Dane osobowe w globalnej firmie: 9 bezpośrednich pytań

4 marca
Tanya Andrianova, Senior Vice President of Human Resources
Dane osobowe w globalnej firmie: 9 bezpośrednich pytań
Od dziesięciu lat odpowiadam za administracyjno-prawne aspekty pracy DataArt w Wielkiej Brytanii. Ponadto wraz z zespołem ds. zgodności nadzoruję umowy z naszymi pracownikami w innych krajach i odpowiadam za ochronę własności intelektualnej i bezpieczeństwo prawne całej DataArt, niezależnie od lokalizacji.

Bezpieczeństwo danych osobowych stało się źródłem niepokoju dla większości użytkowników Internetu. Dla specjalistów IT ta kwestia wygląda jeszcze ostrzej. Każdy, kto śledzi wiadomości branżowe, wie, że dane to „nowa waluta”. Rządy konsekwentnie zaostrzają przepisy dotyczące ich przechowywania i przetwarzania, a ludzie coraz bardziej zwracają uwagę na to, jakie informacje i komu udostępniają. W DataArt jesteśmy przekonani, że kultura obchodzenia się z danymi osobowymi jest ważna zarówno dla pracy przy projektach, jak i dla naszego spokoju ducha. W tym roku zdecydowaliśmy się nawet zorganizować rozszerzone wewnętrzne wydarzenie DataArt Privacy Weeks, dla którego pierwotnie napisałam ten artykuł.

Wydawało mi się jednak, że doświadczenie DataArt w przetwarzaniu danych osobowych może zainteresować nie tylko osoby pracujące w firmie. Zatrudniamy 3000 osób z kilkunastu krajów i zebraliśmy pytania dotyczące ochrony danych pracowników, które od czasu do czasu otrzymujemy od członków naszego zespołu. Myślę, że odpowiedzi na nie są przydatne zarówno dla tych, którzy mają dostęp do danych osobowych innych osób, jak i dla każdego, kto pracuje w międzynarodowych firmach.

Czym są dane osobowe?

Dane osobowe to wszelkie informacje, które pozwalają zidentyfikować konkretną osobę. Najprostsze przykłady to imię i nazwisko, data i miejsce urodzenia, numer telefonu oraz adres domowy lub e-mail. Dane osobowe obejmują również wszelkie informacje o stanie cywilnym, dochodach, wykształceniu i zawodzie, opis umiejętności zawodowych oraz ocenę wyników pracowników.

Dane osobowe mają osobną kategorię zwaną „danymi wrażliwymi”, która obejmuje wszystkie informacje biometryczne, a także wszystkie dane dotyczące zdrowia (w tym niepełnosprawności), preferencji seksualnych, religii, poglądów politycznych i statusu prawnego. Ich przechowywanie i obsługa wymagają specjalnego podejścia i często podlegają odrębnym przepisom. Na Ukrainie nie zostały one jeszcze ustanowione ustawowo, ale powinny zostać przyjęte w 2021 roku. Faktem jest, że jest to część zobowiązań wynikających z układu o stowarzyszeniu z Unią Europejską. Jednak wolimy nie czekać na decyzję prawodawców i już działamy zgodnie z prawem unijnym.

Zakres danych osobowych jest naprawdę szeroki, a kwestia obchodzenia się z nimi już dawno przesunęła się z kwestii etycznej na prawną. Wydaje się, że w teorii każdy rozumie, jak ważna jest ochrona danych osobowych. Ale pytania o to, dlaczego firmy żądają tych lub innych danych, lub dlaczego prawnicy stale nas ostrzegają i zabraniają wielu manipulacji z życiorysami kandydatów lub kontami kolegów, często wciąż są dość mgliste.

Bez jakich informacji o mnie firma nie może się obejść?

Wymiana danych osobowych jest warunkiem zawarcia umowy. Bez tego, poza ustaleniem warunków pracy i wynagrodzenia, prawo nie pozwala na nawiązywanie stosunków pracy. Pracodawca jest prawnie zobowiązany do posiadania wiedzy, kogo zatrudnia, tj. nazwiska i adresu, numeru konta do wysyłania płatności i tak dalej. Pracownika z kolei należy poinformować o nazwie firmy, jej lokalizacji i prowadzonej działalności przed podpisaniem umowy. Ta wymiana danych nie jest podyktowana kaprysem, jest wymagana przez kodeks pracy dowolnego kraju. Zdrowy rozsądek podpowiada również, że logiczne jest potwierdzenie swojej tożsamości przy zatrudnianiu.

