Działy HR przetwarzają jedne z najbardziej wrażliwych danych w organizacji. Dotyczą one nie tylko kandydatów do pracy, lecz także pracowników, współpracowników i byłych członków zespołu. W praktyce oznacza to ogromną odpowiedzialność – zarówno po stronie działu HR, jak i całej organizacji.
W wielu firmach pojawia się jednak charakterystyczny problem. HR działa według swoich procedur, IT odpowiada za systemy i bezpieczeństwo danych, a zarząd nie zawsze ma pełny obraz tego, jak dane pracowników są faktycznie przetwarzane. W takiej sytuacji łatwo o rozbieżności w interpretacji przepisów i praktyce działania.
RODO nie traktuje obszaru HR jako szczególnego wyjątku. Dane pracownicze podlegają tym samym zasadom, co inne dane osobowe. Jednocześnie relacja pracodawca–pracownik wprowadza dodatkowe napięcia, ponieważ trudno mówić o pełnej równowadze stron. Dlatego wiele kwestii w HR wymaga szczególnej ostrożności.
Jakie dane pracowników może przetwarzać pracodawca?
Zakres danych, które pracodawca może przetwarzać, nie jest dowolny. W Polsce wynika on przede wszystkim z przepisów Kodeksu pracy. Pracodawca ma prawo żądać określonych informacji od osoby ubiegającej się o zatrudnienie oraz od pracownika już zatrudnionego.
W przypadku kandydatów są to między innymi dane identyfikacyjne, dane kontaktowe oraz informacje o wykształceniu i doświadczeniu zawodowym, o ile są one niezbędne do wykonywania pracy określonego rodzaju. Po zatrudnieniu katalog danych może zostać rozszerzony o informacje potrzebne do realizacji obowiązków wynikających z prawa pracy i ubezpieczeń społecznych.
W praktyce oznacza to, że nie każda informacja zawarta w CV może być przetwarzana bez ograniczeń. Jeżeli kandydat sam dobrowolnie podaje dodatkowe dane, pracodawca powinien zastanowić się, czy ich przetwarzanie jest rzeczywiście konieczne.
Rekrutacja a RODO – czy „CV wysłane mailem” to problem?
Rekrutacja jest jednym z obszarów, w których najczęściej pojawiają się wątpliwości. W wielu firmach wciąż funkcjonuje praktyka wysyłania CV na ogólny adres e-mail. Kandydaci przesyłają dokumenty, które trafiają do skrzynki rekrutacyjnej, a następnie są przekazywane między pracownikami organizacji.
Z punktu widzenia RODO nie jest to automatycznie naruszenie przepisów. Problem pojawia się wtedy, gdy proces nie jest uporządkowany. Jeżeli dostęp do skrzynki ma wiele osób, dokumenty są przechowywane bez określonego czasu retencji, a dane trafiają do kolejnych folderów i systemów, łatwo o utratę kontroli nad informacją.
Rekrutacja powinna być zaprojektowana jako proces. Oznacza to jasno określony sposób zbierania dokumentów, kontrolę dostępu do danych oraz ustalenie czasu przechowywania aplikacji. W przeciwnym razie dane kandydatów mogą pozostawać w systemach firmy znacznie dłużej, niż jest to uzasadnione.
Czy zgoda kandydata zawsze jest potrzebna?
Wiele formularzy rekrutacyjnych zawiera klauzulę zgody na przetwarzanie danych. Warto jednak pamiętać, że podstawą przetwarzania danych w procesie rekrutacji nie zawsze jest zgoda. Jeżeli dane są przetwarzane w celu przeprowadzenia rekrutacji na konkretne stanowisko, podstawą jest najczęściej przepis prawa pracy.
Zgoda staje się istotna w sytuacji, gdy pracodawca chce zachować CV kandydata na potrzeby przyszłych rekrutacji. Wtedy kandydat powinien mieć możliwość zdecydowania, czy chce uczestniczyć w kolejnych procesach rekrutacyjnych.
To rozróżnienie ma znaczenie praktyczne. Niewłaściwe określenie podstawy przetwarzania może prowadzić do błędnego zarządzania dokumentacją rekrutacyjną.
