Dlaczego dane osobowe pracowników są szczególnie wrażliwe po RODO
Nierówność stron w relacji pracodawca–pracownik
Relacja pracodawca–pracownik jest z natury nierówna. Pracownik zależy od pracodawcy finansowo, organizacyjnie i często także wizerunkowo. Z tego powodu RODO traktuje dane pracownicze jako obszar podwyższonego ryzyka nadużyć. Jeżeli pracownik ma poczucie, że od zgody na przetwarzanie danych „może zależeć” jego posada, to taka zgoda rzadko kiedy jest w pełni dobrowolna. Dlatego ustawodawca wprost wskazał, że w stosunkach pracy podstawą przetwarzania danych są przede wszystkim przepisy prawa, a zgoda jest wyjątkiem.
W praktyce oznacza to, że im bardziej pracodawca opiera przetwarzanie danych osobowych pracowników na jasnych przepisach (Kodeks pracy, ustawy szczególne), a nie na „prewencyjnych zgodach na wszystko”, tym bezpieczniej. Minimalizuje to ryzyko zarzutu wymuszania zgody czy wykorzystywania przewagi kontraktowej. Jednocześnie wymusza na pracodawcy krytyczne podejście do tego, jakie informacje o pracowniku są faktycznie niezbędne.
Na bezpieczeństwo przetwarzania danych po RODO wpływa również skala i głębokość informacji o pracowniku. W jednym miejscu gromadzone są dane identyfikacyjne, rodzinne, finansowe, zdrowotne, a czasem także dane o karalności. Taka koncentracja informacji przyciąga uwagę osób nieuprawnionych i sprawia, że ewentualne naruszenie ma bardzo dotkliwe skutki.
Zmiana podejścia do danych pracowniczych po RODO
Przed wejściem RODO wiele firm traktowało dane pracowników wyłącznie jako „materiał księgowo-kadrowy”. Koncentrowano się głównie na tym, czy dokumenty są kompletne z punktu widzenia ZUS, urzędu skarbowego czy PIP. Po RODO punkt ciężkości przesunął się na bezpieczeństwo, zasadność i zakres przetwarzania. Sama kompletność akt osobowych nie wystarcza, jeśli w tych aktach znajdują się informacje zbierane „na wszelki wypadek” lub bez podstawy.
RODO wymusiło też większą transparentność. Pracownicy są dziś znacznie lepiej poinformowani o swoich prawach, z czego część firm początkowo nie doceniała. Pojawiły się wnioski o dostęp do danych, żądania kopii akt osobowych, pytania o odbiorców danych czy okresy przechowywania. Tam, gdzie procedury nie były przemyślane, dział kadr stawał się wąskim gardłem, a odpowiedzi udzielane „na szybko” tylko zwiększały ryzyko błędu.
Skutki naruszeń w obszarze HR
Naruszenia ochrony danych w obszarze HR są szczególnie dotkliwe, bo dotyczą wprost prywatnej sfery pracownika. Ujawnienie informacji o wynagrodzeniu, stanie zdrowia, zadłużeniu czy konflikcie z przełożonym może prowadzić do realnej szkody: utraty reputacji, nadszarpnięcia relacji rodzinnych, pogorszenia sytuacji zawodowej. Tego rodzaju szkody są potem podstawą roszczeń odszkodowawczych przeciwko pracodawcy.
Na poziomie formalnym trzeba liczyć się z dwoma typami konsekwencji. Po pierwsze, z sankcjami administracyjnymi nakładanymi przez UODO – od upomnień, przez zalecenia, aż do dotkliwych kar finansowych. Po drugie, z odpowiedzialnością cywilną względem konkretnego pracownika, a w określonych sytuacjach także z odpowiedzialnością karną osób, które dopuściły się umyślnego ujawnienia danych lub ich nieuprawnionego pozyskania.
Długoterminowo największym kosztem bywa jednak utrata zaufania zespołu. Jeśli pracownicy dowiadują się, że ich dane „wyciekły” lub że przełożony nieuprawnienie przeglądał ich akta osobowe, odbija się to na atmosferze, chęci współpracy, gotowości do zgłaszania problemów. Bezpieczeństwo danych kadrowych staje się więc elementem kultury organizacyjnej, a nie tylko kwestią „papierologii”.
Typowe sytuacje ryzyka w HR
Szczególne ryzyko naruszeń pojawia się w kilku powtarzalnych sytuacjach. Pierwszą jest rekrutacja: gromadzenie CV, notatek rekrutera, wyników testów kompetencyjnych. Jeśli proces nie jest opisany i uporządkowany, dokumenty kandydatów leżą na biurkach lub „na wspólnym dysku”, bez kontroli okresów przechowywania. Drugim newralgicznym momentem są zwolnienia i restrukturyzacje, gdy rośnie liczba maili, pism, zestawień dotyczących konkretnych pracowników.
Ryzykowne są też spory sądowe i konflikty wewnętrzne. Wtedy łatwo o to, by „na szybko” kopiować całe akta osobowe, przesyłać je mailem, drukować dodatkowe egzemplarze. Jeśli żaden przełożony nie pilnuje procesów, a kadry działają pod presją czasu, powstaje wiele zbędnych kopii danych, nad którymi nikt już nie panuje. To właśnie z takich sytuacji biorą się późniejsze incydenty – zgubiony pendrive z aktami, wydruk pozostawiony w sali konferencyjnej czy błędnie zaadresowany e-mail z wrażliwymi załącznikami.
Częstym problemem jest także „kontrolny” dostęp przełożonych do zbyt szerokiego zakresu informacji. Jeśli kierownik może bez ograniczeń przeglądać całą teczkę osobową, włącznie z danymi zdrowotnymi i informacjami o karalności, to nawet przy dobrej woli powstaje ryzyko nieuprawnionego wykorzystania tej wiedzy przy ocenie pracy czy planowaniu awansów.
Podstawy prawne przetwarzania danych pracowników – co wolno, a czego nie
Główne źródła prawa dotyczące danych pracowniczych
Bezpieczne przetwarzanie danych osobowych pracowników zaczyna się od zrozumienia podstaw prawnych. Kluczowe są cztery grupy przepisów: RODO jako akt ogólny, ustawa o ochronie danych osobowych jako uzupełnienie RODO, Kodeks pracy oraz ustawy branżowe (np. dotyczące ochrony zdrowia, oświaty, sektora finansowego). Dodatkową rolę odgrywa ustawa o narodowym zasobie archiwalnym i archiwach, która określa zasady długotrwałego przechowywania dokumentacji.
