Ochrona danych RODO w procesach HR
Wprowadzenie RODO (Rozporządzenia o Ochronie Danych Osobowych) w maju 2018 roku wprowadziło znaczące zmiany w zarządzaniu danymi osobowymi w organizac...
Słowniczek
Prawo do bycia zapomnianym
Prawo do bycia zapomnianym (right to erasure, art. 17 RODO) to prawo osoby fizycznej do żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych. Administrator ma obowiązek usunąć dane gdy: nie są już niezbędne do celów przetwarzania, osoba cofnęła zgodę, wniesiono sprzeciw wobec przetwarzania, dane były przetwarzane niezgodnie z prawem, wymaga tego prawo UE lub krajowe, lub dane zebrano w związku z usługami społeczeństwa informacyjnego oferowanymi dziecku. W kontekście HR prawo to ma istotne ograniczenia: pracodawca nie może usunąć danych, których przechowywanie jest wymagane przepisami prawa (akta osobowe, dokumentacja podatkowa, ZUS). Prawo do usunięcia nie obejmuje też danych niezbędnych do ustalenia, dochodzenia lub obrony roszczeń. Najczęściej stosowane wobec danych rekrutacyjnych — kandydat, który nie został zatrudniony, może żądać usunięcia swoich danych po zakończeniu rekrutacji.
Nie — pracodawca ma prawny obowiązek przechowywania akt osobowych (10 lub 50 lat). Prawo do usunięcia nie ma zastosowania gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego. Dotyczy to też danych podatkowych (5 lat) i ZUS.
Po zakończeniu rekrutacji, jeśli nie został zatrudniony i nie wyraził zgody na przetwarzanie do przyszłych rekrutacji. Pracodawca powinien usunąć dane niezwłocznie (max. 3 miesiące). Jeśli była zgoda na przyszłe rekrutacje — po jej cofnięciu.
Bez zbędnej zwłoki, nie później niż w ciągu miesiąca od otrzymania żądania. Termin może być wydłużony o 2 miesiące w przypadku skomplikowanych żądań, ale administrator musi poinformować o przedłużeniu w ciągu pierwszego miesiąca.
W idealnym świecie — tak, ale RODO dopuszcza pragmatyczne podejście: dane w backupach powinny być usunięte przy najbliższej rotacji. Ważne: zapewnić, że backup nie zostanie użyty do odtworzenia usuniętych danych. Udokumentować procedurę.
Częściowo — dane nadmiarowe (np. zdjęcie na stronie firmowej, dane z programu wellness) muszą być usunięte. Dane wymagane prawem (akta osobowe, ZUS, podatki) — nie. Pracodawca powinien poinformować byłego pracownika, jakie dane i na jakiej podstawie nadal przetwarza.