25.05.2018 r. w Polsce zaczną obowiązywać nowe przepisy dotyczące ochrony danych osobowych (RODO). Unijne rozporządzenie będzie mieć zastosowanie do wszystkich firm gromadzących i wykorzystujących dane osobowe osób fizycznych bez względu na skalę ich działalności. Celem RODO jest m.in. zapewnienie większej transparentności przetwarzania naszych personaliów oraz zwiększenie przysługujących nam uprawnień względem administratorów danych osobowych. W dużej części firm wymagać to będzie przemodelowania konkretnych procesów marketingowych, sprzedażowych czy np. analizowania zachowań konsumenckich.
Nowe przepisy nakładają również konkretne zobowiązania na wszystkie działy HR, które w oczywisty sposób zarządzają danymi pracowników. Nie są to jednak w moim odczuciu zmiany rewolucyjne – ich wprowadzenie zwiększy systematykę i doprecyzuje obszary, w których już teraz panują ściśle określone zasady.
Najważniejsze obszary HR-owe, w których RODO będzie miało zastosowanie, to procesy rekrutacyjne, zarządzanie danymi pracowników w systemach wewnętrznych, współpraca z firmami zewnętrznymi, gdzie dochodzi do przekazywania danych (np. przy zarządzaniu benefitami pracowniczymi).
W PAYBACK od wielu miesięcy przygotowujemy się do wejścia w życie nowego rozporządzenia. Zarządzanie ponad ośmiomilionową bazą danych, ogromną liczbą zgód marketingowych, politykami kontaktowalności i zasadami segmentacji użytkowników wymaga dopracowania najdrobniejszych szczegółów, aby działać zgodnie z nowymi przepisami. Dzięki ekspertom z działu prawnego „od początku działania Programu PAYBACK w Polsce stosujemy najwyższe standardy w zakresie przetwarzania danych osobowych” – mówił w wywiadzie dla „Pulsu Biznesu” CEO PAYBACK Polska Michał Pieprzny (29.01.2018 r.)1. Podobnie jest w zakresie zarządzania danymi pracowniczymi. Istnieją jednak obszary, w których jako dział HR podjęliśmy dodatkowe, zaawansowane działania.
Wewnętrzny audyt spójności z wymaganiami RODO
Pierwszy obszar dotyczy zarządzania danymi osobowymi, które w sposób niezorganizowany i rozproszony przechowywane są na komputerach pracowników. Są to czasami CV z przeszłych rekrutacji, zestawienia przygotowywane ad hoc na potrzeby biznesowe, symulacje kosztów pracowniczych. W uporządkowaniu tych danych pomaga wprowadzony przez RODO obowiązek prowadzenia rejestru czynności przetwarzania. Jest to dokument, który powinien zawierać m.in. informacje, jakie kategorie danych, w jakich procesach są przetwarzane w danej firmie, w jakim celu, jak są zabezpieczane i jak długo są przez administratora danych przechowywane. W celu zidentyfikowania takich rozproszonych materiałów oraz skonstruowania procesu, który będzie regulował sposób i czas przechowywania określonych danych, powołaliśmy koordynatora RODO z ramienia HR-u. Przeprowadził on u nas wewnętrzny audyt spójności naszych baz danych oraz procesów z wymaganiami unijnego rozporządzenia.
Drugim działaniem wynikającym z przeprowadzonego audytu było doprecyzowanie kwestii dostępów poszczególnych ról w firmie do określonych rodzajów danych osobowych. Tu podejście jest minimalistyczne – jedynie niezbędne dane, w uzasadnionych biznesowo przypadkach, są udostępnione poszczególnym grupom pracowników. Przykładem może być system urlopowy, z którego zaczęliśmy korzystać od stycznia 2018 r. Początkowo menedżer mógł zobaczyć wszystkie dane osobowe podległych mu pracowników. Zmodyfikowaliśmy go jednak w taki sposób, żeby przełożeni widzieli jedynie dane, które są uzasadnione i niezbędne do wykonywania przez nich ich zadań.
Transparentność i edukacja
Postawiliśmy też na uproszczenie i przejrzystość zbierania danych osobowych nowych pracowników – stworzyliśmy dla nich krótszy niż dotychczas kwestionariusz osobowy. W tzw. pakiecie startowym znajdują się również wszystkie niezbędne oświadczenia i zgody na udostępnienie danych, jakie pracownik powinien wyrazić, dołączając do naszego zespołu, a dodatkowo również oświadczenia podpisywane przez członków rodzin pracowników w celu zarządzania ich danymi przez firmy trzecie (np. zarządzające programami benefitowymi).
W styczniu 2018 r. PAYBACK przeprowadził wśród uczestników Programu badanie PAYBACK Opinion Poll, w którym pytaliśmy o kwestię ochrony danych osobowych. Wynika z niego, że niemal połowa Polaków chętniej udostępnia swoje dane osobowe lub wyraża zgodę na ich przetwarzanie w celach marketingowych, jeśli może dzięki temu uzyskać korzyści, takie jak zniżki na zakupy. W zamian za dodatkowe benefity konsumenci są gotowi udostępnić przede wszystkim adres e-mail (55 proc.), imię i nazwisko (27 proc.), płeć (10 proc.) oraz adres zamieszkania (2 proc.). Aż 85 proc. ankietowanych deklaruje przy tym, że są dane, których nie udostępniłoby pod żadnym warunkiem. Są to numer i seria dowodu osobistego (54 proc.) oraz numer PESEL (32 proc.). Tylko 2 proc. respondentów jest gotowych udostępnić wszystkie dane, o jakie zostaną poproszeni.
Polecamy komentarz w Serwisie Prawa Pracy i Ubezpieczeń Społecznych: RODO - bezpieczeństwo danych osobowych w dziale kadr, Mędrala Małgorzata >>
Cel, jaki postawiliśmy sobie w PAYBACK, to uświadomienie naszym pracownikom, co dla nich, jako konsumentów będzie oznaczało wejście w życie RODO i jak bezpiecznie mogą zarządzać swoimi danymi osobowymi. Od dwóch miesięcy dział prawny wysyła newsletter dotyczący najważniejszych założeń wprowadzanych przepisów, a razem z działem HR organizuje szkolenia, podczas których pracownicy mogą zgłębiać szczegóły wpływu rozporządzenia zarówno na funkcjonowanie naszego programu, jak i na ich życie prywatne.
Uważam, że wprowadzenie nowych przepisów ma pozytywny wpływ na działania podejmowane przez działy HR. Umożliwia weryfikację istniejącego podejścia i wdrożenie spójnych, przejrzystych zasad dotyczących niezwykle ważnego dla nas wszystkich obszaru, jakim są dane osobowe.
Anna Muszyńska-Jurków, kierownik ds. personalnych i komunikacji w firmie PAYBACK