Az információbiztonságáról sokan gondolkodnak úgy, mintha az azonos lenne az informatikai biztonsággal, pedig az információ sokféle formában van jelen egy szervezetben, és sokféle aspektusát érdemes megvizsgálnunk. Az információ kezelésével kapcsolatosan megoldandó feladatok és problémák egy jelentős része ma már a HR (Human Resources – emberi erőforrás) adminisztrációs tevékenysége kapcsán keletkezik, melyeket legtöbbször informatikai eszközeivel tudunk megoldani a leghatékonyabban.

Adatok kategorizálva

Először tisztáznunk kell milyen információkat kezelünk, és közülük melyek azok, amelyekre figyelnünk kell. A HR két jól elkülöníthető információcsoportot is kezel. Az egyik csoportba tartoznak az általa képviselt szervezet mint jogi személyiség bizalmas információi, a másikba pedig az alkalmazottak vagy leendő alkalmazottak személyes adatai. Mindkettőre vonatkoznak törvényi szabályozások, de vannak ISO előírások és ajánlások is.

Mi tartozik a szervezet bizalmas információi közé? Erre a válasz egyfelől egyszerű: az, amit a szervezet annak nyilvánított. Másfelől azonban közel sem ilyen egyszerű, mert a szervezetnek magának kell meghatároznia azt, hogy mit tekint bizalmas információnak, ahogy azt is, hogy ki és milyen feltételek teljesülése után férhet hozzá azokhoz. Az információknak ehhez a köréhez legtöbbször már csak az alkalmazása után férhet hozzá a munkavállaló.

De menjünk sorba! Először nézzük meg, milyen adatkezelést folytat egy HR osztály egy jelölt alkalmazása előtt!

Az első lépés: új munkatársat keresünk

Az álláshirdetésekből ma már gyakran nem derül ki, hogy melyik vállalt adta fel, azaz csupán egy egy pozíció jelenik meg a hirdetésben. Így ott nem is beszélhetünk a vállalat szempontjából bizalmas adatkezelési problémáról. Persze felmerülhet a kérdés: miért vetődhet fel egy álláshirdetés kapcsán a bizalmasság? Gondoljunk csak bele! Ha egy vállalt ügyvezető igazgatót keres, az a konkurensei számára értékes információ lehet, így minősülhet belső bizalmas információnak is, és ennek megfelelően kell kezelni.

A HR legtöbb adatkezelési feladata ebben a körben azonban nem itt, hanem a meghirdetett állásra jelentkezők adatainak menedzselésével adódik. A személyes adatok védelméről a 2011. évi CXII. törvény így rendelkezik. A törvény
4. § (1) bekezdése kimondja: „Személyes adat kizárólag meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelhető. Az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának, az adatok felvételének és kezelésének tisztességesnek és törvényesnek kell lennie.”

Eszerint ha az adatkezelés célja, hogy a szervezet egy bizonyos állásra keressen új kollégákat akkor, a keresés befejeztével már nem tárolhatóak és nem kezelhetőek a jelentkezők adatai, csak és kizárólag akkor, ha ehhez az adat tulajdonosa, azaz a pályázó írásban hozzájárul. Ellenkező esetben a keresés alatt gyűjtött önéletrajzokat és az azokban szereplő személyes adatokat meg kell semmisíteni.

Természetesen ez a törvényi előírás mind a nyomtatott, mind a digitálisan tárolt adatoltra vonatkozik. Tehát a beérkezett leveleket (e-mail), a lementett csatolmányokat és a továbbított elemek szervezetben található összes példányát meg kell semmisíteni. Még arra is figyelni kell, hogy a közvetlen kiválasztást végző vezető postafiókjában és a HR munkatárs postafiókjának „elküldött levelek” mappájában se maradjanak dokumentumok.

A helyzet megoldása lehet, ha a cég adatkezelési szabályzatot tesz közzé a honlapján, és annak egy linkjét már a hirdetésben is beilleszti. Így a jelentkezők már az adataik elküldésével hozzájárulnak az adatkezeléshez. Az adatkezelési szabályzatban pedig lehet egy szélesebb körű definíciót adni az adatkezelés céljakén.

Minden alkalmazottról rengeteg adatot kell kezelni

Az alkalmazás alatt az adatkezelés célja sokkal egyértelműbb, de természetesen a gyűjtött adatoknak összhangban kell lenniük a céllal. Ebben az időszakban elsősorban az adatokhoz való hozzáférés biztosítása vagy tiltása a legfontosabb feladat.

