GDPR si vyžaduje zmenu myslenia

Firmy majú čoraz väčšie nároky na softvéry spracovávajúce problematiku miezd a riadenia ľudských zdrojov. O čo je z vášho pohľadu v súčasnosti najväčší záujem?

V poslednom období vnímame najväčší trend v automatizovaní procesov, v snahe o minimalizáciu administratívy a celkovo o vyššiu efektivitu práce zavedením informačných systémov v oblasti ľudských zdrojov (HR). Ide predovšetkým o zavádzanie dochádzkových systémov, elektronizáciu schvaľovania neprítomností, sprístupňovanie HR informácií zamestnancom (napríklad sprístupnenie komplexných informácií o ich dochádzke, výplatných páskach, plánovaných školeniach), ale aj o optimalizáciu vybraných HR procesov aktívnou participáciou zamestnancov prostredníctvom informačných systémov.

Sú veľké rozdiely v požiadavkách spoločností?

Určite áno. Hoci to môže znieť neuveriteľne, stále existujú spoločnosti s viac ako tisíc zamestnancami, kde spracovávajú dochádzku manuálne. Na druhej strane sú spoločnosti, ktorým sme pomohli s takými procesmi ako napríklad automatizácia spracovania evidencie účasti na školeniach, výber a objednávanie zamestnaneckých benefitov či online prepojenia na ich korporátne riešenia.

Ako by si mal podľa vás vyberať mzdový softvér živnostník či malá firma?

Živnostníkom a menším firmám by som pred výberom softvéru odporúčal najskôr zvážiť, či sa chcú tejto oblasti vôbec venovať, alebo či chcú radšej sústrediť energiu a prostriedky na ich „core business“, teda tieto činnosti riešiť formou outsourcingu. Ak to chcú riešiť vo vlastnej réžii, menším spoločnostiam zväčša postačujú jednoduchšie „krabicové“ programy, ktoré sú zaujímavé najmä z hľadiska ceny. Za zváženie určite stoja cloudové riešenia. Sú cenovo ešte dostupnejšie, nakoľko si nevyžadujú žiadne prvotné investície a cena je často úmerná využívaniu systému.

Čo však v prípade, ak by sa drobný podnikateľ časom rozrástol a rozvíjal svoje aktivity?

V prípade, že malá spoločnosť počíta s rastom v budúcnosti, s ktorým budú určite spojené aj nové požiadavky na personálny systém (napríklad moduly pre vzdelávanie, hodnotenie, spracovanie dochádzky), je vhodné vybrať dodávateľa, ktorý tieto požiadavky bude vedieť zabezpečiť jednoduchým rozšírením dodaného riešenia.

Väčšie firmy už zrejme vyžadujú od IT systému viac... Čo radíte im?

Pri stredných a veľkých firmách by som sa zameral predovšetkým na preverenie, či daný systém obsahuje funkcionality potrebné na zabezpečenie špecifických požiadaviek (napríklad výpočet bonusov, opravy do minula, prepojenia na iné systémy), no predovšetkým na kvalitu s produktom súvisiacich služieb, ktorú je vhodné overiť si najmä referenciami. Za takéto služby považujem najmä dostupnosť a kvalitu služby hotline, včasnosť a bezchybnosť updatu systému, vývoj a inovácie produktov.

Využívajú sa aj pri personalistike v rámci softvérov moderné inovácie a technológie, ako napríklad cloud? 

Keď sme pred tromi rokmi robili prieskum trhu, cloudové riešenie preferovala necelá tretina respondentov. Dnes takéto riešenie preferuje viac ako polovica zákazníkov, pričom neustále narastá počet klientov, pre ktorých je „online“ jediná voľba. Trend cloudových riešení je nezastaviteľný a neobíde ani oblasť HR.

Aké výhody to prináša pre klientov?

Nespornými výhodami týchto riešení sú predovšetkým dostupnosť systému kedykoľvek a odkiaľkoľvek, kde je k dispozícii internetové pripojenie, žiadna potreba inštalácie updatov, zálohovania systému, žiadne náklady na správu servera a podporu IT oddelenia. Samostatnou kapitolou je bezpečnosť. V skutočnosti sú totiž kvalitné cloudové riešenia podstatne bezpečnejšie ako tie, ktoré máme nainštalované vo firme. Zabezpečenie je riešené rovnakými technológiami ako napríklad v prípade internet bankingu.

Nie je však cloud ako cloud. Niektoré riešenia sú prezentované ako cloudové, no stále si vyžadujú aj inštaláciu nejakého programu v počítači používateľa, ktorý je často možné inštalovať iba v konkrétnom type operačného systému. Na využívanie plnohodnotného cloud riešenia je však postačujúci internetový prehliadač.

