Kategorie

Ochrona danych osobowych w systemach HRM

Michał Sztąberek
Co zrobić, by w gąszczu wielu systemów HRM wybrać ten, który nie dość, że spełni pokładane w nim nadzieje ze strony działu HR firmy, to będzie też bezpieczny i zgodny z przepisami ochrony danych osobowych? Wbrew pozorom zadanie to nie jest proste, a wynika to głównie z tego, że producenci oprogramowania bardzo często nie mają świadomości, że tworzone przez nich systemy informatyczne muszą spełniać dość rygorystyczne wymogi określone w przepisach prawa.

Systemy informatyczne służące do zarządzania zasobami ludzkimi to nieodłączny element niemal każdego działu HR. W ostatnich latach coraz większą popularność zdobywają narzędzia, za pomocą których kadrowcy z powodzeniem mogą działać w obszarze tzw. miękkiego HR. Nic więc dziwnego, że działy personalne sięgają w takich sytuacjach po różne przeznaczone do takich działań systemy HRM. Bardzo ogólnie można wskazać, że systemy te możemy podzielić na te, które instalowane są na lokalnych (firmowych) serwerach lub komputerach oraz takie, które umożliwiają dostęp poprzez przeglądarkę www (aplikacje pracujące w tzw. modelu SaaS, czyli software as a service). Tych ostatnich pojawiło się zdecydowanie dużo odkąd przedsiębiorcy mogą korzystać z dotacji unijnych w ramach działania PO IG 8.1.

Systemy informatyczne muszą spełniać dość rygorystyczne wymogi określone w przepisach prawa.

Funkcjonalności systemu HRM

Reklama

Myśląc o ochronie i bezpieczeństwie danych osobowych, myślimy przede wszystkim o ustawie z 29 sierpnia 1997 r. o ochronie danych osobowych (dalej UODO). Lektura tej ustawy może być jednak rozczarowująca, jeśli szukamy w niej szczegółowych przepisów dotyczących wymogów stawianych systemom informatycznym. Niemniej pewna wskazówka została tam zawarta. Chodzi mianowicie o art. 36 ust. 1 UODO, w którym jest mowa o tym, że administrator danych (firma, która jako pracodawca ma zamiar przetwarzać dane osobowe swoich pracowników) jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Słowem kluczem jest tu informacja o tym, że zabezpieczenia muszą być odpowiednie, a więc adekwatne do zagrożeń, które czyhają na dane osobowe.

Więcej szczegółów na temat wymogów stawianych systemom informatycznym, a więc także systemom HRM, można znaleźć w akcie wykonawczym do UODO, a mianowicie w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (dalej rozporządzenie).


Kryteria wyboru

Pierwszą rzeczą, na którą trzeba zwrócić uwagę, wybierając system HRM, jest sprawdzenie, czy spełnia on wymogi wskazane w § 7 rozporządzenia. Spójrzmy zatem, o jakie wymogi chodzi. Otóż, dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, system ten zapewnia odnotowanie:

  • daty pierwszego wprowadzenia danych do systemu,
  • identyfikatora (loginu) użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba,
  • źródła danych, w przypadku zbierania danych, nie od osoby, której one dotyczą,
  • informacji o odbiorcach danych, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych,
  • sprzeciwu wobec przetwarzania danych osobowych w przypadkach, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania danych osobowych innemu administratorowi danych.
Reklama

Odnotowanie wskazanych wyżej informacji powinno odbywać się w sposób automatyczny po zatwierdzeniu przez użytkownika operacji wprowadzania danych. Ponadto system HRM powinien dla każdej osoby, której dane osobowe są przetwarzane w tym systemie, umożliwiać sporządzenie i wydrukowanie raportu zawierającego powyższe informacje w powszechnie zrozumiałej formie.

