Blog

21 02/2018
Kategoria:

RODO a HR – zmiany, które wpłyną na (prawie) każdą firmę

Od 20 lat branża HR nie doświadczyła takiej zmiany. 25 maja 2018 r., to właśnie działy zarządzania zasobami ludzkimi, zaczną najmocniej odczuwać dokuczliwy oddech na plecach ze strony RODO. Zmieni się wiele, począwszy od informacji, jakie będą musieli przekazać kandydatom w trakcie rekrutacji, przez uważniejsze obchodzenie się z danymi wrażliwymi, na rejestrowaniu czynności przetwarzania kończąc.

Wejście RODO to przede wszystkim więcej pracy dla HR

Gotowość na 25 maja 2018 r. to spore wyzwanie niemal dla wszystkich firm. Według raportu firmy Deloitte (https://www2.deloitte.com/pl/pl/pages/press-releases/articles/wiekszosc-firm-wciaz-zwleka-z-wdrozeniem-RODO.html), zaledwie 15 proc. firm z regionu EMEA (kraje leżące na obszarze Europy, Bliskiego Wschodu oraz Afryki) zadeklarowało, że będzie gotowa na RODO w wyznaczonym terminie. Spory problem z przystosowaniem do nowych wymagań obchodzenia się z danymi osobowymi będą mieli szczególnie HR-owcy. Pomijając czas przygotowań, spadnie na nich sporo nowych obowiązków już po wdrożeniu.

Obszary HR, których „dotknie” RODO

HR-owcy, w trakcie pracy po 25 maja 2018 r., będą musieli zwrócić szczególną uwagę na kilka obszarów. Wśród najważniejszych zmian, na które muszą przygotować się działy HR, znajdziemy m.in.:

  • rozszerzenie obowiązków informacyjnych,
  • nowe zgody na przetwarzanie danych osobowych,
  • nowe umowy o powierzeniu przetwarzania danych osobowych,
  • nowe sposoby zabezpieczenia danych,
  • rejestrowanie czynności przetwarzania danych,
  • obowiązek zgłaszania naruszeń,
  • prawo do bycia zapomnianym.

Rozszerzenie obowiązków informacyjnych

W świetle prawa to działy HR w firmach i agencje rekrutacyjne są administratorami danych osobowych (ADO). Wraz z wejściem RODO, zwiększy się zakres informacji, które będą musiały zostać podane w trakcie zbierania danych osobowych.

Aktualnie, kandydat o pracę, zostaje poinformowany  o nazwie i adresie siedziby, która prowadzi rekrutację, celu zbierania danych osobowych, posiadanym prawie dostępu do swoich danych oraz dobrowolności lub obowiązku podania danych osobowych. Od 25 maja, dotychczasowy zakres informacyjny będzie rozszerzony m.in. o:

  • dane kontaktowe,
  • dane kontaktowe inspektora ochrony danych (IOD),
  • cele przetwarzania i podstawę prawną przetwarzania,
  • okres, przez który dane osobowe będą przetwarzane,
  • odbiorców danych lub kategorie odbiorców,
  • prawa osób, których dane są zbierane (prawa do żądania dostępu, sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu wobec przetwarzania, przenoszenia danych, cofnięcia zgody, wniesienia skargi etc.)
  • informację, czy podanie danych jest obowiązkowe wraz z konsekwencjami nie podania niezbędnych informacji.

Nowe zgody na przetwarzanie danych osobowych

Wraz z wejściem RODO, zgoda na przetwarzanie danych osobowych nie może być domniemana. Dlatego też dane pracownika będą mogły być przetwarzane jedynie wtedy, gdy wyrazi na to zgodę. Niezbędne będzie tu dobrowolne i świadome wyrażenie woli na przetwarzanie danych w ustalonym celu. Co istotne, rozporządzenie mówi również o wycofaniu tej zgody zaznaczając, że musi być równie łatwe jak jej wyrażenie.

