iSecure logo
  • pl
  • en
    • Blog

    Jak IOD może pomóc działowi HR poradzić sobie z wnioskami o udostępnienie danych?

    Marcin Stryszko
    Kategorie

    Współpraca działu kadr (czy może nowocześniej: HR), z Inspektorem Ochrony Danych nie kończy się na etapie wdrożenia RODO (choć łatwo początkowo odnieść takie wrażenie, zwłaszcza gdy otrzymaliśmy zweryfikowane i zatwierdzone wzory dokumentów do stosowania). Audyt, zarówno początkowy, jak i okresowy, to czas wyjątkowo intensywnej współpracy, pełnej spotkań i konsultacji. W końcu to właśnie w dziale HR przetwarzane są najbardziej „wrażliwe” dane: od podstawowych danych identyfikacyjnych, o wynagrodzeniu, po informacje o zdrowiu, sytuacji życiowej czy o postępowaniach egzekucyjnych.

    Jednak dopiero po tym „wdrożeniowym boomie” zaczyna się prawdziwa codzienność. Ta, w której HR i IOD nie mogą o sobie zapominać. Zwłaszcza gdy pojawiają się sprawy związane z udostępnianiem danych osobowych na zewnątrz.

     Przykłady z naszej codziennej pracy

    Działy HR doskonale znają przepisy, w oparciu o które pracują. Wiedzą, że na żądanie komornika należy podać adres pracownika, jeżeli ma to wpływ na prawidłowy tok postępowania egzekucyjnego. Ale co w sytuacji, gdy organ lub podmiot wnioskujący wykracza poza ustawowe ramy?

    Co, jeżeli komornik zwraca się do pracodawcy z prośbą o podanie adresu i numeru telefonu do kontaktu z dłużnikiem, będącym pracownikiem? Czy służbowy lub prywatny numer telefonu pracownika również podlega udostępnieniu? Jak mamy postępować w przypadku byłych pracowników?

    Szukając innych przykładów z naszej praktyki, w których, pełniąc rolę IOD, wspieraliśmy działy HR w ich codziennej pracy:

    • wnioski od służb lub z prokuratury o udostępnienie akt osobowych pracownika, który uczestniczy w postępowaniu rekrutacyjnym,
    • wnioski z sądów lub od ubezpieczycieli z prośbą o podanie danych kontaktowych byłego pracownika w celu wezwania go na świadka.

    W takich momentach to właśnie IOD staje się naturalną osobą do konsultacji. IOD oceni, czy w takich przypadkach istnieje podstawa prawna, pomoże odszukać przepisy, które pozwalają nam na legalne udostępnienie wnioskowanych danych (lub nakładające na nas taki obowiązek). Jeżeli tak, to podpowie, w jakim zakresie udostępnić dane oraz w jakim terminie. Zweryfikuje, czy nie dochodzi do naruszenia zasady minimalizacji lub ograniczenia celu przetwarzania.

    Uważajmy na to, co udostępniamy

    Udostępnienie danych to nie tylko kwestia podstawy prawnej. Równie istotna jest ich poprawność i aktualność. Chcąc pomóc, możemy łatwo narazić się na inne ryzyka, wynikające choćby z przekazania nieaktualnych danych, wprowadzających organ w błąd i przynoszących więcej szkody niż pożytku.

    Konsultacja z IOD może uchronić nas przed ujawnieniem informacji, które już dawno powinny być usunięte. Retencja danych w HR wciąż bywa tematem pomijanym, a tymczasem zbyt długie przechowywanie danych kontaktowych po zakończeniu współpracy może prowadzić do zarzutu nadmiarowego przetwarzania danych (w tym wykraczającego poza pierwotny cel, jeśli zgoda obejmowała jedynie okres zatrudnienia).

    Pamiętajmy, jeśli nie posiadamy danych, nie musimy ich nigdzie udostępniać. A głupio byłoby „sprzedać” się, ujawniając na papierze, że przechowujemy dane, które dawno powinny być usunięte.

    Podsumowanie

    Jak widać, współpraca między działem HR a IOD nie powinna zakończyć się na epizodzie wdrożeniowym, lecz nieustannie trwać w czasie codziennej pracy. Jesteśmy od tego, by dział HR nie miał wątpliwości co do swoich obowiązków wynikających z RODO. Ani by nie czuł obawy, że w którymś momencie codziennej pracy narusza przepisy RODO.

    Jak pokazuje nasza praktyka – nie każdy wniosek dot. udostępnienia danych musimy realizować zgodnie z żądaniem. Część z nich to jedynie „prośby”, na które można zgodnie z prawem odmówić odpowiedzi. W ramach współpracy IOD z działami HR zapewniamy wspólne konsultacje, weryfikację takich wniosków, doradzamy jak zapewnić zgodne z RODO udostępnianie danych na wniosek.

    Dlatego warto znać swojego IOD, mieć do niego kontakt i korzystać ze wsparcia bez skrupułów.

    A jeśli nie masz własnego IOD? Zapraszamy do kontaktu!

     

    Już 18 listopada br. planujemy zorganizować bezpłatny webinar pt. „Czy HR potrzebuje IOD-a bardziej niż myśli? Praktyczne przykłady wsparcia”. Jeśli chcesz zagwarantować sobie udział w tym wydarzeniu, zarejestruj się już dzisiaj: https://www.isecure.pl/webinar/czy-hr-potrzebuje-iod-a-bardziej-niz-mysli-praktyczne-przyklady-wsparcia/

    Pobierz wpis w wersji pdf
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Karolina Żebrowska

    Brak zgłoszenia naruszenia oraz niepowiadomienie osób o incydencie – przegląd kar Prezesa Urzędu Ochrony Danych Osobowych

    Obowiązek zgłoszenia naruszenia do organu nadzorczego wynika wprost z art. 33 RODO. Zgodnie z przywołanym przepisem, w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, […]

    Czytaj więcej
    Katarzyna Ułasiuk-Delamare

    3 przypadki wymiany danych z agencją rekrutacyjną

    Zlecasz agencji rekrutacyjnej przeprowadzenie rekrutacji? Korzystasz z pomocy profesjonalisty, żeby powierzyć im część działań związanych z wyszukaniem kandydatów? Pamiętaj, że Twoja firma, jako potencjalny pracodawca, ma pewne obowiązki do wykonania względem danych swoich kandydatów, ale najpierw musi potwierdzić, jaką rolę w tym procesie pełni (czy i kiedy jest administratorem danych?). W tym wpisie chcę Ci […]

    Czytaj więcej
    Michał Sztąberek

    Ocena naruszenia przy błędnie wysłanym PIT – case study

    Czas wysyłania PIT-11 do pracowników to szczególnie gorący okres dla inspektorów ochrony danych. Przesyłek jest mnóstwo, nic zatem dziwnego, że niektóre z nich trafiają do niewłaściwych osób. A to potencjalnie oznacza naruszenie ochrony danych osobowych, które należy przeanalizować pod kątem naruszenia praw i wolności osoby, która została takim incydentem objęta. Z pomocą przychodzi nam na […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera z materiałami edukacyjnymi, a także o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki