GDPR už dávno nie je strašiakom zamestnávateľov. Svoje HR procesy by ste však mali mať stále pod kontrolou. Lebo lepšie je byť pripravený, ako prekvapený.
Značku H&M mám už roky medzi obľúbenými. Keď som sa dočítala o GDPR pokute viac ako 35 miliónov pre túto spoločnosť, automaticky som predpokladala, že pôjde o únik údajov zákazníkov. Išlo však o údaje zamestnancov.
Spoločnosť prinajmenšom od roku 2014 zaznamenávala rozsiahle detaily o súkromnom živote časti zamestnancov a poznámky z rozhovorov boli permanentne uložené na internom disku. V októbri roku 2019 sa v dôsledku chybnej konfigurácie digitalizované údaje stali na niekoľko hodín dostupné pre viac ako 50 manažérov naprieč organizáciou.
Išlo o súkromie v pravom zmysle slova
V spoločnosti existoval uvítací rozhovor “Welcome back to work”medzi manažérom a jeho či jej podriadeným. Realizova sa po dlhších, ale aj krátkych absenciách ako dovolenka alebo PN.
Obsah rozhovoru sa zaznamenával, vrátane detailov o dovolenkových zážitkoch, ale aj o symptómoch chorôb a diagnózach. Naviac, niektorí nadriadení získavali veľmi podrobné informácie o súkromnom živote zamestnancov aj z neformálnych osobných rohovorov s inými zamestnancami. Rozsah informácií bol od bežných klebiet až po rodinné problémy a vierovyznanie.
Nie je smernica ako smernica
Možno si poviete, že je to chyba zamestnanca, načo o sebe rozprával. Ak sa však takáto prax formalizuje zavedením internej smernice, tak zamestnanec buď prijme pravidlá hry alebo odíde.
Vzhľadom na ďalšie zverejnené informácie k prípadu sa dá predpokladať, že k tomuto konaniu bola vytvorená špeciálna HR smernica a dodržiavaná bola s príslovečnou nemeckou pedantnosťou. Záznamy boli totiž robené veľmi podrobne a uložené boli dlhodobo, pričom dokumentovali vývoj situácie v živote zamestnanca.
Spoločnosť naviac viedla aj veľmi podrobné hodnotenia výkonosti zamestnancov, a tieto údaje spolu s ostatnými údajmi používala na získanie podrobného profilu zamestnancov a používala ho pre rôzne hodnotenia a rozhodnutia týkajúce sa ich pracovného pomeru. Keď sa k týmto údajom pridali údaje o súkromnom živote a aktivitách, došlo ku výraznému zásahu do občianskych práv zamestnancov.
Záver prípadu
Dozorný orgán (Hamburg Commissioner for Data Protection and Freedom of Information) na základe informácií z médii vydal nariadenie “zmraziť” a odovzdať inkriminovanú sieťovú jednotku. Spoločnosť odovzdala 60 gigabytov skompilovaných údajov na kontrolu, ktorá porušenie zásad ochrany osobných údajov a narušenie súkromia zamestnancov potvrdila.
Čo urobila spoločnosť?
- Pripravila nový koncept ako bude spracúvať osobné údaje. Tento koncept obsahuje novo vymenovaného koordinátora pre ochranu osobných údajov, mesačný report o stave ochrany osobných údajov, lepšiu komunikáciu o ochrane whistleblowerov (ohlasovateľov protispoločenskej činnosti) a konzistentný koncept, ako zabezpečí právo dotkutných osôb na prístup ku svojim osobným údajom.
- Ospravedlnila sa zamestnancom.
- Dotknutým zamestnancom poskytne finančnú kompenzáciu.
Európsky výbor pre ochranu osobných údajov hodnotí tento postup kladne, ako bezprecedentnú ukážku korporátnej zodpovednosti.
Môže sa niečo podobné stať aj vám?
Dovolím si urobiť ešte jeden predpoklad. Niekde na začiatku celého príbehu, v roku 2014 alebo dávnejšie, bol dobrý úmysel, dobrý zámer. Možno privítať kolegu po absencii, pomôcť mu dostať sa do obrazu. Alebo vyhnúť sa špekulatívnym PN-kám.
Neverím, že by si niekto vo vedení alebo na HR povedal: “Počúvajte, poďme špicľovať zamestnancov, veď aj tak nemáme čo robiť, tak ich budeme vypočúvať, zisťovať čo robili a všetko, čo sa dozvieme budeme písať a analyzovať.”
Skôr si viem predstaviť scénar: “Počúvajte, mali by sme ľudí, ktorí sa vrátia po dlhšej absencii privítať a dostať do obrazu. Aby neboli pochybnosti o tom, že zamestanec dostal túto podporu, treba o tom vykonať zápis a archivovať ho.”
