Provedba GDPR-a kroz HR Portal

Svaka tvrtka mora se pozabaviti GDPR-om u svojim poslovnim procesima u HR-u jer u kadrovskoj evidenciji prati osobne podatke fizičkih osoba, u ovom slučaj svojih zaposlenika.

U prijašnjim postovima opisali smo osnovne GDPR pojmove te definirali što HR odjel mora znati o GDPR-u, sada ćemo opisati na koji način vam HR Portal pomaže kod provedbe GDPR-a i rješava operativne probleme kod primjene zahtjeva iz GDPR uredbe.

Glavnina temeljnih principa GDPR-a se svodi na dokumentirano i odgovorno postupanje s osobnim podacima. Između ostalog, GDPR propisuje transparentnost, ograničenje svrhe korištenja podataka, minimizaciju, tj. korištenje samo opsega nužnih podataka za obradu, vremenski rok uporabe podataka – sve ograničeno privolama gdje je to potrebno.

HR Portal omogućuje upravljanje i kontrolu nad svih pet navedenih zahtjeva iz GDPR-a, bez suvišne papirologije.

1) Definicija zbirki i obrada osobnih podataka te minimizacija praćenja

Prateći modul GDPR Portal namijenjen je DPO-u (službeniku za zaštitu osobnih podataka), managementu tvrtke i voditeljima HR-a. U njemu je omogućeno:

• definicija sadržaja svih zbirki osobnih podataka (sa svim GDPR atributima, poput pravnih osnova, kategorija osobnih podataka itd..)
• sadržaju zbirki povezani su s HR Portalom, što vam daje mogućnost za detaljnu “minimizaciju” (jednu od zahtjeva GDPR-a), odnosno ako definirate da neki osobni podatak ne pratite u sustavu, isti će se automatski ukloniti s HR Portal sučelja.
  Npr. ne pratite broj osobne iskaznice, samo je potrebno deaktivirati tu stavku u definiciji kadrovske zbirke podataka i polje broja osobne iskaznice neće više biti vidljivo u sučelju za kadrovske podatke djelatnika.

2) Rok čuvanja zbirki osobnih podataka

Opet smo u GDPR Portalu (pozadinskom modulu HR Portala) gdje za svaku zbirku definirate rok čuvanja podataka. Npr. za zbirku osobnih podataka Evidencija radnog vremena definirate da je rok čuvanja 6 godina (toliko vam nalaže zakon RH). Ljepota i elegancija HR Portala je u tome što ta definicija roka čuvanja nije samo broj na papiru, nego HR Portal će zaista omogućiti brisanje podatka Evidencija radnog vremena nakon isteka 6 godina.

Osim ako ne blokirate brisanje evidencija rada na nekom npr. bivšem djelatniku jer imate otvoren sudski spor s njime (i to je podržano).

3) Pravo ispitanika na informiranost

GDPR nalaže da morate ispuniti “pravo ispitanika na informiranost”. To znači ako vas neki (bivši ili sadašnji) djelatnik zatraži “Koje moje osobne podatke imate arhivirane” – vi mu to morate omogućiti i predati u obliku izvještaja. Zašto da opterećujete vaš HR s takvim poslovima, neka aplikacija odradi taj posao umjesto njih. HR Portal sadrži izvještaj s izlistom svih osobnih podataka djelatnika (prema zbirkama osobnih podataka koje smo definirali u točki 1). Pošto je HR portal “self-service” HR aplikacija, znači svaki djelatnik ima pristup, onda i svaki djelatnika samostalno može povući taj izvještaj i pregledati sve svoje osobne podatke. Jedna briga manje za HR odjel.

4) Pravo ispitanika na ispravak netočnih osobnih podataka i pravo ispitanika na zaborav

Nastavno na prethodnu točku, djelatnik može tražiti ispravak netočnih osobnih podataka ili tražiti brisanje svojih osobnih podataka. Prema GDPR-u vi morate obraditi njegov zahtjev i odgovoriti mu u definiranom roku, potvrdno (da ste njegov zahtjev proveli) ili negativno (da zahtjev nije moguće provesti te razlog zbog kojeg je odbijen).