Dlaczego w ogóle warto to wyjaśniać? Ponieważ mieliśmy już do czynienia z pytaniami o to, dlaczego firma potrzebuje adresu domowego pracownika. Niedawno nie mogliśmy złożyć oferty kandydatowi, który nie chciał przesłać nam swojego nazwiska w formie zapisanej w paszporcie, ponieważ uznał te informacje za przesadne, a nasze zainteresowanie nimi za podejrzane. Prawdopodobnie niepokój wywołany opowieściami o wycieku danych osobowych z różnych baz danych może przybierać takie formy. Dobrze rozumiemy ten problem i cieszymy się jedynie z ostrożnego podejścia do informacji. Ale tam, gdzie gromadzenie danych jest wymagane przez prawo i tak nie jesteśmy w stanie niczego zmienić.

Prawo pracy zobowiązuje firmy nie tylko do zbierania danych osobowych w celu weryfikacji tożsamości, a czasem kompetencji współpracowników, ale także do ich przechowywania przez cały okres współpracy. W niektórych krajach, na przykład w Wielkiej Brytanii, należy je przechowywać przez trzy lata po zakończeniu stosunku pracy. Ponadto, jeśli paszport pracownika stracił ważność podczas pracy w firmie, a nie podał nam danych z nowego dokumentu, to jest to traktowane jako naruszenie. Nawiasem mówiąc, jeśli osoba zawiera umowę z firmą jako prywatny przedsiębiorca, lista dokumentów, które należy przechowywać, tylko się rozszerza.

Czy to możliwe, że firma za dużo pyta o moją przeszłość?

Weryfikacja to proces zbierania danych osobowych przyszłego pracownika przed rozpoczęciem pracy w firmie. Jest to częściowo wymagane przez prawo pracy, a częściowo ze względów bezpieczeństwa. Przede wszystkim musisz upewnić się, że osoba, która dołączyła do firmy, podała swoje prawdziwe nazwisko. W terminologii inżynierskiej do procedury uwierzytelniania wymagany jest paszport lub dowód osobisty. Dyplom jest także potrzebny do autoryzacji: prawo pracy może wymagać oficjalnego potwierdzenia kompetencji pracownika ubiegającego się o określone stanowiska. Ponadto informacje o wykształceniu mogą być wymagane podczas przetwarzania dokumentów dotyczących relokacji, np. do USA. Do stworzenia profilu, który jest bezpośrednio potrzebny do pracy, potrzebny jest podstawowy zestaw wiedzy i umiejętności nowego współpracownika.

Na życzenie klienta można przeprowadzić dodatkową weryfikację, mogą tego wymagać wewnętrzne przepisy bezpieczeństwa po stronie klienta. Nawiasem mówiąc, często wiąże się to z dostępem do danych osobowych końcowych użytkowników systemu, które obejmuje projekt. Taka kontrola może dotyczyć np. wyroków skazujących lub faktu rejestracji w poradni narkologicznej. Dla samej DataArt takie informacje są niepotrzebne, nie gromadzimy ani nie przechowujemy ich. W przypadku otrzymania takiej prośby o dane wrażliwe przekazujemy ją pracownikowi, który ma prawo udzielić niezbędnych informacji lub odmówić udziału w projekcie. W tym drugim przypadku dobierzemy dla niego inny, gdzie nie ma konieczności dostarczania dodatkowych dokumentów.

Chętnie przyjmujemy osoby z polecenia obecnych i byłych kolegów. W niektórych przypadkach możemy skontaktować się z osobami, z którymi kandydat pracował wcześniej. Jednak zbieranie opinii z poprzednich miejsc pracy odbywa się tylko za zgodą osoby, której bezpośrednio dotyczą.

Niezależne dochodzenia tego rodzaju są:

a) nie do końca legalne (poprzedni pracodawca, zgodnie z prawem, musi odmówić podania nam informacji o osobie bez jej zgody);

b) po prostu irracjonalne.

Jakimi przepisami prawnymi kieruje się DataArt przy zbieraniu i przechowywaniu danych osobowych pracowników?

