Dział HR to miejsce w organizacji, w którym niezależnie od profilu działalności firmy przetwarzany jest szeroki zakres danych osobowych. Zapewnienie zgodności z RODO i innymi przepisami dotyczącymi ochrony danych osobowych w dużej mierze spoczywa więc właśnie na tej jednostce organizacyjnej firmy. Jak wynika z naszego doświadczenia, mimo że dział HR posiada zazwyczaj największą świadomość w omawianym zakresie, istnieją kwestie, które mogą być pomijane – czy to przez samych pracowników działu kadr, czy też przez innych pracowników danej organizacji, których obowiązki pobocznie mogą dotyczyć przetwarzania danych kandydatów do pracy lub pracowników. Często w organizacjach pokutuje niestety podejście, że wystarczy przygotować odpowiednią dokumentację i wszelkie działania będą zgodne z RODO. Za dokumentacją, w tym procedurami, nie idą jednak często działania, tj. założenia nie są realizowane w praktyce. W rezultacie organizacja może nie być w stanie zapewnić rozliczalności, a więc wykazać przestrzegania zasad przetwarzania danych osobowych, o których mowa w RODO, a które obejmują:
- zgodność z prawem, rzetelność i przejrzystość;
- ograniczenie celu;
- minimalizację danych;
- prawidłowość;
- ograniczenie przechowywania;
- integralność i poufność.
Z naszego doświadczenia wynika, że problemy z zapewnieniem przestrzegania zasad przetwarzania danych osobowych, a w konsekwencji z rozliczalnością, mogą powstać w szczególności w następujących obszarach:
1. Realizacja obowiązku informacyjnego, głównie gdy rekrutacja jest przeprowadzana bez udziału, a nawet poza wiedzą działu HR.
Przykład:
Przy rekrutacji na wysokie stanowiska kierownicze w organizacji (w tym np. rekrutacji członków zarządu) może zdarzyć się tak, że w wyłonienie osób na wskazane stanowiska zaangażowane są wyłącznie najwyższe kadry kierownicze spółki czy innego podmiotu. Wskazane osoby mogą zaangażować w proces podmioty zewnętrzne (agencje rekrutacyjne), zawierając z nimi umowy, które nie zostaną przeanalizowane ani przez dział HR, ani przez IOD (jeśli został wyznaczony) lub specjalistę z zakresu ochrony danych osobowych. Może to prowadzić do braku realizacji obowiązku informacyjnego w ogóle lub przekazania informacji w nieprawidłowy sposób lub w niewystarczającym zakresie.
Jakie ryzyka z tym się wiążą? Otóż relacja pomiędzy firmą, która chce zatrudnić pracownika, a agencją rekrutacyjną, może nie zostać prawidłowo określona w umowie. Zazwyczaj agencja pełni wyłącznie rolę administratora danych, odrębnego od przyszłego pracodawcy. Niektóre agencje forsują jednak zawarcie umowy powierzenia – i to zazwyczaj wtłaczając przyszłego pracodawcę w rolę podmiotu przetwarzającego. Prowadzi to niewłaściwego określenia praw i obowiązków stron, w tym może powodować brak wypełnienia obowiązku informacyjnego wobec kandydatów do pracy lub współpracy przez przyszłego pracodawcę.
Powyższe błędy mogą wynikać również z okoliczności, że osoby spoza działu HR w ogóle nie są świadome obowiązków wiążących się z przetwarzaniem danych osobowych na etapie rekrutacji, gdyż nie wchodzi to w ich podstawowy zakres działań. Tym bardziej może więc dojść do braku realizacji obowiązku informacyjnego wobec kandydatów, czy też przekazania klauzuli informacyjnej o nieprawidłowej treści lub w niewłaściwym momencie.
2. Prawidłowe określenie podstaw przetwarzania danych osobowych, w tym prawidłowe odebrania zgody.
Zarówno w procesie rekrutacji, jak i już w procesie zatrudnienia, mogą występować problemy w ustaleniu prawidłowej podstawy prawnej przetwarzania danych osobowych. Z naszych doświadczeń wynika, że zbyt często jako taka podstawa jest wybierana zgoda, mimo że np. pracodawca mógłby powołać się na swój prawnie uzasadniony interes. Skorzystanie z podstawy prawnej wskazanej w art. 6 ust. 1 lit. f RODO, o czym jednak również często się zapomina, wymaga przeprowadzenia testu równowagi, który zgodnie z zasadą rozliczalności powinien znaleźć odzwierciedlenie w jakiegoś rodzaju dokumencie – choćby w wymianie korespondencji mailowej.
Z kolei w tych przypadkach, gdzie faktycznie przetwarzanie danych osobowych mogłoby być dokonywane na podstawie zgody, zdarza się, że nie jest ona sformułowana w sposób zgodny z wymaganiami RODO (tj. nie jest dobrowolna, świadoma, konkretna, jednoznaczna), jak również może nie zostać utrwalona w taki sposób, który pozwoli organizacji wykazać, że zgoda została faktycznie i prawidłowo udzielona.
