Maciej Gawroński: HR-owcy są gotowi na RODO? "Kary mają być odstraszające"

Jak z kolei RODO wpłynie na funkcjonowanie agencji zatrudnienia, które są pośrednikiem między firmą a kandydatem?

- Wszystko zależy od tego, czy agencja jest administratorem, czy przetwarzającym dane na rzecz firmy. Może być kilka sytuacji. Pierwsza to przekazywanie danych od administratora do administratora, a więc bank talentów zostaje przekazany klientowi podobnie jak w branży nieruchomości agenci przekazują oferty. Kolejna sytuacja to relacja administrator i przetwarzający dane. W tym przypadku agencja dostaje zlecenie od klienta na ściągnięcie danych z rynku pracy i nie ma do nich prawa. Może mieć miejsce też trzecia sytuacja, gdy agencja i firma są współzarządzającymi, czyli tzw. co-controllers. To rozwiązanie jest rekomendowane przez Grupę Roboczą Art. 29 (czyli takie "zgromadzenie GIODO państw członkowskich UE").

Współadministrowanie wymaga sporządzenia odpowiedniej umowy i choć biznes zwykle nie jest zwolennikiem tego typu umów, to jednak nie jest to złe rozwiązanie, ponieważ obie strony mogą przetrzymywać zgromadzone dane.

No dobrze, a co z odpowiedzialnością w przypadku współadministrowania – kto będzie odpowiedzialny np. za wyciek danych?

- Niezależnie od tego, czy jesteśmy administratorem czy przetwarzającym jako podmiot, który bierze udział w przetwarzaniu danych, odpowiadamy za ich bezpieczeństwo oraz za legalność procesu. Nowe przepisy wprowadzają zasadę odpowiedzialności przetwarzających. Ich zakres obowiązków jest nieco węższy niż administratora, np. nie odpowiadają za cele przetwarzania danych. Co jednak istotne, przetwarzający nie są odpowiedzialni za wykonywanie legalnych zleceń administratora. Do ich obowiązków należy natomiast zgłoszenie administratorowi podejrzenia nielegalnego przetwarzania danych. Oznacza to, że jeśli firma przekazuje agencji CV kandydatów, to musi ona sprawdzić, czy dokumenty zawierają stosowne zgody, lub je pozyskać (o ile zgody są wymagane, bo jak wyżej powiedzieliśmy, nie zawsze tak jest). I odwrotnie – pracodawca również musi przeanalizować aplikacje, które otrzymał od agencji. Oczywiście na samo powierzenie danych kandydatów agencji zgody od nich uzyskiwać nie trzeba (bo na powierzenie przetwarzania danych zgoda nie jest potrzebna).

Co istotne, podstawową zasadą jest zasada rozliczalności, czyli de facto obowiązek wykazania niewinności. Agencja musi ustalić, w jaki sposób będzie spełniać obowiązki wobec kandydatów oraz jak będzie gromadzić dokumenty niezbędne do rozliczenia się. Rekruter powinien przechowywać maile, które potwierdzą, że przetwarza dane zgodnie z prawem i na udokumentowane polecenie klienta (jeśli jest to relacja podwykonawstwa). Podobnie pracodawca. Wskazane jest także dodanie klauzuli informującej o przechowywaniu danych po obu stronach w celu rozliczenia się.

Zatem odpowiedzialność za prawidłowe przetwarzanie danych spada zarówno na agencje, jak i na firmy?

- Odpowiedzialność jest bardzo ostra. Jeśli nastąpi wyciek danych w organizacji, to ona wraz z wszystkimi podmiotami będącymi wyżej w hierarchii odpowiada za niego. Jest jednak możliwość zwolnienia się – udowodnienie niewinności. Przykładowo, jeśli nasz klient doprowadzi do utraty danych, agencja jako dostawca może wykazać, że wina nie leży po jej stronie. Teoretycznie można też udowodnić, że pracownicy agencji zrobili wszystko, co w ich mocy, by nie dopuścić do wycieku (przepis art. 82 ust. 3 RODO mówi: jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody). Wówczas podmiot nie będzie odpowiadać za szkody.

Na jakie inne zmiany muszą przygotować się agencje?

- Dla wszystkich podmiotów, które zatrudniają co najmniej 250 osób, obowiązkowe będzie prowadzenie rejestru czynności przetwarzania danych, ale nie tylko. Także firmy przetwarzające dane ze szczególną kategorią będą miały taki obowiązek. Niezależnie jednak od tego, czy nakaz dotyczy naszej agencji, warto takowy rejestr mieć. Nie będzie to trudne zadanie, gdy skorzystamy z tworzących się wzorów, a dzięki niemu agencja będzie wiedzieć, co dzieje się z danymi. Myślę, że w przypadku firm zajmujących się rekrutacją ludzi jest to wysoce pożądane. Wysoka kultura przetwarzania danych to wymóg kandydatów, zatem niewiedza agencji na temat tego, co dzieje się z danymi, byłaby wyrazem braku profesjonalizmu.

Agencja będzie musiała też obsługiwać prawa jednostki, podobnie jak inne firmy. Myślę jednak, że kandydaci nie będą często zgłaszać próśb o usunięcie czy zmianę danych.

Kolejny obszar, którymi firmy będą musiały się zająć, to bezpieczeństwo. Wydaje się, że tutaj HR-owców czekają większe i bardziej kosztowne zmiany.