Kako vam u ovom procesu pomaže HR Portal? Ne, neće HR Portal sam odlučivati o zahtjevu ispitanika, nije (još) toliko umjetno inteligentan. Ali će vam omogućiti da evidentirate zahtjev ispitanika (njegov sadržaj i kada je zaprimljen zahtjev) i odgovor na njega. Uz to će vas podsjećati ako imate postavljene zahtjeve koji čekaju na odgovor, te tako omogućiti kontrolu da su vam procesi i arhiva događaja sukladni GDPR-u.

5) Privole ispitanika

Proces automatskog skupljanja privola djelatnika (bez papirologije) uvelike će vam pomoći ako prilikom usklađivanja s GDPR-om definirate potrebu da skupljanjem nekih privola od djelatnika. Neki od primjera takvih privola mogu biti npr. za skupljanje i obradu nekog osobnih podatka koji nije zakonska obaveza tvrtke, za pravo na prosljeđivanje podataka djelatnika trećim stranama itd.

HR Portal će vam omogućiti da razne privole skupite od djelatnika elegantno i efikasno:

• u pozadinskom modulu GDPR Portala definirate sadržaj privole (tekst i polja koja djelatnik mora upisati)
• kod iduće prijave u HR Portal, aplikacija će svakog djelatnika upozoriti da nova privola čeka na njihov odgovor te ih odvesti na popunjavanje privole
• vi kontrolirate koliko djelatnika je dalo privolu, koji još nisu, odnosno u svakom trenutku ste sigurni da su sve potrebne privole skupljene od djelatnika (ili ako nisu sve skupljene, imate alate s kojim to možete efikasno provesti)

Sustav privola unutar HR Portala podržava, naravno, sve GDPR zahtjeve vezane uz privole: da se privola može povući (opt-out) na jednako jednostavan način kao što je i dana (opt-in), da se u sustavu vodi povijest davanja i povlačenja privola nekog ispitanika itd.

Više o HR Portalu, sustavu za upravljanje ljudskim potencijalima tvrtke.

Što HR odjel mora znati o GDPR-u?

Tema GDPR u internim procesima tvrtke kod obrade osobnih podataka zaposlenika izravno je vezana s funkcionalnostima HR Portala, ali je isto tako i interesantna svim pravnim subjektima jer u tom segmentu svaka tvrtka podliježe pod odredbe nove Uredbe koja u svibnju stupa na snagu u svim zemljama članicama EU-a.

Dakle, čak i ako u svojim bazama i arhivama nemate podatke fizičkih osoba te poslovanje obavljate isključivo s drugim tvrtkama, niste izuzeti od GDPR-a jer baratate osobnim podacima svojih zaposlenika, ugovornih radnika, studenata na praksi, kandidata za zaposlenje itd..

U prethodnom blog postu definirali smo osnovne GDPR pojmove pa ćemo sada prvo te pojmove staviti u kontekst primjera osobnih kadrovskih podataka zaposlenika:

• Ispitanik – u ovom slučaju to je djelatnik (zaposlenik), sadašnji ili bivši, fizička osoba za koju u bazi ili arhivi vodite osobne podatke,
• Vlasnik podataka – to je tvrtka čiju kadrovsku bazu djelatnika promatramo

U prošlom postu pojasnili smo i da Vlasnik podataka prvo mora imenovati Data Protection Officera (DPO-a, službenik za zaštitu osobnih podataka), odnosno napisati odluku o tom imenovanju (ako tvrtka ima više od 20 zaposlenih ili ima manje od 20 zaposlenih, ali u svom poslovanju se bavi obradom osobnih podataka). DPO može biti neki od postojećih zaposlenika, može se zaposliti nova osoba ili outsourcati i ugovoriti vanjskog stručnjaka koji će biti DPO tvrtke.

