Close
Szukaj
Close this search box.

HRnest vs RODO – a sędziował Tomasz Palak

Tomasz Palak - header

Niejednego pokonał ten słynny czteroliterowy skrót – więc ekipa HRnest wykazała się niemałą odwagą prosząc mnie o analizę ich produktu pod kątem unijnego Rozporządzenia o Ochronie Danych Osobowych. Przy okazji uznaliśmy, że warto podzielić się krokami takiej analizy ich własnego narzędzia. Stąd ten wpis – poznaj wynik starcia i dowiedz się, na co pod kątem danych warto zwracać uwagę.

Na pierwszy rzut oka

Od czego zacząłem wyprawę po lesie RODOdendronów prawnych? Oczywiście od strony internetowej. Chociaż… wcale nie tej, na której teraz jesteś. Bo najpierw chciałem poznać trochę jej zaplecza. Przy pomocy przykładowo narzędzia BuiltWith można poznać „składniki” strony internetowej. Swoją drogą – sprawdź własną, zwłaszcza istniejącą od wielu lat. Można się zdziwić, jak wiele niepotrzebnych do niczego narzędzi jest na niej osadzone.

A u HRnest? Lista z BuiltWith jest używana i uzasadniona, choć nie każdy będzie rozumiał tajemnicze pojęcia typu WordPress czy JSON. Uwagę zwraca też oczywiście skrót GDPR – czyli RODO po angielsku. To wtyczka do banera cookies, o którym zresztą teraz czas porozmawiać.

Baner jest zgodny z RODO – bo po pierwsze daje możliwość przejrzenia ewentualnie osadzanych na moim komputerze plików. Po drugie – lista ta pokrywa się z tymi faktycznie obecnymi przykładowo w wyliczance z BulitWith. Po trzecie i najważniejsze – mogę wybrać, że określony cel użycia ciasteczek mi się nie podoba i nie życzę sobie włączania go.

Co teraz? Zamiast (jak normalny człowiek) pokręcić się po stronie, od razu szukam dziury w całym – na przykład w zakładce z polityką prywatności albo klauzulą informacyjną. „Niestety”, dawno nie widziałem dokumentów skonstruowanych w tak uczciwy i przejrzysty sposób. Aż szkoda, że to nie ja się mogę pochwalić ich autorstwem – mam zresztą podejrzenia, kto może… ale o tym za moment.

Póki co zatrzymajmy się na analizie dokumentów. Dowiaduję się z nich nie tylko podstaw (np. pełnej nazwy i adresu HRnest), ale też na jakiej podstawie i w jakim celu czyje dane są przetwarzane przez jaki czas. Trudno się przyczepić – poinstruowano mnie zresztą, jak to robić i korzystać z innych należnych mi z RODO praw, typu usunięcie czy dostęp do danych. Wiem też, z kim „z zewnątrz” firma dzieli się danymi.

A co do autora – możliwe, że jest nim pewien Inspektor. Konkretnie IOD, czyli Inspektor Ochrony Danych – bo HRnest wyznaczył takiego kogoś i bardzo dobrze. Ta osoba czuwa nad wewnętrznymi papierami i procedurami, dba o przeszkolenie załogi i jest punktem kontaktowym dla mnie jako kogoś, kogo dane są przetwarzane. To poprzez maila IOD mogę realizować swoje prawa czy dopytywać o szczegóły.

Od środka

Okej, to jak wywołałem już to słowo… procedury i dokumenty „wewnętrzne”. Niestety wiele osób lub zapominać, że „RODO na stronę” to tylko wygodne sformułowanie, ale na treści checkboxów czy polityk się nie kończy. A raczej – nie zaczyna, bo to one powinny być właśnie finałem i wyciągiem z wewnętrznych procedur i zasad.

