Prevent Magazine nr 3 by Sebastian Kalmus

www.prevent-magazine.pl GRUDZIEŃ 2012 (nr 3)

EWOLUCJA FUNKCJI

ABI

Legalna sprzedaż wierzytelności

Rekrutuj bezpiecznie Na co zwracać uwagę?

WINDOWS PHONE Czy na pewno najbezpieczniejszy?

Specjaliści ds. bezpieczeństwa na rynku pracy

TEMAT NUMERU:

BEZPIECZEŃSTWO W HR

Działamy kreatywnie i rzetelnie. Nie ma dla nas rzeczy niemożliwych:-) Projektujemy, piszemy, realizujemy! Działamy elastycznie, profesjonalnie i skutecznie, zawsze dopasowując się do potrzeb Klienta.

Zapraszamy do współpracy!

iKONCEPT | M. Wańkowicza 7/87 | 02-796 Warszawa | info@ikoncept.pl | www.ikoncept.pl

Michał Sztąberek, prawnik, audytor, specjalista ds. ochrony danych osobowych w firmie iSecure, redaktor naczelny „Prevent Magazine”

LUDZIE SĄ NAJWAŻNIEJSI

zas mija nieubłaganie. Jeszcze niedawno pisałem wstępniaka, gdy za oknem świeciło słońce, a teraz mamy grudzień, a myślami zapewne jesteśmy już przy wigilijnym stole.

Może jednak uda się Wam, drodzy Czytelnicy, znaleźć chwilę na przejrzenie kolejnej odsłony „Prevent Magazine”. Cały czas jesteśmy wierni zasadzie, że w każdym numerze jest jakiś temat przewodni i tak jest także tym razem. W bieżącym wydaniu skupiliśmy się na tym, co najważniejsze w każdym przedsiębiorstwie, a mianowicie na człowieku, a dokładniej na pracowniku. Nie pominiemy też tematu związanego z rekrutowaniem do pracy. Oczywiście wszystkie te tematy przedstawiamy pod kątem bezpieczeństwa, bo na tym koncentrujemy się w „Prevent Magazine”. Myślę, że kto chociaż raz rekrutował i zatrudniał, doskonale wie, jak ważne jest podjęcie właściwej decyzji w tym zakresie. Pamiętajmy wszak, że w każdym systemie bezpieczeństwa to właśnie człowiek jest najsłabszym ogniwem. Dlatego dobór odpowiednich ludzi jest taki ważny, a jeszcze ważniejsze jest edukowanie pracowników, by podnosić ich świadomość pod kątem zagrożeń – czy to informatycznych, czy to organizacyjnych. Przy okazji chciałbym też życzyć wszystkim Czytelnikom „Prevent Magazine” Wesołych Świąt Bożego Narodzenia i Szczęśliwego Nowego Roku.

Michał Sztąberek

SPIS TREŚCI 05 Złośliwe oprogramowanie w kontekście platform mobilnych – cz. 3, system Windows Phone AUTOR: Szymon Retecki, www.pcdoc.pl 08 ABI w drodze do inspektora… AUTOR: Monika Matuszewska, www.isecure.pl

16 Rekrutacja a bezpieczeństwo AUTOR: Sławomir Wiśniewski, www.wbspraca.pl 20 Ochrona danych osobowych w kontekście nowych zagrożeń sieciowych AUTOR: Mateusz Sell, www.filemedic.com

22 Powierzenie przetwarzania danych osobowych w e-mail marketingu AUTOR: Paweł Sala, www.freshmail.pl

24 Zarządzanie wierzytelnościami a dane dłużnika AUTOR: Rafał Lasota, www.casus.com.pl

28 Bezpieczeństwo w HR AUTOR: Marcin Sieńczyk, www.erecruiter.pl 30 Zarządzanie ryzykiem w chmurze – wprowadzenie do modelu cloudcomputing AUTOR: Marcin Fronczak, www.eurexa.pl

36 Doskonalenie warunkiem bezpieczeństwa AUTOR: Robert St. Bokacki, www.konteksthr.pl

38 Branża IT na rynku pracy AUTOR: Elżbieta Flasińska, www.pracuj.pl, www.grupapracuj.pl 40 Dane osobowe w środowisku pracy AUTOR: Justyna Metelska, www.tgc.eu 44 Wirtualizacja procesu rekrutacji

AUTOR: Piotr Zyskowski, www.wikrutacja.pl, www.caliber-solutions.pl

Redakcja: Wydawca: iSecure Sp. z o.o., ul. E. Jelinka 32, 01-646 Warszawa, www.prevent-magazine.pl Redaktor Naczelny: Michał Sztąberek, Redakcja: Maria Lothamer, Monika Matuszewska, Jacek Kapłon, Kontakt i reklama: redakcja@prevent-magazine.pl, tel. 607 271 915, Patronaty medialne: patronat@prevent-magazine.pl, Projekt i skład: www.iKoncept.pl, Hosting: www.iq.pl Redakcja dokłada wszelkich starań, by publikowane w piśmie informacje były poprawne, jednakże nie bierze odpowiedzialności za efekty ich wykorzystania. Wszystkie znaki firmowe zawarte w piśmie są własnością odpowiednich firm. Zostały użyte wyłącznie w celach informacyjnych.

GRUDZIEŃ 2012 www.prevent-magazine.pl

Zdjęcie na okładce: Fotolia

12 Nowy model ochrony danych osobowych w UE - konsekwencje dla usług typu cloud computing AUTOR: Katarzyna Górna, www.accreolegal.pl

Złośliwe

oprogramowanie w kontekście platform mobilnych – cz. 3, system Windows Phone W poprzednich odcinkach cyklu artykułów opisywałem systemy Android oraz iOS. Tytułem przypomnienia – oba systemy cechuje odmienne podejście do kwestii bezpieczeństwa. O ile Android jest platformą bardzo otwartą i pozwalającą użytkownikowi podejmowanie większości decyzji, o tyle producenci iOS sami decydują, które programy są bezpieczne, a które nie i które mogą być rozpowszechniane przez sklep z aplikacjami. Jak do tej pory lepiej sprawdza się metoda firmy Apple, a system firmy Google jest w tej chwili najbardziej narażony na wszelkiego rodzaju ataki.

ystem operacyjny Windows Phone jest jednym z najmłodszych na rynku. Jego premiera miała miejsce w 2010 roku. Udział w rynku to w tej chwili zaledwie kilka procent. Analitycy wydają sprzeczne komunikaty dotyczące przyszłości tej platformy. Jedni twierdzą, że system firmy Microsoft będzie szybko się rozwijał i wkrótce stanie się trzecią siłą na rynku mobilnych systemów operacyjnych. Inni są zgoła odmiennego zdania, twierdząc, że na szeroką ekspansję i podjęcie walki z Androidem i iOS jest już za późno. Publikacja tego artykułu zbiega się w czasie z wydaniem kolejnej wersji systemu - Windows Phone 8. Microsoft zagrał nieco „va banque”, unifikując środowiska dla komputerów, tabletów i telefonów. W tej chwili jednocześnie będą funkcjono-

wały: Windows 8 przeznaczony dla komputerów PC, Windows 8 RT dla tabletów opartych o architekturę ARM oraz Windows Phone dla smartphonów. Wszystkie trzy produkty mają spójną stylistykę interfejsu oraz, co ciekawsze, możliwość uruchomienia programu napisanego na jedną platformę na innych. Microsoft odebrał lekcję z ryzykownego podejścia swojego konkurenta, czyli firmy Google, do zagadnień związanych z bezpieczeństwem systemu. Polityka bezpieczeństwa Windows Phone jest dobrze przemyślana i dość restrykcyjna. Z systemem firmy Microsoft jest ściśle powiązany sklep z aplikacjami – Windows Phone Store. Tak samo jak w iOS – a inaczej niż w Androidzie – użytkownicy mogą instalować oprogramowanie jedynie z tego sklepu

z aplikacjami. Żaden inny model dystrybucji nie wchodzi w grę. Ma to oczywiście swoje zalety. Po pierwsze Microsoft twierdzi, że każda aplikacja przed umieszczeniem w sklepie jest dokładnie sprawdzana. Testy skupiają się na bezpieczeństwie programu i potencjalnych podatnościach na atak, inaczej niż w iOS, gdzie testowana jest głównie kompatybilność i szybkość działania. Wyjątkiem od pobierania Model zabezpieczeń przyjęty przez Microsoft dobrze radzi sobie z zagrożeniami związanymi ze złośliwym oprogramowaniem. Firma zapowiada, że wszystkie urządzenia z Windows Phone 8 będą przez minimum 1,5 roku od premiery otrzymywały aktualizacje do najnowszej wersji systemu, a więc znalezione luki bezpieczeństwa będą na bieżąco łatane.

oprogramowania z Windows Phone Store jest nowość wprowadzona w Windows Phone 8, czyli prywatny sklep z aplikacjami. Rozwiązanie to będzie szczególnie przydatne dla korporacji, które mogą odtąd udostępniać aplikacje wyłącznie dla swoich pracowników, tak jak ma to miejsce w iOS. Wszystkie aplikacje, które działają w środowisku Windows Phone, muszą być podpisane

cyfrowo. Certyfikaty są wydawane bezpośrednio przez Microsoft, więc nie ma możliwości „wyprodukowania” sobie własnego certyfikatu i podpisywania nim np. popularnych programów z dołączonym do nich złośliwym kodem (najczęstsza metoda ataku w Androidzie). Kolejnym elementem wpływającym na bezpieczeństwo systemu operacyjnego jest Sandbox. Dla przypomnienia - jest to

GRUDZIEŃ 2012 www.prevent-magazine.pl

mechanizm, który umożliwia uruchomienie aplikacji w środowisku izolowanym od systemu i innych aplikacji. W ten sposób uniemożliwiane jest modyfikowanie zasobów jednego programu przez drugi. Jest to bardzo istotna funkcjonalność, ponieważ nawet jeśli jedna aplikacja padnie ofiarą ataku, z jej poziomu nie może zostać przeprowadzony atak na inny program zainstalowany