Početna zadaća DPO-a je da definira i dokumentira postojeće procese, odnosno zbirke podataka, još jedan od pojmova iz GDPR terminologije. Kod HR segmenta poslovanja zbirke bi bile:

• A Kadrovska evidencija zaposlenika
• B Evidencija ostalih radnika (studenti, stručno usavršavanje bez zasnivanja radnog odnosa, ugovori o djelu, agencijski radnici itd.)
• C Podaci obračuna plaća
• D Podaci evidencije radnog vremena
• E Evidencija putnih naloga zaposlenika
• F Baza kandidata prijavljenih na natječaj za radno mjesto
• itd…

Pravni temelji i svrhe prikupljanja zbirki osobnih podataka

Za svaku zbirku koju ste identificirali treba prvo definirati sadržaj zbirke, odnosno koji podaci se prikupljaju i vode u zbirci. Primjer za zbirku A Kadrovska evidencija zaposlenika to je onih 18 vrijednosti koje zakon propisuje da se moraju voditi u kadrovskoj evidencije te dodatni podaci o zaposlenicima (npr. podaci o djeci zaposlenika i njihovoj starosti).

Kada imamo sadržaj zbirke, idemo definirati pravni temelj skupljanja podataka u svaku zbirke.

GDPR predviđa ove osnovne pravne temelje skupljanja osobnih podataka u zbirke:

1. Ispunjenje zakonskih obaveza i propisa
2. Legitimni interes
3. Ugovorna obveza
4. Uz privolu ispitanika

Za osnovni primjer iz prethodnog poglavlja, pravni temelji bi bili:

• Obavezni kadrovski podaci – onih 18 podataka, ovo je jednostavno, zakon nam propisuje da moramo voditi tu evidenciju, dakle pravni temelj je ispunjenja zakona i propisa
• Podaci o djeci zaposlenika – zakon ne propisuje obvezu vođenja ovih podataka, ali pretpostavimo sada da u vašem Pravilniku o radu imate definirano da dane godišnjeg odmora djelatnika definirate prema broju djece i dobi djeteta. U tom slučaju imamo pravni temelj ugovorne obveze, što znači da je tvrtki (vlasniku podataka) taj osobni podatak potreban da bi mogli ispunjavati ugovor, u ovom slučaju Ugovor o radu koji regulira dodjelu godišnjeg odmora sukladno Pravilniku o radu.

Da malo zakompliciramo priču, navesti ćemo ovdje primjer da jedan podatak zbirke možete koristiti u više svrha, gdje svrhe mogu biti zasnovane na različitim pravnim temeljima, te da je to također potrebno dokumentirati u GDPR dokumentaciji. Npr. datum rođenja zaposlenika je:

• obavezan element kadrovske evidencije propisane zakonom pa imamo tu pravni temelj ispunjenja zakona i propisa,
• taj isti datum rođenja koristit ćete u obradi koja izračunava kada djelatnik ostvaruje uvjete za mirovinu, dakle imamo i legitimni interes u provedbi poslovanja kao pravni temelj,
• no ako taj datum rođenja iz baze koristite da HR odjel u ime tvrtke pošalje djelatniku rođendansku čestitku i poklon, to više ne možete ukalupiti u prethodna dva pravna temelja, ovdje imamo svrhu koja uključuje i kontaktiranje zaposlenika bez izravne poslovne potrebe te za ovu svrhu te ako je odlučite koristiti datum rođenja u ovu svrhu, trebat će vam pravni temelj privola djelatnika.

