| IFK | IRB | INFORLEX | GAZETA PRAWNA | INFORORGANIZER | APLIKACJA MOBILNA | PRACA W INFOR | SKLEP
reklama
Jesteś tutaj: STRONA GŁÓWNA > Kadry > HRM > Informatyzacja HRM > Ochrona danych osobowych w systemach HRM

Ochrona danych osobowych w systemach HRM

Co zrobić, by w gąszczu wielu systemów HRM wybrać ten, który nie dość, że spełni pokładane w nim nadzieje ze strony działu HR firmy, to będzie też bezpieczny i zgodny z przepisami ochrony danych osobowych? Wbrew pozorom zadanie to nie jest proste, a wynika to głównie z tego, że producenci oprogramowania bardzo często nie mają świadomości, że tworzone przez nich systemy informatyczne muszą spełniać dość rygorystyczne wymogi określone w przepisach prawa.

Kryteria wyboru

Pierwszą rzeczą, na którą trzeba zwrócić uwagę, wybierając system HRM, jest sprawdzenie, czy spełnia on wymogi wskazane w § 7 rozporządzenia. Spójrzmy zatem, o jakie wymogi chodzi. Otóż, dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, system ten zapewnia odnotowanie:

  • daty pierwszego wprowadzenia danych do systemu,
  • identyfikatora (loginu) użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba,
  • źródła danych, w przypadku zbierania danych, nie od osoby, której one dotyczą,
  • informacji o odbiorcach danych, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych,
  • sprzeciwu wobec przetwarzania danych osobowych w przypadkach, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania danych osobowych innemu administratorowi danych.

Odnotowanie wskazanych wyżej informacji powinno odbywać się w sposób automatyczny po zatwierdzeniu przez użytkownika operacji wprowadzania danych. Ponadto system HRM powinien dla każdej osoby, której dane osobowe są przetwarzane w tym systemie, umożliwiać sporządzenie i wydrukowanie raportu zawierającego powyższe informacje w powszechnie zrozumiałej formie.

Warto dodać, że wspomniane elementy funkcjonalności systemu informatycznego są skrupulatnie badane w trakcie kontroli przeprowadzanej przez urzędników Generalnego Inspektora Ochrony Danych Osobowych. Wiele decyzji wydanych przez GIODO nakazuje administratorowi danych usunięcie uchybień właśnie w związku z niezapewnianiem przez system informatyczny funkcjonalności, o których napisano powyżej, a to oznacza niemal zawsze dodatkowe koszty po stronie administratora danych osobowych, np. koszty opracowania upgrade’u systemu HRM, tak by spełniał wymogi wskazane w § 7 rozporządzenia, a niekiedy nawet koszty związane z koniecznością zakupu zupełnie nowego systemu informatycznego, nie mówiąc już o czasie potrzebnym na przeniesienie danych w takim przypadku.

Jak się zabezpieczyć?

Co zatem zrobić, by nasz system był zgodny z rozporządzeniem? Przede wszystkim warto o to zapytać producenta lub wymóc, by w umowie, którą z nim zawieramy, pojawił się zapis, że nabywany przez firmę system HRM spełnia wymogi wskazane w § 7 rozporządzenia. Taki zapis może nas niekiedy uchronić właśnie przed koniecznością poniesienia dodatkowych kosztów, gdyby się jednak okazało, że system nie posiada opisanych wyżej funkcjonalności.

Wczytując się głębiej w treść Rozporządzenia, znajdziemy w nim kilka dodatkowych wymogów, które pojawiają się przy okazji systemów informatycznych. Spróbujmy zatem zrobić ich szybki przegląd:

  • możliwość ustawienia wymuszenia długości hasła na min. 8 znaków,
  • możliwość ustawienia wymuszenia złożoności hasła (kombinacja małych i wielkich liter, cyfry lub znaków specjalnych),
  • możliwość ustawienia wymuszenia zmiany hasła minimum co 30 dni,
  • konieczność wykonywania kopii zapasowych, przy czym kopie te powinny być przechowywane w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem, a także usuwaniem kopii po ustaniu ich użyteczności,
  • w przypadku aplikacji www należy stosować środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej (internet). Przy tego typu aplikacjach nie należy ograniczać się tylko do zabezpieczenia procesu uwierzytelnienia, ale zapewnić środki kryptograficzne także w trakcie pracy na danych osobowych (np. poprzez protokół SSL, który jest znany choćby dzięki korzystaniu z bankowości elektronicznej).