Zdjęcia: Fotolia, autor tekstu

System operacyjny

na smatphonie lub na sam system operacyjny. Dość istotną funkcjonalnością z perspektywy bezpieczeństwa jest możliwość zdalnego wyczyszczenia pamięci ze wszystkich prywatnych danych w przypadku, gdy telefon zostanie zgubiony. W Windows Phone 8 wprowadzono również szyfrowanie za pomocą rozwiązania BitLocker (stosowane do tej pory w systemach Windows Vista, 7 i Server). Nowością są również elementy MDM, czyli centralnego zarządzania polityką bezpieczeństwa dla urządzeń wykorzystywanych w dużych organizacjach. Niestety nie doczekałem się odpowiedzi ze strony Microsoftu, jakie to elementy, a na rynku dopiero pojawiają się pierwsze urządzenia z najnowszym Windowsem, więc nie jestem w stanie szerzej poruszyć tej kwestii. Model zabezpieczeń przyjęty przez firmę Microsoft dobrze radzi sobie z zagrożeniami

związanymi ze złośliwym oprogramowaniem. Jak do tej pory nie dotarły do mnie żadne

wersji systemu. Jest to o tyle ważne, że znalezione luki bezpieczeństwa będą na bieżąco

Microsoft odebrał lekcję z ryzykownego podejścia swojego konkurenta, firmy Google, do zagadnień związanych z bezpieczeństwem systemu. Polityka bezpieczeństwa Windows Phone jest dobrze przemyślana. Użytkownicy mogą np. instalować oprogramowanie tylko ze sklepu Windows Phone Store. informacje o jakichś większych infekcjach. Jest to z pewnością także spowodowane niewielką popularnością tego systemu. Przestępcy skupiają się na najpopularniejszych platformach, ponieważ znalezienie dziury w popularnym systemie operacyjnym daje dostęp do dużo większej ilości użytkowników i cennych danych. Microsoft zapowiada, że wszystkie urządzenia z Windows Phone 8 będą przez minimum 1,5 roku od premiery otrzymywały aktualizacje do najnowszej

łatane. Czas pokaże, czy Microsoft wywiąże się ze swojej obietnicy. Na chwilę obecną system Windows Phone, mimo że nie tak popularny jak konkurenci, wydaje się rozsądnym wyborem, jeśli zależy nam na bezpieczeństwie danych, które przechowujemy na swoim smartphonie. AUTOR: Szymon Retecki, Chief Executive Officer, www.pcdoc.pl

Prawo

ABI W DRODZE DO INSPEKTORA…

Generalny Inspektor Ochrony Danych Osobowych wraz ze wsparciem Stowarzyszenia Administratorów Bezpieczeństwa Informacji dąży do zmian w ustawie o ochronie danych osobowych. Chodzi tu o swego rodzaju deregulację obecnie obowiązujących przepisów w związku z planowanymi zmianami w prawie Unii Europejskiej (UE), która już przystąpiła do reformy przepisów w tym zakresie. Założenia zmian w polskich aktach prawnych nic nie nakazują, lecz mają dać administratorom danych osobowych prawo wyboru ścieżki postępowania przy przetwarzaniu zbiorów danych osobowych, czyli administratorzy danych osobowych (ADO) będą mogli zdecydować czy chcą już teraz zacząć dostosowywać swoje jednostki organizacyjne do planowanych zmian w Unii Europejskiej, czy też chcą działać na zasadach podobnych do obecnie obowiązujących. Skąd pomysł na takie właśnie zmiany?

bowiązująca od prawie 15 lat dyrektywa Parlamentu Europejskiego i Rady 95/46/WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodne-

go przepływu tych danych ma być zastąpiona jednolitym rozporządzeniem, obowiązującym bezpośrednio we wszystkich państwach UE, gdyż rozporządzenie ma zasięg ogólny, wiąże w całości i jest bezpośred-

GRUDZIEŃ 2012 www.prevent-magazine.pl

nio stosowane we wszystkich państwach członkowskich, a dyrektywa jedynie zobowiązała państwa członkowskie do ustanowienia pewnego porządku prawnego, ale nie narzuca instrumentów, w jaki

sposób ma to być osiągnięte. Generalny Inspektor jest zwolennikiem stopniowych, a nie radykalnych zmian, dlatego chce, aby przedsiębiorcy sami mogli podjąć decyzję o przebudowie swoich organizacji pod kątem projektu rozporządzenia w momencie dla nich samych najbardziej odpowiednim. Wymieniony projekt rozporządzenia został przekazany do prac w Parlamencie Europejskim i państwach członkowskich UE, jego założenia mogą więc ulec jeszcze wielu zmianom, ale Generalny Inspektor Ochrony

Wymieniony w polskiej ustawie ABI nie spełnia warunków do uznania go wspomnianym urzędnikiem, gdyż nie gwarantuje mu niezależności oraz wąsko określa jego zakres obowiązków. Natomiast projekt rozporządzenia przewiduje funkcję inspektora ds. ochrony danych osobowych oraz bardzo szeroko zakreśla jego zadania, zapewniając mu nie tylko niezależność, ale również dwuletnią kadencyjność. Mając powyższe na uwadze, polski projekt nowelizacji doprecyzowuje katalog obowiązków ciążących na ABI.

Obecnie funkcja ABI często jest dodatkowym obowiązkiem i osoby pełniące tę funkcję nie mają wystarczających kompetencji ani czasu, by w pełni realizować swoje zadania. Nowelizacja ma to zmienić. ABI powinien mieć wyższe wykształcenie oraz szeroką wiedzę z zakresu prawa ochrony danych osobowych. Danych Osobowych, Wojciech Wiewiórowski, postanowił działać już teraz i przesłał do Ministerstwa Gospodarki projekt nowelizacji ustawy o ochronie danych osobowych, który ma być dołączony do pakietu ustaw deregulacyjnych. Zmianie ma ulec przede wszystkim pozycja Administratora Bezpieczeństwa Informacji (ABI). Dotychczas polski ustawodawca nie skorzystał z możliwości uregulowania instytucji urzędnika ds. ochrony danych osobowych przewidzianej w dyrektywie 95/46/WE.

Zgodnie z art. 36a ust. 2 projektu, ABI powinien zapewniać stosowanie przepisów o ochronie danych osobowych poprzez prowadzenie czynności kontrolnych, audytów, sporządzania sprawozdań z kontroli, opracowanie i aktualizowanie dokumentacji, szkolenie osób upoważnionych do przetwarzania danych osobowych. ADO powołanie ABI będzie zgłaszał do Generalnego Inspektora Ochrony Danych Osobowych, którego obowiązkiem będzie prowadzenie jawnego rejestru ABI. Dodatkowo w związku z poszerzeniem kompetencji

ABI Generalny Inspektor będzie mógł zlecić ABI przeprowadzenie kontroli wewnętrznej. Wiąże się to z przesłaniem sprawozdania pokontrolnego do Generalnego Inspektora Ochrony Danych Osobowych. Nie wyklucza to jednak możliwości przeprowadzenia przez GIODO kontroli zewnętrznej i gdyby takie sprawozdanie wzbudziło jakiekolwiek podejrzenia, pracownicy Biura Generalnego Inspektora Ochrony Danych Osobowych mogą wkroczyć do jednostki. W obowiązujących przepisach ADO ma obowiązek wyznaczyć ABI, jeżeli tego nie zrobi, sam pełni tę funkcję. Ponadto do obowiązków ADO należy zgłaszanie zbiorów danych zwykłych i wrażliwych do Generalnego Inspektora Ochrony Danych Osobowych. Jeżeli planowane zmiany wejdą w życie, to kolejnym nowym zadaniem ABI będzie, zgodnie z art. 36a ust. 2 projektu, prowadzenie jawnego rejestru zbiorów danych osobowych. Wówczas ADO będzie zwolniony ze zgłaszania zbiorów danych zwykłych do Generalnego Inspektora Ochrony Danych Osobowych, ale tylko w przypadku powołania ABI – oznacza to, że wspomniana możliwość byłaby zagwarantowana tylko w takich jednostkach, gdzie ADO powołał ABI. W innym przypadku obowiązek zgłaszania zbiorów pozostaje bez zmian, a na ADO spoczywać będzie poszerzony

Prawo

Jednocześnie oba wspomniane dokumenty wskazują, że ABI (w projekcie rozporządzenia inspektor ochrony danych osobowych) musi posiadać odpowiednie kwalifikacje. Obecne przepisy w ogóle nie regulują kwestii, kto może pełnić funkcję ABI. W związku z powyższym pełnienie funkcji ABI często jest tylko dodatkowym obowiązkiem i osoby pełniące te funkcje nie mają wystarczających kompetencji ani czasu, by w pełni realizować swoje zadania związane z przestrzeganiem zasad ochrony danych osobowych. Nowelizacja ma to zmienić. ABI powinien mieć wyższe wykształcenie oraz posiadać szeroką wiedzę, w szczególności wiedzę z zakresu prawa ochrony danych osobowych, praktyki i zdolności wykonywania zadań. Ze względu na coraz większą odpowiedzialność ABI, dochodzimy do szeroko ujętej interdyscyplinarności oraz umocowania ABI w strukturach podmiotów przetwarzających dane osobowe. Obecnie nie ma dedykowanego stanowiska dla ABI. Pisząc nieco żartobliwie, zgodnie z aktualnym sta-

nem prawnym, ABI może być każdy - począwszy od personelu sprzątającego po najwyższą kadrę kierowniczą. Nowe przepisy mają zapewnić ABI pełną niezależność, co wiąże się ze specjalnie dedykowanym stanowiskiem i umocowaniem w strukturze instytucji. Koniec z przysłowiowym „ABI choinką”. Jak już wspomniałam na początku, rozporządzenie nie posługuje się terminem administratora bezpieczeństwa informacji i zamiast niego wprowadza funkcję inspektora ochrony danych osobowych. Projekt rozporządzenia zakłada obowiązek wyznaczenia inspektora przez ADO, gdy: •p rzetwarzania dokonuje organ lub podmiot publiczny, •p rzetwarzania dokonuje przedsiębiorstwo zatrudniające 250 osób lub więcej, •g łówna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania podmiotów danych. Łatwo można zauważyć, że większość podmiotów prowadzących jakąkolwiek działalność będzie objęta takim obowiązkiem. Warto więc już teraz zastanowić się nad zmianami oraz spróbować przygotować swoje firmy do nowych przepisów, zbudować przysłowiowe „fundamenty”. Nie wolno zapominać, że zmiany zakładają również możliwość

