Usługi ODO 24 – nasza misja
Nasza misja to budowanie bezpiecznych środowisk pracy, zapewniających pełną zgodność z regulacjami prawnymi oraz cyberodporność. Wybierając ODO 24, Twoja organizacja zyskuje nie tylko profesjonalne wsparcie, ale także spokój i pewność, że trudne tematy są w najlepszych rękach.

Zakres usług RODO w branży HR
Bezpieczeństwo danych w branży HR – business case

Branża HR przetwarza wiele istotnych, czasem newralgicznych danych osobowych pracowników i kandydatów. Są to m.in. informacje o wykształceniu i doświadczeniu zawodowym, o wynagrodzeniu i ocenach pracy, o stanie zdrowia, a nierzadko także dane członków rodziny.
Dużym wyzwaniem w kontekście RODO bywa pogodzenie interesów pracodawcy z restrykcyjnymi regulacjami dotyczącymi przetwarzania danych kandydatów i pracowników, którzy w tej relacji są słabszą stroną. Dodatkowo firmy HR często korzystają z usług podmiotów zewnętrznych, takich jak dostawcy narzędzi IT do przechowywania danych pracowników, dostawcy benefitów oraz dostawcy narzędzi do monitorowania, np. aut służbowych. To zwiększa ryzyko związane z nieuporządkowanym powierzeniem przetwarzania danych.
Jako zespół ODO 24 wdrażaliśmy RODO w wyspecjalizowanych firmach z branży HR. Zajmowaliśmy się zarówno procesami rekrutacyjnymi, jak i procesami związanymi z zatrudnieniem (np. w agencjach pracy). Mamy także doświadczenie we wspieraniu klientów, dla których HR nie jest kluczowym obszarem działalności.
Obsługujemy lub obsługiwaliśmy m.in. Verita HR, DSA, Human IT Group, SNW, HRK oraz Trenkwalder.