Warto dodać, że wspomniane elementy funkcjonalności systemu informatycznego są skrupulatnie badane w trakcie kontroli przeprowadzanej przez urzędników Generalnego Inspektora Ochrony Danych Osobowych. Wiele decyzji wydanych przez GIODO nakazuje administratorowi danych usunięcie uchybień właśnie w związku z niezapewnianiem przez system informatyczny funkcjonalności, o których napisano powyżej, a to oznacza niemal zawsze dodatkowe koszty po stronie administratora danych osobowych, np. koszty opracowania upgrade’u systemu HRM, tak by spełniał wymogi wskazane w § 7 rozporządzenia, a niekiedy nawet koszty związane z koniecznością zakupu zupełnie nowego systemu informatycznego, nie mówiąc już o czasie potrzebnym na przeniesienie danych w takim przypadku.

Jak się zabezpieczyć?

Co zatem zrobić, by nasz system był zgodny z rozporządzeniem? Przede wszystkim warto o to zapytać producenta lub wymóc, by w umowie, którą z nim zawieramy, pojawił się zapis, że nabywany przez firmę system HRM spełnia wymogi wskazane w § 7 rozporządzenia. Taki zapis może nas niekiedy uchronić właśnie przed koniecznością poniesienia dodatkowych kosztów, gdyby się jednak okazało, że system nie posiada opisanych wyżej funkcjonalności.

Wczytując się głębiej w treść Rozporządzenia, znajdziemy w nim kilka dodatkowych wymogów, które pojawiają się przy okazji systemów informatycznych. Spróbujmy zatem zrobić ich szybki przegląd:

  • możliwość ustawienia wymuszenia długości hasła na min. 8 znaków,
  • możliwość ustawienia wymuszenia złożoności hasła (kombinacja małych i wielkich liter, cyfry lub znaków specjalnych),
  • możliwość ustawienia wymuszenia zmiany hasła minimum co 30 dni,
  • konieczność wykonywania kopii zapasowych, przy czym kopie te powinny być przechowywane w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem, a także usuwaniem kopii po ustaniu ich użyteczności,
  • w przypadku aplikacji www należy stosować środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej (internet). Przy tego typu aplikacjach nie należy ograniczać się tylko do zabezpieczenia procesu uwierzytelnienia, ale zapewnić środki kryptograficzne także w trakcie pracy na danych osobowych (np. poprzez protokół SSL, który jest znany choćby dzięki korzystaniu z bankowości elektronicznej).

Umowa z producentem

Wykorzystywanie systemów HRM bardzo często wiąże się z podpisaniem umowy z producentem oprogramowania na jego serwisowanie. Tego typu czynności, nierzadko wykonywane w sposób zdalny, wymagają dostępu do danych osobowych przetwarzanych w systemie informatycznym. W przypadku aplikacji www dochodzi jeszcze kwestia hostingu baz danych systemu HRM, co również wiąże się z dostępem do danych osobowych. Tego typu sytuacja również wymaga uregulowania. W tym przypadku musimy sięgnąć po przepis zawarty w art. 31 UODO, gdzie jest mowa o tym, że administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Pierwsza wskazówka w zasadzie została tu już wymieniona – tematykę powierzenia danych należy uregulować w drodze umowy, przy czym nie musi to być osobna umowa w stosunku do tej, którą zawieramy np. na serwisowanie i pomoc techniczną w stosunku do systemu HRM. Stosowne zapisy możemy wprowadzić bezpośrednio do niej. Zapisy te to określenie celu, dla którego następuje powierzenie przetwarzania danych (np. serwisowanie systemu HRM, hosting bazy danych), a także zakresu powierzenia danych (wskazanie, do jakich danych będzie miała dostęp firma, której powierzamy dane).

Na koniec musimy zapewnić sobie, by firma, której powierzamy przetwarzanie danych zapewniła – jeszcze zanim rozpocznie przetwarzanie naszych danych – środki techniczne i organizacyjne mające na celu zabezpieczenie powierzonych danych osobowych stosownie do przepisów, o których mowa w Rozdziale 5 UODO oraz w Rozporządzeniu. Powyższe elementy są elementami obligatoryjnymi w przypadku powierzania danych innej firmie. Jeżeli jednak chcemy lepiej zabezpieczyć naszą firmę, umowę powierzenia możemy wzbogacić jeszcze np. o zapisy dotyczące odpowiedzialności za wyrządzenie szkód, możliwość przeprowadzenia kontroli, czy też opisać sposób postępowania z danymi osobowymi po rozwiązaniu umowy.