Monitoring pracowników – gdzie przebiega granica?
Monitoring w miejscu pracy budzi szczególne emocje. Z jednej strony pracodawca ma prawo chronić swoje mienie i organizację pracy. Z drugiej strony pracownicy mają prawo do prywatności.
Kodeks pracy dopuszcza stosowanie monitoringu wizyjnego oraz monitoringu poczty elektronicznej, ale wprowadza jednocześnie wyraźne ograniczenia. Monitoring może być stosowany tylko wtedy, gdy jest to niezbędne do osiągnięcia określonego celu, na przykład zapewnienia bezpieczeństwa lub ochrony mienia.
Pracodawca ma obowiązek poinformować pracowników o stosowaniu monitoringu oraz określić jego zakres i cel w regulaminie pracy lub innym dokumencie wewnętrznym. Niedopuszczalne jest stosowanie monitoringu w pomieszczeniach, w których pracownicy mają szczególne prawo do prywatności.
W praktyce oznacza to, że monitoring nie może być narzędziem ciągłej kontroli zachowania pracownika. Powinien mieć jasno określony cel i zakres.
Monitoring GPS i kontrola aktywności pracownika
Coraz częściej organizacje korzystają z narzędzi umożliwiających śledzenie lokalizacji pojazdów służbowych lub urządzeń mobilnych. Dotyczy to zwłaszcza branż, w których pracownicy wykonują zadania poza siedzibą firmy.
Z punktu widzenia RODO kluczowe jest ustalenie, czy monitoring jest rzeczywiście niezbędny do realizacji celu. Jeżeli lokalizacja pojazdu służy optymalizacji tras lub ochronie mienia, może być uzasadniona. Jeżeli jednak system pozwala na szczegółową analizę każdego ruchu pracownika, pojawia się ryzyko nadmiernej ingerencji w prywatność.
Dlatego wdrożenie takich narzędzi powinno być poprzedzone analizą ryzyka i jasnym określeniem zasad ich stosowania.
Dokumentacja pracownicza a ochrona danych
Pracodawca jest zobowiązany do prowadzenia dokumentacji pracowniczej. Obejmuje ona zarówno akta osobowe, jak i inne dokumenty związane z zatrudnieniem. Dane te są przechowywane przez określony czas wynikający z przepisów prawa.
W kontekście RODO ważne jest zapewnienie odpowiedniego poziomu bezpieczeństwa dokumentacji. Dotyczy to zarówno dokumentów papierowych, jak i systemów elektronicznych. Dostęp do danych powinien mieć wyłącznie ograniczony krąg osób, a przechowywanie dokumentów musi odbywać się w sposób chroniący przed nieuprawnionym dostępem.
W praktyce oznacza to konieczność współpracy między działem HR a działem IT. Bez niej trudno zapewnić spójne podejście do ochrony danych.
Dlaczego RODO w HR wymaga współpracy działów?
Obszar HR jest miejscem, w którym spotykają się różne perspektywy organizacji. HR odpowiada za procesy kadrowe, IT za systemy i bezpieczeństwo informacji, a zarząd za zarządzanie ryzykiem. Jeżeli te obszary działają niezależnie, powstają luki.
RODO nie jest wyłącznie zadaniem działu HR ani IT. Jest elementem systemu zarządzania organizacją. Dlatego kluczowe znaczenie ma spójność procedur i wspólne rozumienie zasad przetwarzania danych.
Podsumowanie
Dane pracowników i kandydatów należą do najważniejszych kategorii danych przetwarzanych w organizacji. Rekrutacja, monitoring i dokumentacja pracownicza to obszary, w których najczęściej pojawiają się wątpliwości interpretacyjne.
RODO nie zakazuje prowadzenia tych procesów. Wymaga jednak ich świadomego zaprojektowania. Jasne określenie celu przetwarzania danych, właściwa podstawa prawna oraz współpraca między działami organizacji pozwalają uniknąć wielu problemów.
Dobrze zaprojektowany system ochrony danych w HR nie utrudnia pracy. Wręcz przeciwnie – porządkuje odpowiedzialność i zwiększa bezpieczeństwo organizacji.