Branża HR przetwarza wiele istotnych, czasem newralgicznych danych osobowych pracowników i kandydatów. Są to m.in. informacje o wykształceniu i doświadczeniu zawodowym, o wynagrodzeniu i ocenach pracy, o stanie zdrowia, a nierzadko także dane członków rodziny.
Dużym wyzwaniem w kontekście RODO bywa pogodzenie interesów pracodawcy z restrykcyjnymi regulacjami dotyczącymi przetwarzania danych kandydatów i pracowników, którzy w tej relacji są słabszą stroną. Dodatkowo firmy HR często korzystają z usług podmiotów zewnętrznych, takich jak dostawcy narzędzi IT do przechowywania danych pracowników, dostawcy benefitów oraz dostawcy narzędzi do monitorowania, np. aut służbowych. To zwiększa ryzyko związane z nieuporządkowanym powierzeniem przetwarzania danych.
Jako zespół ODO 24 wdrażaliśmy RODO w wyspecjalizowanych firmach z branży HR. Zajmowaliśmy się zarówno procesami rekrutacyjnymi, jak i procesami związanymi z zatrudnieniem (np. w agencjach pracy). Mamy także doświadczenie we wspieraniu klientów, dla których HR nie jest kluczowym obszarem działalności.
Z jakimi zagadnieniami się mierzyliśmy?
Uregulowaliśmy odczytywanie obecności w pracy na podstawie danych z aplikacji w telefonie pracownika potwierdzających jego przebywanie na terenie zakładu. Coraz częściej ustalamy też zasady wykorzystywania botów AI w rekrutacji. W takich projektach analizowaliśmy, czy może dochodzić do tzw. zautomatyzowanego podejmowania decyzji wobec kandydatów. Ocenialiśmy integrację systemów pracodawcy z systemami rządowymi, np. CEPiK. Weryfikowaliśmy możliwość wspierania kandydatów cudzoziemców w dopełnianiu formalności, np. przy składaniu wniosku o elektroniczną kartę pobytu. Badaliśmy dopuszczalność przetwarzania danych o niekaralności. Sprawdzaliśmy wymogi związane z dopuszczeniem do pracy pracowników delegowanych. Usprawnialiśmy przepływy danych między spółkami z grupy, które działają jako agencje pracy tymczasowej. Regulowaliśmy przetwarzanie danych pochodzących z urządzeń GPS zainstalowanych w autach służbowych – nie tylko danych o lokalizacji, lecz także danych dotyczących stylu jazdy. Pomagaliśmy wdrażać proces tzw. outplacementu odchodzących pracowników. Weryfikowaliśmy zakres usług świadczonych przez agencje rekrutacyjne, które często działają jako podmioty przetwarzające, ale zdarza się, że przetwarzają dane w niedopuszczalnym zakresie lub wychodzą poza swoją rolę. Analizowaliśmy przypadki dopuszczalnej weryfikacji przeszłości kandydatów, w tym prowadzenia tzw. czarnych list oraz zachowywania notatek z rekrutacji. U części naszych klientów – grup spółek – jednym z zadań było uporządkowanie procesu przekazywania danych kandydatów między spółkami.
Niezależnie od tego, czy pracujemy dla firmy wyspecjalizowanej w usługach HR, czy dla organizacji, w której HR nie stanowi kluczowego obszaru działalności, regularnie mierzymy się z potrzebą wprowadzenia skutecznych procedur usuwania danych. Niejednokrotnie regulowaliśmy pozyskiwanie danych kandydatów z portali typu LinkedIn oraz zasady kontaktowania się z kandydatami. Porządkowaliśmy zapisy umów zawieranych między agencjami pracy tymczasowej a pracodawcami użytkownikami. Zajmowaliśmy się także audytami agencji pracy tymczasowej prowadzonymi przez pracodawców użytkowników lub przez ich kontrahentów. To zagadnienie pojawia się nie tylko w relacjach z agencjami pracy tymczasowej, lecz także w odniesieniu do innych podmiotów w łańcuchu dostaw. Nasze działania pozwoliły na doprowadzenie do zgodności w różnych obszarach – nie tylko tych wskazanych powyżej – oraz na wyeliminowanie związanego z nimi ryzyka.
Obsługujemy lub obsługiwaliśmy m.in. Verita HR, DSA, Human IT Group, SNW, HRK oraz Trenkwalder.
RODO a cyberbezpieczeństwo – wyzwania dla branży automotive
Firmy z branży HR każdego dnia przetwarzają wiele newralgicznych danych kandydatów i pracowników. Niekiedy przetwarzają także dane, których nie identyfikują od razu jako danych osobowych, np. informacje wynikające z aktywności pracownika podczas korzystania z usług Microsoft 365. Rosnąca skala automatyzacji i integracji różnych systemów zawierających dane kandydatów lub pracowników sprawia, że rośnie również ryzyko ewentualnych wycieków. Choć zazwyczaj naruszenia dotyczące danych pracowników nie powodują tak dużych strat wizerunkowych jak wycieki danych klientów, to mogą wiązać się z większym ryzykiem dla osób fizycznych, a tym samym częściej wymagać zgłoszenia do Prezesa UODO.
Zabezpieczenie danych osobowych i infrastruktury IT – w tym systemów kadrowych i księgowych (zawierających m.in. dane o wynagrodzeniach) – wymaga wdrożenia skutecznych mechanizmów cyberbezpieczeństwa: od szyfrowania i zarządzania dostępami po monitorowanie incydentów i reagowanie na próby ataku. Warto pamiętać, że wycieki danych innych osób niż pracownicy niejednokrotnie zaczynają się od ujawnienia służbowych adresów e-mail, na które przeprowadza się np. ataki phishingowe.
Korzystamy z uznanych międzynarodowych standardów.
Po tym poznasz jakość
Korzystamy z uznanych międzynarodowych standardów. Po tym poznasz jakość
CIPM
Wdrażanie systemu ochrony prywatności i danych osobowych
ISO/IEC 27001
Technika informatyczna - Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji
ISO/IEC 29134
Technika informacyjna - Techniki bezpieczeństwa - Wytyczne dla oceny skutków przetwarzania
ISO/IEC 27001
System zarządzania informacjami o prywatności
ISO 31000
Zarządzanie ryzykiem - Zasady i wytyczne
PRINCE2 i SMC™
Metodyki zarządzania projektami
ISO 19011
Wytyczne dotyczące audytowania systemów zarządzania
ISO/IEC 27005
Technika informatyczna - Techniki bezpieczeństwa - Zarządzanie ryzykiem w bezpieczeństwie informacji
Co mówią nasi klienci o usługach

„Jestem pod dużym wrażeniem wysokiego poziomu merytorycznego kadry szkoleniowców”
W dniach 13 - 17 marca uczestniczyłem w "Kursie dla Administratorów Bezpieczeństwa Informacji" zorganizowanym przez firmę ODO 24 sp. z o.o. Jestem pod dużym wrażeniem wysokiego poziomu merytorycznego kadry szkoleniowców oraz rozbudowanego programu. Praca na stanowisku ABI wymaga znajomości nie tylko przepisów prawa ale również zagadnień informatycznych, co uwzględniło ODO 24. Godnym odnotowania jest program nauczania, który stopniowo wprowadza w coraz to bardziej zaawansowane niuanse ochrony danych osobowych. Zaczynając od podstaw prawnych a kończąc na praktycznych aspektach audytowania i pracy na dokumentach w firmie. Komplet materiałów, edytowalnych dokumentów i publikacji jakie otrzymałem ułatwią mi codzienną pracę na stanowisku ABI. Z całą pewnością mogę polecić firmę ODO 24 jako rzetelnego partnera oferującego usługi szkoleniowe na wysokim poziomie.

