Klauzula ISO 27701 6.4: Bezpieczeństwo Zasobów Ludzkich

W dzisiejszym świecie, gdzie dane osobowe stanowią niezwykle cenny, a zarazem wrażliwy zasób, ochrona prywatności stała się priorytetem dla każdej organizacji. Norma ISO 27701, będąca rozszerzeniem ISO 27001, dostarcza wytycznych dotyczących zarządzania informacją o prywatności (PIMS). Jednym z kluczowych elementów tej normy jest klauzula 6.4, która skupia się na wzmocnieniu bezpieczeństwa zasobów ludzkich w kontekście ochrony danych osobowych.

Klauzula ISO 27701 6.4: Co to jest i dlaczego jest ważna?

Klauzula 6.4 normy ISO 27701, zatytułowana „Wzmocnienie bezpieczeństwa zasobów ludzkich”, podkreśla fundamentalną rolę działu HR w zapewnieniu ochrony danych osobowych. Jej celem jest upewnienie się, że personel organizacji, który ma dostęp do danych osobowych (PII - Personally Identifiable Information), jest odpowiednio przeszkolony, kompetentny i godny zaufania. Klauzula ta dzieli się na dwa główne podpunkty, odwołujące się do odpowiednich kontroli z normy ISO 27002, ale skoncentrowane na ochronie prywatności:

• ISO 27701 6.4.1.1 – Weryfikacja (odniesienie do kontroli 6.1 ISO 27002)
• ISO 27701 6.4.1.2 – Warunki zatrudnienia (odniesienie do kontroli 6.2 ISO 27002)

W przeciwieństwie do innych części ISO 27701, klauzula 6.4 nie odnosi się bezpośrednio do konkretnych artykułów RODO (GDPR). Niemniej jednak, jej implementacja jest kluczowa dla budowania solidnych fundamentów ochrony danych osobowych w organizacji i wspomaga zgodność z przepisami o ochronie danych.

Kluczowe elementy klauzuli 6.4: Weryfikacja przed zatrudnieniem

Podpunkt 6.4.1.1, dotyczący weryfikacji, koncentruje się na procedurach, które organizacja powinna wdrożyć przed zatrudnieniem pracownika lub rozpoczęciem współpracy z kontrahentem, który będzie miał dostęp do danych osobowych. Celem tych procedur jest minimalizacja ryzyka związanego z potencjalnym zagrożeniem dla prywatności, jakie może stanowić nieodpowiednia osoba.

Proces weryfikacji powinien obejmować zarówno personel pełnoetatowy, niepełnoetatowy, jak i zewnętrznych kontrahentów. Należy pamiętać o odpowiedzialności organizacji jako podmiotu przetwarzającego dane osobowe już na etapie zbierania informacji o kandydatach i dostawcach. Ważne jest, aby działać zgodnie z krajowymi i lokalnymi przepisami regulującymi informowanie kandydatów o planowanych działaniach weryfikacyjnych.

Minimalny zakres weryfikacji przed zatrudnieniem:

• Referencje: Pozyskanie referencji, idealnie zarówno biznesowych, jak i osobistych, pozwala na uzyskanie wglądu w przeszłe doświadczenia i wiarygodność kandydata.
• Weryfikacja życiorysu: Dokładna weryfikacja informacji zawartych w CV kandydata, w tym historii zatrudnienia, stanowisk i zakresu obowiązków.
• Weryfikacja kwalifikacji: Potwierdzenie posiadanych przez kandydata dyplomów, certyfikatów zawodowych i innych kwalifikacji.
• Weryfikacja tożsamości (IDV - Identity Verification): Ustalenie tożsamości kandydata na podstawie dokumentów tożsamości wydanych przez rząd lub, w przypadku ich braku, innych wiarygodnych dokumentów, takich jak wyciągi bankowe czy korespondencja z urzędów.

W przypadku stanowisk o szczególnym znaczeniu komercyjnym lub wymagających wysokiego poziomu zaufania, organizacje powinny rozważyć rozszerzone procedury weryfikacyjne. Mogą one obejmować dodatkowe kroki, takie jak:

• Sprawdzenie historii kredytowej: Weryfikacja wiarygodności finansowej kandydata.
• Sprawdzenie rejestru karnego: Ustalenie, czy kandydat nie był karany za przestępstwa, które mogłyby stanowić ryzyko w kontekście powierzonego stanowiska i dostępu do danych osobowych. Należy pamiętać o ograniczeniach prawnych dotyczących dostępu do takich informacji i ich wykorzystania.

Organizacje powinny również regularnie weryfikować bieżącą przydatność personelu zatrudnionego na kluczowych stanowiskach. Procedury te powinny być ustalane indywidualnie dla każdego stanowiska, bez względu na to, czy dotyczy to nowo zatrudnionych pracowników, czy osób awansujących na stanowiska o większej odpowiedzialności.

