Ocena skutków przetwarzania

Transkrypt

1 Ocena skutków przetwarzania Nazwa procesu: Rekrutacji Opis operacji przetwarzania danych osobowych Charakter, zakres, kontekst i cele przetwarzania. Dane osobowe kandydatów do pracy są przetwarzane w celu wybrania przyszłego pracownika. W procesie rekrutacji przeprowadza się badanie psychologiczne z wykorzystaniem systemu informatycznego w ramach badania pojawiają się pytania o dane osobowe wrażliwe. W procesie bierze udział podmiot zewnętrzny dostawca oprogramowania do badania psychologicznego kandydatów do pracy. Proces rekrutacji jest kluczowym procesem przetwarzania danych osobowych i biorą w nim udział wszystkie kluczowe jednostki organizacyjne wymagające specjalistów z poszczególnych specjalizacji. Dokumentowane dane osobowe, odbiorcy oraz okres przechowywania danych osobowych. W procesie przetwarzane są następujące dane osobowe: imiona i nazwiska, stanowisko, PESEL, pytania o stan zdrowia. Dane w systemie informatycznym są przechowywane przez okres roku od zakończenia procesu rekrutacji. W procesie nie pojawiają się odbiorcy danych, a jedynie jeden procesor danych, tj. dostawca oprogramowania do przeprowadzania badań. Funkcjonalny opis operacji przetwarzani danych osobowych. Kandydat po przesłaniu dokumentów aplikacyjnych jest zapraszany na rozmowę kwalifikacyjną, w ramach której jest proszony o odbycie testu/badania w systemie informatycznym; po zakończeniu badania jego wynik wraz z opisem profilu psychologicznego osoby jest wysyłany do Działu Rekrutacji. Ostatecznie trzy osoby, które uzyskały najlepszy wynik testu/badania, są proszone na kolejną rozmowę kwalifikacyjną z udziałem Zarządu, który ostatecznie podejmuje decyzję o wyborze kandydata do pracy. Zasoby biorące udział w procesie. W procesie wykorzystywana jest stacja robocza z dostępem do Internetu i aplikacji do przeprowadzania badania, pomieszczenie rozmów kwalifikacyjnych, personel Działu Kadr, przedstawiciel najwyższego kierownictwa oraz skrzynka

2 poczty elektronicznej służąca do odbioru wyniku badania testu/badania psychologicznego. Zgodność z zatwierdzonymi kodeskami postępowania w procesie. zidentyfikowano istnienia branżowego kodeksu postępowania z danymi osobowymi w procesie rekrutacji. Czy w procesie są przetwarzane dane wrażliwe? Tak Ocena niezbędności i proporcjonalności Czy istnieje konkretny, wyraźny i prawnie uzasadniony cel administratora danych? Czy przetwarzanie danych jest zgodne z prawem? Czy przetwarzanie danych jest adekwatne do celów jakie mają być osiągnięte? Czy ograniczono okres przechowywania danych? Czy udzielono informcji osobie, której dane dotycza o jej prawach wynikajacych z RODO? Czy zapewniono osobie prawo dostępu do danych? Czy zapewniono osobie prawo do sprostowania, usunięcia, ograniczenia przetwarzania i złożenia sprzeciwu?

3 Czy zidentyfikowano odbiorców danych? Czy zidentyfikowano procesorów danych? Czy zidentyfikowano zabezpieczenia danych w przypadku ich przekazywania? Czy postępowanie z ryzykiem spowodowało brak obowiązku konsultacji z organem nadzorczym? (konsultacja z organem nadzorczym jest obowiązkowa, jeżeli ryzyka nie udało się zminimalizować do poziomu akceptowalnego) Zarządzanie ryzykiem Wybierz zagrożenie naruszenia praw i wolnosci osoby w procesie. nieuprawniony dostęp do danych osoby nieuprawnione ujawnienie lub udostepnienie danych osoby nieuprawniona modyfikacja danych osoby szkoda finansowa dla osoby Określ prawdopodobieństwo wystapienia zagrożeń/nia. średnie Określ skutek wystąpienia zagrożeń/nia. średnie Wybierz metodę postępowania z ryzykiem. akceptacja ryzyka (tylko gdy poziom ryzyka jest średni lub mały)

4 Czy zasięgnięto opinii Inspektora Ochrony Danych (IOD)? Inspektor Ochrony Danych uznał proces za proces wysokiego ryzyka i zalecił zaprzestanie wykorzystywania systemu informatycznego do badania kandydatów do pracy lub co najmniej ograniczenie badania do danych tzw. zwykłych. Czy zasięgnięto opinii osób, których dane dotyczą lub ich przedstawicieli? zwracano się do kandydatów do pracy o ocenę zasadności przeprowadzania badania. WYNIK DPIA Proces stwarza WYSOKIE RYZYKO naruszenia praw i wolności osób, których dane dotyczą. Należy podjąć poniższe działania mające na celu obniżenie ryzyka do poziomu akceptowalnego: Rekomendacja: Należy jednoznacznie określić cel lub cele przetwarzania danych osobowych w procesie. Rekomendacja: Należy zapewnić ważną podstawę prawną przetwarzania danych osobowych w procesie. Rekomendacja: Należy zapewnić adekwatność zakresu danych przetwarzanych w procesie w stosunku do celu jaki ma być osiągnięty. Rekomendacja: Należy ograniczyć okres przechowywania danych zgodnie z okresem retencji danych w procesie. Rekomendacja: Należy spełnić obowiązek informacyjny wobec osób, których dane dotyczą w procesie pobierania danych

5 osobowych, a najpóźniej przy pierwszym kontakcie z osobą, której dane dotyczą. Rekomendacja: Należy zapewnić osobie, której dane dotyczą prawo dostępu do treści dotyczących jej danych osobowych. Rekomendacja: Należy zapewnić osobie, której dane dotyczą prawo do sprostowania, usunięcia, ograniczenia przetwarzania i złożenia sprzeciwu wobec przetwarzania jej danych osobowych. Rekomendacja: Należy jednoznacznie określić odbiorców danych osobowych, którzy otrzymują dane osobowe w procesie. Rekomendacja: Należy jednoznacznie określić procesorów danych osobowych, którzy otrzymują dane osobowe w ramach powierzenia przetwarzania danych osobowych. Rekomendacja: Należy jednoznacznie określić zabezpieczenia danych osobowych w przypadku ich przekazywania poza organizację. Rekomendacja: Należy zwrócić się do organu nadzorczego o konsultacje w zakresie zgodności prowadzonego procesu z RODO.