RODO określa ogólne zasady: legalność, rzetelność, przejrzystość, minimalizację danych, ograniczenie celu, integralność i poufność. Kodeks pracy doprecyzowuje, jakie dane pracodawca może pozyskiwać od kandydata i od pracownika, a także jak długo musi przechowywać określone dokumenty. Ustawy szczególne dorzucają kolejne elementy – np. obowiązek przechowywania wyników badań lekarskich przez określony czas czy zasadność żądania informacji o niekaralności na danym stanowisku.
Dla działu kadr ważne jest, aby przy każdym procesie (rekrutacja, zatrudnienie, rozliczenia płacowe, BHP, szkolenia) dało się jasno wskazać konkretny przepis, który wymaga lub umożliwia przetwarzanie danych. Im bardziej ogólne odwołania („robimy to, bo tak się przyjęło”), tym większe ryzyko zakwestionowania działań przez organ nadzorczy lub sąd.
Przetwarzanie „na podstawie prawa” a „na podstawie zgody”
RODO wyróżnia kilka podstaw przetwarzania danych osobowych. W relacji pracodawca–pracownik dominują trzy: spełnienie obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c), wykonanie umowy o pracę (lit. b) oraz uzasadniony interes administratora (lit. f). Zgoda (lit. a) pojawia się w stosunkach pracy znacznie rzadziej, bo jej dobrowolność jest w tym kontekście podważana przez nierówność stron.
Jeśli dany obowiązek wynika wprost z przepisów – np. konieczność odprowadzania składek, przechowywania akt osobowych przez określony czas, prowadzenia ewidencji czasu pracy – podstawą przetwarzania jest prawo. Pracodawca nie pyta o zgodę, tylko informuje o tym, że przetwarza dane, ponieważ przepisy tego wymagają. W takiej sytuacji pracownik nie może „cofnąć zgody” i zażądać zaprzestania przetwarzania, bo bez tego wykonanie obowiązków byłoby niemożliwe.
Znaczenie ma również kontekst nowych technologii. Po wejściu w życie Nowe zasady przetwarzania danych osobowych po wdrożeniu RODO zaczęto intensywniej wykorzystywać elektroniczne teczki osobowe, zdalny dostęp do systemów kadrowo–płacowych czy automatyzację procesów HR. To przyspieszyło pracę, ale jednocześnie podniosło poprzeczkę w zakresie zabezpieczeń technicznych i kontroli dostępu.
Zgoda pracownika może się pojawić w obszarach, w których nie ma wyraźnej podstawy prawnej, a przetwarzanie nie jest konieczne do wykonania umowy. Typowy przykład to wykorzystanie wizerunku w materiałach promocyjnych czy udział w dobrowolnych programach benefitu (np. dodatkowe pakiety medyczne, konkursy). Trzeba jednak zadbać, aby nie tworzyć sztucznych warunków, w których brak zgody faktycznie szkodzi pracownikowi (np. obniża premię czy wpływa na ocenę).
Katalog danych, które wolno żądać od kandydata i pracownika
Art. 221 Kodeksu pracy szczegółowo określa, jakich danych osobowych można żądać od kandydata i od zatrudnionego. Od kandydata pracodawca może oczekiwać m.in. imienia i nazwiska, daty urodzenia, danych kontaktowych, wykształcenia i przebiegu dotychczasowego zatrudnienia – ale tylko w zakresie niezbędnym dla stanowiska. Od pracownika katalog rozszerza się o dane takie jak adres zamieszkania, numer PESEL (lub rodzaj i numer dokumentu tożsamości), dane konieczne do rozliczeń podatkowych i ubezpieczeniowych, a także informacje o członkach rodziny, jeśli są niezbędne np. do świadczeń z ubezpieczenia społecznego.
Praktyczną konsekwencją tego przepisu jest zakaz żądania dodatkowych informacji wyłącznie „z ciekawości” lub na wszelki wypadek. Przykładowo, pytanie o stan cywilny, plany rodzicielskie, wyznanie, poglądy polityczne czy przynależność do związków zawodowych jest poza zakresem dozwolonych danych. Jeżeli pracodawca otrzyma takie informacje „przy okazji” (np. kandydat sam je wpisze w CV), powinien je zignorować przy ocenie i w miarę możliwości nie utrwalać.
Dane szczególnej kategorii (tzw. dane wrażliwe) – dotyczące zdrowia, pochodzenia rasowego lub etnicznego, przekonań religijnych, orientacji seksualnej – co do zasady nie powinny być zbierane w procesie rekrutacji, a później przetwarzane tylko wtedy, gdy nakazują to przepisy prawa lub jest to absolutnie niezbędne do realizacji uprawnień pracowniczych (np. odpowiednie dostosowanie stanowiska pracy ze względu na niepełnosprawność).
Badanie trzeźwości, zdrowia i karalności – kiedy to legalne
Po zmianach w przepisach pracodawca może – na określonych zasadach – przeprowadzać kontrolę trzeźwości pracowników, jeśli jest to niezbędne do ochrony życia i zdrowia pracowników lub innych osób, albo ochrony mienia. Konieczne jest jednak wprowadzenie odpowiednich postanowień w regulaminie pracy lub obwieszczeniu, wskazanie grup pracowników objętych kontrolą, sposobu przeprowadzania badań oraz okresu przetwarzania informacji o wynikach. Same wyniki badania trzeźwości są danymi szczególnej kategorii, więc ich przetwarzanie wymaga podwyższonych zabezpieczeń.
Badania lekarskie wstępne, okresowe i kontrolne wynikają wprost z Kodeksu pracy i przepisów BHP. Dane o stanie zdrowia powinny być przetwarzane w minimalnym zakresie – kadry nie muszą znać szczegółowej diagnozy, a jedynie informację, czy pracownik jest zdolny do pracy na danym stanowisku i na jakich warunkach. Szczegółowa dokumentacja medyczna pozostaje po stronie jednostek medycyny pracy.
Informacje o niekaralności można pozyskiwać tylko w ściśle określonych przypadkach, gdy wymagają tego przepisy szczególne (np. praca w sektorze finansowym, oświacie, ochronie osób i mienia, niektóre stanowiska z dostępem do informacji niejawnych). Wówczas trzeba zadbać o to, by zakres żądanych informacji nie wykraczał poza to, co przewiduje ustawa, a okres przechowywania dokumentów potwierdzających niekaralność był dostosowany do celu (np. tylko na czas trwania stosunku pracy).