DataArt ma biura w 11 krajach, z których każdy ma własne zasady. Jednak wybraliśmy najprostszą ścieżkę i ujednoliciliśmy proces. Jako przewodnik wybrano słynne RODO (GDPR, ogólne rozporządzenie o ochronie danych) przyjęte przez UE i Wielką Brytanię. Zasady w nim zawarte są najbardziej rygorystyczne i jasne. W wielu krajach nadal wydają się zbędne, ale z pewnością spełniają wszystkie wymagania stawiane firmom w zakresie pracy z danymi osobowymi w dowolnym miejscu na świecie.

Nawiasem mówiąc, prawa ukraińskie i np. argentyńskie są bliskie RODO i pod wieloma względami się z nim pokrywają. W Stanach Zjednoczonych nie ma jeszcze specjalnego prawa federalnego, ale ogólnie zasady dotyczące postępowania z danymi osobowymi stają się coraz bardziej rygorystyczne na całym świecie. Łatwiej nam nie czekać na ich całkowitą unifikację, ale działać teraz zgodnie z jednym protokołem.

Kto ma dostęp do danych osobowych?

Ograniczony podstawowy zestaw informacji o współpracownikach jest dostępny dla wszystkich pracowników DataArt w wewnętrznym systemie firmy, dane te to imię i nazwisko, zdjęcie oraz dane kontaktowe, jak długo dana osoba pracuje w firmie, a także jej stanowisko i kwalifikacje. Domyślnie nie pokazujemy nawet roku urodzenia i zawsze bezpośrednio pytamy, czy dana osoba chce, aby ta informacja była dostępna. Jeśli dana osoba nie chce, aby składano jej życzenia urodzinowe, taka informacja nie może zostać upubliczniona, chociaż oczywiście pozostanie w dziale księgowości i HR, zgodnie z wymogami prawa.

Wszystkie inne dane, w tym numer paszportu i konta, są dostępne tylko dla ściśle określonej liczby współpracowników:

  • specjaliści HR mają dostęp do numeru paszportu, dowodu osobistego, harmonogramu pracy oraz rejestru poprzednich stanowisk i projektów współpracowników w DataArt,
  • księgowość ma dostęp do numerów kont, danych bankowych i innych informacji dotyczących płatności,
  • travel managerowie mają dostęp do danych paszportowych, ponieważ sporządzają dokumenty niezbędne do podróży służbowych.

Koledzy, którzy często wyjeżdżają w podróże służbowe, czasami proszą o zachowanie kompletnych formularzy wniosków wizowych. Teoretycznie pozwala im to wprowadzić te same dane do nowego profilu bez obecności danej osoby. Pragnienie jest zrozumiałe: każdy, kto otrzymał na przykład wizę brytyjską, prawdopodobnie pamięta pakiet stron, w którym należy podać nazwiska wszystkich bliskich krewnych i wymienić wszystkie posiadane nieruchomości. Ale dla nas te informacje są uważane za zbędne. Nie jest to wymagane do pracy, co oznacza, że managerowie po prostu nie mają prawa go przechowywać bez pisemnej zgody osoby, do której należy.

Jeśli kolega nalega, aby travel manager zachował możliwość wypełnienia wniosku wizowego, wykupienia ubezpieczenia lub w razie potrzeby przesłania dokumentów do hotelu, zezwalamy na przechowywanie rozszerzonego zestawu danych. Ale najpierw prosimy o pisemną zgodę.

Nawiasem mówiąc, klienci bardzo ostrożnie traktują wszelkie dane osobowe naszych współpracowników. Regularnie otrzymujemy prośbę o pozwolenie na zapisanie najbardziej podstawowych informacji, np. od managerów klienta z Wielkiej Brytanii o programistach z Ukrainy. Czasami klienci potrzebują trochę więcej danych osobowych o naszych pracownikach, zwykle tylko w sytuacjach, gdy chcą indywidualnie ustalić zasady dostępu do informacji o swoich klientach i zawrzeć odrębną umowę z konkretną osobą. W każdym przypadku dane naszych współpracowników mogą być przekazywane podmiotom trzecim tylko za ich zgodą.