Ako vnímate vo vašej firme problematiku ochrany osobných údajov vzhľadom na nariadenie GDPR? Ste na to pripravení?

Vzhľadom na široké portfólio firemných produktov a služieb súvisiacich s HR sa ochrana osobných údajov našej spoločnosti bytostne dotýka. V našich informačných systémoch sú spracovávané osobné údaje každého siedmeho pracujúceho zamestnanca na Slovensku. To je obrovský záväzok urobiť pre ochranu osobných údajov maximum. Aj napriek dlhoročnej certifikácii podľa ISO 27001 pre informačnú bezpečnosť je viacero oblastí vyžadujúcich si viac či menej rozsiahle zmeny, a preto sa tejto téme dlhodobo intenzívne venujeme.

Ktoré najdôležitejšie opatrenia v rámci uvedeného európskeho nariadenia musia zaviesť zamestnávatelia?

Každý zamestnávateľ z pohľadu GDPR zastáva rolu tzv. prevádzkovateľa. Samotné nariadenie definuje opatrenia, ktoré je povinný zrealizovať. Z praktického hľadiska každej firme odporúčam zrealizovať analýzu aktuálneho stavu z hľadiska spracovania osobných údajov. Následne by mali vyhodnotiť rozdiely voči povinnostiam vyplývajúcim zo zákona a implementovať opatrenia na ich odstránenie. Ochrana osobných údajov je však trvalý proces, ktorý si vyžaduje zmenu myslenia. Minimálne pri zamestnancoch prichádzajúcich do styku s osobnými údajmi sa dané školenia čoskoro stanú súčasťou pracovného života rovnako ako školenia bezpečnosti a ochrany zdravia pri práci i požiarnej ochrany.

Musia firmy urobiť nejaké opatrenia aj v rámci personálnych systémov?

Hoci GDPR konkrétne opatrenia neuvádza, prevádzkovateľovi dáva za povinnosť prijať vhodné technické a organizačné opatrenia na ochranu osobných údajov. Hoci takáto povinnosť vyznieva trochu vágne, z praktického hľadiska ide o aplikáciu rizikového prístupu a implementáciu opatrení zmierňujúcich alebo odstraňujúcich identifikované riziká.

V súvislosti s informačnými systémami HR by sme aj na základe našich skúseností za takéto opatrenia mohli považovať zabezpečenie na základe viacerých riešení. A to napríklad tak, aby k personálnym údajom zamestnancov mali prístup iba kompetentní používatelia, aby v systéme boli evidované iba údaje potrebné na účely spracovania a iba po dobu trvania tohto účelu. Napríklad po skončení pracovného pomeru nie je možné ďalej evidovať fotografiu, telefónne číslo či emailovú adresu zamestnanca. Ďalej je potrebné zaviesť politiku bezpečnosti hesiel, prípadne zabezpečiť ideálne šifrovaním, exporty zo systému obsahujúce osobné údaje.

Čo však v prípade, ak spoločnosť rieši personálne procesy externou formou, teda dodávateľsky?

V prípade, že sú dáta spracované mimo prostredia zamestnávateľa, napríklad pri využívaní cloudových riešení, je potrebné uzatvoriť s dodávateľom tzv. sprostredkovateľskú zmluvu. Zároveň je však potrebné podotknúť, že obsah a rozsah bezpečnostných opatrení sa môže líšiť od prípadu k prípadu, a to najmä v závislosti od rizík, ktoré sú pre konkrétneho prevádzkovateľa identifikované.

Do akej miery sa GDPR dotkne aj outsourcingu miezd?

Podobne ako pri spomenutom využívaní cloudových riešení je povinnosťou každého zamestnávateľa, ktorý využíva službu externého spracovania miezd, uzavrieť s dodávateľom tejto služby zmluvu spĺňajúcu potrebné náležitosti, a tým ho zaviazať k ochrane osobných údajov v zmysle GDPR. Keďže pri outsourcingu dochádza k častej výmene dát obsahujúcich osobné údaje, jednou z oblastí, kde bude zrejme potrebné vo väčšine prípadov zvýšiť ich ochranu, je transfer týchto dát. Praktickým odporúčaním je napríklad neposielať osobné údaje v nezabezpečenej forme e-mailom, namiesto toho ich pred poslaním zašifrovať alebo ich zasielať výlučne zabezpečeným kanálom, pričom k údajom budú mať prístup výlučne oprávnené osoby.

Článok bol krátený pre účely webu.