GRUDZIEŃ 2012 www.prevent-magazine.pl

odwołania ABI/inspektora, pod warunkiem że przestał spełniać warunki niezbędne do pełnienia swoich obowiązków, co wymusza przestrzeganie przepisów przez ABI/ inspektora. W takim przypadku Generalny Inspektor w drodze decyzji administracyjnej skreśli z rejestru dotychczasowego ABI, zleci

Zdjęcia: Fotolia, autor

katalog obowiązków ABI z wyłączeniem sporządzania sprawozdania do Generalnego Inspektora. Projekt deregulacji i projekt rozporządzenia zapewniają ABI niezbędne środki, organizacyjną odrębność w niezależnym wykonywaniu zadań, tzn. ADO musi zapewnić odpowiednie narzędzia, którymi będzie mógł operować ABI w celu realizacji swoich zadań.

przywrócenie stanu zgodnego z prawem, jednocześnie mogąc nałożyć grzywnę na podmiot. Stąd jeżeli ADO niezwłocznie nie powoła nowego ABI, zmuszony będzie sam naprawić wszystkie uchybienia. Warto tu wspomnieć, że ABI/inspektor może być zatrudniony przez ADO lub wykonywać swoje zadania

na podstawie umowy o świadczenie usług, co daje możliwość powołania na tę funkcję osoby z firmy zewnętrznej zajmującej się głównie tematyką ochrony danych osobowych, która dzięki swojemu szerokiemu zasobowi wiadomości i wysokich kwalifikacji najlepiej wypełniałaby katalog obowiązków przewidziany w ustawie,

dzieląc się swoją fachową wiedzą z pracownikami danego podmiotu i minimalizując ryzyko związane z przetwarzaniem danych osobowych. AUTOR: Monika Matuszewska, Konsultant ds. ochrony danych osobowych w iSecure Sp. z o.o. www.isecure.pl

Wyzwania

NOWY MODEL OCHRONY DANYCH OSOBOWYCH W UE KONSEKWENCJE DLA USŁUG TYPU CLOUD COMPUTING

Unia Europejska przystąpiła do reformy przepisów dotyczących ochrony danych osobowych. Obowiązująca od prawie piętnastu lat dyrektywa ma zostać zastąpiona jednolitym rozporządzeniem, obowiązującym bezpośrednio we wszystkich państwach UE. Zmiany wynikają z konieczności dostosowania prawa do rozwoju nowych technologii, w szczególności coraz bardziej powszechnego przetwarzania danych przy pomocy Internetu, w tym za pomocą chmur obliczeniowych. Bez wątpienia więc planowana reforma będzie miała znaczący wpływ na e-commerce, zwłaszcza dostawców usług typu cloud computing i firmy korzystające z przetwarzania danych w chmurze. Jakie zatem mogą być konsekwencje tej reformy i jak przygotować się do zmiany przepisów?

rzede wszystkim przepisy mają zostać ujednolicone we wszystkich państwach Unii, co dla podmiotów np. utrzymujących serwery z bazami danych zlokalizowane w kilku państwach UE lub posiadających siedziby w różnych krajach oznacza mniej formalności i łatwiejsze dostosowanie stosowanych praktyk

kosztów. Po wejściu w życie nowych przepisów wystarczy, że zgłoszą się do jednego urzędu - w kraju, gdzie mają główną siedzibę. Założeniem nowelizacji jest wzmocnienie ochrony danych osobowych obywateli Unii niezależnie od lokalizacji centrum przetwarzania danych. Jak podkreśla Komisja Europejska,

Po nowelizacji za bezpieczeństwo bazy danych odpowiadać będzie nie tylko administrator danych, ale też dostawca chmury, jeżeli do naruszenia przepisów doszło z jego winy. do wymogów dotyczących ochrony danych. Ze względu na różnice w przepisach krajowych do tej pory usługodawcy działający na kilku rynkach europejskich musieli często rejestrować swoje bazy danych i dopełniać licznych formalności w każdym z tych miejsc, co przede wszystkim wiązało się z ponoszeniem wysokich

dostawca usług informatycznych, który przetwarza dane osobowe obywateli UE, powinien dostosować się do przepisów rozporządzenia, nawet jeśli ma siedzibę poza UE i nawet jeśli dane przechowywane są w zlokalizowanej poza terytorium Unii chmurze, gdyż unijne przepisy będą również obowiązywać w przypadku, gdy dane

GRUDZIEŃ 2012 www.prevent-magazine.pl

osobowe będą przetwarzane za granicą przez przedsiębiorstwa prowadzące działalność na rynku UE i oferujące swoje usługi obywatelom Unii. Kolejna ważna zmiana dotyczy tzw. wycieku danych. W sytuacji, gdy nastąpi włamanie do chmury, w której przechowywane są dane osobowe, lub w inny sposób naruszone zostanie bezpieczeństwo danych, rozporządzenie przewiduje konieczność niezwłocznego powiadomienia o tym fakcie osób, które przekazały swoje dane oraz organu nadzorującego (w Polsce - GIODO), jeśli to możliwe - w terminie 24 godzin od wykrycia naruszenia. Co ważne, każde naruszenie bazy danych trzeba będzie zgłosić do GIODO, nawet jeżeli ryzyko szkody jest niewielkie, a środki ochronne, takie jak szyfrowanie, pozostały nienaruszone. Firmy będą więc musiały wdrożyć lub poprawić swoje procedury na wypadek wycieku danych. Przed wejściem w życie przepisów warto też zweryfikować

możliwości techniczne w zakresie odpowiedniego zabezpieczenia chmury. Z perspektywy przetwarzania danych w chmurze istotne wydają się nowatorskie propozycje wprowadzenia „prawa do bycia zapomnianym” oraz przenoszalności danych na żądanie osoby, której dane

nieść je w całości do innego usługodawcy. Będzie też mógł żądać całkowitego usunięcia danych, które przekazał, nawet jeżeli wcześniej wyraził zgodę na ich przetwarzanie. Co więcej, administrator danych byłby też zobowiązany podjąć w takiej sytuacji działania mające

internetowych), umożliwiających publiczny dostęp do nich. Planowane jest również wzmocnienie ochrony użytkowników Internetu przed profilowaniem w celach komercyjnych, które powinno być oparte na wyraźnie udzielonej zgodzie osoby przekazującej dane.

dotyczą. Użytkownik będzie mógł żądać przekazania kopii swoich danych osobowych w takim formacie, aby prze-

na celu usunięcie wszelkich kopii, replikacji, odniesień i linków do danych (np. w wyszukiwarkach czy na stronach

Rozporządzenie zobowiązuje administratorów przekazujących dane osobowe dostawcom systemów cloud

Wyzwania

AUTOR: Katarzyna Górna, Prawnik w Accreo Legal www.accreolegal.pl

ną dokumentację wszystkich operacji przetwarzania danych. Co więcej, dostawca chmury i jego usługobiorcy będą zobowiązani do opracowania raportów obejmujących ocenę skutków przetwarzania danych, przewidywane środki i gwarancje mające zapewnić ich ochronę oraz wykazanie zgodności procedur stosowanych przez dane firmy z rozporządzeniem. Omawiana regulacja jest nadal w fazie projektu. Wiele rozwiązań i wymagań przewidzianych w rozporządzeniu, przede wszystkim środki techniczne

czenie tego typu usług należy uzupełnić o klauzule przewidujące stosowanie do tych umów przepisów unijnych i zapewnienie wysokich standardów bezpieczeństwa danych. Co ważne, zgodnie z rozporządzeniem wszelkie procedury, regulaminy i formularze zgody na przetwarzanie danych skierowane do osób przekazujących swoje dane osobowe, powinny być napisane prostym językiem, zrozumiałym dla przeciętnego użytkownika. Wprowadzenia odpowiednich rozwiązań technicznych na pewno będzie wymagało ustanowienie

Z perspektywy przetwarzania danych w chmurze istotne wydają się nowatorskie propozycje wprowadzenia „prawa do bycia zapomnianym” i przenoszalności danych na żądanie osoby, której dane dotyczą. i organizacyjne mające zapewnić bezpieczeństwo danych, doprecyzują dopiero akty wykonawcze wydawane przez Komisję Europejską. Dlatego też trudno na obecnym etapie precyzyjnie określić, jakie procedury będą musieli wprowadzić dostawcy usług cloud computing i inni przedsiębiorcy z branży e-commerce. Przygotowując się do zmiany przepisów przedsiębiorcy na pewno jednak powinni przeanalizować obowiązujące u nich polityki prywatności i regulaminy, a także stosowane w firmie praktyki pod kątem zgodności z treścią nowego rozporządzenia. Jeżeli dane przekazywane są przez administratora do chmury zlokalizowanej poza terytorium UE, umowy na świad-

„prawa do bycia zapomnianym” i prawa do przenoszalności danych między usługodawcami. Warto również sprawdzić, czy dane, które przetwarzamy, uzyskane są na podstawie wyraźniej, a nie domniemanej zgody, oraz przeanalizować posiadane bazy danych pod kątem tego, jakie dane przetwarzamy, w jaki sposób zostały uzyskane i czy nadal jesteśmy uprawnieni do tego, aby je przetwarzać. Projekt rozporządzenia został przekazany do prac w Parlamencie Europejskim i państwach członkowskich UE, jego założenia mogą więc ulec jeszcze wielu zmianom. Rozporządzenie wejdzie w życie w ciągu 2 lat po jego przyjęciu, prawdopodobnie z początkiem 2015 r.

