Współpraca działu kadr (czy może nowocześniej: HR), z Inspektorem Ochrony Danych nie kończy się na etapie wdrożenia RODO (choć łatwo początkowo odnieść takie wrażenie, zwłaszcza gdy otrzymaliśmy zweryfikowane i zatwierdzone wzory dokumentów do stosowania). Audyt, zarówno początkowy, jak i okresowy, to czas wyjątkowo intensywnej współpracy, pełnej spotkań i konsultacji. W końcu to właśnie w dziale HR przetwarzane są najbardziej „wrażliwe” dane: od podstawowych danych identyfikacyjnych, o wynagrodzeniu, po informacje o zdrowiu, sytuacji życiowej czy o postępowaniach egzekucyjnych.
Jednak dopiero po tym „wdrożeniowym boomie” zaczyna się prawdziwa codzienność. Ta, w której HR i IOD nie mogą o sobie zapominać. Zwłaszcza gdy pojawiają się sprawy związane z udostępnianiem danych osobowych na zewnątrz.
Przykłady z naszej codziennej pracy
Działy HR doskonale znają przepisy, w oparciu o które pracują. Wiedzą, że na żądanie komornika należy podać adres pracownika, jeżeli ma to wpływ na prawidłowy tok postępowania egzekucyjnego. Ale co w sytuacji, gdy organ lub podmiot wnioskujący wykracza poza ustawowe ramy?
Co, jeżeli komornik zwraca się do pracodawcy z prośbą o podanie adresu i numeru telefonu do kontaktu z dłużnikiem, będącym pracownikiem? Czy służbowy lub prywatny numer telefonu pracownika również podlega udostępnieniu? Jak mamy postępować w przypadku byłych pracowników?
Szukając innych przykładów z naszej praktyki, w których, pełniąc rolę IOD, wspieraliśmy działy HR w ich codziennej pracy:
- wnioski od służb lub z prokuratury o udostępnienie akt osobowych pracownika, który uczestniczy w postępowaniu rekrutacyjnym,
- wnioski z sądów lub od ubezpieczycieli z prośbą o podanie danych kontaktowych byłego pracownika w celu wezwania go na świadka.
W takich momentach to właśnie IOD staje się naturalną osobą do konsultacji. IOD oceni, czy w takich przypadkach istnieje podstawa prawna, pomoże odszukać przepisy, które pozwalają nam na legalne udostępnienie wnioskowanych danych (lub nakładające na nas taki obowiązek). Jeżeli tak, to podpowie, w jakim zakresie udostępnić dane oraz w jakim terminie. Zweryfikuje, czy nie dochodzi do naruszenia zasady minimalizacji lub ograniczenia celu przetwarzania.
Uważajmy na to, co udostępniamy
Udostępnienie danych to nie tylko kwestia podstawy prawnej. Równie istotna jest ich poprawność i aktualność. Chcąc pomóc, możemy łatwo narazić się na inne ryzyka, wynikające choćby z przekazania nieaktualnych danych, wprowadzających organ w błąd i przynoszących więcej szkody niż pożytku.
Konsultacja z IOD może uchronić nas przed ujawnieniem informacji, które już dawno powinny być usunięte. Retencja danych w HR wciąż bywa tematem pomijanym, a tymczasem zbyt długie przechowywanie danych kontaktowych po zakończeniu współpracy może prowadzić do zarzutu nadmiarowego przetwarzania danych (w tym wykraczającego poza pierwotny cel, jeśli zgoda obejmowała jedynie okres zatrudnienia).
Pamiętajmy, jeśli nie posiadamy danych, nie musimy ich nigdzie udostępniać. A głupio byłoby „sprzedać” się, ujawniając na papierze, że przechowujemy dane, które dawno powinny być usunięte.
Podsumowanie
Jak widać, współpraca między działem HR a IOD nie powinna zakończyć się na epizodzie wdrożeniowym, lecz nieustannie trwać w czasie codziennej pracy. Jesteśmy od tego, by dział HR nie miał wątpliwości co do swoich obowiązków wynikających z RODO. Ani by nie czuł obawy, że w którymś momencie codziennej pracy narusza przepisy RODO.
Jak pokazuje nasza praktyka – nie każdy wniosek dot. udostępnienia danych musimy realizować zgodnie z żądaniem. Część z nich to jedynie „prośby”, na które można zgodnie z prawem odmówić odpowiedzi. W ramach współpracy IOD z działami HR zapewniamy wspólne konsultacje, weryfikację takich wniosków, doradzamy jak zapewnić zgodne z RODO udostępnianie danych na wniosek.
Dlatego warto znać swojego IOD, mieć do niego kontakt i korzystać ze wsparcia bez skrupułów.
A jeśli nie masz własnego IOD? Zapraszamy do kontaktu!
Już 18 listopada br. planujemy zorganizować bezpłatny webinar pt. „Czy HR potrzebuje IOD-a bardziej niż myśli? Praktyczne przykłady wsparcia”. Jeśli chcesz zagwarantować sobie udział w tym wydarzeniu, zarejestruj się już dzisiaj: https://www.isecure.pl/webinar/czy-hr-potrzebuje-iod-a-bardziej-niz-mysli-praktyczne-przyklady-wsparcia/