U toj definiciji sadržaja zbirki podataka i svrha njihovog skupljanja možda dođete do zaključka da vam neki osobni podatak ne treba, da nemate svrhe in obrade zbog kojeg skupljate taj podatak. Ili da bi skupljanje i obrada tog podatka zahtijevalo privolu ispitanika (doći ćemo kasnije i do privola) što vam komplicira operativnu provedu tog procesa nasuprot malog benefita od obrade tog podatka. U tom slučaju, sukladno GDPR zahtjevu za minimalizacijom praćenja osobnih podataka na potrebnu mjeru, možete odlučiti da taj podatak više nećete skupljate te izbrisati postojeći sadržaj tog podatka iz zbirke (ili samo ukloniti spornu svrhu obrade tog podatka, ako se podatak i dalje obrađuje u druge svrhe, kao u prethodnom primjeru datuma rođenja).

Periodi čuvanja osobnih podataka

Kada imate dokumentirane zbirke osobnih podataka, sadržaje zbirki te pravne temelje i svrhe u koje se vrše obrade podatka zbirke, potrebno je definirati period čuvanja za svaku zbirku (ili dio zbirke). Po ranije pobrojanim primjerima zbirki to bi bilo:

• A – Kadrovska evidencija zaposlenika – ovdje nam zakon propisuje trajno čuvanje tih podataka pa i mi moramo tako postaviti
• B – Evidencija ostalih radnika (studenti, stručno usavršavanje bez zasnivanja radnog odnosa, ugovori o djelu, agencijski rad itd.) – opet imamo zakonski propis koji nam nalaže da ove podatke moramo čuvati šest godina nakon završetka rada ispitanika
• C – Podaci obračuna plaća – trajno čuvanje podataka
• D – Podaci evidencije radnog vremena – zakon propisuje obavezu čuvanja od šest godina
• E – Putni nalozi – zakon propisuje čuvanje pomoćnih knjiga iz knjigovodstvene poslovne dokumentacije tvrtke na najmanje 11 godina
• F – Baza kandidata prijavljenih na natječaj za radno mjesto – e ovdje nam neće zakon pomoći pa bi onda, u skladu s GDPR-om, ove podatke (uključujući i CV-ove koje su potencijalni kandidati poslali na npr. email) trebali izbrisati u razumnom roku po završetku njihove obrade (odnosno po završetku tog natječaja i odabiru kandidata). Sigurno se sada pitate da što je s recruiting bazom potencijalnih kandidata i njihovih CV-ova koja se može iskoristiti kod budućeg sličnog natječaja? Za formiranje takve baze treba vam privola kandidata, odnosno u procesu skupljanja prijava trebali bi uključiti mogućnost da vam kandidat da privolu za “ulazak u bazu kandidata i mogućnost da vas kontaktiramo kod nekog budućeg natječaja” te omogućiti kandidatu da naknadno, na jednostavan način, može i povući tu privolu (što mora rezultirati uklanjanjem njegovih podataka i CV-a iz daljnje obrade).

Privole – davanja i povlačenje suglasnosti djelatnika

U prethodnim primjerima smo iz par smjerova došli do privola pa ćemo sada detaljnije razjasniti u kojim slučajevima su potrebne privole kod procesa u ljudskim potencijalima tvrtke te kada ih je uputno pokušati izbjeći.

Da bi bila sukladna GDPR-u, privola u svom tekstu mora imati jasno iskaznu svrhe obrade podatka te je važeća samo za te svrhe. Privola ne smije biti općenita, bez svrhe, u smislu “dajem svoj osobni podatak, a voditelj obrade neka koristi taj podatak u bilo koju svrhu“.

Naša preporuka je da privole shvatite kao zadnju mjeru definicije pravnog temelja obrade nekog podatka, odnosno da u uvođenje nove privole ulazite tek kada ni po kojem dugom osnovu, ni izdaleka, ne možete objasniti pravni temelj obrade tog osobnog podatka. U primjeru ljudskih potencijala, ako vam je neki podatak zaposlenika potreban za obavljanje poslovanja te ako će vam poslovanje stati ako zaposlenici povuku hipotetsku privolu za korištenje tog podatka, tada nemojte uvoditi privolu za to, proglasite to pravnim temeljem legitimnog interesa u vašoj GDPR dokumentaciji.

