Oczywiście nie ulega wątpliwości, że to działy HR w szczególności powinny zwrócić uwagę na kilka aspektów. Przede wszystkim na kwestie zabezpieczeń technicznych czy organizacyjnych - kwestie bezpieczeństwa danych to podstawa, incydenty się zdarzały i będą się zdarzać – można tu wskazać choćby przykład ostatnich problemów InPost i wyciek informacji dot. pracowników i współpracowników.

 

RODO nie określa wprost, jakie zabezpieczenia należy wdrożyć – wymusza na przedsiębiorcach dokonanie analizy ryzyka przetwarzania danych, aby zapewnić stopień bezpieczeństwa przetwarzania danych odpowiadający temu ryzyku poprzez wdrożenie odpowiednich zabezpieczeń technicznych i organizacyjnych. Również niewykluczone, że dla określonego procesu przetwarzania w ramach zarządzania zasobami ludzkimi niezbędne może okazać się wykonanie DPIA, czyli oceny skutków przetwarzania dla ochrony danych. Pierwsze doświadczania pokazują, że organizacje mają problemy z wykonywaniem analizy ryzyka czy DPIA.

 

Działy HR bardzo często powierzają dane osobowe kandydatów do pracy lub pracowników, choćby korzystając z zewnętrznych narzędzi/aplikacji. Na gruncie RODO istotne jest komu powierza się dane osobowe, ponieważ zgodnie z art. 28 ust. 1 RODO, administrator danych może korzystać wyłącznie z usług podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą. Działy HR muszą również pamiętać o retencji danych, choćby kandydatów do pracy, jeżeli nie została zebrana oddzielna zgoda na przetwarzanie danych w celach przyszłych rekrutacji – wyrażona zgoda musi również spełniać określone warunki określone w art. 8 RODO.

 

Na dzień dzisiejszy działy HR bardzo często zapominają dopełniać obowiązku informacyjnego, o którym mowa obecnie w art. 24 ust. 1 ustawy o ochronie danych osobowych, tj. adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna, o miejscu swojego zamieszkania oraz imieniu i nazwisku; celu zbierania danych, a w szczególności o znanych lub przewidywanych odbiorcach lub kategoriach odbiorców danych czy prawie dostępu do treści swoich danych oraz ich poprawiania, dobrowolności albo obowiązku podania danych, jeżeli taki obowiązek istnieje. Po rozpoczęciu stosowania RODO administrator będzie zobowiązany przekazać cały szereg dodatkowych informacji. Należy pamiętać, że dział HR pozyskują dane choćby od kandydatów do pracy.

Należy pamiętać, iż w związku z wymaganiami wprowadzanymi przez RODO znowelizowany zostanie Kodeks pracy. Ministerstwo Cyfryzacji przygotowało już projekt zmian.

 

Podsumowując, w dostosowaniu organizacji do wymagań RODO potrzebna jest wiedza interdyscyplinarna. Może się okazać, że małe podmioty bez zewnętrznego wsparcia będą miały znaczne problemy w dostosowaniu się do nowej rzeczywistości wymagań prawnych z zakresu ochrony danych osobowych. 

 

Jeżeli organizacja zdecyduje się na pomoc zewnętrznego eksperta powinna wziąć pod uwagę przynajmniej kilka czynników, o których więcej można przeczytać na stronie kampanii prowadzonej przez Fundację Wiedza To Bezpieczeństwo: http://potencjalnieniebezpieczni.pl/2017/09/28/z-kim-wdrazac-rodo-infografika/

Autor: adw. Marcin Zadrożny, Fundacja Wiedza To Bezpieczeństwo