Zdjęcia: Fotolia, autor

computing, aby korzystali z usług tych dostawców, których regulaminy, polityki prywatności i systemy zabezpieczeń zapewniają przestrzeganie wszystkich zawartych w rozporządzeniu wymogów dotyczących bezpieczeństwa. Nowe przepisy upoważniają też organy państwowe do nakładania wysokich kar na przedsiębiorstwa naruszające przepisy. Kary te mogą sięgnąć 1 mln EUR lub 2% rocznych światowych obrotów firmy. Co ważne, za bezpieczeństwo bazy danych odpowiadać będzie nie tylko administrator danych, ale również dostawca chmury, jeżeli do naruszenia przepisów doszło z jego winy. Dostawcy usług w chmurze powinni więc przeanalizować swoje systemy zabezpieczeń, procedury i stosowane wzorce umów pod kątem zgodności z nowym rozporządzeniem. Firmy zatrudniające ponad 250 pracowników powinny również przygotować się na obowiązek wyznaczenia lub zatrudnienia inspektora ochrony danych, posiadającego odpowiednią wiedzę w dziedzinie przetwarzania i ochrony danych osobowych. Prawdopodobnie zniesiony zostanie obowiązek rejestracji baz danych w GIODO, ale w zamian zarówno dostawca chmury, jak i administrator danych, który korzysta z tych usług, będą musieli prowadzić bardziej rozbudowa-

© Pressmaster - Stockcreations - Cultura2 - Olly - deviantART - Arminneuhauser - Andrey Kiselev - Antonio Gravante - Lily - Andres Rodriguez - Ispstock - Elena Schweitzer - L Standard | od 7 kredytów (od 17,50 PLN)

OBRAZY ŚWIĄTECZNE

Znajdź odpowiedni obraz już za 2,50 zł! Kolekcja 20 milionów zdjęć, wektorów i wideo royalty-free do ilustracji wszystkich Twoich projektów reklamowych i promocyjnych: stron internetowych, reklam, broszur, druków reklamowych...

Fotolia, nr 1 wśród dostawców plików kreatywnych w Europie. Tel. +48 22 389 70 52 I www.fotolia.pl

Rekrutacja

a bezpieczeństwo Wyrafinowane systemy zabezpieczeń, firewalle, programy szyfrujące, stosy procedur, szkolenia itp. – ta lista nie ma końca. Ten cały wysiłek ma na celu usprawnienie procesów biznesowych i zapewnienie bezpieczeństwa. Przedsiębiorstwa, instytucje publiczne i inne organizacje, dla których bezpieczeństwo obrotu informacją ma kluczowe znaczenie, koncentrują się głównie na technologii i procedurach, które określają normy życia korporacyjnego. Nasuwa się pytanie: „a co z ludźmi?”. To od ludzi zależy efektywność i bezpieczeństwo organizacji, dla której pracują. Zastanówmy się przez chwilę, jaki wpływ na bezpieczeństwo organizacji może mieć proces rekrutacji pracowników. Naszym celem będzie jedynie zasygnalizowanie, na jakich etapach procesu rekrutacji możemy mieć do czynienia z podwyższonym ryzykiem, które może wynikać ze zwykłego przeoczenia, zaniechania dodatkowej weryfikacji lub zwykłego braku kompetencji, co może skutkować nietrafnymi decyzjami personalnymi.

GRUDZIEŃ 2012 www.prevent-magazine.pl

Planowanie zatrudnienia i definiowanie profili zawodowych. To pierwszy etap procesu rekrutacji i pierwszy problem, który widzimy jako firma rekrutacyjna, do której zgłaszają się pracodawcy poszukujący pracowników. Zwróćmy uwagę tylko na dwa aspekty: ciągłość zatrudnienia i definiowanie profilu zawodowego. Jeśli mówimy o ciągłości zatrudnienia, to można stwierdzić, że wiele firm pozostawia decyzje o zatrudnieniu nowego pracownika na ostatnią chwilę. W przypadku kluczowych dla

wodowego. To pytanie jest źródłem wielu dyskusji, a wręcz konfliktów wewnętrznych. Czy dyrektor produkcji powinien być – tak jak do tej pory – technologiem, czy powinien teraz łączyć cechy technologa z biznesowymi, skoro nasza firma musi ograniczyć koszty i przetrwać przy niższym budżecie? Istotne jest zarówno precyzyjne określenie oczekiwań w stosunku do kandydatów, jak i warunków zatrudnienia, które możemy zaoferować na danym stanowisku. Precyzyjne zdefiniowanie profilu poszukiwanego

Kandydaci często zatajają lub podają nieprawdziwe informacje na temat swojej przeszłości zawodowej. Dlatego tak ważna jest umiejętność weryfikacji CV podczas rozmowy. firmy stanowisk może to mieć katastrofalne skutki. Ciągłość zatrudnienia na niektórych stanowiskach jest kluczowa dla utrzymania stabilności przedsiębiorstwa. Takie sytuacje, jak brak inżyniera utrzymania ruchu, kierownika produkcji czy wąsko wyspecjalizowanego pracownika, oznaczają: przestoje, przerwanie łańcucha dostaw dla kontrahentów, straty wynikłe z błędnych decyzji, które i tak trzeba podjąć pod nieobecność fachowca itd. Tych sytuacji można uniknąć, planując lub tworząc plany awaryjne. Inną kwestią jest umiejętność precyzyjnego odpowiedzenia na pytanie: „kogo szukamy?”, czyli definiowanie profilu za-

pracownika jest kluczowym punktem startowym każdej rekrutacji. Niejasności i niedopowiedzenia zwykle kończą się koniecznością powtarzania procesu, co oznacza stratę czasu i środków finansowych. Umiejętność wcześniejszego planowania zatrudnienia oraz określenia profilu poszukiwanych pracowników to pierwszy etap procesu rekrutacji, od którego zależy pozyskanie odpowiednich kandydatów. To podstawy, można powiedzieć, rzeczy oczywiste, ale faktem jest, i dostrzegamy to bardzo często w naszej praktyce, że nawet duże firmy borykają się z poważnymi problemami we wskazanych obszarach.

Proces rekrutacji, czyli czego się spodziewać. Jest wiele już standardowych wzorców rekrutacji, jakie stosują przedsiębiorstwa, aby zapewnić obsadę stanowisk. Nie będziemy się skupiać na standardowych elementach procesu rekrutacji, a jedynie tych najbardziej wrażliwych, które mogą mieć wpływ na bezpieczeństwo przedsiębiorstwa. W przypadku procesów rekrutacyjnych możemy mieć do czynienia z różnymi formami dezinformacji ze strony kandydatów, między innymi: - z atajaniem informacji o przeszłości zawodowej i osobistej, - nieprawdziwymi informacjami dotyczącymi doświadczenia i kwalifikacji kandydata, - nieprawdziwymi informacjami co do poprzednich miejsc zatrudnienia, - nieprawdziwymi intencjami/ powodami, dla których kandydaci starają się o pracę w naszej firmie. Powyższe postępowanie kandydatów wynika zwykle z chęci „uwypuklenia” pozytywnych cech z jednej strony i „zasłonięcia” ewentualnych niedoskonałości z drugiej strony. Trudna sytuacja na rynku pracy oraz chęć zdobycia określonej pozycji zawodowej sprawiają, że kandydaci bardzo często przesadzają, opisując swoje kwalifikacje i doświadczenie. W swojej praktyce często spotykamy się z sytuacjami, kiedy kandydaci

Temat numeru

GRUDZIEŃ 2012 www.prevent-magazine.pl

Sprawdzanie referencji, czyli opinia poprzednich pracodawców kandydata. Sprawdzanie referencji jest bardzo ważnym elementem procesu rekrutacji, który jest bardzo często zaniedbywany. Opinia poprzednich pracodawców jest niezwykle cenna i może mieć kluczowe znaczenie przy ocenie kandydatów. Rekomendujemy kontakt z poprzednimi 2-3 pracodawcami w celu zweryfikowania między innymi: opinii o pracowniku, zakresu obowiązków, powodu zakończenia współpracy. W naszej firmie wypracowaliśmy własną metodę Cross Verification of References, która bada referencje kandydatów na kilku różnych wymiarach. W przypadku rekrutacji prowadzonych na kluczowe stanowiska w przedsiębiorstwie, każda informacja o kandydacie jest istotna.

Weryfikacja poprzez Social Media. Oto kolejny sposób na pozyskanie informacji o kandydatach, który ubiegają się o pracę. Portale internetowe zawierające informacje o profilach swoich członków

Zdjęcia: Fotolia, autor

naszego kraju, kandydaci mogą nie mieć świadectw pracy ze względu na fakt, iż byli zatrudnieni na podstawie umowy o dzieło, umowy zlecenia lub własnej działalności gospodarczej. Co wtedy robić? Znów prosimy o dane poprzedniego pracodawcy w celu potwierdzenia opinii. Brak oficjalnego potwierdzenia zatrudnienia nie powinien dyskwalifikować kandydata. Starajmy się prosić o dane przełożonego z poprzedniej firmy już w trakcie rozmowy; - Luki czasowe w CV: jak długie są przerwy pomiędzy poszczególnymi miejscami zatrudnienia? Jeśli dłuższe niż 2-3 miesiące, to zapytajmy o powód; Na co zwracać - Brak opisu zakresu uwagę, analizując obowiązków: poprośmy CV, czyli jak czytać o dokładny opis zakresu życiorys zawodowy? obowiązków, aby mieć pewPrzede wszystkim zwracajmy ność, że kandydat wykonyuwagę na: wał czynności/zadania, - Okresy zatrudnienia: jak które są dla nas ważne; długo kandydat pracował w poprzednich firmach? Jeśli - Informacje o wykształceniu: poprośmy o kopię są to okresy kilkumiesięczne, dyplomu. Jeśli kierunek to jakie były tego powody? ukończonych studiów ma dla Już w tym momencie należy nas znaczenie, to zapytajmy zapytać o nazwisko przełoo ich przebieg, temat pracy żonego, w firmie, gdzie miało magisterskiej. Jeśli szukamy to miejsce – w celu zweryfitechnologa do działu kowania referencji; Research & Development - Porównanie okresów zai trafiamy na pasjonata, który trudnienia ze świadectwajuż podczas studiów pisał mi pracy: jeśli kandydat artykuły na tematy związane nie przedstawił świadectw ze zakresem obowiązków, pracy, a jesteśmy zainteresoto bardzo dobrze. Ale jeśli te wani jego zatrudnieniem, studia były męką, ze wzglęto poprośmy o wszystkie du na ich przedmiot, to trudświadectwa pracy. W pewno zakładać, że jest to dobry nych sytuacjach, dotyczy kandydat do działu R&D. to zwłaszcza rzeczywistości

poszerzają zakres obowiązków w poprzednich miejscach zatrudnienia, aby zwiększyć swoje szanse w toczącym się procesie rekrutacji. Nagminnie dochodzi do sytuacji, kiedy aplikujący ocenia zbyt wysoko swoją znajomość języków obcych. Bardzo często dokumenty CV zawierają opis osiągnięć zawodowych należących do kolegów i koleżanek, ale nie samego kandydata. Można wyliczać bez końca przykłady manipulacji i nadużyć ze strony starających się o pracę, które mają zwiększyć ich szanse na zatrudnienie. Zastanówmy się, jak pozyskiwać i weryfikować istotne informacje o kandydatach.

