Raport z audytu zgodności z RODO dokumentacji pracowniczej

Audyt w zakresie zgodności z RODO prowadzenia dokumentacji pracowniczej

Cel audytu:

Ocena zgodności dokumentacji pracowniczej z wymogami Rozporządzenia Ogólnego o Ochronie Danych Osobowych (RODO).

Zakres audytu:

Audyt obejmuje dokumentację pracowniczą, która zawiera dane osobowe pracowników, w tym:

• Akta osobowe pracowników

• Umowy o pracę

• Umowy zlecenia

• Umowy o dzieło

• Świadectwa pracy

• Dokumentacja medyczna pracowników

• Dokumentacja dotycząca wynagrodzeń

• Dokumentacja dotycząca urlopów

• Dokumentacja dotycząca szkoleń

• Dokumentacja dotycząca ocen pracowniczych

• Dokumentacja dotycząca kar dyscyplinarnych

• Dokumentacja dotycząca rozwiązywania umów o pracę

Metody audytu:

Audyt będzie przeprowadzany przy użyciu następujących metod:

• Przegląd dokumentacji pracowniczej

• Rozmowy z pracownikami działu kadr i innych działów, które przetwarzają dane osobowe pracowników

• Analiza procedur przetwarzania danych osobowych

• Weryfikacja zabezpieczeń technicznych oraz systemów informatycznych

Okres przeprowadzenia audytu: 01.03.2024 - 31.03.2024

Dane administratora danych: Firma "Przykładowy Pracodawca" Sp. z o.o.

Imię i nazwisko audytora: Anna Nowak

Imiona i nazwiska osób, które uczestniczyły w audycie: Jan Kowalski, Maria Wiśniewska

Kryteria audytu:

Procespodlegającyweryfikacji Zgodność zwymaganiem Opis sposobu spełnienia wymagania Wynik oceny Rekomendacje