„Z pełnym przekonaniem możemy polecić ODO 24 jako profesjonalnego i rzetelnego partnera”
Od wielu lat konsekwentnie przykładamy dużą wagę do ochrony danych osobowych naszych klientów jak i pracowników. Braliśmy czynny udział w tworzeniu "Kodeksu dobrych praktyk w zakresie ochrony danych osobowych klientów i potencjalnych klientów”, opracowanego wspólnie przez GIODO i Polski Związek Przemysłu Motoryzacyjnego. Z uwagi na złożoność i zmienność przepisów w zakresie ochrony danych osobowych, jak również dynamiczny rozwój Mazdy w Polsce i coraz większą liczbę danych, które przetwarzamy, zdecydowaliśmy się przekazać funkcję ABI wyspecjalizowanej w tym zakresie firmie. Na decyzję skorzystania z usług ODO 24 największy wpływ miały doświadczenie i kompetencja zespołu ekspertów, kompleksowość oferty oraz elastyczność jej dostosowania do naszej organizacji. Po roku współpracy możemy polecić ODO 24 jako profesjonalnego i rzetelnego partnera.

„Polecam Państwu firmę ODO 24, jako profesjonalnego partnera”
Od kilku lat w zakresie ochrony danych osobowych współpracujemy z firmą ODO 24. Profesjonalny zespół, który sprawnie pomógł nam również dostosować się do wymagań ,,RODO’’. Korzystamy nie tylko z wiedzy ekspertów, ale też z profesjonalnie przygotowanych e-szkoleń, dzięki temu udało nam się przeszkolić w bardzo krótkim czasie kilkuset pracowników. Zdecydowanie polecam Państwu firmę ODO 24, jako profesjonalnego partnera, dostarczającego usługi na najwyższym poziomie.