Przepisy dotyczące danych osobowych pozwalają na ich wymianę między przedstawicielstwami firmy w różnych krajach i są regulowane specjalną umową dotyczącą przetwarzania danych wewnątrz grupy. Dzięki temu masz otwarty dostęp do informacji o współpracownikach w oparciu o zasadę funkcjonalną, a nie geograficzną. Jednocześnie wewnętrzna umowa między spółkami grupy DataArt w różnych krajach zapewnia, że pracownicy w każdej z naszych lokalizacji wiedzą, jak przechowywać i przetwarzać dane osobowe pracowników oraz traktować je ostrożnie. Zależy nam na tym, aby możliwe było wprowadzenie nowego pracownika z Londynu do zespołu na Ukrainie, bez naruszania zasad określonych w RODO.

Gdzie fizycznie przechowywane są dane osobowe i jak są one chronione?

Wszystkie dane są przechowywane w wewnętrznych systemach DataArt. Na przykład w Wielkiej Brytanii jesteśmy zobowiązani do przechowywania kopii paszportów, umów o pracę i rejestrów wszystkich płatności gotówkowych. Przedstawiciele kontroli imigracyjnej lub pracy mogą przyjść do biura w dowolnym momencie bez ostrzeżenia, zażądać wydruków dokumentów dla każdego z naszych pracowników i sprawdzić, gdzie są przechowywane ich dane osobowe.

Wszystkie informacje znajdują się na bezpiecznym serwerze z ograniczonym dostępem, fizycznie zablokowanym zamkiem szyfrowym. Dostęp do danych osobowych można uzyskać od administratorów systemu, którzy je wydają zgodnie z przepisami bezpieczeństwa. Ta zasada obowiązuje wszystkich pracowników, niezależnie od stanowiska.

Większość wycieków informacji jest spowodowana nie luką w zabezpieczeniach systemów komputerowych, ale ludzkim błędem. Dlatego nie tylko ograniczamy dostęp do danych osobowych, ale także stale szkolimy współpracowników, którzy je posiadają. Dla każdego mamy obowiązkowe kursy, regularne szkolenia i warsztaty dla tych, którzy ze względu na swoją pracę często mają kontakt z danymi osobowymi pracowników. Wierzymy, że świadomość jest kluczem do obchodzenia się z danymi osobowymi i staramy się zaszczepić odpowiednią kulturę w DataArt.

Muszę powiedzieć, że koledzy traktują to podejście ze znacznie większym zrozumieniem niż wcześniej. Wiele mówi się o wyciekach i technologiach socjotechnicznych używanych przez oszustów. Mimo to uważamy, że odnieśliśmy sukces we wprowadzaniu bardziej uważnego podejścia do bezpieczeństwa danych osobowych. W przypadku jakichkolwiek wątpliwości zachęcamy do kontaktu ze specjalistami ds. bezpieczeństwa i compliance, którzy zawsze są gotowi odpowiedzieć na pytania.

Czy można przechowywać informacje o kandydatach?

DataArt otrzymuje wszystkie dane kandydatów z otwartych źródeł, np. z portali wyszukiwania ofert pracy. Wprowadzając informacje do systemów wewnętrznych, bezwzględnie ostrzegamy tę osobę, wysyłając jej standardowe powiadomienie o prywatności. Zgodę na przetwarzanie danych osobowych wyraża każdy kandydat, który przesłał nam CV. Każdy, kto wyraził zgodę na wprowadzenie swoich danych do naszej bazy, ale nie otrzymał oferty lub jej nie przyjął, może poprosić nas o usunięcie tych danych z systemów wewnętrznych. Na żądanie jesteśmy zobowiązani odpowiedzieć w ciągu 30 dni. Chociaż w tym przypadku ostrzegamy, że po jakimś czasie nasi rekruterzy mogą się z nimi ponownie skontaktować. Kandydaci niestety nie mają możliwości dowiedzenia się, dlaczego dokładnie zostali odrzuceni wcześniej i dlaczego teraz jest nimi nowe zainteresowanie.

To kolejny powód, aby przypomnieć każdemu, komu zależy na bezpieczeństwie danych osobowych, że informacje np. na portalu LinkedIn o ich kompetencjach pozostają otwarte dla każdego. Możesz tymczasowo wykluczyć kogoś z widoczności, jeśli zapiszesz o nim informacje w wewnętrznej bazie danych.