Social Media stały się ważnym elementem w procesie rekrutacji kandydata na wybrane stanowisko. Jest to kopalnia wiedzy na temat jego zainteresować, stylu życia, sposobów spędzania wolnego czasu, a nawet konkretnych zachowań. Dzięki tej wiedzy łatwiej odpowiedzieć sobie na pytanie, jakim człowiekiem jest osoba, którą zapraszamy na rozmowę kwalifikacyjną.

to kopalnia wiedzy na temat zainteresowań, sposobów spędzania wolnego czasu, a także konkretnych zachowań. To obraz osobowości, mniej lub bardziej dokładny, ale jednak zestaw informacji, który może pomóc w odpowiedzi na pytanie, kim są ludzie, z którymi rozmawiamy podczas rozmowy kwalifikacyjnej.

do której aplikowali. Wtedy mamy do czynienia z kandydatem/kandydatami, których celem pośrednim jest pozyskanie pracy, a celem ostatecznym pozyskanie informacji wewnętrznych firmy. Działania takie są podejmowane zwykle

Sprawdzanie referencji u poprzednich pracodawców kandydata jest bardzo ważnym, a niestety często zaniedbywanym elementem procesu rekrutacji.

Testy psychologiczne. W rękach doświadczonego psychologa to dobre i skuteczne narzędzie, przez ludzi wynajętych przez które umożliwia analizę firmę konkurencyjną, firmę kandydatów na wcześniej handlującą informacjami określonych płaszczyznach. gospodarczymi lub organizaW ten sposób możemy, z ducje wywiadowcze i ich piony żym prawdopodobieństwem, wywiadu gospodarczego. odkryć dyspozycje kandydaPrzykłady tego typu działań tów do pewnych zachowań/ dotyczą głównie takich krazadań lub ich brak. Powjów, jak USA, Niemcy, Francja, szechna dostępność testów, Wielka Brytania. Do tej pory w tym tzw. testów on line, w naszym kraju nie doszło do sprawiła, że testy psycholooficjalnego zdemaskowania giczne mogą być często stotakich działań, co nie znaczy, sowane w sposób niewłaściwy że nie miały miejsca. Znane są i mogą jedynie zniekształcić przykłady, kiedy w procesach wiedzę o kandydacie. Tego rekrutacji do kilku ważnych dla typu narzędzia muszą być gospodarki spółek brali udział precyzyjne dobrane przez kandydaci o sfabrykowanej specjalistę i stosowane przeszłości. Tego typu kandyze świadomością zarówno daci zwykle nie aplikują na wymocnych, jak i słabych stron. sokie rangą stanowiska, a są to raczej stanowiska specjaWywiad i szpiegolistów lub średniego szczebla stwo gospodarcze. managerów. Ulokowanie na Na uwagę zasługuje tego typu pozycjach umożliwia również stosunkowo nowe już dostęp do istotnych inforzjawisko w naszej polskiej macji o firmie, a z czasem daje rzeczywistości. Znane są już możliwość wejścia w posiadaprzykłady natknięcia się podnie trudniej dostępnych daczas procesu rekrutacji na nych, które mogą mieć istotne kandydatów, których celem znaczenie dla konkurencji lub nie było pozyskanie pracy, innego kraju. To tylko sygnał, lecz informacji na temat firmy, że nasza gospodarka zmienia

się i zmieniają się również sposoby pozyskiwania informacji. Jako szybko rozwijający się kraj o specyficznym położeniu geopolitycznym jesteśmy również narażeni na działania różnych organizacji zajmujących się zbieraniem i analizą

danych, a najlepszym sposobem na pozyskanie najcenniejszych informacji jest ulokowanie pracownika w organizacji którą się obserwuje. Ze względu na celowe zawężenie omawianego zjawiska oraz rozmiar artykułu nie omówiliśmy wszystkich ważnych aspektów procesu rekrutacji, które mogą mieć istotny wpływ na bezpieczeństwo organizacji. Złożoność procesów rekrutacyjnych wynikająca z potrzeb pracodawców sprawia, że każdy proces rekrutacji jest osobnym projektem i już od profesjonalizmu i rzetelności firmy rekrutacyjnej lub działu HR zależy trafność decyzji personalnych. Życzymy wszystkim czytelnikom „Prevent Magazine” trafnych decyzji w zakresie doboru pracowników oraz zarządzania zasobami ludzkimi. AUTOR: Sławomir Wiśniewski, Dyrektor zarządzający W&BS Doradztwo Personalne, www.wbspraca.pl

Rozmowa

Ochrona danych osobowych

w kontekście nowych zagrożeń sieciowych Ochrona danych osobowych i szeroko pojęte bezpieczeństwo w sieci to ciągle bardzo duże wyzwanie dla twórców programów antywirusowych. Nieustannie rozwijający się Internet generuje ciągle nowe zagrożenia dla bezpieczeństwa naszych komputerów. Nieuprawnione przetwarzanie i pozyskiwanie danych osobowych może stać się poważnym problemem na nieznaną wcześniej skalę.

W 20

GRUDZIEŃ 2012 www.prevent-magazine.pl

nieco szerzej, niż proponuje to ustawa o ich ochronie. Obecnie w komputerach przechowujemy dane prywatne, związane nie tylko z naszymi loginami i hasłami do poczty oraz serwisów społecznościowych, ale także dane kont bankowych, oraz informacje dotyczące naszej pracy i prowadzonych działalności dodatkowych. Nakłada to na nas nieformalny obowiązek ochrony tych informacji, w taki sposób, by nie stały się one celem ataku osób niepożądanych. Ze wspomnianego raportu wynika również, że mimo świadomości zagrożeń 75 proc. internautów ciągle odwiedza potencjalnie niebezpieczne strony i ściąga pliki z mało wiarygodnych źródeł. Kolejnym, dość powszechnym zachowaniem jest używanie podobnie skonstruowanych haseł w wielu witrynach oraz nieostrożne korzystanie z Internetu w różnych miejscach,

Zdjęcia: Fotolia, autor

zwiększenie wiedzy w zakre-sie zagrożeń płynących z korzystania z sieci. Internauci są świadomi zagrożeń generowanych przez sieć, ale nie zmienia to faktu, że wciąż podejmują ryzykowne działania. Z jednej strony powstają coraz to nowsze, techniczne możliwości ataku na nasze komputery, a z drugiej internauci nie zachowują odpowiedniej ostrożności w korzystaniu z sieci. – Programy antywirusowe muszą zapewniać kompleksową ochronę, powinny wyprzeROZMÓWCA: Mateusz Sell, dzać trendy i być tworzone współwłaściciel FileMedic, w sposób kreatywny. Pozwowww.filemedic.com li to tworzyć skuteczniejsze oprogramowanie, ponieważ schematy działania starych edług badań opublikowanych w raporcie rozwiązań doskonale znane są twórcom wirusów i szkodliweBezpieczniejwSieci. go oprogramowania – mówi org, 25 proc. internautów padło już ofiarą ataku pochodzą- Mateusz Sell, współudziałowiec FileMedic. cego z sieci. 70 proc. z nich Rozmawiając o bezpieczeńciągle bagatelizuje ten problem. Wszyscy jednak zgodnie stwie w sieci, ochronę danych osobowych należy rozumieć przyznają, że niezbędne jest

takich jak uczelnia, biblioteki czy kafejki internetowe. Dane wrażliwe powinny być szczególnie chronione, głównie w firmach i instytucjach, gdzie ochrona komputerów musi już być standardem. Dane osobowe to nie tylko pliki zgromadzone na naszym dysku. To też umowy i faktury, dostępne w zasobach skrzynek pocztowych oraz na firmowych serwerach, a także wszelkiego rodzaju informacje umożliwiające identyfikację tożsamości pracowników i klientów. Wyciek takich danych może mieć fatalne konsekwencje, odzwierciedlone często w finansowej sytuacji firmy lub gospodarstwa domowego. Aby uchronić się przed kradzieżą lub ich utratą, należy zwiększyć ostrożność korzystania z Internetu oraz używać odpowiedniego programu antywirusowego. Zakup

czeństwem wszystkich plików i dokumentów. - Antywirus pozwala na kompleksowe zabezpieczenie komputerów we wszystkich aspektach, w których umiejętne i ostrożne korzystanie z sieci internetowej już nie wystarcza. Obecnie

25% internautów padło już ofiarą ataku pochodzącego z sieci. Jednak 70% ciągle bagatelizuje ten problem. Mimo świadomości zagrożeń aż 75% internautów ciągle odwiedza potencjalnie niebezpieczne strony i ściąga pliki z mało wiarygodnych źródeł. (dane z raportu: BezpieczniejwSieci.org) nowoczesnego antywirusa to dobra inwestycja, która może uchronić nas od nieprzyjemnych konsekwencji wycieku danych. Jest to podstawowy sposób ochrony naszych komputerów przed zagrożeniem płynącym z sieci, związany nie tylko z ochroną danych osobowych, ale również bezpie-

skanowanie plików to tylko część obowiązków takiego programu. Dochodzi do tego coraz większe zagrożenie z podejrzanych i zainfekowanych stron. Witryny internetowe mogą zawierać złośliwy kod, zmuszać użytkownika do pobrania spreparowanego oprogramowania lub podszy-

wać się pod oryginalne witryny – przypomina Mateusz Sell. Można zauważyć. jak niezmiernie ważne jest posiadanie wielopłaszczyznowej ochrony w postaci antywirusa. Program taki oferuje najlepsze narzędzia do kontroli prywatności i zabezpieczania komputerów w sieci domowej, a dodatkowo skanuje pobierane pliki. Nieupoważnione pozyskiwanie danych oraz ich rozpowszechnianie podlega karze przewidzianej ustawowo. Niemniej jednak ciągle rozwijająca się sieć oraz nieostrożne i nieumiejętne korzystanie z Internetu mogą prowadzić do narastania zjawiska kradzieży danych osobowych. - Dlatego dobry i solidny program antywirusowy musi zapewniać kompleksową ochronę i powinien radzić sobie ze wszystkimi rodzajami zagrożeń oraz powodować, że jego użytkownik w sieci czuje się bezpieczny – podsumowuje Sell.

