Przygotuj się na kontrolę z GIODO

Parlament Europejski w kwietniu tego roku przyjął rozporządzenie wprowadzające nowe prawo o ochronie danych osobowych. Ma ono obowiązywać od maja 2018 roku. To największa w historii reforma tego obszaru. Eksperci eRecruiter podkreślają, że pracodawcy powinni zacząć przygotowania do zmian jak najszybciej, bo nowe regulacje wpłyną na wiele aspektów procesów rekrutacyjnych. Te najważniejsze to: odpowiednia polityka ochrony danych osobowych, dostęp do danych kandydatów i ich przetwarzanie oraz klauzule i zgody wymagane od starających się o pracę.

- Każdy dokument aplikacyjny, który wpłynie do pracodawcy w procesie rekrutacji, już teraz wymaga odpowiedniej troski w zakresie ochrony danych osobowych. Po wprowadzeniu nowego prawa będzie to jeszcze istotniejsze.

Zasady ulegną znacznemu zaostrzeniu (np. w zakresie sankcji finansowych), co jest pochodną zachodzących zmian cywilizacyjnych, w tym głównie technologicznych. Żyjemy w czasach, w których prawo do ochrony danych osobowych traktowane jest jako prawo podstawowe. Nowe regulacje mają być gwarancją dla kandydatów do pracy, że ich dane będą bezpieczne.

By tak się stało pracodawcy, w tym przede wszystkim przedstawiciele działów HR, IT i prawnych, muszą w ciągu kilkunastu miesięcy, które pozostały do wejścia w życie rozporządzenia, odpowiednio przygotować kadry, infrastrukturę oraz politykę firmową do nowej rzeczywistości w zakresie ochrony danych osobowych.

Jest jednak kilka aspektów, którym warto poświęcić uwagę w szczególności. Jednocześnie trzeba pamiętać, iż w zakresie prawa pracy polski ustawodawca może przyjąć regulacje szczególne w odniesieniu do przepisów ogólnego rozporządzenia - podkreśla radca prawny Mirosław Gumularz, specjalista ds. ochrony danych osobowych w eRecruiter.

Po pierwsze, wprowadź jasną politykę bezpieczeństwa danych

Przeglądanie dokumentów aplikacyjnych, ich selekcja czy rozmowy z kandydatami to etapy procesu rekrutacyjnego, nieodłącznie związane z pozyskiwaniem danych osobowych. Ważne jednak, by wszyscy pracownicy firmy mający styczność z tymi danymi, rozumieli tak samo obowiązujące procedury.

Ogólne rozporządzenie o ochronie danych nakłada na administratora danych (np. rekrutującego pracodawcę) obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z prawem i aby móc to wykazać.

Środki te powinny być poddawane przeglądom i uaktualniane. Administrator powinien wziąć przy tym pod uwagę charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia. Jednocześnie rozporządzenie wskazuje, iż obejmuje to wdrożenie przez administratora odpowiednich polityk ochrony danych. W tym celu warto m.in. organizować regularne szkolenia z zakresu ochrony danych osobowych lub spisać odpowiednie zasady.

Dzięki temu każdy dowie się, jakie obowiązują zasady m.in. związane z przechowywaniem CV, wykorzystywaniem informacji zawartych w życiorysach do kolejnych procesów rekrutacyjnych czy udzielaniem zgody przez kandydatów na przetwarzanie ich danych.

Po drugie, zapewnij dostęp do danych osobowych kandydatów tylko upoważnionym.

Dane osobowe kandydata będą bezpieczne tylko wtedy, gdy dostęp do nich mają osoby wiedzące, jak się z nimi obchodzić. Jeżeli firma posiada odpowiedni system do rekrutacji, taki jak eRecruiter, sprawa jest łatwa.

Na platformie wgląd do danych przyznaje się bowiem tylko tym osobom, które są zaangażowane w dany proces rekrutacyjny.

Dodatkowo, dostęp jest zabezpieczony odpowiednim hasłem. Istnieje też możliwość dodawania lub usuwania uprawnień. Jeżeli natomiast firma przechowuje CV na skrzynkach mailowych, trzeba wdrożyć procedury, które zapewnią bezpieczeństwo tych danych.

