Systemy informatyczne służące do zarządzania zasobami ludzkimi to nieodłączny element niemal każdego działu HR. W ostatnich latach coraz większą popularność zdobywają narzędzia, za pomocą których kadrowcy z powodzeniem mogą działać w obszarze tzw. miękkiego HR. Nic więc dziwnego, że działy personalne sięgają w takich sytuacjach po różne przeznaczone do takich działań systemy HRM. Bardzo ogólnie można wskazać, że systemy te możemy podzielić na te, które instalowane są na lokalnych (firmowych) serwerach lub komputerach oraz takie, które umożliwiają dostęp poprzez przeglądarkę www (aplikacje pracujące w tzw. modelu SaaS, czyli software as a service). Tych ostatnich pojawiło się zdecydowanie dużo odkąd przedsiębiorcy mogą korzystać z dotacji unijnych w ramach działania PO IG 8.1.
Systemy informatyczne muszą spełniać dość rygorystyczne wymogi określone w przepisach prawa.
Funkcjonalności systemu HRM
Myśląc o ochronie i bezpieczeństwie danych osobowych, myślimy przede wszystkim o ustawie z 29 sierpnia 1997 r. o ochronie danych osobowych (dalej UODO). Lektura tej ustawy może być jednak rozczarowująca, jeśli szukamy w niej szczegółowych przepisów dotyczących wymogów stawianych systemom informatycznym. Niemniej pewna wskazówka została tam zawarta. Chodzi mianowicie o art. 36 ust. 1 UODO, w którym jest mowa o tym, że administrator danych (firma, która jako pracodawca ma zamiar przetwarzać dane osobowe swoich pracowników) jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Słowem kluczem jest tu informacja o tym, że zabezpieczenia muszą być odpowiednie, a więc adekwatne do zagrożeń, które czyhają na dane osobowe.
Więcej szczegółów na temat wymogów stawianych systemom informatycznym, a więc także systemom HRM, można znaleźć w akcie wykonawczym do UODO, a mianowicie w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (dalej rozporządzenie).
Kryteria wyboru
Pierwszą rzeczą, na którą trzeba zwrócić uwagę, wybierając system HRM, jest sprawdzenie, czy spełnia on wymogi wskazane w § 7 rozporządzenia. Spójrzmy zatem, o jakie wymogi chodzi. Otóż, dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, system ten zapewnia odnotowanie:
- daty pierwszego wprowadzenia danych do systemu,
- identyfikatora (loginu) użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba,
- źródła danych, w przypadku zbierania danych, nie od osoby, której one dotyczą,
- informacji o odbiorcach danych, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych,
- sprzeciwu wobec przetwarzania danych osobowych w przypadkach, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania danych osobowych innemu administratorowi danych.
Odnotowanie wskazanych wyżej informacji powinno odbywać się w sposób automatyczny po zatwierdzeniu przez użytkownika operacji wprowadzania danych. Ponadto system HRM powinien dla każdej osoby, której dane osobowe są przetwarzane w tym systemie, umożliwiać sporządzenie i wydrukowanie raportu zawierającego powyższe informacje w powszechnie zrozumiałej formie.
Warto dodać, że wspomniane elementy funkcjonalności systemu informatycznego są skrupulatnie badane w trakcie kontroli przeprowadzanej przez urzędników Generalnego Inspektora Ochrony Danych Osobowych. Wiele decyzji wydanych przez GIODO nakazuje administratorowi danych usunięcie uchybień właśnie w związku z niezapewnianiem przez system informatyczny funkcjonalności, o których napisano powyżej, a to oznacza niemal zawsze dodatkowe koszty po stronie administratora danych osobowych, np. koszty opracowania upgrade’u systemu HRM, tak by spełniał wymogi wskazane w § 7 rozporządzenia, a niekiedy nawet koszty związane z koniecznością zakupu zupełnie nowego systemu informatycznego, nie mówiąc już o czasie potrzebnym na przeniesienie danych w takim przypadku.
Jak się zabezpieczyć?
Co zatem zrobić, by nasz system był zgodny z rozporządzeniem? Przede wszystkim warto o to zapytać producenta lub wymóc, by w umowie, którą z nim zawieramy, pojawił się zapis, że nabywany przez firmę system HRM spełnia wymogi wskazane w § 7 rozporządzenia. Taki zapis może nas niekiedy uchronić właśnie przed koniecznością poniesienia dodatkowych kosztów, gdyby się jednak okazało, że system nie posiada opisanych wyżej funkcjonalności.