Źródło: Pexels | Autor: Markus Winkler
Minimalizacja danych w praktyce kadrowej – mniej znaczy bezpieczniej
Jak stosować zasadę minimalizacji przy rekrutacji
Zasada minimalizacji danych oznacza, że przetwarzać można wyłącznie takie dane, które są niezbędne do osiągnięcia konkretnego celu. W rekrutacji celem jest wybór odpowiedniej osoby na określone stanowisko, a nie poznanie szczegółów życia prywatnego kandydatów. Pytania o hobby, sytuację rodzinną czy plany na przyszłość bywają kuszące, lecz z punktu widzenia RODO trudno uzasadnić ich konieczność.
Bezpieczniejszym rozwiązaniem jest konstruowanie formularzy rekrutacyjnych w sposób „twardo” ograniczający pole do zbędnych danych. Zamiast otwartego pola „o mnie” lepiej zastosować konkretne pytania dotyczące doświadczenia, kompetencji i dostępności kandydata. Jeśli kandydat dobrowolnie w CV zamieszcza np. datę urodzenia czy zdjęcie, pracodawca nie ma obowiązku ich natychmiast usuwać, ale nie powinien na nich opierać decyzji.
Warto również zadbać o to, aby rekruterzy i przełożeni biorący udział w rozmowach kwalifikacyjnych mieli jasne wytyczne dotyczące tematów, których nie poruszają. Pytania o ciążę, choroby przewlekłe, plany małżeńskie, praktyki religijne czy przynależność partyjną nie tylko łamią RODO, ale też narażają firmę na zarzut dyskryminacji. Spisanie takiej „czarnej listy pytań” oraz krótkie szkolenie zespołu rekrutacyjnego skutecznie ogranicza ryzyko.
Przegląd dokumentów HR pod kątem nadmiarowych danych
Dobrą praktyką jest cykliczny przegląd stosowanych w firmie dokumentów kadrowych: kwestionariuszy osobowych, wniosków urlopowych, formularzy delegacji, oświadczeń oraz wzorów zgód. Celem jest wychwycenie pól, które zbierają więcej informacji niż potrzeba. Często okazuje się, że formularze powielają stare wzory lub zawierają rubryki, których nikt od dawna nie wykorzystuje.
Automatyczne czyszczenie i ustalanie okresów przechowywania
Minimalizacja danych nie kończy się na etapie zbierania. Równie istotne jest ustalenie, jak długo konkretne informacje pozostają w systemach kadrowych. Dokumentacja związana z zatrudnieniem, wynagrodzeniem czy BHP podlega odrębnym okresom archiwizacji, wynikającym z przepisów szczególnych. Po ich upływie dane należy usunąć lub zanonimizować, chyba że inny przepis wymaga dłuższego przechowywania.
Praktycznym narzędziem jest „polityka retencji” dla działu HR, która w prosty sposób wskazuje: rodzaj dokumentu, podstawę prawną, okres przechowywania, sposób i miejsce archiwizacji oraz tryb usuwania. Taką tabelę można zintegrować z systemem kadrowo–płacowym, aby część procesów porządkowania danych odbywała się automatycznie – np. archiwizacja teczek po upływie określonej liczby lat, usuwanie zgód marketingowych po zakończeniu współpracy czy anonimizacja danych kandydatów po zamknięciu rekrutacji.
Jeśli dane są przechowywane dłużej „na wszelki wypadek”, rośnie ryzyko naruszeń i skarg. UODO zwraca szczególną uwagę na przypadki, gdy w teczkach osobowych czy na dyskach działu HR znajdują się dokumenty sprzed kilkunastu lat, bez jasnej podstawy do dalszego przetwarzania. Uporządkowanie archiwum – także elektronicznego – często wymaga jednorazowego projektu porządkowego, ale potem utrzymanie porządku sprowadza się do rutynowych przeglądów.
Minimalizacja w systemach IT i komunikacji wewnętrznej
Minimalizacja danych to również pytanie o to, co realnie musi się znaleźć w wykorzystywanych narzędziach. Jeśli w systemie raportowym do analizy kosztów kadr wystarczy numer identyfikacyjny pracownika, nie ma potrzeby wyświetlania pełnego imienia i nazwiska. Jeśli listy obecności są prowadzone w aplikacji do rejestracji czasu, nie trzeba dodatkowo utrwalać ich w formie papierowych arkuszy z podpisami.
W komunikacji wewnętrznej dobrze sprawdza się zasada: im szerszy krąg odbiorców, tym mniej danych osobowych. Przykładowo, informacja o wynikach badań okresowych powinna trafiać wyłącznie do HR i przełożonego, a nie być przedmiotem korespondencji na ogólnodziałowych grupach. Podobnie w przypadku procedur oceny okresowej – raporty zbiorcze mogą być anonimowe lub pseudonimizowane, o ile nie ma potrzeby ujawniania konkretnych nazwisk.
Obowiązek informacyjny wobec pracownika – jak komunikować się zgodnie z RODO
Zakres informacji, które trzeba przekazać
Obowiązek informacyjny oznacza konieczność poinformowania osoby, której dane dotyczą, o najważniejszych aspektach przetwarzania: tożsamości administratora, celach i podstawach przetwarzania, odbiorcach danych, okresach przechowywania oraz prawach przysługujących pracownikowi. W środowisku HR ten obowiązek pojawia się wielokrotnie – przy rekrutacji, zawieraniu umowy, zmianie zakresu obowiązków, wdrażaniu nowych narzędzi IT, a nawet przy monitoringu czasu pracy czy wideo–monitoringu.
Informacja powinna być napisana językiem zrozumiałym dla przeciętnego pracownika, bez długich cytatów z przepisów. Dobrze jest podzielić ją na krótkie sekcje, odnoszące się do konkretnych procesów: „rekrutacja i zatrudnienie”, „rozliczanie wynagrodzeń i benefitów”, „monitoring wizyjny i systemy kontroli dostępu”, „szkolenia i rozwój”. Taki podział ułatwia późniejsze aktualizacje – np. po wdrożeniu nowego narzędzia do ewidencji czasu pracy wystarczy doprecyzować odpowiednią sekcję.
Jak i kiedy przekazywać klauzule informacyjne
W praktyce najlepiej, jeśli obowiązek informacyjny jest zintegrowany z kluczowymi dokumentami HR. Kandydat może otrzymać link do klauzuli przy wypełnianiu formularza aplikacyjnego lub w treści ogłoszenia, pracownik – wraz z umową o pracę lub w pakiecie dokumentów przy onboardingu. Jeżeli w firmie funkcjonuje intranet, wygodnym rozwiązaniem jest utrzymywanie tam aktualnej wersji informacji o przetwarzaniu oraz odwoływanie się do niej w poszczególnych formularzach.