De milyen személyes adatok keletkeznek egy alkalmazottról? Ilyenek például a betegszabadság, az oktatás, a teljesítményértékelés adatai, de ebbe a körbe tartoznak a digitális vagy nyomtatott formában vezetett jelenléti ívek, vagy az összes Excel tábla, melyekben bármiféle személyes adat előfordul. Ezek ugyanolyan elbírálás alá esnek, mint a munkaszerződés, amiről mindenki tudja, hogy bizalmas információkat tartalmaz. Itt is fontos, hogy a hozááférhetőség szempontjából mindezeknek a  dokumentumoknak mind a digitális, mind pedig a kinyomtatott, fizikai példányára ugyanolyan szabályok vonatkoznak.

Külön hozzáférés-menedzsmentet igényelnek az adott szervezet rendeszereiben a HR által használt tárterületek (merevlemez, központi tároló stb.). Ha nagyobb létszámú a szervezet HR csapata, akkor még a HR-en belül is érdemes árnyalni az adathozzáférést, és annak megfelelően bizalmas, titkos minősítéssel ellátott területeket létrehozni. Mivel továbbra is nagy mennyiségben keletkeznek fizikai dokumentumok, azoknak a kezeléséről sem szabad megfeledkezni. A HR dokumentumokat érdemes más dokumentumoktól elkülönítve, elzárva tárolni, és a hozzáférést szintén szabályozni.

Van még egy fontos elem, amire érdemes odafigyelni: a titoktartási nyilatkozatok kezelése. Ha egy új alkalmazott felvételekor még aláíratják is a belépővel, belső pozícióváltásokkor gyakran elsikkad ez a lépés. Pedig a belső pozícióváltással megváltozik/megváltozhat azoknak a bizalmas adatoknak a köre, amihez az alkalmazott hozzáfér. Ám miközben megkapja az informatikai hozzáférést ezekhez az adatokhoz, a titoktartási szerződésének érvényessége esetleg korlátosabb. Az is előfordul, hogy belépéskor elsikkad a szerződés aláírása, ám arról minden érintett megfeledkezik. Érdemes a titoktartási nyilatkozatokról külön adatbázist vezetni. Amely alapján az IT is ellenőrizheti, hogy kinek adhatja meg a bizalmas adatokhoz a hozzáférést.

A kilépés problémái

Bár az alkalmazott távozik a cégtől, az alkalmazásához szükséges adatokat a Munka Törvénykönyve és az NAV rendelkezései alapján meg kell őrizni az előírt határidőkig, ami ma 8, illetve 10 év.

Ugyanakkor a szervezete adatbiztonságának megőrzéséhez egy sor feladatot el kell végezni. A legfontosabb természetesen a hozzáférési jogosultságok megszüntetése a kilépési, elválási folyamattal összhangban. A kilépés procedúrát a belépő kártyák, kulcsok és eszközök átadása mellett ki kell egészíteni a hozzáférések letiltásával (adattároló eszközök, levelezés, ügyviteli rendszerek stb.), valamint a bizalmas információk kezelésének ellenőrzésével.

A folyamatnak van lélektani vonatkozása is. A tapasztalatok azt mutatják, hogy békés elválás esetén sokkal nehezebb ezeket az adatokat felügyelni, ilyenkor sokkal engedékenyebben szoktak lenni a kollégákkal. Még egy hétig marad a notebook, a hozzáférés a levelezéshez stb. Pedig ez komoly veszélyeket hordoz. Érdemes éppen ezért formalizálni a folyamatot, azaz készíteni egy listát, amelyen minden kilépő dolgozó esetében módszeresen végig kell menni, majd pedig az utolsó eszköz átadásakor ismételten ellenőrizni, hogy a listán feltüntetett lépések mindegyikén végigment-e a távozó.

Külön elbírálás alá esnek az alkalmazás ideje alatt megszerzett harmadik fél adatai, például a cég partnereit képviselő személyek névjegykártyái. Hiába szerezte meg ezeket az adatokat az alkalmazott, mert az adatkezelő maga a cég, tehát az adatok is az ő tulajdonát képzik. Ha a dolgozó saját mobiltelefontját használta a kapcsolattartása, akár a telefonszámok törlését is kérhetjük tőle kilépésekor. Ez utóbbi lépést azonban befolyásolja az alkalmazás jogi formája is.

Ma a HR munkájában fokozottan érdemes odafigyelni az adatkezelés információ biztonsági szempontjaira, mert az internet és a közösségi oldalak terjedésével a munkavállalók egyre jobban figyelnek személyes adataik kezelésére. A szervezet pozitívabb megítélés alá esik, ha az alkalmazottai tudják, biztonságban vannak személyes adataik.

A szerző tréner, a Gill & Murry tanácsadó cég vezetője