Wprowadzone zmiany mają na celu zapewnienie współpracy pomiędzy systemem Softlab HR by Asseco oraz usługą RODO Utility. Usługa RODO Utility pozwala między innymi na automatyczne pobieranie informacji o przetwarzanych danych osobowych z różnych systemów zewnętrznych, w tym również z systemu Softlab HR. W tym celu po stronie systemu Softlab HR niezbędne było stworzenie nowych słowników i zaimplementowanie obsługi procedur API (zestaw definicji, protokołów, metod) do komunikacji z usługą RODO Utility.
Komunikacja pomiędzy RODO Utility a Softlab HR dotyczy następujących obszarów:
· Softlab HR dostarcza do RODO Utility informacje o stanie zgód oraz informacje o upływie okresu retencji danych,
· RODO Utility pobiera z Softlab HR informacje o danych osobowych, które są potrzebne do obsługi żądań podmiotów oraz do zarządzania retencją danych.
Komunikacja ta w większości odbywa się automatycznie za pomocą API. RODO Utility przechowuje pobrane dane i obsługuje żądania przy pomocy rejestrów danych. W zakresie HR komunikacja dotyczy następujących rejestrów:
· Rejestr zgód na przetwarzanie danych osobowych – komunikacja przez API,
· Rejestr żądań podmiotów danych – komunikacja przez API,
· Rejestr retencji danych osobowych – komunikacja przez API.
Zgody na przetwarzanie danych osobowych – współpraca systemów Softlab HR i RODO Utility
Administrator danych osobowych (ADO) powinien gromadzić zgody na przetwarzanie danych osobowych, jakie uzyskał od podmiotów danych. W zakresie obsługi kadrowo-płacowej zgody mogą dotyczyć wszystkich standardowych celów przetwarzania, najczęściej będzie to cel związany z realizacją postanowień umowy o pracę dla pracowników oraz cel związany z realizacją procesu rekrutacji dla kandydatów.
Komunikacja dotycząca rejestru zgód na przetwarzanie danych osobowych między Softlab HR oraz RODO Utility odbywa się poprzez API. Zgody są rejestrowane po stronie systemu Softlab HR, a następnie przesyłane do RODO Utility.
W tym celu w systemie Softlab HR powstał słownik Zgody na przetwarzanie danych. Słownik ten został udostępniony jako szczegół w słowniku Kandydaci oraz w podglądzie szczegółu Kontakty w słowniku Pracownicy – umowy(etaty) (zgoda rejestrowana jest z dokładnością do formy kontaktu, np. odrębnie dla kontaktu telefonicznego czy email).
Rys. Szczegół Zgody za przetwarzanie danych dla kandydata w słowniku Kandydaci
Rys. Szczegół Zgody za przetwarzanie danych dla pracownika w słowniku Pracownicy – umowy(etaty)
Po zarejestrowaniu zgody na przetwarzanie danych osobowych dla celu rekrutacji lub realizacji postanowień umowy o pracę, należy przesłać ją do systemu RODO Utility, używając procedury Wyślij zgodę, dostępnej w słowniku Zgody na przetwarzanie danych. Dane przesyłane są do słownika Rejestr zgód na przetwarzanie danych osobowych w RODO Utility.
Rys. Rejestr zgód na przetwarzanie danych osobowych w RODO Utility
Żądania podmiotów danych – współpraca systemów Softlab HR i RODO Utility
Podmiot danych może kierować do administratora danych osobowych (ADO) żądania dotyczące swoich danych osobowych. W szczególności podmiot danych może zażądać potwierdzenia, czy dotyczące go dane osobowe są przetwarzane, zażądać dostępu do tych danych wraz z ich kopią, skierować do ADO żądanie dotyczące: zaprzestania przetwarzania danych, ograniczenia przetwarzania danych, usunięcia danych, wydania kopii danych w formacie maszynowym.
Obsługa żądań podmiotów danych odbywa się poprzez API w następujący sposób:
· Żądania są rejestrowane w RODO Utility w słowniku Rejestr żądań podmiotów danych.
