Biuro Komisarza ds. Informacji (Information Commissioner's Office) opublikowało szczegółowe wytyczne zatytułowane „Praktyki zatrudnienia i ochrona danych: prowadzenie dokumentacji zatrudnienia”, oferując jasne ramy tego, jak pracodawcy powinni postępować z dokumentacją zatrudnienia, zachowując zgodność z #UKGDPR. Wytyczne te są niezbędną lekturą dla organizacji zarządzających dokumentacją kadrową, zapewniając, że gromadzą, przechowują i przetwarzają dane związane z zatrudnieniem zgodnie z prawem i uczciwie.
Pracodawcy są odpowiedzialni za obsługę różnych rejestrów związanych z zatrudnieniem, w tym:
✔️ Akta osobowe - Umowy o pracę, dokumenty tożsamości, prześwietlenia, kontakty w nagłych wypadkach.
✔️ Sickness & Injury Records - notatki medyczne, raporty dotyczące zdrowia w miejscu pracy, dostosowania dla osób niepełnosprawnych, zapisy dotyczące urazów w miejscu pracy.
✔️ Disciplinary & Grievance Records - skargi, raporty z dochodzeń, ostrzeżenia i powiązane komunikaty.
✔️ Training & Development Records - Zapisy na kursy, kwalifikacje, certyfikaty zawodowe, oceny umiejętności.
✔️ Appraisal & Performance Reviews - Oceny wydajności, informacje zwrotne, śledzenie produktywności, oceny rozwoju kariery.
✔️ Komunikacja w miejscu pracy - wiadomości e-mail, dzienniki czatów, wiadomości związane z pracą i notatki ze spotkań zawierające dane pracowników.
Niektóre kategorie danych pracowników wymagają dodatkowej ochrony ze względu na ich wrażliwy charakter:
✔️ Zdrowie i dane medyczne - muszą być gromadzone tylko wtedy, gdy jest to konieczne i chronione za pomocą wzmocnionych środków bezpieczeństwa.
✔️ Criminal Records & Background Checks - powinny być traktowane z zachowaniem ścisłej poufności i przetwarzane tylko wtedy, gdy jest to prawnie uzasadnione.
✔️ Dane dotyczące różnorodności i integracji (np. pochodzenie etniczne, płeć, status niepełnosprawności) - muszą być gromadzone w sposób przejrzysty i wykorzystywane wyłącznie do celów sprawozdawczych i zgodności z prawem.
Aby wesprzeć organizacje, #ICO udostępnia listy kontrolne, szablony i przewodniki po najlepszych praktykach, aby pomóc pracodawcom w przestrzeganiu brytyjskiego RODO.
W większości przypadków działy HR mają największe doświadczenie w zakresie prywatności i ochrony danych, ponieważ codziennie mają do czynienia z wrażliwymi danymi pracowników. Z mojego doświadczenia wynika jednak, że istnieje kilka zagrożeń, których zespoły HR powinny być świadome:
- Gromadzenie nadmiernej ilości danych - dział HR może gromadzić więcej danych osobowych niż jest to konieczne.
- Wyzwania związane z procesem rekrutacji - dane kandydatów są często przetwarzane w wielu działach i przechowywane w różnych systemach informatycznych, w tym w wiadomościach e-mail, folderach współdzielonych, urządzeniach osobistych i platformach rekrutacyjnych. Zapewnienie odpowiedniej minimalizacji danych, bezpieczeństwa i zasad przechowywania ma kluczowe znaczenie.
- Niezabezpieczona obsługa dokumentów HR - Wrażliwe pliki, takie jak szczegóły dotyczące premii i wynagrodzenia, są często udostępniane za pośrednictwem firmowej poczty elektronicznej bez szyfrowania lub odpowiedniej kontroli dostępu.
ICO Issues New Guidance on Managing Employment Records Under UK GDPR and DPA 2018
The Information Commissioner's Office has published detailed guidance titled “Employment practices and data protection: keeping employment records”, offering a clear framework for how employers should handle employment records while complying with #UKGDPR. The guidance is essential reading for organizations managing HR records, ensuring they collect, store, and process employment-related data lawfully and fairly.
Employers are responsible for handling various employment-related records, including:
✔️ Personal Files – Employment contracts, identification documents, background checks, emergency contacts.
✔️ Sickness & Injury Records – Medical notes, occupational health reports, disability accommodations, workplace injury records.
✔️ Disciplinary & Grievance Records – Complaints, investigation reports, warnings, and related communications.
✔️ Training & Development Records – Course enrollments, qualifications, professional certifications, skills assessments.
✔️ Appraisal & Performance Reviews – Performance ratings, feedback, productivity tracking, career progression assessments.
✔️ Workplace Communications – Emails, chat logs, work-related messages, and meeting notes containing employee data.
Certain categories of employee data require extra protection due to their sensitive nature:
✔️ Health & Medical Data – Must be collected only when necessary and protected with enhanced security measures.
✔️ Criminal Records & Background Checks – Should be handled with strict confidentiality and processed only when legally justified.
✔️ Diversity & Inclusion Data (e.g., Ethnicity, Gender, Disability Status) – Must be collected transparently and used only for lawful reporting and compliance purposes.
To support organizations, the #ICO provides checklists, templates, and best practice guides to help employers comply with UK GDPR.
In most cases, HR functions have the most experience with privacy and data protection since they handle sensitive employee data daily. However, based on my experience, there are several risks that HR teams need to be aware of:
- Collecting Excessive Data – HR may gather more personal data than necessary.
- Recruitment Process Challenges – Candidate data is often processed across multiple departments and stored in various IT systems, including emails, shared folders, personal devices, and recruitment platforms. Ensuring proper data minimization, security, and retention policies is crucial.
- Insecure Handling of HR Documents – Sensitive files such as bonus and salary details are often shared via corporate email without encryption or proper access controls.
Autor: Sebastian Burgemejster
Comments