Temat numeru

Powierzenie przetwarzania

danych osobowych w e-mail marketingu W poprzednim artykule miałem okazję opisać Wam zagadnienia dotyczące e-mail marketingu i związanego z nim bezpieczeństwa. Jednym ze stwierdzeń było traktowanie adresów e-mail jako danych osobowych, a co za tym idzie poddanie ich szczególnej ochronie, jaką nakłada na każdego Administratora Danych polski ustawodawca. Jednocześnie pisałem, iż zazwyczaj do wykorzystania ww. danych do celów e-mail marketingowych niezbędny jest dobry system do e-mail marketingu. Co więcej, z różnych względów, jednym z nich jest dostarczalność maili - system ten powinien być dostępny w modelu Software as a service (SaaS), czyli wszystko mamy w przysłowiowej „Chmurze”.

Pierwszą najważniejszą implikacją jest kwestia tego, gdzie fizycznie nasz system jest zlokalizowany, a właściwie, czy dane, które będziemy w nim przetrzymywać, opuszczą EOG. Wynika to z faktu, iż ustawodawca przyjął, że kraje skupione w EOG stosują jednolite przepisy prawa dotyczące ochrony danych osobowych. Natomiast jeżeli chcemy transferować dane do kraju trzeciego (poza EOG), nie gwarantuje to adekwatnego poziomu ochrony danych osobowych. W zawiązku z powyższym, jeże-

li chcemy korzystać z systemu do e-mail marketingu, którego serwery nie są zlokalizowane na terenie EOG, musimy zebrać pisemne zgody od naszych odbiorców, że pozwalają oni na transfer swoich danych do tego kraju. Ewentualnie możemy wystąpić do Generalnego Inspektora Ochrony Danych Osobowych o taką zgodę. Jak widać, jest to duży problem - więc lepiej korzystać z polskich lub europejskich rozwiązać, które prowadzą działalność na terenie EOG. Oczywiście część z Was może w tym momencie powiedzieć, że w USA część firm przystąpiła do programu Bezpiecznej Przystani (Safe Harbor), prowadzonego przez Federalną Komisję Handlu i jako takie są traktowane jako podmioty z obszaru EOG. To prawda, jednakże stan ten w najbliższym czasie ulegnie zmianie. Wynika

GRUDZIEŃ 2012 www.prevent-magazine.pl

to z faktu, iż Amerykanie powołując się na PATRIOT Act, który pozwala władzom federalnym na uzyskanie dowolnych informacji od firm działających w USA, zwłaszcza gdy nie dotyczą one obywateli Stanów Zjednoczonych. W zawiązku z tym obecnie prowadzone są prace nad ujednoliceniem ustawodawstwa europejskiego w zakresie ochrony danych osobowych obywateli Unii Europejskiej. Zgodnie z tymi planami, firmy chcące działać w oparciu o dane osobowe obywateli UE będą musiały poddać się jurysdykcji systemu prawnego jednego z krajów UE. Resumując powyższe paragrafy, sugerowałbym korzystanie z rozwiązań europejskich w zakresie e-mail marketingu - a jeszcze lepiej z polskich - wtedy nie powinno być problemu z dostarczeniem maili na polskie darmowe skrzynki, takie

Zdjęcia: Fotolia, autor

estawienie tych dwóch tez niesie ze sobą konkretne implikacje dla każdego, kto prowadzi działalność na terenie Europejskiego Obszaru Gospodarczego (tj. UE, Islandia i Norwegia) i chce w sposób bezpieczny i zgodny z prawem realizować działania e-mail marketingowe.

jak Onet, Interia, o2 czy WP. Załóżmy zatem, że chcesz korzystać z polskiego systemu do e-mail marketingu. Poza dograniem warunków biznesowych odnośnie płatności za system, bardzo ważne staje się zadbanie o należyte powierzenie takiemu podmiotowi przetwarzania danych osobowych, których jesteś administratorem. W praktyce sprowadza się to do podpisania z dostawcą systemu umowy na powierzenie przetwarzania danych osobowych, zgodnie z którą podmiot ten staje się procesorem danych osobowych. Podmiot ten zgodnie z art. 31 ustawy o ochronie danych osobowych gwarantuje podjęcie odpowiednich środków w celu zabezpieczenia twojego zbioru zgodnie z obowiązującym prawem, w szczególności z rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. W takiej umowie strony określają warunki wzajemnej współpracy - w pewnych obszarach procesor zaczyna wypełniać obowiązki Administratora Danych, zwłaszcza w zakresie fizycznego bezpieczeństwa danych. Nie może jednak przekazać procesorowi więcej praw w odniesieniu do danych, niż sam posiada.

O czym należy pamiętać przy powierzaniu przetwarzania danych? Powierzając przetwarzanie danych osobowych właścicielowi systemu do e-mail marketingu, musisz pamiętać o tym, iż takie powierzenie musi nastąpić na

drodze pisemnej umowy (lub fragmentu umowy licencyjnej). Powinien się tam znaleźć jasno określony cel powierzenia danych (np. działania e-mail marketingowe), a także zakres powierzenia danych, czyli de facto jakie dane będziemy gromadzić w systemie do e-mail marketingu. Bardzo ważne staje się określenie zabezpieczeń, jakie gwarantuje procesor danych. Nie chodzi tylko o środki techniczne, ale także organizacyjne. Krótko mówiąc firma, która staje się procesorem, winna mieć dobrze opracowane wewnętrzne procedury ochrony twoich danych. W praktyce sprowadza się to do wdrożenia kilku dokumentów i stosowania się do nich. Chodz m.in. o: -P olitykę bezpieczeństwa, czyli dokument opisujący prawa i zasady dotyczące ochrony i przepływów danych

osobowych wewnątrz organizacji. Co do zasady powinna ona zawierać wykaz budynków, pomieszczeń tworzących obszar, w którym dane będą przetwarzane, wykaz zbiorów danych osobowych, opis struktur tych zbiorów, a także przepływy danych pomiędzy poszczególnymi systemami oraz określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i rozliczalności przy przetwarzaniu danych; - Instrukcję zarządzania systemem informatycznym zawierającą przede wszystkim procedury nadawania uprawnień, haseł, procedury tworzenia kopii zapasowych, wykonywania konserwacji, plany odtworzeniowe itp.; - Ewidencję osób upoważnionych (i ich upoważnienia), czyli listę osób, które mają dostęp do danych osobowych. Oczywiście ww. dokumenty posiadać musi nie tylko procesor - ale również Ty jako administrator danych musisz je mieć w swojej firmie lub organizacji. Bez względu na to, na który system się zdecydujesz, pamiętaj, że ostatecznie to Ty odpowiadasz za dane, które pozyskałeś. Wybieraj więc tylko sprawdzone i bezpieczne rozwiązania.

AUTOR: Paweł Sala, Dyrektor zarządzający FreshMail, www.freshmail.pl, autor książki „Świeże podejście do e-mail marketingu”

Weryfikacja danych

Zarządzanie

Zdjęcia: Fotolia, autor

wierzytelnościami a dane dłużnika

WRZESIEŃ 2012 www.prevent-magazine.pl

Wiele banków, korporacji czy firm telekomunikacyjnych rezygnuje z samodzielnego dochodzenia swoich należności od kontrahentów, przekazując obowiązki z tym związanie wyspecjalizowanym firmom zajmującym się zarządzaniem wierzytelnościami. W ten sposób dochodzi również do transferu danych osobowych dłużników - niezbędnych do kontaktu z nimi i prowadzenia procesów odzyskiwania niespłaconych należności. Przekazanie danych Istnieją dwa główne sposoby funkcjonowania firm zajmujących się zarządzaniem długami. Mogą one działać na zlecenie pierwotnego wierzyciela na zasadach outsourcingu lub skupować portfele wierzytelności, przejmując wszelkie jego prawa i obowiązki. W przypadku wierzytelności zleconych przekazanie danych osobowych następuje na mocy umowy o ich powierzeniu. Administratorem danych pozostaje podmiot je powierzający. Na spółce działającej w imieniu wierzyciela spoczywa obowiązek zabezpieczenia danych i prowadzenia dokumentacji. Dane wykorzystywane mogą być wyłącznie w zakresie i celu wskazanym w umowie. Po ustaniu zakresu i celu przetwarzania danych wszelkie dane osobowe dłużników są usuwane. W przypadku nabycia wierzytelności podstawą prawną przekazania danych dłużników jest cesja wierzytelności w oparciu

o art. 509. §1. Kodeksu Cywilnego. Przepis ten daje wierzycielowi możliwość przeniesienia ich na inny podmiot - może on to zrobić bez zgody dłużnika, chyba że sprzeciwiałoby się to ustawie, zastrzeżeniu umownemu albo właściwości zobowiązania. Wraz z wierzytelnością przechodzą na nabywcę wszelkie związane z nią prawa, w szczególności roszczenie o zaległe odsetki. Udostępnienie danych osobowych dłużnika jest niezbędne w celu zrealizowania uprawnienia wynikającego z kodeksu cywilnego, a więc dochodzenia wierzytelności. Zgodnie bowiem z art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych, przetwarzanie ich jest dopuszczalne, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Firma nabywająca prawa do przeterminowanych należności staje się administratorem danych i to na niej spoczywają związane z tym, określone przez ustawę, obowiązki. Rodzaje informacji o dłużniku Firmy z branży zarządzania wierzytelnościami w swojej codziennej działalności muszą operować danymi służącymi identyfikacji dłużnika (imię, nazwisko, pesel) i kontaktowi z nim (dane teleadresowe). Są one także w posiadaniu szeregu innych informacji, takich jak: kwota zadłużenia, data zawarcia umowy i data powstania zaległości oraz typ produktu, z którego korzystał dłużnik (kredyt, karta kredytowa, usługi telekomunikacyjne itp.).