- Firmy przede wszystkim muszą przeprowadzić analizę ryzyka. W mojej ocenie nie będzie ono tak wysokie jak w przypadku szpitali, jednak spółki muszą wziąć pod uwagę ryzyko dotyczące wolności zatrudnienia, prawa do pracy czy utraty pracy. Przykładowo, jeśli wyjdzie na jaw informacja o udziale danej osoby w procesie rekrutacyjnym, wówczas może ograniczyć to rozwój jej kariery. Inny przykład - pracownik zostanie wyrzucony z pracy, ponieważ szef dowie się, że jego CV ma inna firma. Trudno będzie mu wytłumaczyć i przekonać pracodawcę, że nie szukał nowej pracy, a jego dokumenty aplikacyjne leżą w banku talentów konkurencyjnej firmy od pięciu lat. W obu przypadkach dochodzi do naruszenia wolności i praw, dlatego trzeba odpowiednio dane zabezpieczyć.

Gdy jednak dojdzie do naruszenia ochrony danych osobowych, firmy będą musiały zgłaszać ten fakt organowi nadzoru najpóźniej w ciągu 72 godzin od stwierdzenia naruszenia. To niewiele czasu...

- Agencja zatrudnienia musi zgłosić naruszenie ochrony danych organowi nadzoru, natomiast gdy utrata danych rodzi wysokie ryzyko naruszenia praw i wolności kandydatów, to również i oni powinni zostać poinformowani o zdarzeniu. Co istotne, czas zaczyna być odliczany od stwierdzenia naruszenia nie tylko przez administratora, ale także przez jego podwykonawcę przetwarzającego dane. W takich sytuacjach warto zgłosić najpierw podejrzenie naruszenia, wówczas obie strony mają więcej czasu na zbadanie sprawy. Warto też mieć pracownika przydzielonego do tego typu zadań, któremu w 24 godziny uda się przejrzeć sprawę. Ponadto agencja powinna umówić się z pracodawcą, że w sytuacji, gdy dojdzie do podejrzenia ryzyka wycieku danych, to po jej stronie będzie leżało zbadanie sprawy. Z kolei klient powinien zostać włączony w korespondencję, aby wiedzieć, jakie dokumenty dotychczas zostały złożone.

Załóżmy, że rekruter zgubił telefon ze służbową pocztą. Czy to kwalifikuje się jako naruszenie, czy podejrzenie?

- Wszystko zależy od okoliczności. Jeśli rekruter ma pocztę służbową na telefonie, a nie miał żadnych zabezpieczeń, to mamy do czynienia z naruszeniem ochrony danych. Jeśli natomiast telefon był zaszyfrowany sześciocyfrowym kodem, a dodatkowo można zdalnie usunąć znajdujące się na nim dane, wówczas możemy go zresetować i założyć, że ryzyko utraty danych jest pomijalne. W takiej sytuacji nie musimy informować organu nadzoru. Musimy jednak pamiętać, by zachować dowody potwierdzające, że telefon został zresetowany, a dane usunięte. Gdy natomiast telefon był zabezpieczony tylko szyfrem, to ryzyko rośnie i trzeba sobie zadać pytanie, czy osoby trzecie są w stanie ominąć zabezpieczenia.

Jakie konsekwencje spadną na agencję, jeśli nie zgłosi organowi nadzoru naruszenia ochrony danych?

- W przypadku, gdy doszło do naruszenia ochrony danych, a agencja czy firma nie zgłoszą zdarzenia do organu nadzoru, to grozi im kara finansowa w wysokości 10 mln euro. Co więcej, mogą zostać dodatkowo ukarane za umyślne naruszenie bezpieczeństwa danych, jeśli zatają informacje z obawy przed stratą finansową czy reputacyjną. Wówczas organ może nałożyć kolejną karę finansową w wysokości potencjalnego zysku firmy. Kary mają być odstraszające.

I takie są. Wysokość kar wskazanych w rozporządzeniu może sięgnąć 20 mln euro lub 4 proc. całkowitego rocznego obrotu. Za co można je dostać?

- Wysoka kara może zostać na nas nałożona, jeśli przykładowo nie mamy odpowiednich zgód na przetwarzanie danych. W takiej sytuacji nie dopełniliśmy podstawowych obowiązków, jakie nakłada na nas RODO. Za to uchybienie możemy więc zapłacić nawet 20 mln euro. Najwyższa kara może również zostać przydzielona za naruszenie zasad przetwarzania danych, za naruszenie praw jednostki, za nielegalny eksport danych lub za utrudnianie kontroli i niewykonywanie zaleceń organu nadzorczego. Za pozostałe wykroczenia przewidziane są niższe kary. Na początku zapewne będą udzielane upomnienia, a nie kary. Gorzej, jak dojdzie do spektakularnego wycieku lub nagłośniona zostanie luka bezpieczeństwa – jak niedawno w agencji posiadającej profile aktorów i modeli.

Na koniec chciałabym jeszcze zapytać o przechowywanie danych pracowników. Na co w tym obszarze powinni zwrócić uwagę HR-owcy?

- Obecnie mamy rozporządzenie, które wskazuje, że powinniśmy przechowywać dane przez 50 lat od ustania stosunku pracy. Nowe rozporządzenie ma ten okres skrócić do 10 lat. Przed wprowadzeniem RODO firmy powinny przejrzeć przechowywane dokumenty, tym samym skupiając się na ograniczeniu posiadanych danych. Według nowych przepisów nie można będzie na przykład przetwarzać imion rodziców pracowników. Bez zgody pracownika tego rodzaju dane muszą zostać usunięte. W przypadku zbierania danych w tradycyjny sposób, powinniśmy zniszczyć dokumenty, których nie mamy prawa przetwarzać, zwłaszcza jeśli są zbiorem danych. Oczywiście można przejrzeć wszystkie papiery i zweryfikować, które możemy przechowywać, a które nie, jednak wiąże się to z dodatkowymi kosztami.