Dane w systemie HRM

Jakiego rodzaju dane osobowe mogą być wprowadzane do systemów HRM. Na pewno nie ma problemu, by pojawiały się te informacje o pracownikach, które pracodawca może zbierać na podstawie art. 221 Kodeksu pracy. W takim przypadku zgoda pracownika jest zbędna, gdyż przetwarzanie następuje z mocy prawa. Jeżeli jednak chcielibyśmy wykroczyć poza wskazany w ww. przepisie zakres, powinniśmy zadbać, by spełniona została jedna z przesłanek wskazanych w art. 23 ust. 1 UODO, np. zgoda na przetwarzanie danych osobowych. Ta ostatnia przesłanka może okazać się bardzo użyteczna właśnie pod kątem miękkiego HR, gdzie podawanie danych może być nierzadko dobrowolne.

Jak widać z powyższego, zakup i użytkowanie systemu HRM to nie tylko ułatwienie dla działów HR. Wybór właściwego oprogramowania może stanowić nie lada wyzwanie, a raz podjęte decyzje mogą okazać się brzemienne w skutkach na różnych płaszczyznach.

Poszerzaj swoją wiedzę, korzystając z naszego programu
INFORLEX Książki dla Firm
INFORLEX Książki dla Firm
Tylko teraz
598,00 zł
798,00
Przejdź do sklepu
Źródło: INFOR
Czy ten artykuł był przydatny?
tak
nie
Dziękujemy za powiadomienie
Jeśli nie znalazłeś odpowiedzi na swoje pytania w tym artykule, powiedz jak możemy to poprawić.
UWAGA: Ten formularz nie służy wysyłaniu zgłoszeń . Wykorzystamy go aby poprawić artykuł.
Jeśli masz dodatkowe pytania prosimy o kontakt

Komentarze(0)

Uwaga, Twój komentarz może pojawić się z opóźnieniem do 10 minut. Zanim dodasz komentarz -zapoznaj się z zasadami komentowania artykułów.
    QR Code

    © Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

    Kadry
    Zapisz się na newsletter
    Zobacz przykładowy newsletter
    Zapisz się
    Wpisz poprawny e-mail

    Emerytura brutto netto - kalkulator

    Emerytura brutto - ile to netto? Kalkulator emerytalny pozwala ustalić wysokość emerytury. Oblicz.

    Ochrona przedemerytalna - ile lat?

    Ochrona przedemerytalna - ile lat trwa ochrona przed zwolnieniem? Od ilu lat pracownika zaczyna obowiązywać pracodawcę?

    Strategia Demograficzna 2040 - ocena Konfederacji Lewiatan

    Strategia Demograficzna 2040 jest zbyt ogólna i nie odpowiada współczesnym trendom związanym z rodziną. Jak ocenia ją Konfederacja Lewiatan?

    Zwolnienie lekarskie musi wskazywać aktualny adres pobytu

    Zwolnienie lekarskie musi wskazywać aktualny adres pobytu. Czy trzeba poinformować ZUS o zmianie miejsca pobytu?

    Zmiana dostawcy PPK wymaga konsultacji z załogą

    Zmiana dostawcy PPK wymaga konsultacji z załogą czyli z zakładową organizacją związkową lub inną reprezentacją osób zatrudnionych.

    Emerytura bez podatku – tabela

    Emerytura bez podatku - tabela z kwotą netto w 2021 r. i po zmianach w 2022 r. wskazuje, ile emeryt otrzyma na rękę po podwyżce.

    Pracownik oczekuje elastyczności zatrudnienia

    Elastyczność zatrudnienia - tego oczekuje pracownik od miejsca pracy.

    Pracownicy ocenili sytuację w zakładach pracy [BADANIE]

    Sytuacja w zakładach pracy została oceniona przez pracowników. Jakie są wyniki badania CBOS?

    Kasy zapomogowo-pożyczkowe u pracodawców - projekt ustawy

    Kasy zapomogowo-pożyczkowe u pracodawców - komisje sejmowe pozytywnie zaopiniowały projekt ustawy. Projekt reguluje zasady tworzenia, organizowania i działania kas w zakładach pracy.

