Słowniczek

Przetwarzanie danych w chmurze (HR SaaS)

Przetwarzanie danych HR w chmurze (HR SaaS — Software as a Service) to wykorzystanie zewnętrznych platform internetowych do zarządzania procesami kadrowymi: rekrutacja (ATS), kadry i płace, ewidencja czasu pracy, oceny pracownicze, szkolenia (LMS), benefity i komunikacja wewnętrzna. Popularne platformy HR SaaS to m.in. BambooHR, Workday, HRlink, Calamari, Personio, enova365 w chmurze. Z perspektywy RODO korzystanie z HR SaaS stanowi powierzenie przetwarzania danych — wymaga umowy powierzenia (art. 28 RODO), due diligence dostawcy (certyfikaty bezpieczeństwa, lokalizacja serwerów, subprocesorzy), DPIA (jeśli przetwarzanie na dużą skalę) i zapewnienia transferu danych zgodnie z RODO (jeśli serwery poza EOG — wymagane odpowiednie zabezpieczenia: decyzja adekwatności, SCC, BCR). Kluczowe ryzyka to: wyciek danych, vendor lock-in, brak kontroli nad serwerami, transfer danych do USA i uzależnienie od dostępności dostawcy.

Umowa powierzenia (art. 28), due diligence dostawcy, DPIA (przy dużej skali), zapewnienie bezpieczeństwa (szyfrowanie, kontrola dostępu), prawidłowy transfer danych (serwery w EOG lub odpowiednie zabezpieczenia), rejestr czynności przetwarzania.

Po wyroku Schrems II (2020) i nowym EU-US Data Privacy Framework (2023) — tak, jeśli dostawca jest certyfikowany w DPF. Bez certyfikacji DPF — wymagane Standard Contractual Clauses (SCC) z dodatkową oceną ryzyka transferu. Europejskie serwery to najbezpieczniejsza opcja.

Checklist: serwery w EOG, certyfikaty (ISO 27001, SOC 2), gotowa umowa powierzenia, transparentność subprocesorów, szyfrowanie danych (w spoczynku i tranzycie), regularne audyty bezpieczeństwa, procedura reagowania na naruszenia i możliwość eksportu danych.

Umowa powierzenia powinna regulować: prawo do eksportu danych, format eksportu, termin zwrotu danych i potwierdzenie usunięcia po zakończeniu umowy. Plan awaryjny: regularne backup lokalne, dokumentacja procesu migracji, alternatywny dostawca.

Tak — obowiązek informacyjny obejmuje podanie odbiorców/kategorii odbiorców danych. Pracownik powinien wiedzieć, że dane przetwarzane są przez zewnętrznego dostawcę. Przy transferze poza EOG — dodatkowa informacja o podstawie prawnej transferu.

Powiązane pojęcia

Dane biometryczne pracowników

Inspektor Ochrony Danych (IOD)

Monitoring pracowników

Naruszenie ochrony danych osobowych

Obowiązek informacyjny RODO