Branża HR przetwarza wiele istotnych, czasem newralgicznych danych osobowych pracowników i kandydatów. Są to m.in. informacje o wykształceniu i doświadczeniu zawodowym, o wynagrodzeniu i ocenach pracy, o stanie zdrowia, a nierzadko także dane członków rodziny.
Dużym wyzwaniem w kontekście RODO bywa pogodzenie interesów pracodawcy z restrykcyjnymi regulacjami dotyczącymi przetwarzania danych kandydatów i pracowników, którzy w tej relacji są słabszą stroną. Dodatkowo firmy HR często korzystają z usług podmiotów zewnętrznych, takich jak dostawcy narzędzi IT do przechowywania danych pracowników (a czasem także wyników ich pracy), dostawcy benefitów oraz dostawcy narzędzi do monitorowania, np. aut służbowych. To zwiększa ryzyko związane z nieuporządkowanym powierzeniem przetwarzania danych.
Jako zespół ODO 24 wdrażaliśmy RODO w wyspecjalizowanych firmach z branży HR. Zajmowaliśmy się zarówno procesami rekrutacyjnymi, jak i procesami związanymi z zatrudnieniem (np. w agencjach pracy). Mamy także doświadczenie we wspieraniu klientów, dla których HR nie jest kluczowym obszarem działalności.
Z jakimi zagadnieniami się mierzyliśmy?
Uregulowaliśmy odczytywanie obecności w pracy na podstawie danych z aplikacji w telefonie pracownika potwierdzających jego przebywanie na terenie zakładu. Coraz częściej ustalamy też zasady wykorzystywania botów AI w rekrutacji. W takich projektach analizowaliśmy, czy może dochodzić do tzw. zautomatyzowanego podejmowania decyzji wobec kandydatów. Ocenialiśmy integrację systemów pracodawcy z systemami rządowymi, np. CEPiK. Weryfikowaliśmy możliwość wspierania kandydatów cudzoziemców w dopełnianiu formalności, np. przy składaniu wniosku o elektroniczną kartę pobytu. Badaliśmy dopuszczalność przetwarzania danych o niekaralności. Sprawdzaliśmy wymogi związane z dopuszczeniem do pracy pracowników delegowanych. Usprawnialiśmy przepływy danych między spółkami z grupy, które działają jako agencje pracy tymczasowej. Regulowaliśmy przetwarzanie danych pochodzących z urządzeń GPS zainstalowanych w autach służbowych – nie tylko danych o lokalizacji, lecz także danych dotyczących stylu jazdy. Pomagaliśmy wdrażać proces tzw. outplacementu odchodzących pracowników. Weryfikowaliśmy zakres usług świadczonych przez agencje rekrutacyjne, które często działają jako podmioty przetwarzające, ale zdarza się, że przetwarzają dane w niedopuszczalnym zakresie lub wychodzą poza swoją rolę. Analizowaliśmy przypadki dopuszczalnej weryfikacji przeszłości kandydatów, w tym prowadzenia tzw. czarnych list oraz zachowywania notatek z rekrutacji. U części naszych klientów – grup spółek – jednym z zadań było uporządkowanie procesu przekazywania danych kandydatów między spółkami.
Niezależnie od tego, czy pracujemy dla firmy wyspecjalizowanej w usługach HR, czy dla organizacji, w której HR nie stanowi kluczowego obszaru działalności, regularnie mierzymy się z potrzebą wprowadzenia skutecznych procedur usuwania danych. Niejednokrotnie regulowaliśmy pozyskiwanie danych kandydatów z portali typu LinkedIn oraz zasady kontaktowania się z kandydatami.
Porządkowaliśmy zapisy umów zawieranych między agencjami pracy tymczasowej a pracodawcami użytkownikami. Zajmowaliśmy się także audytami agencji pracy tymczasowej prowadzonymi przez pracodawców użytkowników lub przez ich kontrahentów. To zagadnienie pojawia się nie tylko w relacjach z agencjami pracy tymczasowej, lecz także w odniesieniu do innych podmiotów w łańcuchu dostaw.
Nasze działania pozwoliły na doprowadzenie do zgodności w różnych obszarach – nie tylko tych wskazanych powyżej – oraz na wyeliminowanie związanego z nimi ryzyka.
Obsługujemy lub obsługiwaliśmy m.in. Verita HR, DSA, Human IT Group, SNW, HRK oraz Trenkwalder.