Minimalizacjadanych Art. 5 RODO Dane zbierane podczas zatrudnienia są niezbędne do zrealizowania obowiązków pracodawcy i zgodne z wymaganiami kodeksu pracy. Nie pozyskuje się danych na zapas. Nie wykonuje się kopii dokumentów, jeżeli ich pozyskanie nie jest wymagane przepisami prawa. W organizacji są jasno określone zasady dotyczące zakresu pozyskiwanych danych. Dane są Art. 5 RODO Pracodawca nie przetwarza danych osobowych pracowników w celach innych, niż te, do których zostały zebrane, np. dane kontaktowe pracownika pozyskane podczas procesu zatrudnienia mogą być wykorzystywane przez pracodawcę tylko w celu kontaktu związanego z zatrudnieniem. Jest realizowana Art. 5 RODO Określono czasy retencji poszczególnych rodzajów danych (np. w RCP) i czas ich przechowywania jest przestrzegany. Jest prowadzone brakowanie akt pracowniczych. Zapewniono Poprawność danych jest weryfikowana z dokumentami źródłowymi, określono zasady aktualizacji danych, np. zmiany nazwiska. Zapewniono Art. 6 ust; 1 Pracodawca przetwarza dane w oparciu o przepisy prawa, gdzie dla każdej przetwarzanej informacji zapewniono legalność. Przetwarzanie danych osobowych pracowników powinno znajdować uzasadnienie w przepisach, poza danymi związanymi z umowami, należy zweryfikować dokumenty dotyczące wszelkich uprawnień pracownika, wykształcenia, oświadczenia (także dotyczące uprawnień rodzicielskich), czy zakres danych i cel przetwarzania wynikają z obowiązku prawnego pracodawcy. Udokumentowa Art. 6 ust. 1 Dodatkowe dane są nieobowiązkowe i przekazywane za dobrowolną i świadomą zgodą pracownika. Administrator posiada dowody uzyskania zgody i przechowuje zgody przez cały czas przetwarzania. Dotyczy to w szczególności przetwarzania wizeruku pracownika (identyfiaktory, strony internetowe), danych o niepełnosprawności, czy danych biometrycznych. Jeżeli dane są Art. 6 ust. 1 Administrator zapewnia, że jego interesy są rzeczywiste oraz aktualne, a także żę przeważają nad prawami i wolnościami osób fizycznych (test równowagi). Dotyczy to w szczególności wszelkich form monitoringu pracowników, przetwarzania danych w celach związanych z dochodzeniem roszczeń, promocją pracodawcy na rynku pracy, bezpieczeństwem obiektów. Dane Art. 11 Jeżeli cele, w których administrator przetwarza dane osobowe, nie wymagają lub już nie wymagają zidentyfikowania przez niego osoby, której dane dotyczą, administrator nie ma obowiązku zachowania, uzyskania ani przetworzenia dodatkowych informacji w celu zidentyfikowania osoby, której dane dotyczą, wyłącznie po to, by zastosować się do niniejszego rozporządzenia. Anonimizuje się dane przetwarzane w celach statystycznych i podnoszenia jakości HR. Określono Art. 12-21 Są formalne procedury realizacji praw osób fizycznych, które są znane pracownikom kadr. Procedury określają zasady przekazywania kopii danych (jej forma, zabezpieczenie), aktualizacji danych, usuwania danych (także z systemów oraz kopii zasowych), generowania plików w celu przeniesienia danych, zautomatyzowanego przetwarzania. Zapewniono techniczną możliwość zrealizowania każdego żądania Każde żądanie jest dokumentowane. Obowiązki Art. 13 i 14 Są zatwierdzone klauzule informacyjne dla pracowników. Pracodawca zapewnił realizowanie obowiązków informacyjnych w momencie rozpoczynania zatrudnienia i jest to powiązane z procedurą zatrudnienia. Klauzule są przekazywane stosowanie do celu i zakresu przetwarzania, tzn. w przypadku przetwarzania na podstawie zgody lub prawnie uzasadnionego interesu pracodawcy, jest przekazywana stosowna, dodatkowa klauzula. Przekazuje się pracownikom aktualizacje informacji zawartych w klauzulach. Zapewniono Art. 24 RODO Dane osobowe są przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo, w tym ochronę przed niedopuszczonym lub niezgodnym z prawem przetwarzaniem oraz przed przypadkowym ujawnieniem, użyciem, dostępem, zmianą lub zniszczeniem, za pomocą odpowiednich środków technicznych (zabezpieczenia siedziby, pomieszczeń, dokumentów i systemów). Są polityki ochrony danych osobowych. Można stosować kodeksy postępowania. Uwzględnia się Art. 25 RODO Procedury określają zasady wprowadzania oraz akceptowania zmian, w taki sposób aby uwzględnić ochronę praw osób przed wprowadzeniem zmian. Weryfikacja powinna w szczególności dotyczyć zmian w systemach oraz systemów informatycznych. Stosuje się zasadę domyślnej ochrony prywatności. Zostały zawarte Art. 26 RODO Zweryfikowano, czy istnieją współadministratorzy. W przypadku współadministrowania danymi, zostały zawarte niezbędne porozumienia, a informacje dotyczące współadministrowanych czynności są zarejestrowane w RCP. Jeżeli Art. 27 RODO Pracodawcy spoza EOG wyznaczają przedstawiciela w EOG. Powierzenie Art. 28 RODO Zidentyfikowano podmioty przetwarzające (usługi kadrowe, rachunkowe, informatyczne, niszczenia dokumentów, archiwizacji dokumentów, itp.). Każdy podmiot przetwarzający został zweryfikowany w zakresie gwarancji ochrony danych (np. ankieta bezpieczeństwa, określone wymagania bezpieczeństwa), została z nim zawarta umowa powierzenia, która jest zgodna z wymaganiami art. 28 RODO. Upoważnienie Art. 29 RODO Pracownicy przetwarzający dane kadrowe posiadają upoważnienia, które obejmują dane szczególnych kategorii. Zostali przeszkoleni w zakresie ochrony danych. Rejestr Art. 30 RODO W RCP wpisano czynności związane z zatrudnieniem, zakres informacji jest zgodny ze stanem faktycznym. Bezpieczeństwo Art. 32 RODO Przeprowadzono analizę ryzyka dla ochrony danych kadrowych. Wyniki analizy uwzględniono w zapewnianiu ochrony danych. Stosuje się zabezpieczenia takie jak szyfrowanie oraz pseudonimizacja (dane w systemie kadrowym, załączniki maili, kopie danych). Są opracowane i testowane plany zapewniania ciągłości obsługi kadrowej (odzyskiwanie / odtwarzanie danych po awariach). Naruszenia Art. 33 i 34 Są procedury postępowania przy naruszeniu. Pracownicy kadr zostali przeszkoleni w ich zakresie i wiedzą, jak postępować. Ocena skutków Art. 35 i 36 Zidentyfikowano procesy kadrowe, które wiążą się z wysokim ryzykiem i przeprowadzono dla nich ocenę skutków (np. dla monitoringu wizyjnego). Inpsektor Art. 37-39 Wyznaczono IOD lub inną osobę odpowiedzialną za monitorowanie zgodności z RODO. Pracownicy działu kadr konsultują z tą osobą procesy przetwarzania danych (wzory wykorzystywanych dokumentów, regulaminy, zaangażowanie dostawców usług). Kodeksy Art. 40-43 Zweryfikowano, czy dla organizacji został opracowany i zatwierdzony kodeks postępowania. Jeśli kodeks jest ustanowiony, dokonano decyzji w zakresie jego stosowania. Jeżeli jest stosowany, pracodawca podlega okresowej ocenie zgodności. Zweryfikowano czy certyfikacja zgodności z RODO jest możliwa oraz podjęto decyzję, czy pracodawca podda się certyfikacji. Transfer danych Art. 44-49 Zweryfikowano, czy w jakimkolwiek procesie przetwarzania danych kadrowych, dochodzi do transferu danych. Jeżeli transfer jest realizowany, zostały zapewnione środki legalizujące przekazanie. Uwzględniono w klauzulach informacyjnych kwestie dotyczące transferu danych.

Data i podpis audytora: 2024-04-15

Data i podpis administratora danych: 2024-04-15