    Pracownicy PIP z dodatkowym urlopem wypoczynkowym

    Dodatkowy urlop wypoczynkowy zostanie przyznany niektórym pracownikom PIP. Ile dni?

    Emerytury czerwcowe od 2009 do 2019 r. - ponowne przeliczenie

    Emerytury czerwcowe od 2009 do 2019 r. będą ponownie przeliczone. Takie rozwiązanie przewiduje nowelizacja ustawy o systemie ubezpieczeń społecznych.

    Państwowy egzamin na maszynistę od 2023 r. - projekt

    Państwowy egzamin na maszynistę od 2023 r. przewiduje projekt nowelizacji ustawy o transporcie kolejowym. Co się zmieni?

    Szczepienia pracowników przeciwko COVID-19 - stanowisko PIP

    Szczepienia pracowników przeciwko COVID-19 są celowe i zasadne, lecz mają charakter dobrowolny. To oficjalne stanowisko PIP na temat szczepień pracowników.

    Pracownik niepełnosprawny - zwolnienie lekarskie, czas pracy

    Pracownik niepełnosprawny - jakie ma uprawnienia? Jakie są zasady przebywania na zwolnieniu lekarskim? Jaki jest wymiar czasu pracy pracownika niepełnosprawnego? Co z urlopem wypoczynkowym?

    5 korzyści z audytu wynagrodzeń

    Audyt wynagrodzeń przynosi liczne korzyści. Poniższy artykuł omawia 5 najważniejszych z nich.

    Badania do celów sanitarno-epidemiologicznych

    Badania sanitarno-epidemiologiczne to dodatkowa weryfikacja zdrowotna wymagana do pracy, przy wykonywaniu której istnieje możliwość przeniesienia zakażenia lub choroby zakaźnej na inne osoby.

    Reforma rynku pracy w Polsce

    Reforma rynku pracy w Polsce jest częścią Krajowego Planu Odbudowy. Jakie zmiany zakłada nowy model polityki zatrudnienia?

    Zakaz noszenia hidżabu w miejscu pracy - wyrok TSUE

    Hidżab w miejscu pracy - pod pewnymi warunkami można wprowadzić zakaz noszenia hidżabu w pracy. Tak zdecydował TSUE w swoim wyroku. Krytykuje go Prezydent Turcji.

    Ile osób odbiera telefony służbowe na urlopie?

    Telefon służbowy na urlopie? Ile osób odbiera je podczas urlopowego wypoczynku?

    Przeciętne wynagrodzenie i zatrudnienie - czerwiec i II kwartał 2021

    Przeciętne wynagrodzenie i zatrudnienie - ile wyniosło w czerwcu i II kwartale 2021 r.? GUS podaje kwoty.

    Niedziela handlowa - sierpień 2021

    Niedziela handlowa - sierpień 2021 ma aż 5 niedziel. Czy 1 sierpnia, 8 sierpnia, 15 sierpnia, 22 sierpnia lub 29 sierpnia to niedziela handlowa? Kiedy jest najbliższa niedziela handlowa?

    Nowy pracownik zdalny - jak mu pomóc?

    Nowy pracownik zdalny może mieć wiele trudności z wdrożeniem się do pracy w nowej firmie. Jak mu pomóc?

    Zapisanie nowego pracownika do PPK - 90 dni zatrudnienia

    Zapisanie nowego pracownika do PPK wymaga 90 dni zatrudnienia. Co wlicza się do tego okresu według ustawy o PPK?

    Praca podczas upałów – zalecenia PIP

    Praca podczas upałów - jakie są zalecenie PIP? Po pierwsze, pracodawca zapewnia zimne napoje. Po drugie, wentylację i klimatyzację w pomieszczeniach pracy. PIP zaleca także skracanie czasu pracy.

    Wyższe zarobki i 4 dni pracy w tygodniu w gastronomii - Niemcy

    Wyższe zarobki i 4 dni pracy w tygodniu to rozwiązanie dla sektora gastronomii w Niemczech. Czy to pomoże na niedobory kadrowe?