W mojej wycieczce wchodzę zatem jeszcze głębiej. Na przykład – po prostu odwiedzając siedzibę firmy. Niby byłem tam nagrać z Markiem rolkę, ale tak naprawdę chciałem coś nabroić. Nie dało się – po pierwsze spryciarze nagrywali w specjalnie wydzielonym pomieszczeniu bez dostępu do żadnych danych, a po drugie nie spuszczali mnie z oka. Nawet jednak gdyby spuścili (próbowałem się zerwać pod pretekstem toalety!) to każde z pomieszczeń wymaga dostępu, a po drodze nie ma żadnych fajnych stosów papierów czy drukarek wypluwających dane osobowe. Po prostu – nie ma w czym grzebać.

Jak się dowiedziałem – ale tutaj nie będę zdradzał za dużo, po prostu to uwypuklę – załoga jest przeszkolona z RODO i  cyklicznie odświeża swoją wiedzę. Istnieją wewnętrzne dokumenty w tym zakresie – rejestr czynności przetwarzania, procedura reakcji na wyciek danych i wiele innych. I co najważniejsze (ale tu już naprawdę kładę palec na ustach) istnieją zabezpieczenia dostępu do poszczególnych grup danych zarówno przez osoby z zewnątrz, jak i pracowników.

Używając narzędzia

Został jeszcze ostatni aspekt, ale wcale nie najmniej ważny.. Co z ochroną danych osobowych, gdy po prostu Twoja firma używa narzędzia? Przecież siłą rzeczy są tam dane pracowników. Na jakiej w ogóle zasadzie się tam wzięły?

Twoja firma nadal jest administratorem danych Twoich pracowników. HRnest jest natomiast tak zwanym podmiotem przetwarzającym. Na podstawie umowy powierzenia dane osobowe są przetwarzane, a HRnest zobowiązuje się do dbania o nie. Robi to zresztą na zasadach, o których już wspomniałem mówiąc o dokumentacji wewnętrznej.

A co się dzieje odnośnie RODO, gdy po prostu klikamy swój wniosek? Albo gdy jesteśmy odbiorcą tego kliknięcia? Zacznijmy od tego, że wcale nie tak łatwo się tam znaleźliśmy. Logowaliśmy się dwuetapowo, co utrudnia dostęp osób niepożądanych. Podaliśmy tylko tyle danych, ile trzeba – nic więcej, bo po co zbierać coś niepotrzebnego. Co do „niepotrzebności” – HRnest zadbał również o ograniczenie czasu przechowywania danych osobowych.

Osobno warto zaznaczyć poziom dostępu. Nie widzę „papierów” innych pracowników, jeśli jestem jednym z tych pracowników. Jeśli jestem odbiorcą przykładowo wniosków urlopowych – też mam dostęp tylko do swojego właściwego wycinka. Nic za dużo.

A same dane nie opuszczają Unii Europejskiej – trzymane są „pod prawem” unijnym, czyli RODO właśnie. Podoba mi się też pod kątem danych osobowych to, jak rozwiązano temat integracji HRnest z innymi narzędziami – Slackiem, kalendarzem Google, czy Outlookiem.

Podsumujmy

Na stronie internetowej informacji o ochronie danych jest mnóstwo, podane są przejrzyście i czytelnie.

W firmie ktoś taki jak ja nie ma możliwości narobić szkód, a w razie potrzeby i tak poradziliby sobie z tym dzięki odpowiednim rozwiązaniom technicznym i procedurom. Przeszkolona załoga i Inspektor Ochrony Danych ogarniają jak trzeba.

Samo narzędzie dba o powierzone dane. Ogranicza do nich dostęp zarówno pod kątem ich rodzajów, jak i właściwych (czy może właśnie ewentualnie niewłaściwych!) osób. Jestem zadowolony z moich przeszpiegów, choć nie miałem okazji do skutecznego przyczepienia się. Daję RODOwitą okejkę!

Tomasz Palak

tomaszpalak.pl

Wypróbuj HRnest
za darmo

Zarejestruj się i testuj nasz system przez 14 dni bez zobowiązań!

Wypróbuj HRnest za darmo

Zarejestruj się i testuj nasz system przez 14 dni bez zobowiązań!