Obowiązek informacyjny nie jest jednorazowy. Gdy zmienia się cel lub podstawa przetwarzania, pojawia się nowy odbiorca danych (np. zewnętrzny dostawca benefitów) albo wdrażany jest monitoring wcześniej nieużywany, pracownik powinien ponownie otrzymać informację. Nie chodzi o każdorazowe wręczanie obszernego dokumentu – czasem wystarczy krótkie uzupełnienie, o ile wyraźnie wskazuje, co się zmienia i gdzie znaleźć pełną treść klauzuli.
Przejrzysty język zamiast „ściany tekstu”
Z punktu widzenia RODO liczy się nie tylko to, czy informacja została formalnie przekazana, ale też czy pracownik mógł ją realnie zrozumieć. Zbyt rozbudowane, wielostronicowe klauzule, pełne prawniczego żargonu, są w praktyce nieskuteczne – pracownicy ich nie czytają, a w razie sporu trudno wykazać, że proces był przejrzysty.
W wielu firmach dobrym krokiem okazało się przygotowanie dwóch poziomów informacji: skróconej wersji, syntetycznie opisującej najważniejsze kwestie, oraz pełnej, bardziej szczegółowej, dostępnej na żądanie lub w intranecie. Takie podejście wpisuje się w zalecaną przez organ nadzorczy „warstwową” formę przekazywania informacji. Dział kadr może też współpracować z działem komunikacji wewnętrznej, aby zadbać o spójny ton i jasny przekaz.
Źródło: Pexels | Autor: Pixabay
Upoważnienia, zakres dostępu i zasada „need to know” w dziale kadr
Dlaczego formalne upoważnienia nie mogą być fikcją
Upoważnienie do przetwarzania danych osobowych to nie tylko podpisany druczek do teczki. To przede wszystkim określenie, które osoby, w jakim zakresie i w jakim celu mają dostęp do konkretnych informacji. Brak jasnych upoważnień często wychodzi na jaw dopiero po incydencie – np. gdy były pracownik działu kadr nadal ma aktywny dostęp do systemu kadrowego lub gdy specjalista ds. płac loguje się na konto innego pracownika.
Upoważnienia powinny być spójne z faktycznym podziałem zadań w HR: inne dla osób obsługujących rekrutację, inne dla zespołu płacowego, inne dla specjalistów ds. BHP czy szkoleń. Dokument może mieć formę krótkiej tabeli, w której wskazane są podstawowe kategorie danych (np. dane płacowe, dokumentacja chorobowa, informacje o karach porządkowych) oraz zakres uprawnień (odczyt, wprowadzanie, usuwanie, eksport).
Praktyczna implementacja zasady „need to know”
Zasada „need to know” oznacza, że pracownik ma dostęp wyłącznie do tych danych, które są mu rzeczywiście potrzebne do wykonywania obowiązków. W HR, gdzie koncentracja wrażliwych informacji jest bardzo duża, praktyczne zastosowanie tej zasady ma kluczowe znaczenie.
Kilka prostych rozwiązań znacząco ogranicza ryzyko:
techniczne ograniczenie widoczności danych w systemach kadrowych – np. pracownik ds. rekrutacji widzi tylko dane kandydatów i nowych pracowników, ale nie ma dostępu do historii wynagrodzeń całej firmy;
oddzielenie dokumentacji zdrowotnej (zaświadczenia lekarskie, orzeczenia o niepełnosprawności) od pozostałych akt osobowych – tak, aby tylko wybrana grupa osób mogła się z nimi zapoznawać;
stosowanie pseudonimizacji w raportach analitycznych – np. dział controllingu otrzymuje dane o kosztach wynagrodzeń z identyfikatorami zamiast nazwisk.
Zasada „need to know” dotyczy także przełożonych. Kierownik działu nie potrzebuje szczegółowych diagnoz z zaświadczeń lekarskich, aby zaplanować zastępstwa – wystarczy informacja o okresie nieobecności i ewentualnych ograniczeniach w zakresie pracy po powrocie.
Nadawanie, zmiana i odbieranie uprawnień
Upoważnienia i dostęp do systemów HR powinny być powiązane z procesami kadrowymi: zatrudnieniem, zmianą stanowiska, awansem, zakończeniem współpracy. Dobrą praktyką jest stosowanie list kontrolnych (checklist), które uruchamiają odpowiednie działania IT i HR przy każdej takiej zmianie. Jeśli pracownik zostaje przeniesiony z działu rekrutacji do zespołu płac, jego uprawnienia w systemie powinny ulec modyfikacji tego samego dnia.
Wiele naruszeń poufności wynika z braku dezaktywacji kont i uprawnień po odejściu pracownika. Z perspektywy RODO odpowiedzialność za to ponosi administrator danych, czyli pracodawca. Wspólny proces IT–HR, oparty na jasnych terminach i wzajemnym potwierdzaniu wykonania czynności, znacząco zmniejsza ryzyko.
Zabezpieczenia techniczne i organizacyjne w obszarze HR
Bezpieczna praca z dokumentacją papierową
Mimo postępu cyfryzacji, w wielu firmach dokumentacja pracownicza nadal w znacznej części funkcjonuje w formie papierowej. Ochrona takich dokumentów wymaga uporządkowanych, powtarzalnych zasad. Szafy akt osobowych powinny być zamykane na klucz, a dostęp do nich mieć wyłącznie osoby upoważnione. Kluczowe jest uniemożliwienie swobodnego „przechadzania się” po teczkach innym pracownikom, nawet jeśli fizycznie przebywają w tym samym pomieszczeniu.
W codziennej pracy dobrze sprawdzają się proste reguły: niepozostawianie teczek na biurkach po zakończeniu pracy, niszczenie wydruków zawierających dane osobowe w niszczarce o odpowiedniej klasie (a nie w zwykłym koszu), zakaz wynoszenia dokumentacji poza firmę bez zgody przełożonego. Jedno nieuważnie pozostawione na korytarzu zaświadczenie lekarskie czy lista płac potrafi wygenerować poważne zgłoszenie naruszenia do organu nadzorczego.