Na wypadek kontroli GIODO musimy mieć pewność, że przedstawimy klauzule informacyjne i zgody, jakie zostały wykorzystane do danego procesu rekrutacyjnego, oraz czy nasza baza danych osobowych jest odpowiednio chroniona (np. poprzez zastosowany mechanizm szyfrowania). Jest to znacznie łatwiejsze, gdy posiadamy odpowiedni system do rekrutacji. Najlepiej jak platforma do rekrutacji udostępnia gotowe wzory klauzul informacyjnych oraz zgód przygotowane przez ekspertów a także umożliwia tworzenie własnych.

Dlaczego to takie istotne? Po wprowadzeniu nowego prawa, stwierdzone naruszenie zasad ochrony danych osobowych może oznaczać poważne konsekwencje. Najbardziej dotkliwe będą te finansowe.

Odpowiednia instytucja, jaką w Polsce jest GIODO, będzie uprawniona do nakładania administracyjnych kar pieniężnych. Pracodawca, który naruszy prywatność aplikującej osoby, może zostać zobligowany do zapłacenia grzywny nawet w wysokości 4% całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego.

- Mechanizm informacyjny w rozporządzeniu to nic nowego. Warto jednak w firmie wdrożyć taki system, który będzie umożliwiał łatwo i szybko wykazać, jakie informacje (i ewentualnie zgody) dotyczą danego kandydata - podsumowuje radca prawny Mirosław Gumularz.

eRecruiter to internetowa platforma do zarządzania rekrutacjami i bazą kandydatów.

......................

Do największych zagrożeń dla bezpieczeństwa danych osobowych zaliczamy firmy i organizacje nieprzywiązujące wagi do ich ochrony - wynika z raportu ODO 24. Wiele wątpliwości budzą kwestie związane z usuwaniem niepotrzebnych już informacji. A zwłaszcza to, w jaki sposób są one niszczone.

Ponad jedna trzecia respondentów badania dotyczącego wiedzy o ochronie danych osobowych przeprowadzonego przez ODO 24 wskazała, że jednym z najbardziej niepokojących zjawisk jest niefrasobliwe podejście przedsiębiorców do posiadanych informacji.

Wiele problemów sprawia im zarządzanie i ochrona danych elektronicznych. Jak pokazuje raport GUS w Polsce tylko 1 na 10 organizacji dba o nie prawidłowo. Tym, co pokazuje stosunek danego podmiotu do przetwarzanych danych, jest podejście do kwestii ich niszczenia.

Warto wiedzieć, że firmy oraz instytucje mają obowiązek ustawowy kasowania danych, nakładany m.in. przez Ustawę o ochronie danych osobowych oraz Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych - wskazuje Maciej Jurczyk, inżynier ds. bezpieczeństwa informacji w ODO 24.

Dane osobowe firmy mogą przetwarzać tak długo, jak aktualny jest cel, dla którego realizacji się to dzieje. Po jego osiągnięciu lub wygaśnięciu muszą je usunąć, czyli jak wskazuje polski ustawodawca zniszczyć lub zmodyfikować.

Usunięcie danych osobowych w praktyce polega na pozbyciu się ich w sposób niepozwalający na odtworzenie ich treści. Tak, by po dokonaniu usunięcia danych niemożliwe było zidentyfikowanie osób, których dotyczą. Istnieje przy tym dowolność w wyborze środków - można np. skorzystać z niszczarki lub zanimizować dokument poprzez zaczernienie danych osobowych.

Najskuteczniejszą metodą usuwania danych z nośników przeznaczonych do dalszego użytku jest stosowanie metody wielokrotnego zapisu. Nośniki danych zaleca się zniszczyć mechanicznie w niszczarce spełniającej wymagania normy DIN 66399 na poziomie bezpieczeństwa nie niższym niż 3. Metoda wielokrotnego zapisu polega na minimum trzykrotnym, a rekomendowanym pięcio-sześciokrotnym zapisem danymi tzw. zerowymi, co uniemożliwia lub znacząco obniża szansę na odzyskanie danych - radzi Maciej Jurczyk z ODO 24.

Warto zwrócić uwagę na zjawisko błędów popełnianych przez pracowników w procesie niszczenia zbędnych dokumentów zawierających dane osobowe. Częstym procederem jest wyrzucanie dokumentów na śmietnik, bez uprzedniego sprawdzenia ich treści. Stanowi to naruszenie norm o zabezpieczeniu danych osobowych, ponieważ umożliwia zapoznanie się z treścią danych osobom nieuprawnionym - mówi ekspert ODO 24.

ODO 24 - to firma, oferująca rozwiązania w zakresie ochrony danych osobowych i bezpieczeństwa informacji