Dane HR-owe są jedną z tych kategorii danych osobowych, które najczęściej pojawiają się w życiu spółki. Każdy pracodawca musi przetwarzać dane osobowe swoich pracowników oraz kandydatów do pracy. Co prawda brakuje jednoznacznych badań dotyczących zespołów HR, ale przyjąć można, że taki zespół (nawet jednoosobowy) jest najczęściej istniejącą jednostką organizacyjną przedsiębiorcy. Dane HR-owe generowane są już na etapie rekrutacji, ale również później, przez cały okres zatrudnienia pracownika. Tym samym w naturalny sposób pojawia się pytanie o sposób wykorzystania takich danych w spółce.
W związku z gromadzeniem dużej ilości danych (zwłaszcza w dużych organizacjach) pojawia się pytanie o to, kto w spółce powinien mieć dostęp do danych i kto może je przeglądać? A także w jaki sposób zarządzać wykorzystaniem takich danych w spółce?
Sprawdź jak wdrożyć RODO w twojej organizacji
Sprawdź >>
Mówiąc o danych HR-owych musimy pamiętać o tym, że mówimy o szerokiej grupie danych, które pochodzą z różnych źródeł oraz są wykorzystywane w różnych celach i przetwarzane na różnych podstawach prawnych. Nie są jednorodną kategorią (podkategorią) danych, ale wieloma, które łączy charakter osób, których dotyczą i pewne środowisko powstania. Możemy tu wskazać co najmniej tak różne kategorie, jak:
Dane kandydatów wskazanymi w art. 22(1) Kodeksu Pracy.
Inne dane podane przez kandydatów w ich aplikacjach, przetwarzane na podstawie zgody.
Dane pozyskane od agencji pracy tymczasowej jako przez Pracodawcę – użytkownika.
Dane wytworzonymi w trakcie trwania postępowania rekrutacyjnego (wyniki testów, notatkami, etc).
Danymi zebranymi od przyjętego już pracownika wskazanymi w art. 22(1) paragraf 5 Kodeksu Pracy.
Danymi wynikającymi z przepisów szczególnych.
Danymi przetwarzanymi w celu korzystania przez pracownika ze szczególnych uprawnień.
Danymi wytworzonymi przez pracodawcę w trakcie zatrudnienia (informacje o wynikach, czasie pracy, obecności w biurze, postępowaniach dyscyplinarnych, awansach, zespołach, odbytych szkoleniach, zwolnieniach lekarskich, specjalnych wymogach związanych ze stanem zdrowia, etc).
Danymi wprowadzonymi przez samego pracownika (np. zdjęciem na profilu firmowym).
I wieloma innymi.
Taki poziom zróżnicowania sprawia, że nie możemy traktować danych HR-owych jako jednolitej kategorii we wszystkich kontekstach. Musimy tym samym pamiętać, że będą z tym związane różne zasady ich przetwarzania i wykorzystania – nie jest to zunifikowany i jednorodny zbiór i tym samym analizować trzeba konkretne rodzaje danych i prowadzone na nich operacje zamiast postrzegać je w sposób jednolity.
Ograniczenie dostępu do danych HR-owych w firmie
Należy pamiętać, że zgodnie z art. 32 ust. 1 RODO, obowiązkiem związanym z przetwarzaniem danych jest identyfikacja ryzyka dla osób fizycznych i wdrożenie środków organizacyjnych i technicznych mających na celu minimalizację tego ryzyka. W rezultacie dostęp do systemów i danych powinien być ograniczony jedynie do osób, których zaangażowanie jest niezbędne do wykonywania zadań związanych z zatrudnieniem. Taka decyzja została również potwierdzona przez duński urząd ochrony danych osobowych. Ograniczenie dostępu nie dotyczy tylko pracowników działu HR, ale dotyczy ogólnie wszystkich pracowników, którzy potrzebują dostępu do danych w celu wykonywania swoich zadań. Dostęp powinien być ograniczony do niezbędnego zakresu, zgodnego z wykonywanymi zadaniami. Przykładowo, w przypadku procesu rekrutacji, nie byłoby sprzeczne z zasadą minimalizacji danych, aby przyszli przełożeni mieli dostęp do danych dotyczących kandydatów, dopóki są one potrzebne w ramach tego procesu. Jednak dostęp taki nie powinien być udzielany wszystkim pracownikom. Dostępy powinny być odpowiednio ograniczone i dostosowane do aktualnie wykonywanych zadań, zależnie od sposobu organizacji zadań w firmie. Na przykład zakres dostępu do danych przypisany przełożonemu pracownika powinien zależeć od przypisanych mu zadań i potrzeby dostępu do konkretnych danych.
