Czy właściciel JDG może przechowywać wyniki testów osobowościowych?
Tak, jeśli ma podstawę prawną, jasno określony cel i spełnia wymogi RODO.
W praktyce chodzi o dwa najczęstsze scenariusze. W rekrutacji przetwarzanie wyników bywa oparte na zgodzie, która musi być realnie dobrowolna. W usługach rozwojowych podstawą może być umowa lub uzasadniony interes, o ile przeprowadzono test równowagi interesów i zapewniono przejrzystość. Zawsze obowiązują zasady minimalizacji, ograniczenia celu i bezpieczeństwa. Nie wolno opierać ważnych decyzji wyłącznie na zautomatyzowanym profilowaniu bez spełnienia dodatkowych warunków i przekazania wymaganych informacji.
Jakie dane zawierają testy osobowościowe i czy są danymi wrażliwymi?
To dane osobowe i wynik profilowania, które co do zasady nie są szczególną kategorią.
Testy osobowościowe obejmują odpowiedzi na pytania, wynik punktowy lub opisowy profil, wnioski oraz rekomendacje. Same w sobie nie dotyczą zdrowia ani światopoglądu, więc zwykle nie są danymi wrażliwymi. Mogą jednak takim danymi się stać, jeśli ujawniają informacje o zdrowiu, przekonaniach lub życiu intymnym albo są z nimi łączone. Zawsze należy je traktować jako dane osobowe, bo pozwalają zidentyfikować konkretną osobę i opisują jej cechy.
Jak uzyskać zgodę badanego na przetwarzanie wyników testów?
Zgoda musi być dobrowolna, konkretna, świadoma, jednoznaczna i łatwa do wycofania.
W treści zgody powinny znaleźć się: cel przetwarzania, zakres danych i kategorii wyników, czas przechowywania, informacja o odbiorcach i ewentualnych transferach poza Europejski Obszar Gospodarczy, a także prawo do cofnięcia zgody bez negatywnych konsekwencji. Zgoda nie może być domyślna ani „ukryta” w regulaminie. W rekrutacji odmowa nie może prowadzić do mniej korzystnego traktowania, więc warto zapewnić alternatywną metodę oceny kandydata. Dobrą praktyką jest prowadzenie rejestru udzielonych i wycofanych zgód.
Jak długo przedsiębiorca może przechowywać wyniki testów zgodnie z prawem?
Tak długo, jak to jest niezbędne do celu, o którym poinformowano badanego.
W działaniach rozwojowych dane przechowuje się przez czas realizacji usługi i rozliczeń, a następnie ogranicza lub anonimizuje. W rekrutacji wyniki przechowuje się do zakończenia procesu, a z osobną zgodą także na potrzeby przyszłych rekrutacji, do czasu jej wycofania lub upływu określonego okresu. Dla ochrony przed roszczeniami dopuszcza się archiwizację niezbędnego minimum przez czas przedawnienia roszczeń, zgodnie z polityką retencji. Po upływie terminów dane należy usunąć lub trwale zanonimizować i odnotować to w rejestrze.
Jak zabezpieczyć wyniki testów w JDG?
Niezbędne są adekwatne środki techniczne i organizacyjne, proporcjonalne do ryzyka.
Pomocne są:
szyfrowanie dysków i plików, w tym kopii zapasowych
uwierzytelnianie wieloskładnikowe i menedżer haseł
ograniczenie dostępu wyłącznie do osób, którym jest to potrzebne
przechowywanie w bezpiecznej chmurze z umową powierzenia przetwarzania
pseudonimizacja raportów używanych w analizach i na warsztatach
rejestrowanie dostępu i zmian oraz regularne kopie zapasowe
aktualne systemy i ochrona antywirusowa
uporządkowane procedury usuwania i anonimizacji danych
Jak dokumentować politykę prywatności i przetwarzanie wyników w JDG?
Wystarczą proste, ale kompletne dokumenty opisujące cel, podstawy, retencję, odbiorców i bezpieczeństwo.
W praktyce sprawdzają się:
polityka prywatności i klauzule informacyjne dla kandydatów oraz klientów
rejestr czynności przetwarzania lub jego uproszczona wersja dla stałych procesów
ocena ryzyka, a przy wyższym ryzyku ocena skutków dla ochrony danych
umowy powierzenia z dostawcami narzędzi, chmury i usług wsparcia
procedury obsługi żądań osób, których dane dotyczą
wzory zgód i jednolite zasady retencji
plan reagowania na naruszenia i rejestr incydentów
Jakie ryzyka niesie udostępnianie wyników testów osobom trzecim?
Ryzyka to naruszenie prywatności, dyskryminacja, odpowiedzialność prawna i szkoda reputacyjna.
Udostępnianie doradcom, platformom testowym lub partnerom bez umowy powierzenia zwiększa ryzyko wycieku. Upublicznienie wyników może prowadzić do etykietowania i nieuprawnionych decyzji o dużym wpływie na osobę. Transfer danych poza Europejski Obszar Gospodarczy wymaga dodatkowych zabezpieczeń. Minimalizacja zakresu, kontrola odbiorców i pseudonimizacja ograniczają skutki ewentualnych incydentów.
Jakie praktyczne kroki warto podjąć dziś, żeby chronić wyniki testów?
Skup się na szybkim uporządkowaniu celu, retencji, bezpieczeństwa i dokumentów.
Kroki, które szybko podnoszą poziom ochrony:
określenie celu, podstawy prawnej i niezbędnego zakresu danych
włączenie uwierzytelniania wieloskładnikowego w poczcie, chmurze i narzędziach testowych
wdrożenie polityki retencji z automatycznymi terminami usuwania lub anonimizacji
uporządkowanie umów powierzenia z dostawcami i sprawdzenie lokalizacji serwerów
przygotowanie krótkich klauzul informacyjnych i wzorów zgód
ograniczenie dostępu do wyników i pseudonimizacja plików roboczych
przegląd starych folderów i usunięcie zbędnych kopii wyników
Świadome przetwarzanie wyników testów osobowościowych pozwala korzystać z ich wartości bez ryzyka. Jasny cel, przejrzystość wobec badanych i rozsądne zabezpieczenia to solidna baza na lata.
Umów krótką konsultację, aby bezpiecznie ułożyć przetwarzanie wyników testów w Twojej JDG.
Chcesz zgodnie z RODO przechowywać wyniki testów i otrzymać gotowy wzór zgody oraz politykę retencji dla swojej JDG? Umów krótką konsultację i zdobądź komplet dokumentów oraz listę szybkich kroków do natychmiastowego wdrożenia: https://www.talentpower.pl/pl.
