Wdrożenie RODO w maju 2018 roku całkowicie zrewolucjonizowało sposób postrzegania i obchodzenia się z danymi osobowymi przez organizacje. Dotyczy to również dokumentacji kadrowej, która z racji swojej specyfiki jest obszarem niezwykle wrażliwym na kwestie ochrony danych. RODO – kogo obowiązuje? Obowiązek zapewnienia zgodności z RODO spoczywa nie tylko na pracodawcach, ale także na podmiotach przetwarzających
Wdrożenie RODO w maju 2018 roku całkowicie zrewolucjonizowało sposób postrzegania i obchodzenia się z danymi osobowymi przez organizacje. Dotyczy to również dokumentacji kadrowej, która z racji swojej specyfiki jest obszarem niezwykle wrażliwym na kwestie ochrony danych.
RODO – kogo obowiązuje?
Obowiązek zapewnienia zgodności z RODO spoczywa nie tylko na pracodawcach, ale także na podmiotach przetwarzających dane osobowe w ich imieniu, np. firmach świadczących usługi kadrowo-płacowe. Każda niedozwolona ingerencja w prywatność pracowników może narazić wszystkich uczestników procesu na surowe kary finansowe. Dlatego kluczowe znaczenie ma gruntowne zrozumienie przepisów i wprowadzenie skutecznych zabezpieczeń.
Po pierwsze, przedsiębiorcy muszą zawęzić krąg osób mających dostęp do akt osobowych. Wgląd mogą mieć wyłącznie pracownicy, którzy rzeczywiście potrzebują tych informacji do realizacji swoich obowiązków zawodowych. W praktyce oznacza to, że nie wolno udostępniać dokumentów innym działom czy współpracownikom bez wyraźnej przyczyny. Najczęściej do tego rodzaju informacji dostęp mają wyłącznie osoby odpowiedzialne za prowadzenie kadr i płac.
Równie ważne jest zapewnienie właściwego przechowywania akt. Powinny się one znajdować w zamkniętych szafach lub pomieszczeniach, do których dostęp mają jedynie uprawnione osoby. Zabezpieczenie w tym zakresie musi być na tyle skuteczne, by uniemożliwić przypadkowe bądź celowe ujawnienie danych stronom postronnym. Rekomenduje się też prowadzenie rejestru osób przeglądających akta.
Jeśli chodzi o elektroniczne systemy kadrowo-płacowe, użytkownicy muszą stosować silne i unikalne hasła oraz korzystać z zaszyfrowanej transmisji danych. Dobrą praktyką jest również okresowa zmiana haseł. Należy też zwrócić uwagę na właściwą konfigurację uprawnień w aplikacji, tak by każdy miał dostęp tylko do niezbędnych informacji.
Dokumenty kadrowe
Co więcej, RODO wymaga ograniczenia ilości przechowywanych informacji do minimum. Oznacza to, że po ustaniu zatrudnienia akta należy oczyścić z wszelkich zbędnych dokumentów. Jakie dane mogą pozostać? Tylko te, które są potrzebne do realizacji usprawiedliwionych celów, na przykład do rozliczenia wynagrodzenia czy kontroli obowiązków publicznoprawnych.
Ponadto pracodawcy powinni ustalić maksymalne okresy przechowywania akt byłych pracowników. Ustawa nie precyzuje tych ram czasowych, więc zasady określa się indywidualnie. Należy jednak pamiętać, że niedozwolone jest bezterminowe przechowywanie dokumentacji bez uzasadnionej przyczyny.
Procedury
Oprócz zabezpieczeń fizycznych i informatycznych niezbędne są także rozwiązania organizacyjne. Chodzi przede wszystkim o opracowanie wewnętrznych procedur ochrony i przetwarzania danych osobowych. Regulamin powinien precyzyjnie określać zakres obowiązków i kompetencji poszczególnych osób, a także opisywać zasady współpracy z podmiotami zewnętrznymi (np. firmami ubezpieczeniowymi).
Pracodawcy muszą również aktywnie informować zatrudnionych o ich prawach w zakresie ochrony danych osobowych. Jednocześnie konieczne jest zapewnienie możliwości realizacji tych uprawnień, takich jak dostęp do własnych danych, ich sprostowanie czy przeniesienie. Dobrą praktyką jest wyznaczenie osoby odpowiedzialnej za koordynację całego procesu i pierwszego kontaktu dla pracowników.
W przypadku zidentyfikowania naruszeń ochrony danych obowiązuje natychmiastowa reakcja. Po pierwsze, należy podjąć działania minimalizujące skutki zdarzenia i zabezpieczyć materiał dowodowy. Następnie pracodawca musi niezwłocznie, w ciągu maksymalnie 72 godzin, zgłosić incydent do Urzędu Ochrony Danych Osobowych. Jeżeli przypadek stwarzał wysokie ryzyko dla praw i wolności osób fizycznych, dodatkowo musieli zostać powiadomieni poszczególni pracownicy.
Podsumowując, kluczowe znaczenie ma określenie przejrzystych i ścisłych procedur, zapewnienie szkoleń pracownikom oraz wdrożenie szeregu zabezpieczeń technicznych. Niezbędna jest ścisła współpraca ze specjalistami z zakresu ochrony danych osobowych. Tylko w ten sposób możliwe jest całkowite dostosowanie się do nowych regulacji.
Choć procesy dostosowawcze wymagają czasu i nakładów finansowych, nie wolno ich lekceważyć. Ryzyko wysokich kar, a w konsekwencji również wizerunkowych strat dla firmy, jest zbyt duże. Dlatego dbałość o zgodność działań z RODO to nie tylko wymóg prawny, ale również sprawdzian z profesjonalizmu i poszanowania praw pracowników.