Systemy wspomagające zarządzanie miękkim HR a ochrona danych osobowych cz. 1

Systemy informatyczne służące do zarządzania zasobami ludzkimi z roku na rok stają się coraz bardziej popularne, a wielu pracowników działów HR po prostu nie wyobraża sobie bez nich pracy. Systemy te bardzo często pomagają zwłaszcza w obszarze tzw. miękkiego HR.

Przykładem takiego działania może być przeprowadzanie ocen kompetencji, zarządzanie potrzebami szkoleniowymi czy też dokonywanie popularnych ostatnio ocen 360 stopni. Oprogramowanie takie określa się mianem systemów HRM (Human Resources Management). W dobie wszechogarniającego nas Internetu, wiele firm stawia na systemy pracujące w modelu SaaS (software as a service), a więc takie, do których dostęp otrzymujemy poprzez zwykłą przeglądarkę www, i które działają jako e-usługa.

Funkcjonalności systemu HRM a przepisy ochrony danych osobowych

Przepisy dotyczące ochrony danych osobowych, a także wskazujące wiele wymogów odnoszących się do bezpiecznego ich przetwarzania, zawarte zostały przede wszystkim o ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (dalej UODO). Jeśli szukamy w niej jednak szczegółowych przepisów dotyczących wymogów stawianych systemom informatycznym, możemy się mocno rozczarować. Zawarto w niej bowiem tylko pewne wskazówki w tym zakresie. Chodzi konkretnie o art. 36 ust. 1 UODO, gdzie mowa jest o tym, że administrator danych (firma, która jako pracodawca ma zamiar przetwarzać dane osobowe swoich pracowników/kandydatów do pracy) jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Kluczowa jest tu informacja, że zabezpieczenia muszą być odpowiednie, a więc adekwatne do zagrożeń, które czyhają na dane osobowe.

Dużo więcej szczegółowych wymogów stawianych systemom informatycznym, a więc także systemom HRM znajduje się w akcie wykonawczym do UODO, a mianowicie w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (dalej Rozporządzenie).

Pierwszą i najważniejszą rzeczą, którą należy wziąć pod uwagę wybierając system HRM, jest sprawdzenie go pod kątem spełniania wymogów określonych w §7 Rozporządzenia. Przyjrzyjmy się teraz, o jakie wymogi tu chodzi. Otóż dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, system ten musi zapewniać odnotowanie:

  • daty pierwszego wprowadzenia danych do systemu (np. wprowadzenie danych osobowych nowego pracownika – utworzenie rekordu),
  • identyfikatora (loginu, ID) użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba (wyłącznie jedna osoba pracuje na tym systemie),
  • źródła danych, w przypadku zbierania danych, nie od osoby, której one dotyczą,
  • informacji o odbiorcach danych, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych,
  • sprzeciwu wobec przetwarzania danych osobowych w przypadkach, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania danych osobowych innemu administratorowi danych.

Odnotowanie powyższych informacji musi następować w sposób automatyczny, po zatwierdzeniu przez użytkownika operacji wprowadzania danych. Na koniec nasz system HRM powinien dla każdej osoby, której dane osobowe są w nim przetwarzane, umożliwiać sporządzenie i wydrukowanie raportu zawierającego powyższe informacje, w ten sposób, by był on czytelny także dla laika (a nie wyłącznie informatyka).

Należy zaznaczyć, że elementy funkcjonalności systemu informatycznego, o których napisałem wcześniej, są skrupulatnie sprawdzane w trakcie kontroli przeprowadzanej przez urzędników Generalnego Inspektora Ochrony Danych Osobowych (dalej GIODO). Szereg decyzji wydanych przez GIODO nakazuje administratorowi danych usunięcie uchybień właśnie w związku z niezapewnianiem przez system informatyczny funkcjonalności, o których mowa powyżej, a to oznacza prawie zawsze dodatkowe koszty po stronie administratora danych osobowych, np. koszty opracowania uaktualnienia systemu HRM tak, by spełniał wymogi wskazane w §7 Rozporządzenia, a czasami nawet koszty związane z koniecznością zakupu zupełnie nowego systemu HRM, nie mówiąc już o czasie potrzebnym na przeniesienie danych w takim przypadku, co niekiedy także może stanowić problem, jeśli systemy nie były kompatybilne.

Dodaj komentarz