Vo veľkých spoločnostiach s množstvom zamestnancov je bežné, že opakujúce sa činnosti automatizujú a sprocesujú, aby bola zabezpečená konzistentnosť a rovnoprávnosť v prístupe ku kažédmu zamestnancovi. A tak vzniká smernica, formulár a evidencia.
Časom sa môže zmeniť potreba, legislatíva alebo nikým kontrolovaný proces sa zdeformuje.
Ako tomu zabrániť? Ideálne sú pravidelné audity nielen personálnych procesov. Keby taktýto audit prebehol najneskôr v máji 2018, spoločnosť H&M by problematický proces mohla zrušiť alebo zosúladiť s novou legislatívou.
Časté problémy HR (ne)procesov
Nebudem chodiť okolo horúcej kaše a rovno vám vypíšem najčastejšie GDPR zakopnutia, ktoré súvisia s prácou na HR, na personálnom:
- Neexistuje popis, čo kto smie robiť s prijatý životopisom. Špecialista náboru (recruiter) ho nahrá do databázy (ak existuje), kontaktuje kandidáta a ten buď je alebo nie je pozvaný na pohovor. Ak je, tak recruiter pošle životopis manažérovi e-mailom. Málokedy je chránený heslom.
- Manažér životopis uloží do svojho PC (často na plochu), vytlačí a nechá na stole, hovorií o kandidátovi s inými zamestnancami. Údaje sú nechránené, porušuje sa zásada dôvernosti.
- Recruiter pozvánku na pohovor pošle manažérovi do kalendára, do prílohy dá životopis a hodnotenie uchádzača, nechránené heslom. Ak má manažér kalendár zdieľaný s tímom, čo často z praktických dôvodov má, údaje sú nechránené.
- Manažér dá spätnú väzbu na kandidáta recruiterovi medzi rečou niekde pri automate na kávu alebo na chodbe. Porušenie zásady dôvernosti.
- Po skončení výberového procesu ostávajú životopisy na diskoch a plochách a v kalendároch … nik nevie koľko existuje kópii a kde všade sa nachádzajú. Neexistuje proces a smernica, ako s nimi správne nakladať.
- Firma objedná vzdelávanie zamestnancov. Príde lektor vzdelávacej spoločnosti, všetko beži skvele, ľudia sú nadšení, popri školení alebo po školení si lektor urobí s účastníkmi fotografie. Tie vyzdieľa na sociálnej sieti, ak sa s ľuďmi pridal do kontaktov, tak ich aj označí. Otázka je – existuje medzi firmou a vzdelávačkou sprostredkovateľská zmluva? Na kom právnom základe robí vzdelávačka fotografiu? A čo ten lektor? Je to tretia strana, dodávateľ tej vzdelávačky alebo jej zamestnanec? Údaje unikli vždy prevádzkovateľovi, teda v tomto prípade zamestnávateľovi.
- Kamerové záznamy, evidencia a archivovanie dokumentov, vstup do priestorov … to ani nebudem radšej načínať 🙂
Mohla by som písať ešte o ďalších a ďalších prípadoch, ale ako príklad to stačí. Spoločným znakom všetkých týchto prípadov je, že na začiatku je vždy malichernosť, drobnosť. Ale diabol, ako vieme, tkvie v detailoch.
Skúste sa zamyslieť nad rizikami, ktorým môže čeliť vaša spoločnosť, a to nielen v oblasti ochrany osobých údajov, pracovno-právnej agendy. Zvážte aj celkovo reputačné riziká a finančné straty, ktoré vznikajú z nedôslednosti a nedostatku merania, hodnotenia kľúčových indikátorov.
Tipy na úvodné otázky:
- Ako vlastne robíme (doplňte činnosť, napríklad nábor, vzdelávanie, hodnotenie zamestnancov, kontrolu kvality, nákup služieb … )?
- Prečo práve takto?
- Je stále nutné robiť to takto?
- Máme zdokumentovaný proces alebo žonglujeme, prípadne hasíme požiare?
- Ak máte proces, tak ako často robíme revíziu?
- Ako sa od poslednej aktualizácie zmenila legislatíva, ktorá ma vplyv na túto oblasť?
- Ako inak by ste to mohli alebo robiť?
- Aký by bol postup alebo možné postupy pri realizácii zmeny?
- Aké sú riziká zmeny a aké sú riziká zachovania (ne)procesu?
- Čo získame zmenou?
Keby ste so vstupnou analýzou chceli pomôcť, môžete sa na mňa obrátiť. Pozrieme sa na to spoločne a vy získate ucelený obraz o situácii pohľadom zvonku.