Ochrona danych w systemach kadrowo–płacowych
Systemy IT wykorzystywane w HR gromadzą bardzo szerokie spektrum informacji: dane identyfikacyjne, dane rodzinne, historię wynagrodzeń, informacje o absencjach chorobowych, wyniki ocen okresowych. Z perspektywy bezpieczeństwa oznacza to konieczność wdrożenia podwyższonego poziomu zabezpieczeń, nie tylko tych wynikających ze standardu firmowego.
Podstawowe elementy to:
silne mechanizmy uwierzytelniania – indywidualne konta użytkowników, wymóg złożonych haseł, dwuetapowe logowanie tam, gdzie to uzasadnione;
regularne aktualizacje oprogramowania i kontrola dostępu od strony administracyjnej (role, profile, logi działań);
szyfrowanie transmisji danych (np. dostęp do systemu wyłącznie przez szyfrowane połączenie) oraz – tam, gdzie to możliwe – szyfrowanie baz danych lub dysków z danymi HR;
rejestracja działań użytkowników (logowanie operacji odczytu, modyfikacji, eksportu danych) oraz okresowa analiza tych logów.
Warto też rozważyć testy bezpieczeństwa (np. audyt konfiguracji systemu kadrowego) przed wdrożeniem lub migracją danych. W praktyce wiele luk wynika z domyślnych ustawień dostarczonych przez producenta, które nie zostały dostosowane do realnych potrzeb i ryzyk działu kadr.
Praca zdalna i wynoszenie danych poza biuro
Upowszechnienie pracy zdalnej sprawiło, że dane pracowników znacznie częściej opuszczają chronione środowisko biura. Specjaliści HR pracują z domu, korzystają z prywatnych łączy internetowych, czasem z prywatnego sprzętu. Bez jasnych zasad rośnie ryzyko utraty nośników, nieautoryzowanego dostępu domowników czy przechwycenia danych.
Bezpieczna organizacja pracy zdalnej wymaga co najmniej:
stosowania służbowego sprzętu z aktualnym oprogramowaniem ochronnym i pełnym szyfrowaniem dysku;
korzystania z firmowej sieci VPN lub innego zabezpieczonego kanału dostępu do zasobów HR;
organizacyjnych zasad przechowywania dokumentów papierowych w domu – np. zamykanej szafki, niszczenia wydruków w niszczarce, a nie w zwykłym koszu.
Dobrym testem jest odpowiedź na pytanie, czy gdyby doszło do kradzieży laptopa lub zagubienia teczki z dokumentami w podróży służbowej, dział kadr byłby w stanie szybko wykazać, jakie dane znajdowały się na nośniku, jakie zabezpieczenia były stosowane i jakie działania podjęto po incydencie. Jeśli odpowiedź jest niepewna, to sygnał do przeglądu procedur.
Szkolenia i podnoszenie świadomości pracowników HR
Nawet najlepsze procedury i narzędzia nie zadziałają, jeśli osoby przetwarzające dane nie rozumieją, po co zostały wprowadzone. W dziale kadr szkolenia z ochrony danych powinny być bardziej szczegółowe niż ogólne szkolenia dla całej firmy – obejmować konkretne scenariusze z codziennej pracy, omawiać najczęstsze błędy i przykłady incydentów.
Przydatna jest forma krótkich, cyklicznych spotkań lub mikro–szkoleń: jak poprawnie wysyłać listy płac mailem, jak przygotowywać zestawienia dla zarządu, jak reagować na żądania udostępnienia danych przez zewnętrzne instytucje (np. policję, komornika, firmę ubezpieczeniową). Tego typu „praktyczny moduł” często ma większy wpływ na realne bezpieczeństwo danych niż rozbudowany, jednorazowy kurs teoretyczny.
Relacje z dostawcami usług HR i przetwarzającymi dane
Coraz więcej procesów kadrowo–płacowych jest powierzanych podmiotom zewnętrznym: biurom rachunkowym, dostawcom systemów kadrowych w modelu SaaS, firmom szkoleniowym czy podmiotom medycyny pracy. Z punktu widzenia RODO oznacza to, że poza administratorem (pracodawcą) w praktyczny obrót wchodzą także procesorzy, czyli podmioty przetwarzające dane w imieniu pracodawcy.
Każde powierzenie przetwarzania danych pracowników powinno mieć oparcie w umowie lub innym instrumencie prawnym, który spełnia wymagania art. 28 RODO. Nie wystarczy ogólna klauzula w umowie o współpracy. Potrzebny jest konkretny opis: zakresu danych, kategorii osób, celu i czasu przetwarzania, rodzaju czynności (np. archiwizacja, hosting, naliczanie płac), a także katalogu środków bezpieczeństwa.
Dobrą praktyką jest stosowanie załącznika do umowy, w którym jasno wskazane są:
typy dokumentów przekazywanych podmiotowi zewnętrznemu (np. listy płac, deklaracje ZUS, raporty obecności);
sposób przekazywania danych (szyfrowany kanał, określona platforma, zakaz przesyłania otwartych plików mailem);
termin usunięcia lub zwrotu danych po zakończeniu współpracy;
zasady korzystania z podwykonawców przez procesora (tzw. podpowierzenie).
Jeśli dostawca systemu HR udostępnia go w chmurze, dział kadr powinien wraz z działem IT przeanalizować lokalizację serwerów, mechanizmy backupu oraz to, czy dane nie są przekazywane poza Europejski Obszar Gospodarczy. W przypadku transferu do państw trzecich trzeba zapewnić odpowiednie zabezpieczenia prawne (np. standardowe klauzule umowne).
Kontrola i audyty procesorów
Administrator danych nie zwalnia się z odpowiedzialności tylko dlatego, że powierzył dane wyspecjalizowanej firmie. RODO wprost przewiduje prawo i obowiązek weryfikacji, czy procesor realizuje powierzony proces zgodnie z umową i przepisami.
Praktycznie można to zorganizować na kilka sposobów:
zapis w umowie o prawie do kontroli (także zdalnej) procesora w uzgodnionym terminie;
obowiązek dostarczenia aktualnych certyfikatów bezpieczeństwa lub raportów z audytów (np. ISO 27001, raporty typu SOC);
okresowe ankiety bezpieczeństwa, w których dostawca opisuje m.in. mechanizmy kontroli dostępu, szyfrowanie, procedury reagowania na incydenty.
Gdy zdarzy się incydent u procesora – np. nieautoryzowany dostęp do systemu kadrowego hostowanego przez dostawcę – administrator nadal odpowiada przed pracownikami i organem nadzorczym. Tym bardziej istotne jest, aby procedura zgłaszania naruszeń przez procesora do administratora była jasna, szybka i precyzyjna (np. określony maksymalny czas zgłoszenia, minimalny zakres informacji).