Podczas wdrażania systemu HR należy również uwzględnić zróżnicowany czas przetwarzania danych. Przepisy dotyczące dokumentacji pracowniczej (art. 94 pkt 9b Kodeksu Pracy) wskazują, że taką dokumentację należy przechowywać przez okres 10 lat od końca roku kalendarzowego, w którym pracownik zakończył pracę w danej firmie (wcześniej termin ten wynosił 50 lat). Ważne jest jednak, aby pamiętać, że ten termin dotyczy tylko dokumentacji pracowniczej zawartej w aktach osobowych. Nie wszystkie dane w systemie HR muszą być przechowywane przez ten sam okres. Na przykład, art. 113 Kodeksu Pracy jednoznacznie określa, że informacje o wymierzonych pracownikowi karach porządkowych powinny być usuwane po upływie roku nienagannej pracy. Ogólny termin przechowywania dokumentacji pracowniczej nie ma zastosowania do takiego przypadku. Podobnie, jeśli istnieje obowiązek przechowywania danych, które są częścią dokumentacji pracowniczej, nie oznacza to, że procesy przetwarzania poza tą dokumentacją (na przykład usunięcie pracownika z systemów pracodawcy) nie muszą być zakończone.
Należy również pamiętać, że dział HR i system HR nie powinny przetwarzać niektórych danych pracownika w określonych sytuacjach. Przykładowo, pracodawca ma prawny obowiązek zapewnienia bezpieczeństwa w miejscu pracy (art. 207 Kodeksu Pracy). W związku z tym, może być konieczne zbieranie różnych danych osobowych w celu spełnienia tego obowiązku, w zależności od konkretnej sytuacji i wymagań danego administratora. Jednak takie dane nie powinny być łączone z bazami danych HR i udostępniane działowi HR, chyba że pracownicy tego działu mają także zadania związane z bezpieczeństwem.
Platforma społecznościowa w spółce
Często spotykanym rozwiązaniem w średnich i większych przedsiębiorstwach jest tworzenie wewnętrznej platformy społecznościowej, na której pracownicy mogą się identyfikować, wymieniać informacjami i korzystać z niej w celach osobistych.
Taką platformę można ogólnie używać, zgodnie z zasadami RODO, jednak konieczne jest wprowadzenie pewnych ograniczeń dotyczących wprowadzania danych. Dodawanie danych poza podstawowymi informacjami, takimi jak imię, nazwisko pracownika, dane kontaktowe i stanowisko, powinno być dobrowolnym wyborem użytkownika, umożliwiającym edycję lub usunięcie tych informacji. System nie powinien automatycznie importować danych z innych baz danych bez ingerencji pracownika ani wymuszać udostępnienia takich informacji. Podstawą przetwarzania dodatkowych danych powinna być zgoda pracownika, zgodnie z wymogami art. 22(1b) Kodeksu Pracy, i muszą być spełnione odpowiednie warunki. Ponadto, jeśli pracownik samodzielnie podaje powyższe informacje, ich usunięcie nie powinno być trudniejsze niż wprowadzenie ich do systemu. Pracownik powinien także wiedzieć, które kategorie pracowników mogą mieć dostęp do tych danych.
Jednak udostępnienie danych nie powinno dotyczyć byłych pracowników. Informacje dotyczące byłych pracowników powinny być automatycznie usuwane z platformy przedsiębiorstwa, chyba że wyrazili oni zgodę na ich dalsze przetwarzanie. W takim przypadku należy umożliwić wycofanie zgody na dalsze przetwarzanie tych danych.
Prawo dostępu do danych
Pracownikowi, jak i każdej innej osobie, której dane dotyczą, przysługuje prawo dostępu do danych, zgodnie z art. 15 RODO. Realizując to prawo, należy pamiętać, że pracownik może żądać dostępu do wszystkich danych jego dotyczących – w tym także tych generowanych np. w trakcie postępowania rekrutacyjnego w formie notatek czy wyników testów czy ewaluacji wykonywania zadań przez danego pracownika. Każdy z tych elementów zawiera dane osobowe i jako taki może być przedmiotem wniosku o dostęp do danych.
Natomiast, jak zauważa TSUE, takie prawo dostępu nie obejmuje informacji dotyczących tego którzy z innych pracowników mieli bądź mogli mieć dostęp do danych osobowych w systemie HR, chyba że taka informacja jest niezbędna dla wykonywania praw i jednocześnie nie wpływa w sposób negatywny na prawa i wolności tych innych pracowników.