„Praktyczne podejście, stała dostępność doradcza, fajne relacje”
Z ODO24 współpracujemy od ponad roku. To dla nas rok spokojnego oddechu i poczucia bezpieczeństwa: przynajmniej w kwestii ochrony danych osobowych :-) Ludzie z ODO to profesjonaliści mówiący zrozumiałym językiem o niezrozumiałych dla zwykłego śmiertelnika sprawach. Rozumieją nie tylko swoją profesją, ale co dla nas bardzo ważne, biznes i jego wymagania. Praktyczne podejście, stała dostępność doradcza, fajne relacje - wszystko to sprawia, że mogę polecić tę Firmę wszystkim, którzy chcą pracować i spać spokojnie.
Opinie uczestników
Tomasz G.
2 lata temu
Chciałem podziękować za wspaniałe szkolenie, które odbyłem w Waszej firmie. Materiały były bardzo dobrze przygotowane, a prowadzący wykazał się ogromną wiedzą i doświadczeniem. Polecam wszystkim!
Aleksandra P.
2 lata temu
Szkolenie na bardzo wysokim poziomie, serdecznie polecam!!! Materiały szkoleniowe bardzo przydatne w codziennej pracy. Prowadzący z dużą wiedzą i doświadczeniem.
Sławomir M.
2 lata temu
Pani Mecenas, To był dla mnie zaszczyt, by móc uczestniczyć w tym szkoleniu. Bardzo dziękuję za profesjonalne podejście i cenne wskazówki praktyczne.
Wacław T.
3 lata temu
Kurs IOD organizowany przez ODO24 spełnił wszystkie moje oczekiwania. Bardzo praktyczne podejście, konkretne przykłady i profesjonalna obsługa. Gorąco polecam!
Maria K.
1 rok temu
Doskonała organizacja i bardzo merytoryczne treści. Szkolenie RODO było prowadzone w sposób zrozumiały nawet dla osób bez wcześniejszego doświadczenia w tej dziedzinie. Zdecydowanie polecam!
Piotr N.
10 miesięcy temu
Bardzo dobre szkolenie, dużo praktycznych przykładów. Trochę za mało czasu na pytania, ale ogólnie jestem zadowolony. Materiały pomocne w codziennej pracy.
Anna W.
8 miesięcy temu
Profesjonalne podejście, świetna atmosfera podczas szkolenia. Prowadzący odpowiadał wyczerpująco na wszystkie pytania. Bardzo polecam firmę ODO24!
Jan K.
1 rok temu
Najlepsze szkolenie z ochrony danych osobowych, w jakim uczestniczyłem. Konkretne przykłady z życia wzięte, nie tylko sucha teoria. Polecam każdemu, kto pracuje z RODO.
Katarzyna J.
6 miesięcy temu
Szkolenie spełniło moje oczekiwania. Dużo praktycznej wiedzy, dobre materiały. Jedyny minus to zbyt duża grupa, przez co mniej czasu na indywidualne konsultacje.
Michał L.
4 miesiące temu
Świetne szkolenie! Bardzo kompetentny prowadzący z ogromnym doświadczeniem. Wszystko wyjaśnione w sposób jasny i zrozumiały. Materiały szkoleniowe są bardzo przydatne.
Joanna D.
3 miesiące temu
Polecam szkolenia ODO24 wszystkim, którzy szukają rzetelnej wiedzy z zakresu RODO. Profesjonalna obsługa, doskonała organizacja i bardzo dobre zaplecze dydaktyczne.
Andrzej S.
2 miesiące temu
Dobre szkolenie, dużo przydatnych informacji. Czasami tempo było trochę za szybkie, ale prowadzący chętnie wracał do omówionych wcześniej zagadnień na prośbę uczestników.
RODO w branży HR – pytania i odpowiedzi
Przetwarzanie danych kandydatów w procesie rekrutacji musi odbywać się zgodnie z zasadami RODO, w szczególności z zasadą minimalizacji danych i przejrzystości. Firma HR powinna zbierać tylko te dane, które są niezbędne do oceny kandydata, oraz przekazać mu klauzulę informacyjną wskazującą cel przetwarzania, podstawę prawną oraz okres przechowywania danych.
CV kandydatów można przechowywać przez czas trwania rekrutacji. Jeśli firma HR chce zachować dane kandydatów na potrzeby przyszłych procesów rekrutacyjnych, konieczne jest uzyskanie odpowiedniej zgody. W praktyce oznacza to również wdrożenie polityki retencji danych i regularne przeglądy baz kandydatów.
Tak, jednak w takiej sytuacji agencja HR niejednokrotnie działa jako podmiot przetwarzający dane w imieniu swoich klientów. Konieczne jest wtedy zawarcie umowy powierzenia przetwarzania danych osobowych, która określa zasady przetwarzania danych kandydatów oraz obowiązki obu stron.
Każdy kandydat powinien otrzymać informację o administratorze danych, celu przetwarzania danych, podstawie prawnej, okresie przechowywania oraz przysługujących mu prawach. Klauzula informacyjna powinna być dostępna już na etapie ogłoszenia o pracę lub formularza aplikacyjnego.
Tak, ale tylko w przypadku uzyskania zgody kandydata na przetwarzanie danych w przyszłych procesach rekrutacyjnych. Zgoda powinna być dobrowolna, konkretna i możliwa do wycofania w dowolnym momencie.
Systemy ATS i HRM powinny spełniać wymagania bezpieczeństwa określone w RODO. Obejmuje to kontrolę dostępu do danych, szyfrowanie informacji, prowadzenie rejestru czynności przetwarzania oraz regularne testy bezpieczeństwa.
Tak, ale tylko w zakresie niezbędnym do przeprowadzenia procesu rekrutacji. Dane powinny być przekazywane w sposób bezpieczny, a relacja pomiędzy agencją HR a klientem powinna być uregulowana odpowiednią umową - powierzenia przetwarzania danych lub udostępnienia danych w modelu administrator-administrator.
Dane pracowników delegowanych należy przechowywać przez okres niezbędny do realizacji umowy delegowania oraz przez czas wymagany przepisami prawa pracy i podatkowymi. Po tym czasie dane powinny zostać usunięte lub zanonimizowane.
Tak, większość firm HR przetwarza dane w sposób systematyczny, dlatego powinna prowadzić rejestr czynności przetwarzania. Dokument ten opisuje m.in. cele przetwarzania, kategorie danych oraz zastosowane środki bezpieczeństwa.
Firma HR powinna wdrożyć procedurę zarządzania incydentami bezpieczeństwa, która określa sposób identyfikacji naruszeń, ich analizę oraz obowiązek zgłoszenia naruszenia do organu nadzorczego w ciągu 72 godzin, jeśli istnieje ryzyko naruszenia praw osób fizycznych. Procedura ta powinna obejmować zarówno przypadki, gdy firma HR jest administratorem danych osobowych (samodzielnie ocenia incydent), jak i przypadki, gdy jest podmiotem przetwarzającym (wówczas jedynie przekazuje informację o incydencie właściwemu administratorowi danych).
Największą wartość stanowi zaufanie naszych klientów
W czym Ci możemy pomóc?
Napisz lub zadzwoń, znajdziemy rozwiązanie





