?

RODO wymaga od firm proaktywnego i odpowiedzialnego podejścia do wdrożenia środków technicznych i organizacyjnych, które zagwarantują zgodne z przepisami przetwarzanie danych.

Firmy są zobowiązane do przeanalizowania tego, jakiego rodzaju dane przetwarzają, jaki jest tego cel i w jaki sposób się to odbywa. Oto kilka wskazówek, które pomogą zespołowi ds. kadr zachować zgodność z RODO:

1. Zatrudnienie inspektora ochrony danych (IOD)

Zgodnie z art. 37 Ogólnego rozporządzenia o ochronie danych (RODO) kluczowe znaczenie ma zatrudnienie IOD. IOD odpowiada za nadzór nad strategiami ochrony danych firm i zapewnia przestrzeganie Ogólnego rozporządzenia o ochronie danych (wymagania RODO.

2. Spiszcie czynności, przy których dochodzi do przetwarzania danych osobowych.

Ustalenie, gdzie w firmie występują dane osobowe, ułatwia ich śledzenie i przetwarzanie, a także pomaga zachować zgodność z przepisami. Poniżej wymieniliśmy wybrane istotne kwestie, które trzeba mieć na uwadze podczas ustalania, gdzie w firmie przetwarzane są dane osobowe:

  • Ustalcie, z jakimi danymi osobowymi, w tym danymi wrażliwymi, macie do czynienia, a także w ramach jakich procesów są one obecnie przetwarzane i zweryfikujcie zgodność tych procesów z RODO.
  • Określcie, kto (pracownicy, wykonawcy, dostawcy) ma dostęp do danych i w jakim celu.
  • Nadzorujcie pracowników, wykonawców i dostawców mających dostęp do danych zgromadzonych w firmie i sprawdźcie, czy nie trzeba niczego zmienić w ich umowach.
  • Sprawdźcie, czy sposób przetwarzania danych przez wykonawców i dostawców jest zgodny z RODO.
  • Przeanalizujcie praktyki w zakresie archiwizacji danych osobowych z działu kadr i czasu ich przechowywania.
  • Upewnijcie się, że rozwiązania stosowane w dziale kadr, w tym systemy informatyczne do zarządzania kadrami (HRIS), o ile z takich korzystacie, są zgodne z RODO.

3. Podejmijcie działania

Gdy będziecie już mieli spis danych i określicie konieczne do wprowadzenia poprawki w umowach i procedurach, opracujcie i wdróżcie plan działania, w którym będą określone kolejne kroki do podjęcia.

Upewnijcie się, że:

  •  Przeprowadzicie audyt danych
  • Dokonacie niezbędnej oceny
  • Zrobicie przegląd środków bezpieczeństwa
  • Przeanalizujecie procesy i procedury.

4Wdrożenie planu komunikacji

Ważne jest wdrożenie planu komunikacji wewnętrznej, tak aby wszyscy pracownicy wiedzieli, jak mogą uzyskać dostęp do swoich danych i co mają robić, jeśli w procedurach zajdą jakiekolwiek zmiany. Nowe przepisy mówią między innymi, że firmy muszą jasno komunikować, w jaki sposób, gdzie i jak długo będą przechowywać dane osobowe pracowników.

5. Upewnijcie się, że przechowywane dane są prawidłowe

Firmy muszą dbać o to, żeby przechowywały tylko dokładne i aktualne dane. Muszą też ustalić, które dane faktycznie wymagają przechowywania, a które należy usunąć. Im mniej danych w firmie, tym łatwiej uzyskać zgodność z RODO.

6. Przejrzyjcie polityki prywatności

Firmy muszą być transparentne, jeśli chodzi o sposób postępowania z danymi. Przegląd polityk prywatności zaowocuje transparentnością i budową zaufania. Zaktualizujcie polityki i procedury bezpieczeństwa, posługując się w nich prostym, jasnym językiem i zadbajcie o to, żeby każdy miał do nich łatwy dostęp.

7. Zapewnijcie ochronę praw pracowników

Jak już wspomniano, RODO nadało pracownikom pewne nowe prawa. Kluczowe jest uniknięcie sankcji poprzez zadbanie o to, aby mogli oni z nich korzystać.

8. Sprawcie, by RODO stało się częścią kultury firmy

Jest rzeczą istotną, aby wiedza o RODO była powszechna w całej firmie. Czyniąc z RODO integralną część kultury firmy, można zadbać o to, aby każdy pracownik znał te przepisy i rozumiał je.

9. Zwiększcie bezpieczeństwo

Upewnijcie się, że dane są bezpieczne i unikajcie ich wyciekania. W przypadku, gdy dojdzie do wycieku danych osobowych, ich właściciele muszą zostać o tym powiadomieni w ciągu 72 godzin. Aby nie dopuszczać do wycieku danych, korzystajcie z godnych zaufania usług przechowywania danych, a poza tym zaktualizujcie polityki bezpieczeństwa.

10. Uzyskajcie zgodę pracowników

Bardzo ważne jest informowanie pracowników o stosowanych środkach i procedurach oraz uzyskanie ich zgody na przetwarzanie i przesyłanie ich danych. Zgoda musi zostać wyrażona dobrowolnie, w oparciu o pełne informacje, i w sposób jednoznaczny.

Infografika wyjaśniająca, co mogą zrobić zespoły ds. kadr, aby zachować zgodność z RODO

RODO to nie tylko obowiązki. Może ono także przyczynić się do poprawy wyników Twojej firmy, zwiększyć zaufanie pracowników i poprawić ich samopoczucie. Jednak aby było to możliwe, trzeba najpierw przeprowadzić uproszczenie wszystkich danych, środków bezpieczeństwa, narzędzi, metod i procesów.

Te nowe wyzwania dają działom kadr szansę na to, aby stały się one koniem pociągowym firm na drodze do ich umiędzynarodowienia poprzez poprawę jakości współpracy z dostawcami i wykonawcami. Ponadto posiadanie jasnej polityki zarządzania danymi osobowymi poprawia reputację firm i czyni je atrakcyjnymi dla pracowników.