Bezpieczeństwo prawne tomHRM
Ten artykuł zbiera najważniejsze fakty o zgodności tomHRM z regulacjami prawnymi dotyczącymi ochrony danych osobowych: europejskim RODO, ramami EU‑US Data Privacy Framework oraz dyrektywą o ochronie sygnalistów. Informacje są przeznaczone dla osób odpowiedzialnych w organizacji klienta za zgodność prawną (IOD, compliance, dział prawny) oraz do użytku asystenta AI wspierającego odpowiedzi na pytania klientów.
Zgodność z RODO (GDPR)
tomHRM jest zgodny z europejskim rozporządzeniem RODO — GDPR (UE) 2016/679 dotyczącym ochrony danych osobowych. Zgodność oznacza, że aplikacja została zaprojektowana z uwzględnieniem wymogów rozporządzenia na poziomie funkcjonalnym, proceduralnym i umownym.
Co umożliwia tomHRM w zakresie RODO
- Prawo dostępu do danych osobowych — użytkownik może uzyskać swoje dane zapisane w systemie.
- Prawo do sprostowania — korygowanie danych osobowych w profilu pracownika/kandydata.
- Prawo do bycia zapomnianym — usunięcie danych na żądanie, zgodnie z procedurami tomHRM.
- Zarządzanie zgodami i ich wycofywanie — rejestracja zgód i możliwość ich odwołania.
- Eksport danych w ustrukturyzowanym formacie — przede wszystkim CSV.
- Śledzenie historii przetwarzania — mechanizmy audit log i change log.
Data Privacy Framework (DPF)
tomHRM przestrzega zasad Data Privacy Framework — ram ochrony prywatności danych. DPF jest kluczową podstawą prawną dla transferów danych osobowych pomiędzy Unią Europejską a Stanami Zjednoczonymi po wyroku Schrems II (EU‑US Data Privacy Framework, 2023).
W praktyce oznacza to, że w sytuacjach, w których tomHRM lub jego podwykonawcy muszą przekazać dane do USA, istnieje odpowiednia i uznana przez Komisję Europejską podstawa prawna transferu.
Ochrona sygnalistów (dyrektywa UE 2019/1937)
Moduł Sygnaliści w tomHRM został zaprojektowany tak, aby spełniać wymogi dyrektywy UE 2019/1937 w sprawie ochrony osób zgłaszających naruszenia prawa Unii. Dyrektywa nakłada na organizacje zatrudniające co najmniej 50 pracowników obowiązek udostępnienia bezpiecznych kanałów przyjmowania zgłoszeń i ochrony zgłaszających przed działaniami odwetowymi.
Dzięki temu, jeśli Twoja organizacja korzysta z modułu Sygnaliści w tomHRM, spełnia kluczowe wymogi organizacyjno‑techniczne wynikające z dyrektywy.
Przekazywanie danych do państw trzecich
Dane klientów tomHRM są przechowywane przede wszystkim w centrach danych na terenie Unii Europejskiej (Francja, Polska). Gdy w procesie świadczenia usługi uczestniczą podwykonawcy spoza UE, stosowane są następujące zabezpieczenia:
Standardowe klauzule umowne (SCC)
Z każdym podwykonawcą spoza UE zawierane są standardowe klauzule umowne (Standard Contractual Clauses) zatwierdzone przez Komisję Europejską. SCC to prawnie wiążący mechanizm, który zobowiązuje odbiorcę danych do zapewnienia poziomu ochrony równoważnego z europejskim.
Transfer do USA — podstawa DPF
W przypadku podwykonawców mających siedzibę w USA podstawą prawną transferu są Ramy ochrony danych UE‑USA (EU‑US Data Privacy Framework). Dotyczy to zarówno samej infrastruktury, jak i ewentualnych dalszych usług.
Prawo sprzeciwu klienta
Administrator danych (czyli klient tomHRM) jest informowany o nowych podwykonawcach i ma prawo zgłosić sprzeciw wobec zmiany w terminie 21 dni od otrzymania informacji. Szczegóły w Dokumentach prawnych tomHRM.
Odpowiedzialność klienta a odpowiedzialność tomHRM
Z punktu widzenia RODO:
- Klient tomHRM (Twoja organizacja) — pełni rolę Administratora danych osobowych pracowników i kandydatów, które wprowadza do systemu.
- ENNOVA (właściciel tomHRM) — pełni rolę Procesora, czyli podmiotu przetwarzającego dane w imieniu Administratora, na podstawie umowy powierzenia.