Nowe umowy o powierzeniu przetwarzania danych osobowych

W coraz większej liczbie firm, utrzymanie np. działów kadrowo-płacowych, bywa nieopłacalne. Dlatego wielu pracodawców decyduje się powierzyć firmom zewnętrznym czynności związane z przetwarzaniem danych osobowych. Od 25 maja 2018 r, przy okazji takich sytuacji, niezbędne będzie zawarcie umowy o przetwarzaniu danych osobowych pomiędzy stronami na nowych zasadach. Poza dotychczasowymi elementami (zakres i cel przetwarzania), konieczne będzie wskazanie:

  • przedmiotu przetwarzania,
  • czasu przetwarzania,
  • charakteru przetwarzania,
  • celu przetwarzania,
  • rodzaju danych osobowych,
  • kategorii osób, których dane dotyczą,
  • obowiązków i prawach administratora.

rodo-a-hr

Nowe sposoby zabezpieczenia danych

Pracodawca, wraz z wejściem RODO, będzie musiał zadbać o odpowiedni stopień bezpieczeństwa danych osobowych. Wśród jego nowych zadań, dotyczących nie tylko danych przechowywanych w sposób elektroniczny, ale również tradycyjny, znajdzie się m.in.

  • szyfrowanie danych osobowych
  • zapewnienie poufności, integralności, dostępności i odporności systemów,
  • testowanie skuteczności podjętych środków technicznych i organizacyjnych, które mają zapewnić bezpieczeństwo przetwarzania danych.

Rejestrowanie czynności przetwarzania danych

Rejestr czynności przetwarzania danych osobowych to kolejna z nowości, która spadnie na działy HR w związku z wejściem RODO. W rejestrze prowadzonym przez ADO, muszą znaleźć się m.in. takie elementy jak:

  • nazwa oraz dane kontaktowe ADO,
  • cele przetwarzania,
  • opis kategorii osób, których dane dotyczą
  • kategorie odbiorców mających dostęp do danych,
  • termin usunięcia wskazanych kategorii danych,
  • opis techniczny i organizacyjny środków bezpieczeństwa.

Obowiązek zgłaszania naruszeń

72 godziny – maksymalnie tyle czasu będą mieli ADO na zgłoszenie przypadku naruszenia ochrony danych osobowych. Ponadto, jeśli naruszenie wiązać się będzie z ryzykiem naruszenia praw lub wolności osób fizycznych, administrator będzie musiał powiadomić osobę o takim naruszeniu.

Czym jest naruszenie ochrony danych osobowych? Według RODO: „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych”. W praktyce, naruszeniem będzie np. utrata dokumentów czy zgubienie nośników pamięci zawierających dane osobowe.

Prawo do bycia zapomnianym

Od 25 maja 2018 r., dane osób, które tego zapragną, będą musiały zostać niezwłocznie i w całości usunięte. Z pewnością będzie to ogromne wyzwanie dla HR-owców, którzy przetwarzają „tony” danych osobowych. Co istotne, pod pojęciem danych osobowych rozumie się także linki, kopie, całą dokumentację papierową.

By skorzystać z prawa do bycia zapomnianym, należy spełnić kilka warunków – nie zawsze żądanie usunięcia danych osobowych będzie zasadne. O tym kiedy będzie można skorzystać z prawa do bycia zapomnianym przeczytasz w artykule: RODO a prawo do bycia zapomnianym

Co się stanie, jeśli działy HR nie przystosują się do RODO?

Kary za niestosowanie się do wymogów RODO mogą być bardzo dotkliwe. Treść rozporządzenia mówi o 20 mln euro, a w przypadku przedsiębiorstw nawet o 4% całkowitego rocznego światowego obrotu.

Warto wiedzieć, że wraz z wejściem RODO znikną opłaty nakładane na użytkowników za złożenie skargi do GIODO. Możemy się zatem spodziewać zdecydowanie większej częstotliwości kontroli firm w zakresie przestrzegania wymagań rozporządzenia.

Do RODO zostało niewiele czasu…

Do 25 maja 2018 r. zostały około 3 miesiące. Można uznać, że to „ostatni dzwonek”, by rozpocząć proces wdrożeniowy. Dlatego agencje HR oraz działy kadr, które jeszcze nie zaczęły prac nad przystosowaniem się do zapisów rozporządzenia, czym prędzej powinny uruchomić ten proces. Owszem, wdrożenie nowych przepisów może być kosztowne, jednak – z uwagi na ogromne kary finansowe – warto zainwestować w skuteczne rozwiązanie.

Kontynuując przeglądanie strony, wyrażasz zgodę na używanie przez nas plików cookies. więcej informacji

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close