Najczęstsze błędy, z jakimi spotykamy się w procesie odbierania zgód w rekrutacji lub zatrudnieniu są następujące:
- brak utrwalenia w jakiejkolwiek postaci zgody kandydata lub pracownika – ma to duże znaczenie zwłaszcza wtedy, gdy przetwarzane są dane szczególnych kategorii wymagające wyraźnego oświadczenia osoby, której dane dotyczą; warto pamiętać, że taka zgoda nie musi być udzielona w pisemnym oświadczeniu (z własnoręcznym podpisem) – może być to oświadczenie mailowe, a nawet ustne, o ile została z niego sporządzona notatka lub oświadczenie zostało nagrane;
Przykład:
Błędy w odebraniu zgody lub całkowity brak zgody na przetwarzanie danych osobowych, jak również brak realizacji obowiązku informacyjnego, może mieć miejsce w rekrutacji, gdy dane osobowe nie są przesyłane przez kandydata w odpowiedzi na konkretne ogłoszenie, lecz są przekazywane na ogólny adres mailowy firmy lub bezpośrednio do działu HR. Konieczne jest przyjęcie w tym zakresie procedury postępowania, aby móc wykazać realizację zasad przetwarzania danych osobowych w tych przypadkach. Zdarzają się niestety firmy, gdzie brak wypracowanego schematu postępowania w omawianych sytuacjach.
- przyjęcie, że zgoda została wyrażona, mimo braku jednoznacznego czy dobrowolnego oświadczenia kandydata lub pracownika – w naszej praktyce spotykamy się z sytuacjami, gdy treść zgód zamieszczona jest łącznie z innymi oświadczeniami;
Przykłady:
- Zgoda na wykorzystanie prywatnych danych kontaktowych pracownika znajduje się w treści umowy o pracę – pracownik nie może w żaden sposób złożyć odrębnego oświadczenia w tym zakresie. Zgoda nie zostanie więc udzielona, mimo że pracownik złoży swój podpis pod treścią umowy o pracę.
- Treść zgód na wykorzystanie wizerunku pracownika znajduje się w jednym dokumencie z treścią klauzuli informacyjnej. W treści oświadczenia zamieszczono chceckboxy dotyczące wykorzystania wizerunku w różnych formach – w stopce maila, w intranecie, w mediach społecznościowych, na stronie internetowej. Pracownik złożył podpis pod klauzulą informacyjną, potwierdzając, że zapoznał się jej treścią. Nie zaznaczył jednak żadnego checkboxa dotyczącego formy wykorzystania jego wizerunku. W tym przypadku nie można uznać, że pracownik udzielił zgody na wykorzystanie wizerunku. Na podstawie podpisu złożonego wyłącznie pod treścią klauzuli informacyjnej nie można przyjąć, że pracownik zgodził się na wykorzystanie jego wizerunku w każdy wskazany sposób. Nie będziemy więc w stanie wykazać, że przetwarzamy wizerunek pracownika zgodnie z prawem
- odbieranie jednej zgody na różne cele przetwarzania.
3. Ograniczenia przechowywania danych i minimalizacji danych.
Zapewnienie rozliczalności w tym zakresie wymaga przede wszystkim ustalenia w firmie okresów przechowywania poszczególnych kategorii danych osobowych, jak również ustalenia dla poszczególnych czynności zakresu danych, którego przetwarzanie jest niezbędne do osiągnięcia wyznaczonego celu. Dotyczy to znów nie tylko ściśle działu HR, ale również innych osób przetwarzających dane kandydatów lub pracowników.
Problemy spotykane przez nas w praktyce to np.:
- brak usuwania danych osobowych, gdy przestaną być już niezbędne – zarówno w formie papierowej, jak i elektronicznej;
- zbieranie kserokopii dokumentów i brak anonimizacji zbędnych informacji;
- pozostawienie w listach mailingowych lub na drukarkach/skanerach danych byłych pracowników lub współpracowników;
- przechowywanie w aktach osobowych dokumentów, które nie są wymagane przez przepisy prawa, co powoduje, że te dodatkowe dane osobowe są przechowywane dłużej niż to konieczne.
Podsumowanie
Powyżej została zasygnalizowana jedynie część problemów dotyczących zapewnienia i wykazania przez organizacje, w zakresie przetwarzania danych osobowych kandydatów do pracy lub pracowników, zgodności z zasadami przetwarzania danych osobowych. Jak zostało wskazane na wstępie, samo wdrożenie zasad, procedur, wzorów dokumentacji nie wystarczy. Przyjęte założenia należy wdrożyć w życie. Jak tego dokonać? Poprzez systematyczne szkolenie, zarówno w zakresie obowiązujących przepisów prawa, jak i przyjętych w organizacji procedur. Bez tego nie zostanie osiągnięta zgodność z zasadami przetwarzania danych osobowych, a tym bardziej organizacja nie będzie mogła wykazać, że realizuje te zasady. Każda osoba, która ma do czynienia z przetwarzaniem danych w rekrutacji lub zatrudnieniu, nawet jeśli jest spoza działu HR, powinna być uświadamiana w zakresie ciążących na organizacji obowiązków. Nie wystarczy przekazać poszczególnym osobom pakietu dokumentów, lecz również przeszkolić pracowników w zakresie ich „obsługi”.
W kolejnych artykułach z cyklu iHR będziemy omawiać dla Was szczegółowe zagadnienia, które pomogą Waszym organizacjom zapewnić zgodność z RODO, w tym jej realne wdrożenie, aby możliwa była także realizacja zasady rozliczalności. Jeśli chcecie, abyśmy w naszym cyklu omówili zagadnienia dotyczące przetwarzania danych osobowych w HR, które spędzają Wam sen z powiek, piszcie na adres kontakt@isecure.pl, chętnie spróbujemy się do nich odnieść.
Zapraszamy również do sprawdzenia najbliższych terminów kursów z cyklu Szkolenie RODO w HR