Negocjacje z obiecującym kandydatem nie zawsze kończą się podpisaniem umowy: dana osoba może nie mieć wystarczającej wiedzy na temat określonej technologii lub wręcz przeciwnie, może nie być wystarczająco zainteresowana konkretnym projektem. W każdym razie, jeśli myślimy o powrocie z nową propozycją w najbliższej przyszłości, proponujemy zapisywanie danych o niej, w tym wyników wywiadów i zadań testowych, w naszym systemie. Jeśli kandydat nie wyrazi sprzeciwu, przechowujemy jego dane przez trzy lata.

Jakie informacje zachowacie, jeśli opuszczę firmę?

Kiedy pracownik odchodzi z firmy, natychmiast usuwamy jego dane osobowe, tj. Sekcję „o”, hobby, wszelkie dane dotyczące członków jego rodziny. Te ostatnie dane mogą nadal znajdować się w naszej ewidencji w przypadku, gdy travel managerowie na prośbę kolegi pomogli im w uzyskaniu wizy.

Imię i nazwisko, daty rozpoczęcia i zakończenia pracy, osobisty adres e-mail oraz informacje o projektach przechowujemy przez trzy lata. To samo dotyczy wyników stażystów, informacji zwrotnych od kierowników projektów i mentorów. RODO i inne akty prawne pozwalają firmom na przechowywanie danych osobowych byłych pracowników „tak długo, jak jest to konieczne”, a polityka wewnętrzna DataArt wyznacza okres trzech lat. Faktem jest, że w tym czasie większość informacji zwykle staje się nieistotna. Każdemu z naszych współpracowników, stażystów czy kandydatów udaje się znacząco podnieść swój poziom zawodowy. W takim przypadku łatwiej jest rozpocząć ponowne zapoznanie się ze specjalistą z "czystym kontem".

Jedynie imię, nazwisko, stanowisko, daty przyjęcia i wyjścia z firmy pozostają w systemie na zawsze. Informacje te są czasami potrzebne byłym pracownikom. Na przykład niedawno kolega, który pracował w DataArt ponad dziesięć lat temu, skontaktował się z nami, aby potwierdzić swoje doświadczenie zawodowe jako programisty, ponieważ emigrował do Kanady.

Jesteśmy również zobowiązani do zachowania wszelkich informacji o płatnościach dla każdego, kto odchodzi z firmy przez kilka lat. Jest to wymagane przez przepisy podatkowe. Nie mamy prawa usuwać takich danych według własnego uznania.

Nawiasem mówiąc, jeśli chcesz usunąć wszystkie informacje o sobie z Facebooka lub innego portalu społecznościowego, ten ostatni jest zobowiązany do zniszczenia wszelkich danych, które mu udostępniłeś. Jeśli jednak kupiłeś tam reklamy lub inne usługi, szczegóły twojej relacji finansowej będą przechowywane przez okres określony przez prawo.

Dlaczego wszyscy szaleją na punkcie danych osobowych?

Nie wszyscy inżynierowie, którzy pracują z ogromnymi ilościami danych na rachunkach inwestycyjnych lub diagnozach medycznych użytkowników, zdają sobie sprawę, jak bardzo zależy to od ich decyzji. Czasami potrzeba dodatkowej autoryzacji jest irytująca, ale chcielibyśmy, aby cała społeczność IT traktowała wymagania bezpieczeństwa ze zrozumieniem.

Dlatego cieszymy się, gdy nasi koledzy są ostrożni i troszczą się o bezpieczeństwo swoich danych osobowych. Chcemy, aby wszystkie procesy regulujące naszą pracę z danymi osobowymi były jak najbardziej przejrzyste, a każdy pracownik DataArt wiedział, gdzie, jak i w jakim celu przechowywany jest jego paszport lub numer konta osobistego. Mamy nadzieję, że wysiłki firm zmotywują samych inżynierów do ostrożniejszego traktowania danych osobowych: nie publikuj numerów telefonów i e-maili w sieciach społecznościowych, nie zapominaj o paszportach w skanerach biurowych i czytaj umowy użytkownika, łącząc się z nieznanymi sieciami. W końcu hakowanie któregokolwiek z nas stanowi zagrożenie dla wewnętrznych baz danych, systemów klienckich i reputacji całej branży.