Wczytując się głębiej w treść Rozporządzenia, znajdziemy w nim kilka dodatkowych wymogów, które pojawiają się przy okazji systemów informatycznych. Spróbujmy zatem zrobić ich szybki przegląd:
- możliwość ustawienia wymuszenia długości hasła na min. 8 znaków,
- możliwość ustawienia wymuszenia złożoności hasła (kombinacja małych i wielkich liter, cyfry lub znaków specjalnych),
- możliwość ustawienia wymuszenia zmiany hasła minimum co 30 dni,
- konieczność wykonywania kopii zapasowych, przy czym kopie te powinny być przechowywane w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem, a także usuwaniem kopii po ustaniu ich użyteczności,
- w przypadku aplikacji www należy stosować środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej (internet). Przy tego typu aplikacjach nie należy ograniczać się tylko do zabezpieczenia procesu uwierzytelnienia, ale zapewnić środki kryptograficzne także w trakcie pracy na danych osobowych (np. poprzez protokół SSL, który jest znany choćby dzięki korzystaniu z bankowości elektronicznej).
Umowa z producentem
Wykorzystywanie systemów HRM bardzo często wiąże się z podpisaniem umowy z producentem oprogramowania na jego serwisowanie. Tego typu czynności, nierzadko wykonywane w sposób zdalny, wymagają dostępu do danych osobowych przetwarzanych w systemie informatycznym. W przypadku aplikacji www dochodzi jeszcze kwestia hostingu baz danych systemu HRM, co również wiąże się z dostępem do danych osobowych. Tego typu sytuacja również wymaga uregulowania. W tym przypadku musimy sięgnąć po przepis zawarty w art. 31 UODO, gdzie jest mowa o tym, że administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Pierwsza wskazówka w zasadzie została tu już wymieniona – tematykę powierzenia danych należy uregulować w drodze umowy, przy czym nie musi to być osobna umowa w stosunku do tej, którą zawieramy np. na serwisowanie i pomoc techniczną w stosunku do systemu HRM. Stosowne zapisy możemy wprowadzić bezpośrednio do niej. Zapisy te to określenie celu, dla którego następuje powierzenie przetwarzania danych (np. serwisowanie systemu HRM, hosting bazy danych), a także zakresu powierzenia danych (wskazanie, do jakich danych będzie miała dostęp firma, której powierzamy dane).
Na koniec musimy zapewnić sobie, by firma, której powierzamy przetwarzanie danych zapewniła – jeszcze zanim rozpocznie przetwarzanie naszych danych – środki techniczne i organizacyjne mające na celu zabezpieczenie powierzonych danych osobowych stosownie do przepisów, o których mowa w Rozdziale 5 UODO oraz w Rozporządzeniu. Powyższe elementy są elementami obligatoryjnymi w przypadku powierzania danych innej firmie. Jeżeli jednak chcemy lepiej zabezpieczyć naszą firmę, umowę powierzenia możemy wzbogacić jeszcze np. o zapisy dotyczące odpowiedzialności za wyrządzenie szkód, możliwość przeprowadzenia kontroli, czy też opisać sposób postępowania z danymi osobowymi po rozwiązaniu umowy.
Dane w systemie HRM
Jakiego rodzaju dane osobowe mogą być wprowadzane do systemów HRM. Na pewno nie ma problemu, by pojawiały się te informacje o pracownikach, które pracodawca może zbierać na podstawie art. 221 Kodeksu pracy. W takim przypadku zgoda pracownika jest zbędna, gdyż przetwarzanie następuje z mocy prawa. Jeżeli jednak chcielibyśmy wykroczyć poza wskazany w ww. przepisie zakres, powinniśmy zadbać, by spełniona została jedna z przesłanek wskazanych w art. 23 ust. 1 UODO, np. zgoda na przetwarzanie danych osobowych. Ta ostatnia przesłanka może okazać się bardzo użyteczna właśnie pod kątem miękkiego HR, gdzie podawanie danych może być nierzadko dobrowolne.
Jak widać z powyższego, zakup i użytkowanie systemu HRM to nie tylko ułatwienie dla działów HR. Wybór właściwego oprogramowania może stanowić nie lada wyzwanie, a raz podjęte decyzje mogą okazać się brzemienne w skutkach na różnych płaszczyznach.