Odrębną kwestią są dane wrażliwe, które w toku postępowania windykacyjnego może uzyskać firma zarządzająca wierzytelnościami. Za tego typu dane uważa się w świetle ustawy z dnia 29 sierpnia 1997 r. informacje o: pochodzeniu rasowym lub etnicznym, poglądach politycznych, przekonaniach religijnych lub filozoficznych, przynależności wyznaniowej, partyjnej lub związkowej, stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, skażeniach, orzeczeniach o ukaraniu, mandatach karnych, innych orzeczeniach wydanych w postępowaniu sądowym lub administracyjnym. Przetwarzanie takich danych jest generalnie zabronione - poza wyjątkami określonymi w art. 27 ust. 2. Dla branży windykacyjnej praktyczne (aczkolwiek ograniczone) znaczenie ma wyjątek ustanowiony w punkcie 10 tego artykułu. Zgodnie z nim przetwarzanie danych wrażliwych jest dopuszczalne, jeżeli jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym. Przepis zezwala zatem na przetwarzanie danych wrażliwych dopiero od momentu wydania orzeczenia, a nie od chwili zaistnienia zdarzenia, które może być w przyszłości podstawą do jego wydania. Na etapie postępowania pozasądowego, gdy wierzyciel nie dysponuje jeszcze orzeczeniem nakazującym dłużnikowi spłatę (a na takim opiera

Weryfikacja danych

W czasie kontaktów z osobami zadłużonymi może się zdarzyć, że pracownik firmy zarządzającej wierzytelnościami wchodzi w posiadanie informacji należących do grupy danych wrażliwych. Typowym przykładem pozyskania tego typu danych jest zdobycie informacji o fakcie pobierania przez dłużnika renty. Interpretacja tych danych może doprowadzić do tego, że pozyskano informację o „stanie zdrowia” dłużnika. Jednoznaczne przyporządkowanie wiedzy zdobytej o dłużniku do kategorii danych wrażliwych może nie być oczywiste. W przypadku pozyskania takich informacji nie powinny być one rejestrowane i przetwarzane. Przechowywanie danych Każdy podmiot, który w swojej działalności przetwarza dane osobowe, musi spełniać wymagania, które nakłada na niego ustawa. Do tych wymagań należy: obowiązek posiadania polityki bezpieczeństwa, instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych oraz spełnienie wymogów rozporządzenia do ustawy. Zarządzanie wierzytelnościami nieodzownie wiąże się z pracą na danych osobowych. Szczególnie istotne w tej branży jest, aby oprócz spełnienia wymogów ustawy opracować spójne systemy służące ich ochronie i bezpieczeństwu informacji.

Mogą to być dodatkowe procedury i instrukcje wewnętrzne mające wpływ na bezpieczeństwo danych. Warto też cyklicznie szkolić pracowników (może to robić Administrator Bezpieczeństwa Informacji). Można też pomyśleć o sięgnięciu po normy ISO/IEC 27001:2005. Granice wykorzystywania informacji Dane osobowe dłużnika mogą być wykorzystane wyłącznie w zakresie i celu wskazanym w umowie o ich powierzeniu. W przypadku windykacji celem jest odzyskanie wierzytelności, a wykorzystanie informacji o dłużniku do innych celów jest bezprawne. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych za przetwarzanie ich niezgodnie z prawem przewiduje zarówno odpowiedzialność administracyjną, jak i karną, która szczegółowo uregulowana została w art. 49–54a ustawy. Za udostępnienie danych lub umożliwienie dostępu do nich osobom nieupoważnionym przewiduje karę grzywny, karę ograniczenia wolności albo pozbawienia wolności do lat 2. W przypadku nieuprawnionego ujawnienia danych dłużnika powinien on zgłosić reklamację do firmy windykacyjnej i załączyć odpowiednie dowody potwierdzające stawiane zarzuty. W każdym momencie dłużnik ma prawo złożyć skargę do Generalnego Inspektora Ochrony Danych Osobowych (GIODO).

GRUDZIEŃ 2012 www.prevent-magazine.pl

Po uznaniu skargi za zasadną, organ ten może nakazać w drodze decyzji administracyjnej przywrócenie stanu zgodnego z prawem, a w szczególności usunięcie uchybień, uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych. Ponadto ma prawo wydać decyzję o zastosowaniu dodatkowych środków zabezpieczających zgromadzone dane osobowe czy decyzję dotyczącą usunięcia danych osobowych. Generalny Inspektor jest uprawniony do skierowania do organów ścigania zawiadomienia o popełnieniu przestępstwa, jeśli stwierdzi, że pewien czyn lub zaniechanie narusza zasady ochrony danych osobowych. Firma windykacyjna, która złamie przepisy o ochronie danych osobowych, może narazić się na zarzut naruszenia dóbr osobistych dłużników. Zgodnie z art. 23 Kodeksu cywilnego dobra osobiste człowieka, a więc w szczególności: zdrowie, wolność, cześć, swoboda sumienia, nazwisko lub pseudonim, wizerunek, tajemnica korespondencji, nietykalność mieszkania, twórczość naukowa, artystyczna, wynalazcza i racjonalizatorska, pozostają pod ochroną prawa cywilnego niezależnie od ochrony przewidzianej w innych przepisach. Art. 24 K.C. stanowi z kolei, że ten, czyje dobro osobiste zostaje zagrożone cudzym działaniem, może żądać zaniechania tego działania, chyba że nie jest ono bezprawne. W razie

Zdjęcia: Fotolia, autor

w przeważającej mierze swój biznes branża windykacyjna), przetwarzanie danych wrażliwych jest zabronione.

Interpretacja GIODO „W przypadku oświadczenia woli zawarcia umowy sprzedaży wierzytelności bezsporne jest, że wierzytelność tę należy skonkretyzować. (…) Uzasadnione jest jednak takie wskazanie danych osobowych dłużnika, które są tylko niezbędne do określenia tej wierzytelności. Zgodnie bowiem z zasadą adekwatności wyrażoną w art. 26 ust. 1 pkt 3 Ustawy o ochronie danych osobowych administrator danych powinien przetwarzać tylko te dane, które są niezbędne dla określonego celu. Można zatem przyjąć, iż ujawnienie w ofercie sprzedaży wierzytelności danych osobowych dłużnika w zakresie jego imienia, nazwiska i miejscowości zamieszkania (bez podawania dokładnego adresu) jest uzasadnione, gdyż określa przeciwko komu wierzytelność przysługuje, ale nie wkracza jednocześnie zbytnio w jego prywatność. Zbyteczne i ingerujące w prywatność dłużnika byłoby natomiast podawanie w ofercie sprzedaży wierzytelności dokładnego adresu zamieszkania dłużnika”.

natomiast upubliczniać imienia oraz nazwiska dłużnika licytowanej rzeczy.

Wiele firm windykacyjnych tworzy tzw. giełdy wierzytelności w Internecie, wystawiając dane osobowe dłużników i wierzytelność na sprzedaż. Podstawą działania w takim wypadku nie może być powołanie się na Ustawę o Udostępnieniu Informacji Gospodarczych. W ocenie GIODO, Urzędu Ochrony Konkurencji i KonŹródło: strona internetowa GIODO, sumentów oraz Ministerstwa http://www.giodo.gov.pl/391/id_art/3454/j/pl/ Gospodarki art. 3 tej ustawy nie daje podstaw do udostępniania przez przedsiębiorców dokonanego naruszenia dłużnik określone warunki, jakie bank informacji obejmujących dane może także żądać, ażeby musi spełnić, zanim opublikuje osobowe w drodze ogłoszenia osoba, która dopuściła się dane dłużnika i jego wierzytelnaruszenia, dopełniła czynności ność. Duże instytucje finansowe publicznego, o ile nie posiadają one statusu biura informacji potrzebnych do usunięcia jego rzadko jednak korzystają z tej gospodarczej. skutków, w szczególności ażeby możliwości z obawy o negazłożyła oświadczenie odpowied- tywny wpływ takich działań na niej treści i w odpowiedniej forwizerunek. Nader często spoty- Podawanie do publicznej wiamie (przeprosiny). Na zasadach kamy się jeszcze z obwieszcze- domości danych osobowych dłużnika w celu sprzedaży jego przewidzianych w Kodeksie niami komorniczymi o licytacji wierzytelności (oferta sprzeCywilnym dłużnik może również ruchomości, w których dochodaży) stanowi przetwarzanie żądać zadośćuczynienia piedzi do ujawnienia danych osoniężnego lub zapłaty odpowied- bowych dłużników. GIODO stoi danych osobowych, o którym stanowi ustawa o ochronie niej sumy pieniężnej na wskajednak na stanowisku, że jest danych osobowych. W związku zany cel społeczny. Ponadto, to niezgodne z ustawą. Zakres z tym powinno ono odbywać jeżeli wskutek naruszenia dobra informacji, jakie komornik poosobistego została wyrządzona daje w obwieszczeniu o licytacji się zgodnie z jej zasadami. Według GIODO w takim przyszkoda majątkowa, poszkodoruchomości, które mają być padku podstawą działania wany może żądać jej naprawie- sprzedane, określa § 84 ust. 1 jest prawnie usprawiedliwiony nia na zasadach przewidzianych rozporządzenia Ministra Spracel administratora danych, w Kodeksie Cywilnym. wiedliwości w sprawie czynności komorników. Są to: miejsce tj. m.in. dochodzenie roszczeń Podanie danych i czas licytacji, ich rodzaj i suma z tytułu prowadzonej działalności gospodarczej. do wiadomości publicznej oszacowania poszczególnych W obecnym stanie prawnym ruchomości oraz miejsce na ujawnianie danych osoboi czas, w którym można ogląAUTOR: Rafał Lasota, Wiceprezes wych dłużników pozwalają takie dać ruchomości. Komornik jest ds. operacyjnych przepisy, jak Ustawa o restrukzatem uprawniony jedynie do w Grupie Casus Finanse, turyzacji finansowej przedsięupublicznienia miejsca (adresu) www.casus.com.pl biorstw i banków. W niej są licytacji ruchomości. Nie może

Ochrona danych mailingowych

BEZPIECZEŃSTWO W

Spływające do działów HR aplikacje kandydatów zawierają dane osobowe, które podlegają szczególnej ochronie. Część firm nadal korzysta z tradycyjnej skrzynki e-mail, gdzie zbiera dokumenty aplikacyjne kandydatów i przeprowadza ich selekcję, ale coraz więcej przedsiębiorstw wdraża bardziej zaawansowane i bezpieczne rozwiązania, na przykład systemy do zarządzania rekrutacją on-line, tzw. ATS-y (Applicant Tracking Systems).

