Dane kandydatów do pracy też muszą być mocno zabezpieczone
SHUTTERSTOCKUtrata lub wyciek danych osobowych wiążą się z poważnymi konsekwencjami wizerunkowymi dla firm. Przepisy RODO, które wejdą w życie w maju 2018 roku, dołożą do tego poważne konsekwencje prawne i finansowe. Dlatego przedsiębiorstwa muszą zadbać o wysoki poziom bezpieczeństwa i wprowadzić odpowiednie procedury. Dotyczy to także zarządzania procesami rekrutacyjnymi.
Procesy HR często w istotny sposób ingerują w prywatność pracowników i kandydatów do pracy. Dlatego eksperci zaznaczają, że dostęp do takich danych powinny mieć wyłącznie osoby wyraźnie do tego upoważnione. – W dobie przygotowań do RODO ochrona prywatności pracowników i kandydatów do pracy jest niezwykle istotna z uwagi nie tylko na restrykcyjne wymogi prawne, lecz także w kontekście budowania pozytywnego wizerunku pracodawcy. Firmy powinny wprowadzić odpowiednie procedury dotyczące zarządzania procesami rekrutacyjnymi, tak aby zapewnić poufność danych kandydatów do pracy i żeby dostęp do tych danych miały osoby wyraźnie do tego upoważnione – podkreśla w rozmowie z agencją informacyjną Newseria Biznes Agnieszka Witaszek, ekspert ds. ochrony danych osobowych w Erecruiter.
Od maja 2018 roku przepisy dotyczące ochrony danych osobowych zostaną zaostrzone. Firmy i organizacje będą zmuszone wdrożyć rozwiązania i procedury, które zagwarantują wysoki poziom bezpieczeństwa informacji o ich klientach. Będą musiały również każdorazowo uzyskiwać zgodę swoich klientów na przetwarzanie ich danych osobowych oraz raportować każdy wyciek danych i nieautoryzowany dostęp.
Nowe przepisy dotyczące ochrony danych osobowych nakładają na firmy obowiązek poinformowania, jak długo dane osobowe będą przechowywane, kto będzie miał do nich dostęp i kto będzie mógł je przetwarzać. W międzynarodowych koncernach musi się znaleźć informacja, jaka firma spoza UE będzie mieć dostęp do danych.
Dla firm równie istotne, co ochrona danych klientów, będzie też chronienie danych pracowników i kandydatów biorących udział w rekrutacjach. – Każdy incydent w postaci wycieku danych kandydatów będzie skutkował daleko idącymi konsekwencjami wizerunkowymi dla danej firmy. Jeżeli przedsiębiorstwo poniesie konsekwencje finansowe w postaci kar, które nałoży prezes Urzędu Ochrony Danych Osobowych (obecnie GIODO), takie informacje zapewne znajdą się w prasie. Wpłynie to bardzo niekorzystnie na pozycję firmy jak pracodawcy, czyli na budowanie employer brandingu – tłumaczy Agnieszka Witaszek.
Firmy będą musiały zadbać o mocniejszą ochronę danych, zwłaszcza że świadomość konsumentów dotycząca ich prywatności, przede wszystkim w odniesieniu do przepisów RODO, jest coraz większa. Dla pracowników coraz częściej liczy się nie tylko to, jakie bonusy firma im daje, lecz także to, w jaki sposób dba o ich prywatność.
– W przeciwieństwie do procesów sprzedażowych czy marketingowych w procesach HR mamy często do czynienia z danymi, które w sposób istotny ingerują w prywatność pracowników i kandydatów do pracy. W przypadku pracowników są to też często informacje o stanie zdrowia czy członkach rodziny, trzeba więc położyć szczególny nacisk na zapewnienie poufności tych danych – tłumaczy przedstawicielka eRecruiter.
Z badań przeprowadzonych w tym roku na zlecenie Fundacji Wiedza To Bezpieczeństwo wynika, że tylko nieco ponad połowa kadry zarządzającej wie, jakie obowiązki na firmy nakłada RODO. Tymczasem poza wypracowaniem całkiem nowych procedur firmy i organizacje objęte nowymi przepisami będą musiały też przygotować do tego swoich pracowników. Duże zmiany czekają też od strony technicznej, ponieważ rozporządzenie RODO będzie wymagać odpowiedniej infrastruktury IT.
– Organizacje w łatwy sposób mogą utracić strategiczne zasoby gromadzone w organizacji od lat. Przyczyną mogą być zdarzenia losowe zewnętrzne, np. pożar, zalanie czy utrata zasilania, zdarzenia losowe wewnętrzne, jak awaria komputera czy serwera, błąd pracownika, niewłaściwe usunięcie danych, zgubienie laptopa czy zdarzenia zamierzone: włamania do systemów teleinformatycznych, pomieszczeń i biur danej organizacji, a także celowe usunięcie danych. Dlatego organizacje powinny w sposób adekwatny zabezpieczać gromadzone dane, w tym dane osobowe, i wykonywać kopie bezpieczeństwa tych danych – przekonuje Marcin Zadrożny, rzecznik prasowy Fundacja Wiedza To Bezpieczeństwo.
Z badania „Co wiemy o ochronie danych” przygotowanego przez Fundację Wiedza To Bezpieczeństwo wynika, że połowa Polaków uważa ryzyko nieodwracalnej utraty swoich danych, zagrożenie kradzieżą danych oraz innymi możliwościami ich utraty jako średnie, co trzeci – jako niskie. Już co trzeci Polak doświadczył naruszenia danych osobowych. Wśród największych niebezpieczeństw wskazywane są organizacje, które chcą zwiększać swoje zyski, wykorzystując dane osobowe bez zgody osób, których dotyczą (26 proc.) i nieprzywiązywanie uwagi przez firmy do ochrony danych osobowych klientów i pracowników (30 proc.).
– Utrata lub wyciek danych osobowych to przede wszystkim konsekwencje wizerunkowe. Organizacje często całymi latami przy dużych nakładach finansowych budują dobry wizerunek – mówi Zadrożny. – Raz utracony wizerunek trudno odbudować. W związku z zaistniałym incydentem, utratą bądź wyciekiem danych organizację mogą czekać również konsekwencje prawne, m.in. kontrola ze strony organu nadzorczego, dziś GIODO, a w przyszłości Urzędu Ochrony Danych Osobowych – przypomina.
Naruszenie przepisów o ochronie danych osobowych to nie tylko straty wizerunkowe, lecz także wymierne straty finansowe. Obecne przepisy umożliwiają nałożenie na przedsiębiorców kar nieprzekraczających jednorazowo 50 tys. zł. Po wejściu w życie przepisów RODO kary będą już znacznie bardziej dotkliwe.
– Na gruncie nowych przepisów, które będą obowiązywały od 25 maja 2018 roku, organizację mogą czekać kary administracyjne sięgające nawet do 20 milionów euro bądź 4 proc. obrotu światowego w związku z wyciekiem bądź incydentem związanym z ochroną danych osobowych w organizacji – wskazuje Marcin Zadrożny.