Vat

Audyty RODO w dziale HR

Krzysztof Grabowski,  Inspektor Ochrony Danych Osobowych Crowe 
2020-09-30
Vat
W większości firm działy HR to miejsce, gdzie przetwarza się najwięcej danych osobowych. Które dokumenty z tego obszaru podlegają audytom RODO?

Już podczas rekrutacji pozyskuje się dane od kandydata do pracy. Kiedy niektórzy z nich stają się pracownikami, ich dane trafiają do dokumentacji wewnętrznej pracodawcy, instytucji publicznych, klientów czy dostawców usług. Po zakończeniu współpracy pracownicy stają się alumnami firmy, a ich dane są przechowywane zgodnie z ustawowymi czasami retencji.

Audyt procesu rekrutacji

Podczas procesu rekrutacyjnego z punktu widzenia audytora najważniejsza jest zgodność pozyskiwania danych osobowych z RODO. Podczas audytu sprawdzane są takie dokumenty jak:

  • Obowiązek informacyjny w procesie rekrutacyjnym
  • Zgody na przetwarzanie danych kandydatów do pracy
  • Kwestionariusz dla kandydatów do pracy
  • Rejestr czynności przetwarzania danych osobowych
  • Raport z oceny ryzyka (DPIA jeśli niezbędna)
  • Umowy powierzenia danych osobowych (jeśli w procesie występują inne podmioty)
  • Polityki dotyczące bezpieczeństwa danych i inne dokumenty powiązane

Jakie dokumenty podlegają audytowi w procesach kadrowo-płacowych?

Obsługa kadrowo - płacowa jest najbardziej rozbudowaną częścią audytu, zarówno od strony czasochłonności, jak i systematyczności przetwarzania danych osobowych. Ilość czynności i dokumentów jest zależna od wielkości firmy i ilości benefitów przysługujących pracownikom. Do weryfikacji zgodności przetwarzania danych z RODO służą takie dokumenty jak:

  • Obowiązek informacyjny w procesach kadrowo-płacowych
  • Kwestionariusze dla pracowników
  • Rejestr czynności przetwarzania danych osobowych
  • Upoważnienie do przetwarzania danych osobowych (w tym szczególne)
  • Raport z oceny ryzyka (DPIA jeśli niezbędne)
  • Umowy powierzenia danych osobowych (jeśli występują inne podmioty)
  • Obowiązki dotyczące przetwarzania danych z ZFŚŚ (jeśli występuje)
  • Obowiązki dotyczące przetwarzania danych z monitoringu wizyjnego (jeśli występuje)
  • Wzory umów o pracę
  • Polityki, procedury, instrukcje stanowiskowe dotyczące przetwarzania danych osobowych w firmie/dziale HR
  • Szkolenie z tematyki ochrony danych osobowych wraz z zaświadczeniami o jego odbyciu

Jak często należy wykonywać audyt RODO w dziale HR?

W ciągu ostatnich dwóch lat obserwowaliśmy bardzo dużą liczbę zmian wdrożonych w firmach w związku z wejściem w życie RODO. Mimo to wciąż wiele obszarów nie zostało jeszcze dostosowanych do obecnych wymogów prawnych. Z tego powodu zaleca się przeprowadzenie audytu przynajmniej raz do roku. Najskuteczniejszym sposobem weryfikacji zgodności procedur z przepisami jest zlecenie audytu niezależnej firmie, wówczas firma zyska gwarancję, że wszystkie zagadnienia zostały sprawdzone rzetelnie.

Skontaktuj się z ekspertem

Krzysztof Grabowski
Krzysztof Grabowski
Inspektor Ochrony Danych Osobowych
Crowe

Ochrona danych osobowych