Analiza ryzyka w procesach kadrowych
Dane pracownicze obejmują wiele kategorii: od standardowych danych identyfikacyjnych po informacje o stanie zdrowia, sytuacji rodzinnej czy przebiegu pracy. Każdy z tych obszarów generuje inne ryzyka. Zamiast ogólnego podejścia „wszystko jest wrażliwe”, bardziej skuteczne jest przeprowadzenie analizy ryzyka z podziałem na konkretne procesy: rekrutację, obsługę bieżącego zatrudnienia, rozliczanie czasu pracy, ocenę okresową, postępowania wyjaśniające lub dyscyplinarne.
Przy analizie ryzyka w HR zwykle ocenia się:
jakie szkody pracownik może ponieść, jeśli dane z danego procesu wyciekną lub zostaną zmodyfikowane;
jak prawdopodobne jest wystąpienie określonego incydentu (np. wysyłka listy płac do niewłaściwego odbiorcy, utrata laptopa, błąd konfiguracji uprawnień);
jakie istniejące zabezpieczenia już są wdrożone i jak działają w praktyce;
czy pojawiły się nowe technologie lub narzędzia (np. nowy system do rekrutacji on-line), które zmieniają profil ryzyka.
Efektem analizy ryzyka powinny być konkretne decyzje: np. wprowadzenie podwójnej kontroli przed wysyłką wrażliwych zestawień, rezygnacja z przesyłania dokumentów w otwartych formatach, zamiana skanów dokumentów na ustrukturyzowane formularze w systemie, ograniczenie okresu retencji dla niektórych kategorii danych.
Ocena skutków dla ochrony danych (DPIA) w obszarze pracowniczym
W przypadku niektórych operacji na danych pracowników RODO wymaga przeprowadzenia oceny skutków dla ochrony danych (DPIA). W praktyce dotyczy to m.in. sytuacji, gdy stosowane są narzędzia monitoringu na dużą skalę lub gdy przetwarzane są szczególne kategorie danych w sposób systematyczny i usystematyzowany.
Ocena skutków może być konieczna, jeśli firma:
wprowadza rozbudowany monitoring wizyjny obejmujący liczne miejsca pracy, w tym strefy, gdzie pracownicy mogą oczekiwać wyższej prywatności;
stosuje systemy śledzenia aktywności na komputerach pracowników (monitoring poczty, klawiatury, aplikacji) w sposób stały i szczegółowy;
prowadzi zautomatyzowaną ocenę pracy, która wpływa na decyzje kadrowe (awanse, premie) w oparciu o zaawansowane narzędzia analityczne.
DPIA wymaga identyfikacji celów i sposobu przetwarzania, opisania ryzyk dla praw i wolności pracowników oraz zaproponowania środków ograniczających te ryzyka. Dobrze, jeśli w procesie tym uczestniczy nie tylko dział kadr, ale także przedstawiciele IT, bezpieczeństwa informacji oraz – gdy jest powołany – inspektor ochrony danych. Dzięki temu łatwiej wypracować rozwiązania, które rzeczywiście działają operacyjnie, a nie jedynie na papierze.
Przetwarzanie danych w kontekście monitoringu pracowników
Monitorowanie pracowników – czy to poprzez kamery, systemy GPS w samochodach służbowych, czy narzędzia informatyczne – jest dopuszczalne, ale mocno uwarunkowane. Podstawowym kryterium jest cel: jeśli monitoring ma służyć bezpieczeństwu osób i mienia, organizacji czasu pracy czy ochronie tajemnicy przedsiębiorstwa, to musi być zaprojektowany w sposób proporcjonalny do tych celów.
Wymaga to m.in.:
jasnego określenia zakresu monitoringu (gdzie, kiedy, w jakim zakresie rejestrowane są dane);
wykluczenia z monitoringu miejsc, gdzie pracownik ma prawo oczekiwać podwyższonej prywatności (np. szatnie, pomieszczenia socjalne, toalety);
określenia okresu przechowywania nagrań czy logów i jego przestrzegania w praktyce;
rzetelnego poinformowania pracowników – zanim monitoring zostanie uruchomiony – o sposobie i zakresie jego działania.
Każdy rodzaj monitoringu powinien być także opisany w wewnętrznych regulacjach (np. w regulaminie pracy) oraz w klauzulach informacyjnych RODO. Pracownik powinien wiedzieć, nie tylko że jest monitorowany, lecz także co dokładnie jest rejestrowane, kto może to oglądać i w jakich sytuacjach materiał dowodowy może być użyty.
Dane o zdrowiu i inne szczególne kategorie danych pracowniczych
Dane o stanie zdrowia, niepełnosprawności, ciąży czy przynależności związkowej należą do szczególnych kategorii danych osobowych. W kontekście stosunku pracy pojawiają się zwykle przy okazji badań profilaktycznych, zwolnień lekarskich, wniosków o zwolnienia od pracy, informacji dla celów podatkowych lub ubezpieczeniowych.
Podstawowe zasady przetwarzania tej grupy danych są bardziej rygorystyczne:
dąży się do ograniczenia dostępu wyłącznie do wąskiej grupy osób, dla których znajomość tych danych jest niezbędna (np. lekarz medycyny pracy, wybrani pracownicy kadr);
informacje medyczne nie powinny być swobodnie kopiowane do innych dokumentów HR – jeśli to możliwe, stosuje się krótkie adnotacje bez szczegółowej diagnozy;
tam, gdzie to uzasadnione, dokumenty zawierające dane wrażliwe przechowuje się w oddzielnych częściach akt lub zbiorach z podwyższonym poziomem zabezpieczeń.
Przykładowo, kierownik działu musi znać okres nieobecności pracownika i ograniczenia wynikające z orzeczenia lekarskiego, ale nie potrzebuje dostępu do rozbudowanej dokumentacji chorobowej. Informację o przyczynie niezdolności do pracy przetwarza zasadniczo lekarz i kadry na poziomie wymaganym przez prawo ubezpieczeniowe, a nie przełożony liniowy.
Okresy przechowywania danych pracowników i archiwizacja
RODO wprowadza silne akcentowanie zasady ograniczenia przechowywania danych. W obszarze HR problem polega na tym, że część dokumentów musi być przechowywana bardzo długo z uwagi na przepisy prawa pracy, podatkowe czy ubezpieczeniowe, a inne można – a wręcz trzeba – usunąć dużo szybciej.
