| IFK | IRB | INFORLEX | GAZETA PRAWNA | INFORORGANIZER | APLIKACJE | KARIERA | SKLEP
reklama
Jesteś tutaj: STRONA GŁÓWNA > Kadry > HRM > Informatyzacja HRM > Ochrona danych osobowych w systemach HRM

Ochrona danych osobowych w systemach HRM

Co zrobić, by w gąszczu wielu systemów HRM wybrać ten, który nie dość, że spełni pokładane w nim nadzieje ze strony działu HR firmy, to będzie też bezpieczny i zgodny z przepisami ochrony danych osobowych? Wbrew pozorom zadanie to nie jest proste, a wynika to głównie z tego, że producenci oprogramowania bardzo często nie mają świadomości, że tworzone przez nich systemy informatyczne muszą spełniać dość rygorystyczne wymogi określone w przepisach prawa.

Kryteria wyboru

Pierwszą rzeczą, na którą trzeba zwrócić uwagę, wybierając system HRM, jest sprawdzenie, czy spełnia on wymogi wskazane w § 7 rozporządzenia. Spójrzmy zatem, o jakie wymogi chodzi. Otóż, dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, system ten zapewnia odnotowanie:

  • daty pierwszego wprowadzenia danych do systemu,
  • identyfikatora (loginu) użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba,
  • źródła danych, w przypadku zbierania danych, nie od osoby, której one dotyczą,
  • informacji o odbiorcach danych, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych,
  • sprzeciwu wobec przetwarzania danych osobowych w przypadkach, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania danych osobowych innemu administratorowi danych.

Odnotowanie wskazanych wyżej informacji powinno odbywać się w sposób automatyczny po zatwierdzeniu przez użytkownika operacji wprowadzania danych. Ponadto system HRM powinien dla każdej osoby, której dane osobowe są przetwarzane w tym systemie, umożliwiać sporządzenie i wydrukowanie raportu zawierającego powyższe informacje w powszechnie zrozumiałej formie.

Warto dodać, że wspomniane elementy funkcjonalności systemu informatycznego są skrupulatnie badane w trakcie kontroli przeprowadzanej przez urzędników Generalnego Inspektora Ochrony Danych Osobowych. Wiele decyzji wydanych przez GIODO nakazuje administratorowi danych usunięcie uchybień właśnie w związku z niezapewnianiem przez system informatyczny funkcjonalności, o których napisano powyżej, a to oznacza niemal zawsze dodatkowe koszty po stronie administratora danych osobowych, np. koszty opracowania upgrade’u systemu HRM, tak by spełniał wymogi wskazane w § 7 rozporządzenia, a niekiedy nawet koszty związane z koniecznością zakupu zupełnie nowego systemu informatycznego, nie mówiąc już o czasie potrzebnym na przeniesienie danych w takim przypadku.

Jak się zabezpieczyć?

Co zatem zrobić, by nasz system był zgodny z rozporządzeniem? Przede wszystkim warto o to zapytać producenta lub wymóc, by w umowie, którą z nim zawieramy, pojawił się zapis, że nabywany przez firmę system HRM spełnia wymogi wskazane w § 7 rozporządzenia. Taki zapis może nas niekiedy uchronić właśnie przed koniecznością poniesienia dodatkowych kosztów, gdyby się jednak okazało, że system nie posiada opisanych wyżej funkcjonalności.

Wczytując się głębiej w treść Rozporządzenia, znajdziemy w nim kilka dodatkowych wymogów, które pojawiają się przy okazji systemów informatycznych. Spróbujmy zatem zrobić ich szybki przegląd:

  • możliwość ustawienia wymuszenia długości hasła na min. 8 znaków,
  • możliwość ustawienia wymuszenia złożoności hasła (kombinacja małych i wielkich liter, cyfry lub znaków specjalnych),
  • możliwość ustawienia wymuszenia zmiany hasła minimum co 30 dni,
  • konieczność wykonywania kopii zapasowych, przy czym kopie te powinny być przechowywane w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem, a także usuwaniem kopii po ustaniu ich użyteczności,
  • w przypadku aplikacji www należy stosować środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej (internet). Przy tego typu aplikacjach nie należy ograniczać się tylko do zabezpieczenia procesu uwierzytelnienia, ale zapewnić środki kryptograficzne także w trakcie pracy na danych osobowych (np. poprzez protokół SSL, który jest znany choćby dzięki korzystaniu z bankowości elektronicznej).