Umowa z producentem

Wykorzystywanie systemów HRM bardzo często wiąże się z podpisaniem umowy z producentem oprogramowania na jego serwisowanie. Tego typu czynności, nierzadko wykonywane w sposób zdalny, wymagają dostępu do danych osobowych przetwarzanych w systemie informatycznym. W przypadku aplikacji www dochodzi jeszcze kwestia hostingu baz danych systemu HRM, co również wiąże się z dostępem do danych osobowych. Tego typu sytuacja również wymaga uregulowania. W tym przypadku musimy sięgnąć po przepis zawarty w art. 31 UODO, gdzie jest mowa o tym, że administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Pierwsza wskazówka w zasadzie została tu już wymieniona – tematykę powierzenia danych należy uregulować w drodze umowy, przy czym nie musi to być osobna umowa w stosunku do tej, którą zawieramy np. na serwisowanie i pomoc techniczną w stosunku do systemu HRM. Stosowne zapisy możemy wprowadzić bezpośrednio do niej. Zapisy te to określenie celu, dla którego następuje powierzenie przetwarzania danych (np. serwisowanie systemu HRM, hosting bazy danych), a także zakresu powierzenia danych (wskazanie, do jakich danych będzie miała dostęp firma, której powierzamy dane).

Na koniec musimy zapewnić sobie, by firma, której powierzamy przetwarzanie danych zapewniła – jeszcze zanim rozpocznie przetwarzanie naszych danych – środki techniczne i organizacyjne mające na celu zabezpieczenie powierzonych danych osobowych stosownie do przepisów, o których mowa w Rozdziale 5 UODO oraz w Rozporządzeniu. Powyższe elementy są elementami obligatoryjnymi w przypadku powierzania danych innej firmie. Jeżeli jednak chcemy lepiej zabezpieczyć naszą firmę, umowę powierzenia możemy wzbogacić jeszcze np. o zapisy dotyczące odpowiedzialności za wyrządzenie szkód, możliwość przeprowadzenia kontroli, czy też opisać sposób postępowania z danymi osobowymi po rozwiązaniu umowy.

Dane w systemie HRM

Jakiego rodzaju dane osobowe mogą być wprowadzane do systemów HRM. Na pewno nie ma problemu, by pojawiały się te informacje o pracownikach, które pracodawca może zbierać na podstawie art. 221 Kodeksu pracy. W takim przypadku zgoda pracownika jest zbędna, gdyż przetwarzanie następuje z mocy prawa. Jeżeli jednak chcielibyśmy wykroczyć poza wskazany w ww. przepisie zakres, powinniśmy zadbać, by spełniona została jedna z przesłanek wskazanych w art. 23 ust. 1 UODO, np. zgoda na przetwarzanie danych osobowych. Ta ostatnia przesłanka może okazać się bardzo użyteczna właśnie pod kątem miękkiego HR, gdzie podawanie danych może być nierzadko dobrowolne.

Jak widać z powyższego, zakup i użytkowanie systemu HRM to nie tylko ułatwienie dla działów HR. Wybór właściwego oprogramowania może stanowić nie lada wyzwanie, a raz podjęte decyzje mogą okazać się brzemienne w skutkach na różnych płaszczyznach.

Narzędzia kadrowego

POLECANE

PRAWO PRACY DLA RODZICÓW

reklama

Ostatnio na forum

Fundusze unijne

WYDARZENIA

Eksperci portalu infor.pl

Magdalena Pakosińska-Krawczyńska

Kancelaria Adw. Magdalena Pakosińska-Krawczyńska, chtsanwältin (RAK Berlin), Adwokat niemiecki

Zostań ekspertem portalu Infor.pl »