Dobrze przygotowana polityka retencji powinna rozróżniać co najmniej kilka kategorii danych:
dokumentację pracowniczą, dla której przepisy określają konkretne okresy przechowywania (np. akta osobowe, dokumenty płacowe);
dane z rekrutacji osób, które nie zostały zatrudnione – w większości przypadków ich dalsze przechowywanie po zakończeniu procesu wymaga zgody kandydata albo odrębnej podstawy prawnej;
dane z ocen okresowych, planów rozwojowych, raportów HR – często brak jest szczegółowych przepisów, więc okres przechowywania trzeba określić samodzielnie na podstawie analizy ryzyka i uzasadnionych potrzeb organizacji;
dane z monitoringu czy systemów kontroli czasu pracy – tu okresy przechowywania powinny być wyraźnie krótsze i wynikać z celów, do których monitoring został wprowadzony.
Kluczowe jest nie tylko opisanie okresów przechowywania, ale i ich egzekwowanie. Systemy kadrowe i archiwa papierowe powinny mieć zdefiniowane procesy przeglądu i usuwania danych po upływie okresu retencji, z odpowiednim udokumentowaniem tych czynności.
Realizacja praw pracowników jako osób, których dane dotyczą
Pracownik jest jednocześnie stroną stosunku pracy i osobą, której dane dotyczą. Ma więc prawo żądać m.in. dostępu do danych, ich sprostowania, ograniczenia przetwarzania, a w niektórych przypadkach – także usunięcia. W relacji pracownik–pracodawca realizacja tych praw musi uwzględniać obowiązki wynikające z innych przepisów.
Przykład: żądanie usunięcia części dokumentacji z akt osobowych nie może zostać spełnione, jeśli prawo pracy nakazuje jej przechowywanie przez określony czas. Zamiast usunięcia można wówczas rozważyć ograniczenie przetwarzania lub ograniczenie zakresu udostępniania danych wewnątrz organizacji.
gdzie spływają wnioski (np. dedykowany adres e-mail lub formularz);
kto dokonuje wstępnej weryfikacji tożsamości wnioskodawcy;
kto po stronie HR i – ewentualnie – innych działów (np. IT, bezpieczeństwa) analizuje wniosek i przygotowuje odpowiedź;
w jaki sposób dokumentowane są podjęte działania (co szczególnie ważne przy wnioskach o sprostowanie lub ograniczenie przetwarzania).
Przejrzystość takich procedur ułatwia komunikację z pracownikami i redukuje ryzyko sporów. Jeśli organizacja potrafi szybko i rzeczowo wyjaśnić, dlaczego w danym przypadku usunięcie danych jest niemożliwe, a jakie alternatywy są dostępne, poziom zaufania do działu kadr znacząco rośnie.
Dokumentowanie zgodności w dziale kadr
RODO kładzie nacisk na zasadę rozliczalności – administrator nie tylko ma działać zgodnie z prawem, ale też być w stanie to wykazać. Dla HR oznacza to konieczność prowadzenia uporządkowanej dokumentacji, która odzwierciedla rzeczywiste procesy.
W praktyce szczególne znaczenie mają:
rejestr czynności przetwarzania obejmujący procesy pracownicze, wraz z informacją o podstawach prawnych, odbiorcach danych, okresach przechowywania i kategoriach danych;
wzory klauzul informacyjnych stosowanych wobec kandydatów, pracowników, zleceniobiorców i innych osób, z którymi dział kadr pracuje na co dzień;
procedury dotyczące bezpieczeństwa danych w HR (upoważnienia, nadawanie i odbieranie dostępów, reagowanie na incydenty, zasady pracy zdalnej);
dokumentacja szkoleń – listy obecności, programy, materiały – potwierdzająca, że osoby przetwarzające dane zostały odpowiednio przygotowane.
Dzięki temu, gdy pojawi się pytanie ze strony organu nadzorczego lub roszczenie pracownika, dział kadr ma możliwość nie tylko opisać, jak przetwarza dane, lecz także pokazać konkretną dokumentację i historię działań. To diametralnie zmienia pozycję pracodawcy w każdym postępowaniu dotyczącym ochrony danych osobowych.
Najczęściej zadawane pytania (FAQ)
Jakie dane osobowe pracownika może zbierać pracodawca po RODO?
Zakres danych, których może żądać pracodawca, wynika głównie z Kodeksu pracy. Na etapie rekrutacji są to przede wszystkim: imię i nazwisko, dane kontaktowe, wykształcenie i przebieg dotychczasowego zatrudnienia, jeśli jest to potrzebne do oceny kandydata. Po zatrudnieniu dochodzą m.in. PESEL, adres zamieszkania, dane do rozliczeń podatkowych i ZUS, informacje o członkach rodziny, jeśli wpływa to na świadczenia (np. ulgi, zasiłki).
Danych niewymienionych w przepisach (np. prywatny stan zdrowia, poglądy, zdjęcia do intranetu, dane biometryczne do systemu wejść) pracodawca co do zasady nie może żądać „z urzędu”. Jeśli już je przetwarza, musi wykazać wyraźną podstawę prawną lub prawdziwie dobrowolną zgodę, której brak nie może mieć wpływu na zatrudnienie.
Czy pracodawca może opierać się na zgodzie pracownika przy przetwarzaniu danych osobowych?
W relacji pracodawca–pracownik zgoda jest wyjątkiem, a nie regułą. RODO i Kodeks pracy zakładają, że przetwarzanie danych pracowniczych powinno co do zasady opierać się na przepisach prawa (obowiązek prawny, wykonanie umowy) lub uzasadnionym interesie pracodawcy. Wynika to z nierówności stron – trudno mówić o swobodnej zgodzie, jeśli od decyzji pracownika może zależeć jego pozycja w firmie.
Zgoda może mieć sens tylko tam, gdzie:
brak jej wyrażenia nie wpływa na zatrudnienie ani warunki pracy, oraz
pracownik może ją w każdej chwili wycofać bez negatywnych konsekwencji.
Przykładem może być zgoda na publikację wizerunku pracownika w materiałach marketingowych. Zgoda „hurtowa” na dowolne przetwarzanie jest po RODO typowym błędem.
Jakie są konsekwencje naruszenia ochrony danych osobowych pracownika?
Konsekwencje są trójtorowe. Po pierwsze, administracyjne – Prezes UODO może wydać upomnienie, nakazać wdrożenie określonych środków lub nałożyć karę finansową. Po drugie, cywilne – pracownik, którego dane zostały naruszone (np. ujawniono jego wynagrodzenie czy informacje zdrowotne), może dochodzić odszkodowania za doznaną szkodę majątkową lub niemajątkową.