Umowa z producentem

Wykorzystywanie systemów HRM bardzo często wiąże się z podpisaniem umowy z producentem oprogramowania na jego serwisowanie. Tego typu czynności, nierzadko wykonywane w sposób zdalny, wymagają dostępu do danych osobowych przetwarzanych w systemie informatycznym. W przypadku aplikacji www dochodzi jeszcze kwestia hostingu baz danych systemu HRM, co również wiąże się z dostępem do danych osobowych. Tego typu sytuacja również wymaga uregulowania. W tym przypadku musimy sięgnąć po przepis zawarty w art. 31 UODO, gdzie jest mowa o tym, że administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Pierwsza wskazówka w zasadzie została tu już wymieniona – tematykę powierzenia danych należy uregulować w drodze umowy, przy czym nie musi to być osobna umowa w stosunku do tej, którą zawieramy np. na serwisowanie i pomoc techniczną w stosunku do systemu HRM. Stosowne zapisy możemy wprowadzić bezpośrednio do niej. Zapisy te to określenie celu, dla którego następuje powierzenie przetwarzania danych (np. serwisowanie systemu HRM, hosting bazy danych), a także zakresu powierzenia danych (wskazanie, do jakich danych będzie miała dostęp firma, której powierzamy dane).

Na koniec musimy zapewnić sobie, by firma, której powierzamy przetwarzanie danych zapewniła – jeszcze zanim rozpocznie przetwarzanie naszych danych – środki techniczne i organizacyjne mające na celu zabezpieczenie powierzonych danych osobowych stosownie do przepisów, o których mowa w Rozdziale 5 UODO oraz w Rozporządzeniu. Powyższe elementy są elementami obligatoryjnymi w przypadku powierzania danych innej firmie. Jeżeli jednak chcemy lepiej zabezpieczyć naszą firmę, umowę powierzenia możemy wzbogacić jeszcze np. o zapisy dotyczące odpowiedzialności za wyrządzenie szkód, możliwość przeprowadzenia kontroli, czy też opisać sposób postępowania z danymi osobowymi po rozwiązaniu umowy.

Dane w systemie HRM

Jakiego rodzaju dane osobowe mogą być wprowadzane do systemów HRM. Na pewno nie ma problemu, by pojawiały się te informacje o pracownikach, które pracodawca może zbierać na podstawie art. 221 Kodeksu pracy. W takim przypadku zgoda pracownika jest zbędna, gdyż przetwarzanie następuje z mocy prawa. Jeżeli jednak chcielibyśmy wykroczyć poza wskazany w ww. przepisie zakres, powinniśmy zadbać, by spełniona została jedna z przesłanek wskazanych w art. 23 ust. 1 UODO, np. zgoda na przetwarzanie danych osobowych. Ta ostatnia przesłanka może okazać się bardzo użyteczna właśnie pod kątem miękkiego HR, gdzie podawanie danych może być nierzadko dobrowolne.

Jak widać z powyższego, zakup i użytkowanie systemu HRM to nie tylko ułatwienie dla działów HR. Wybór właściwego oprogramowania może stanowić nie lada wyzwanie, a raz podjęte decyzje mogą okazać się brzemienne w skutkach na różnych płaszczyznach.

reklama

Polecamy artykuły

Narzędzia kadrowego

POLECANE

NOWY KODEKS PRACY 2018

reklama

Ostatnio na forum

Eksperci portalu infor.pl

TAXWISE Michał Zdyb

TAXWISE Michał Zdyb jest nowoczesną kancelarią doradztwa podatkowego.

Zostań ekspertem portalu Infor.pl »
Notyfikacje
Czy chcesz otrzymywać informacje o najnowszych zmianach? Zaakceptuj powiadomienia od kadry.Infor.pl
Powiadomienia można wyłączyć w preferencjach systemowych
NIE
TAK