· Wyniki przetworzenia żądań, czyli odpowiedzi z systemów zewnętrznych, w tym także odpowiedzi ze strony systemu Softlab HR, są widoczne w RODO Utility.
· Po weryfikacji ADO może wysłać odpowiedź do podmiotu danych.
Rys. Wprowadzenie żądania w słowniku Rejestr żądań podmiotów danych w RODO Utility
Po wprowadzeniu żądania ADO zmienia jego stan na Aktywny, co oznacza, że żądanie zostanie automatycznie przetworzone w systemach zintegrowanych z RODO Utility, w tym również w systemie Softlab HR. W tym celu w systemie Softlab HR przygotowano procedury poszukające danych osobowych na podstawie identyfikacji podmiotu zawartej w żądaniu. Wynikiem tych poszukiwań są odpowiedzi przesyłane z systemów zintegrowanych do systemu RODO Utility, które są dostępne w szczegółach żądania na zakładce Odpowiedzi systemów.
Rys. Odpowiedzi systemów w słowniku Rejestr żądań podmiotów danych w RODO Utility
Jeśli podmiot został znaleziony w systemie Softlab HR, to procedury API dostarczą do RODO Utility załączniki, które mogą zostać przesłane wraz z odpowiedzią do podmiotu.
Rys. Załączniki do odpowiedzi w słowniku Rejestr żądań podmiotów danych w RODO Utility
Retencja danych osobowych – współpraca systemów Softlab HR i RODO Utility
Zgodnie z przepisami RODO dane osobowe nie mogą być przetwarzane dłużej niż to wynika z uzasadnionego prawnie celu przetwarzania (okres retencji). System RODO Utility, współpracując z systemami zewnętrznymi, w tym z systemem Softlab HR, umożliwia kontrolowanie zasad retencji, czyli ułatwia ADO przechowywanie danych osobowych w jego zasobach informatycznych nie dłużej, niż jest to niezbędne ze względu na cel przetwarzania.
Zarządzanie retencją w systemie RODO Utility dzieli się na etapy. Systemy zewnętrzne zintegrowane z RODO Utility, w tym także Softlab HR, wysyłają informacje o tym, że należy usunąć dane konkretnego podmiotu. W tym celu w systemie Softlab HR przygotowano procedury wyszukujące dane, dla których ustał cel ich przetwarzania.
W słowniku Rejestr retencji danych osobowych w RODO Utility pojawia się informacja z systemów zintegrowanych, że istnieją dane zakwalifikowane do usunięcia.
Rys. Odpowiedź dotycząca rejestracji retencji z systemu Softlab HR
ADO po zapoznaniu się z odpowiedziami z systemów zewnętrznych może aktywować żądanie usunięcia danych podmiotu dla systemu zewnętrznego, używając procedury Zleć usunięcie w słowniku Rejestr retencji danych osobowych. Systemy zewnętrzne otrzymają wówczas zlecenie usunięcia danych. Dla obsługi tego procesu w systemie Softlab HR dodano słownik Żądania RODO modułu HR, gdzie rejestrowane są żądania oczekujące na realizację.
Rys. Słownik Żądania RODO modułu HR w systemie Softlab HR
Usunięcie danych wykonywane jest ręcznie w systemie Softlab HR i jest bezpowrotne. W przypadku usunięcia danych pracownika zwolnionego, którego dane pracodawca był zobowiązany przechowywać przez okres 50 lat, proces realizowany jest za pomocą procedury Usuwanie wszystkich danych osoby w słowniku Pracownicy – umowy(etaty).
Rys. Procedura Usuwanie wszystkich danych osoby w słowniku Pracownicy – umowy(etaty)
Po usunięciu danych pracownika w słowniku Żądania RODO modułu HR w systemie Softlab HR ADO oznacza żądanie jako zrealizowane przy pomocy procedury Wykonane, co powoduje przesłanie odpowiedzi zwrotnej o wykonaniu żądania do RODO Utility.
Rys. Odpowiedź o zrealizowaniu usunięcia danych podmiotu z systemu Softlab HR