Po trzecie, w skrajnych przypadkach wchodzi w grę odpowiedzialność karna osób fizycznych, które np. umyślnie ujawniły lub bez uprawnienia pozyskały dane. Z perspektywy firmy najbardziej dotkliwa bywa jednak utrata zaufania całego zespołu – po głośnym „wycieku” spada gotowość do współpracy, rośnie liczba skarg i wniosków o dostęp do danych.
Jak bezpiecznie przechowywać akta osobowe i dokumentację kadrową po RODO?
Bezpieczne przechowywanie akt osobowych oznacza połączenie środków organizacyjnych i technicznych. W praktyce chodzi m.in. o:
ograniczony dostęp – tylko osoby, które rzeczywiście potrzebują tych danych do pracy (np. kadry, wybrane osoby z zarządu),
kontrolę kopii – zakaz „na wszelki wypadek” drukowania i kopiowania całych teczek, jasne zasady usuwania zbędnych kopii,
fizyczne zabezpieczenia – zamykane szafy, brak pozostawiania dokumentów na biurkach, zasada „czystego biurka” przy danych wrażliwych,
zabezpieczenia IT – systemy z uprawnieniami, logowaniem dostępu, szyfrowaniem nośników i kopii zapasowych.
Jeśli firma korzysta z elektronicznych teczek osobowych, kluczowe są silne hasła, dwuskładnikowe uwierzytelnianie tam, gdzie to możliwe, oraz regularne przeglądy uprawnień po zmianach stanowisk czy odejściach pracowników.
Jak długo pracodawca może przechowywać dane osobowe pracowników?
Okres przechowywania danych zależy od rodzaju dokumentacji oraz przepisów szczególnych. Akta osobowe pracowników zatrudnionych po zmianach w prawie archiwalnym co do zasady przechowuje się przez 10 lat od zakończenia stosunku pracy (w określonych przypadkach 50 lat), zgodnie z ustawą o narodowym zasobie archiwalnym i archiwach oraz przepisami ubezpieczeniowymi.
Inne dane – np. dokumenty rekrutacyjne kandydatów niezatrudnionych – powinny być przechowywane tylko przez okres niezbędny do zakończenia rekrutacji lub obrony przed ewentualnymi roszczeniami (najczęściej kilka–kilkanaście miesięcy, zgodnie z przyjętą polityką). Przechowywanie dokumentów „na wszelki wypadek” przez lata, bez realnej potrzeby, jest niezgodne z zasadą minimalizacji i ograniczenia celu.
Czy przełożony ma prawo wglądu do całej teczki osobowej pracownika?
Bezpośredni przełożony nie ma z automatu prawa do pełnego wglądu w akta osobowe. W większości przypadków do wykonywania obowiązków wystarczają mu wybrane informacje, np. dane o kwalifikacjach, odbytych szkoleniach, karach porządkowych czy ocenie okresowej. Dane szczególnie chronione – takie jak informacje o stanie zdrowia, ciąży, niepełnosprawności czy karalności – powinny być udostępniane wyjątkowo i tylko wtedy, gdy istnieje jasno określona podstawa prawna oraz realna potrzeba służbowa.
Praktycznie oznacza to stosowanie ograniczonych profili dostępu w systemach HR i jasnych procedur: kto, w jakim celu i na jakiej podstawie może zobaczyć daną część dokumentacji. Zapobiega to sytuacjom, w których kierownik przegląda całą teczkę „z ciekawości” lub wykorzystuje wrażliwe informacje przy decyzjach kadrowych.
Jakie są typowe sytuacje ryzyka naruszeń danych w dziale HR i jak im zapobiegać?
Najwięcej incydentów pojawia się podczas rekrutacji, zwolnień oraz sporów sądowych. Przy rekrutacji ryzyko rośnie, gdy CV i notatki rekruterów są przechowywane na wspólnych dyskach bez kontroli dostępu i bez określonego czasu usunięcia. Przy zwolnieniach i konfliktach częste są błędy typu: wysłanie akt na zły adres e-mail, pozostawienie wydruków w sali konferencyjnej, zgubienie pendrive’a z kopiami dokumentów.
Zapobieganie opiera się na kilku prostych zasadach: jasno opisanych procesach (kto co robi z dokumentami na danym etapie), ograniczeniu liczby osób mających dostęp, szkoleniach dla kadry kierowniczej i HR, a także systematycznej kontroli, czy zbędne kopie danych są na bieżąco usuwane. Przy pracy pod presją czasu (np. szybkie przygotowanie dokumentów do sądu) szczególnie istotne jest, aby ktoś pilnował przestrzegania procedur, zamiast „ratować się” chaotycznym kopiowaniem wszystkiego.
Najważniejsze wnioski
Dane pracowników są obszarem podwyższonego ryzyka, bo relacja pracodawca–pracownik jest z natury nierówna, a zgoda pracownika rzadko bywa w pełni dobrowolna.
Podstawą przetwarzania danych w HR powinny być przede wszystkim przepisy prawa (Kodeks pracy, ustawy szczególne), a nie szerokie, „prewencyjne” zgody na wszystko.
RODO przesunęło akcent z kompletności dokumentacji na legalność, celowość i minimalizację zakresu danych – zbieranie informacji „na wszelki wypadek” zwiększa ryzyko naruszeń.
Naruszenia w obszarze HR uderzają bezpośrednio w prywatność pracownika (wynagrodzenia, zdrowie, zadłużenie, konflikty) i mogą prowadzić do roszczeń odszkodowawczych, sankcji UODO oraz odpowiedzialności karnej.
Utrata zaufania zespołu po incydencie danych często bywa dla firmy kosztowniejsza niż sama kara – bezpieczeństwo danych kadrowych staje się elementem kultury organizacyjnej, a nie wyłącznie wymogiem formalnym.
Najwięcej incydentów powstaje w typowych sytuacjach ryzyka: rekrutacjach, zwolnieniach, restrukturyzacjach, sporach sądowych, gdy akta są kopiowane, drukowane i rozsyłane „na szybko”, bez kontroli nad kopiami.
Zbyt szeroki dostęp przełożonych do pełnych akt osobowych (w tym danych zdrowotnych czy o karalności) tworzy ryzyko nadużyć, np. nieuprawnionego wykorzystania tych informacji przy ocenach, awansach czy zwolnieniach.