Zarządzanie ryzykiem w przypadku opóźnionej weryfikacji

Proces weryfikacji przed zatrudnieniem nie zawsze może zostać zakończony w terminie. W takich sytuacjach organizacje powinny rozważyć alternatywne działania minimalizujące ryzyko związane z zatrudnieniem niezweryfikowanego pracownika. Możliwe opcje obejmują:

• Opóźnienie rozpoczęcia pracy (Delayed onboarding): Przesunięcie daty rozpoczęcia pracy do czasu zakończenia procesu weryfikacji.
• Ograniczenie dostępu do systemów: Przyznanie pracownikowi tymczasowego, ograniczonego dostępu do systemów informatycznych i danych osobowych do czasu pozytywnej weryfikacji.
• Wstrzymanie wydawania aktywów i sprzętu firmy: Opóźnienie wydania kluczowych aktywów firmowych, takich jak laptopy czy telefony służbowe.
• Rozwiązanie umowy o pracę: W skrajnych przypadkach, w sytuacji negatywnego wyniku weryfikacji lub braku możliwości przeprowadzenia weryfikacji, rozwiązanie umowy o pracę może być konieczne.

Warunki zatrudnienia i zobowiązania umowne (ISO 27701 6.4.1.2)

Drugi podpunkt klauzuli 6.4, 6.4.1.2, koncentruje się na warunkach zatrudnienia i zobowiązaniach umownych personelu. Odwołuje się on do kontroli 6.2 z normy ISO 27002, która dotyczy warunków zatrudnienia. Kluczowe jest, aby umowy o pracę i inne dokumenty regulujące stosunek pracy zawierały jasne i precyzyjne zapisy dotyczące ochrony danych osobowych i bezpieczeństwa informacji.

Powinny one określać obowiązki pracownika w zakresie:

• Poufności: Zobowiązanie do zachowania poufności danych osobowych, do których pracownik ma dostęp w związku z wykonywaną pracą, zarówno w trakcie trwania stosunku pracy, jak i po jego ustaniu.
• Bezpieczeństwa informacji: Przestrzeganie polityk i procedur bezpieczeństwa informacji obowiązujących w organizacji.
• Ochrony danych osobowych: Działanie zgodnie z przepisami o ochronie danych osobowych, w tym RODO, oraz wewnętrznymi politykami i procedurami organizacji w zakresie ochrony danych.
• Konsekwencji naruszeń: Informacje o konsekwencjach naruszenia zasad bezpieczeństwa informacji i ochrony danych osobowych, w tym sankcjach dyscyplinarnych i prawnych.

Organizacje powinny regularnie przeglądać i aktualizować warunki zatrudnienia i zobowiązania umowne, aby upewnić się, że są one zgodne z aktualnymi przepisami prawa i standardami bezpieczeństwa. Szkolenia i programy uświadamiające dla pracowników w zakresie ochrony danych osobowych są również kluczowe dla zapewnienia skutecznego wdrożenia klauzuli 6.4.

Dlaczego klauzula 6.4 jest tak istotna dla działu HR?

Klauzula 6.4 normy ISO 27701 ma fundamentalne znaczenie dla działu HR, ponieważ:

• Wzmacnia bezpieczeństwo danych osobowych: Poprzez wdrożenie odpowiednich procedur weryfikacyjnych i zobowiązań umownych, organizacja minimalizuje ryzyko naruszeń bezpieczeństwa danych osobowych ze strony personelu.
• Wspiera zgodność z przepisami prawa: Pomaga w spełnieniu wymagań przepisów o ochronie danych osobowych, takich jak RODO, w zakresie bezpieczeństwa przetwarzania danych.
• Buduje zaufanie: Demonstruje zaangażowanie organizacji w ochronę prywatności i buduje zaufanie klientów, partnerów biznesowych i pracowników.
• Zmniejsza ryzyko finansowe i reputacyjne: Minimalizuje ryzyko strat finansowych i szkód reputacyjnych związanych z naruszeniami ochrony danych osobowych.

Podsumowanie

Klauzula ISO 27701 6.4 stanowi istotny element systemu zarządzania informacją o prywatności. Wdrożenie jej wymaga ścisłej współpracy działu HR z działem bezpieczeństwa informacji. Skuteczne procedury weryfikacji personelu i jasne zobowiązania umowne to fundament bezpiecznego przetwarzania danych osobowych i budowania kultury organizacyjnej opartej na zaufaniu i odpowiedzialności. Inwestycja w bezpieczeństwo zasobów ludzkich to inwestycja w bezpieczeństwo całej organizacji i jej przyszłość.

Jeśli chcesz poznać inne artykuły podobne do Klauzula ISO 27701 6.4: Bezpieczeństwo Zasobów Ludzkich, możesz odwiedzić kategorię Rachunkowość.