Međutim postoje osobni podaci djelatnika i svrhe korištenja tih podataka gdje ne možete izbjeći uvođenje privola. U tom slučaju, sukladno GDPR-u, morate osigurati:

• da zaposlenik može povući privolu na jednako jednostavan način kao što je dao privolu,
• da vodite kompletnu arhivu promjena statusa privola, npr. zaposlenik može više puta dati i povući istu privolu, morate imati arhivirano u kojim periodima je privola bila aktivna te osigurati (i dokazati u slučaju spora) da se njegov podatak u svrhu iz privole obrađivao samo u tim periodima.

Što tvrtka mora podržati vezano uz osobne podatke djelatnika da bi bila sukladna s GDPR-om?

Nakon što smo u osnovnim crtama objasnili na primjerima iz ljudskih potencijala što su to zbirke, sadržaji zbirke, svrhe obrade i privole, idemo pobrojati koje bi to osnovne cjeline GDPR-a trebalo podržati u HR procesima:

1. Dokumentacija zbirki osobnih podataka – morali bi imati popisano koje zbirke osobnih podataka djelatnika pratite, koje podatke u njima, s kojim svrhama i pravnim temeljima te s kojim periodima čuvanja podataka.
2. Minimalizacija praćenja osobnih podataka – ako se prilikom definicije dokumentacije iz prethodne točke identificiraju neki osobni podaci koji se ne koriste u svrhu obrade te nisu vam ti osobni podaci djelatnika potrebni za poslovne procese, trebali bi osigurati da su ti podaci uklone. Pod ovu cjelinu “minimalizacije” uključit ćemo i primjenu perioda čuvanja podataka svake zbirke, odnosno ono od čega se svaki IT hvata za glavu, da mora brisati (ili učiniti nedostupnim za obradu) podatke neke zbirke starije od npr. 6 godina, ako je tako definirana zbirka.
3. Pravo ispitanika na informiranost – ako vas (sadašnji ili bivši) djelatnik zatraži svoj “record“, odnosno zatraži vas izvještaj o svojim osobnim podacima, tvrtka mu mora dati izvještaj s njegovom osobnim podacima, podacima njegove evidencije radnog vremena, podacima rješenja za godišnji odmor itd..
4. Pravo ispitanika na ispravak pogrešnih podataka – ako vas djelatnik zatraži ispravak osobnog podatka, tvrtka mora osigurati da se taj zahtjev obradi i osobni podatak po potrebi korigira te da se zabilježi obrada zahtjeva ispitanika.
5. Pravo ispitanika na zaborav – djelatnik vas može tražiti da izbrišete njegove osobne podatke (ili samo neki podatak). Tvrtka mora osigurati da se njegov zahtjev obradi, da mu se obrazloži gdje to nije moguće zbog zakonskih ili poslovnih potreba, odnosno da obriše (anonimizira, pseudoanonimizira, učini nedostupnim za obradu, ovo se sve postupci koje GDPR poznaje) osobne podatke tog djelatnika tamo gdje je to moguće.
6. Privole – tvrtka mora osigurati skupljanje i vođenje privola na način sukladan GDPR-u tamo gdje je to potrebno.

Gdje vam tu pomaže HR Portal?

HR Portal omogućava vam strukturirano ispunjenje svih ovih šest zahtjeva koje GDPR postavlja, npr. možete na jednostavan način automatizirati pravo ispitanika na informiranost ili automatizirati sustav skupljanja privola. Kao što je ranije HR Portal omogućio npr. da pratite potvrde primitka platnih listi ili vođenje dokumentacije djelatnika bez papirologije, sada možete i privole voditi bez papira, s elektroničkim privolama svakog djelatnika koji se prijavljuje u HR Portal.

Ovu temu GDPR u HR Portalu detaljnije ćemo opisati u narednom blog postu, ovaj se je već dovoljno odužio.

GDPR – osnovni pojmovi

GDPR (General Data Protection Regulation) je uredba s direktnom primjenom u svim zemljama članicama Europske unije.

(više…)