Chcąc zapewnić maksymalną ochronę, warto odpowiedzieć sobie na kilka pytań. Dotyczy to zarówno sytuacji, kiedy rekruterzy wykonują większość selekcyjnych działań ręcznie, za pośrednictwem programu pocztowego, jak i w przypadku wyspecjalizowanych aplikacji internetowych, takich jak

ATS-y. Zrewolucjonizowały one pracę HR-owców zarówno pod względem czasowym, jak i w kontekście ochrony danych osobowych, które na co dzień przetwarzają. Wszystkie niżej wymienione sytuacje stanowią potencjalnie zagrożenie dla bezpieczeństwa danych aplikujących kandydatów, dlatego warto wiedzieć: 1. K to poza rekruterami ma jeszcze dostęp do gromadzonych CV w firmie (do skrzynki e-mail lub systemu rekrutacyjnego)? 2. W jaki sposób przekazywany jest dostęp do tych danych, np. podczas urlopu czy choroby uprawnionej osoby? 3. C o się dzieje z aplikacjami kandydatów, które przesłane zostały do poszczególnych kierowników w firmie? 4. C zy rekruter jest świadomy tego, że do poczty mogą mieć dostęp administratorzy firmy? Czy na pewno chcemy, aby widzieli oni dane kandydatów? 5. C zy komputer oraz programy, na których pracują

GRUDZIEŃ 2012 www.prevent-magazine.pl

rekruterzy, są odpowiednio zabezpieczone przed wirusami i atakami hakerskimi? 6. Czy rekruter korzysta z komputera poza biurem? Czy podłącza się do ogólnodostępnych sieci? 7. Gdzie są przechowywane kopie zapasowe i kto ma do nich dostęp? 8. Czy rekruter wie, jak zareagować i jakie procedury wdrożyć, jeśli komputer zostanie skradziony? Po prześledzeniu procesu dostępu do danych w firmie, należy opracować odpowiednie procedury, a także zwrócić uwagę na problem pracownikom spoza działu rekrutacji. Kierownicy działów, którzy często uczestniczą w procesie rekrutacji, niekoniecznie muszą bowiem pamiętać, że powinni usuwać dane kandydatów ze swoich komputerów. Profesjonalny ochroniarz on-line Aby mieć pewność, że elektroniczne dane są bezpiecz-

Zdjęcia: Fotolia, autor

czasach, kiedy Internet odgrywa rolę podstawowego środka komunikacji, a obieg danych kandydatów odbywa się niemal wyłącznie drogą elektroniczną, bezpieczeństwo danych kandydatów staje się szczególnie ważne. Z pewnością trudniej zapewnić ich poufność, jeśli przechowywane są w ogólnej skrzynce e-mail, do której dostęp mają różne osoby z firmy. Jak zatem zadbać o bezpieczeństwo informacji w rekrutacji on-line? Istotne może być wsparcie działów IT, które powinny zapewnić HR-owcom warunki, w których ich praca będzie przebiegała zgodnie z obowiązującym prawem.

ne, warto skorzystać z usług „ochroniarza danych”, czyli rozważyć wdrożenie profesjonalnego systemu do zarządzania rekrutacjami i bazą kandydatów. Rekruter wdrażający ATS przy każdym nowym projekcie rekrutacyjnym definiuje, kto z firmy ma dostęp do bazy kandydatów. Jeżeli jako rekruter nie chcemy, by każda z osób zaangażowanych w dany projekt miała dostęp do systemu, to poszczególnym osobom można przesyłać dokumenty w formie tzw. Kart Kandydata, które automatycznie wygasają po 7 dniach. Dodatkowo większość systemów wyposażona jest w skanowanie antywirusowe, dzięki czemu zainfekowane dokumenty załączone do formularza aplikacyjnego nie poczynią spustoszenia na dysku osoby zbierającej aplikacje. Tego typu systemy, działające w modelu SaaS, od lat funkcjonują w innych obszarach firm i pod kątem bezpieczeństwa spełniają wymogi regulowane prawem. Są to takie aplikacje, jak: CRM, programy finansowo-księgowe czy moduły dedykowane do obsługi kadr i płac. Korzystając z systemów internetowych wspierających zarządzanie procesem rekrutacyjnym, można też być pewnym, że będzie się to odbywało zgodnie z obowiązującymi regulacjami o ochronie danych osobowych, zarówno w Polsce, jak i w innych krajach. Warto jednak wiedzieć, że dostawca takiej usługi zobowiązany jest między innymi do:

•Z abezpieczenia systemu poprzez szyfrowane połączenie SSL (tak, jak w przypadku elektronicznych kont bankowych), również na etapie składania aplikacji przez kandydata poprzez tzw. formularz aplikacyjny; •N adawania i dezaktywowania dostępu do aplikacji wyłącznie wskazanym przez firmę użytkownikom (tutaj ważne są również wewnętrzne zasady czy procedury nadawania uprawnień do administrowania danymi kandydatów w firmie); •Z abezpieczenia procesu aplikacyjnego tak, aby do przesyłanych przez kandydata dokumentów aplikacyjnych nikt niepowołany nie miał dostępu. Poinformuj, kto zarządza danymi Ubieganie się o pierwszą czy nawet kolejną pracę to dla większości osób stresująca sytuacja. Rekrutujący powinien zatem zadbać o komfort kandydata, aby nie miał on wątpliwości, do kogo trafią jego dokumenty i czy będą to wyłącznie osoby do tego uprawnione. Tym bardziej, że otrzymując dokumenty aplikacyjne w odpowiedzi na ogłoszenie o pracę, pracodawca - w świetle obowiązującego prawa - staje się administratorem danych osobowych kandydatów. I to niezależnie od tego, czy pozyskanie ich dokonało się drogą mailową, czy poprzez system do rekruta-

cji. Zgodnie z przepisami z Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2002 r., Nr 101, poz. 926 z późniejszymi zmianami), pracodawca jest również zobowiązany do poinformowania kandydatów o tym, kto przetwarza ich dane osobowe. Ten zapis ma szczególne znaczenie w przypadku tzw. ogłoszeń ukrytych, czyli takich, w których brak jest nazwy bezpośredniego pracodawcy, bo oferta została zamieszczona np. przez agencję doradztwa personalnego. Wówczas kandydat powinien otrzymać informacje o podmiocie, do którego faktycznie trafiły jego dane. Ponadto kandydat powinien być poinformowany o celu zbierania tych danych, o dobrowolności ich podania, a także o prawie dostępu do ich treści oraz możliwości ich poprawiania i usuwania. Ten ostatni zapis może być nieco kłopotliwy w przypadku rekrutowania w tradycyjny sposób, poprzez skrzynkę e-mail. W sytuacji bowiem, kiedy kandydat poprosi o poprawienie lub usunięcie swoich danych z bazy danej firmy, ta zobowiązana jest dokonać tego na wszystkich nośnikach, na których zostały one zapisane. W przypadku korzystania z systemu do rekrutacji on-line taki proces przebiega automatycznie. AUTOR: Marcin Sieńczyk, eRecruitment Solutions Director, www.erecruiter.pl

Zarządzanie ryzykiem

Zarządzanie ryzykiem w chmurze

– wprowadzenie do modelu cloudcomputing Model cloudcomputing może dostarczyć wielu korzyści, takich jak brak wydatków kapitałowych na infrastrukturę, elastyczność, nieograniczona skalowalność, optymalne wykorzystanie zasobów oraz płatność za ich faktyczne wykorzystanie. Jednak – tak jak każda technologia – niesie ze sobą wiele ryzyk, o których należy pamiętać. Jest to pierwszy z cyklu artykułów mających na celu przybliżyć najlepsze praktyki i standardy dotyczące zarządzania ryzykiem i bezpieczeństwem w chmurze. Definicja „cloudcomputing” Jednym z największym wyzwań w zakresie bezpieczeństwa chmury jest zrozumienie, czym jest przetwarzanie w chmurze. Publikacja NIST (NationalInstitiute of Standards and Technology) definiuje przetwarzanie w chmurze poprzez określenie 5 istotnych cech, 3 modeli usług i 4 modeli rozmieszczenia usług. Istotne cechy chmury: Szeroki dostęp – pierwszą istotną cechą przetwarzania w chmurze według NIST jest szeroki dostęp sieciowy (Broad Network Access), który oznacza, że zasoby informatyczne

są dostępne przez powszechnie istniejące mechanizmy, takie jak: •S tandardowi klienci, jak telefony komórkowe, laptopy, komputery stacjonarne – zarówno wewnętrzne, jak i zewnętrzne wobec sieci firmowej; •T radycyjne usługi, jak aplikacje i middleware. Błyskawiczna elastyczność – dla klienta zasoby dostarczane w modelu chmury powinny być możliwe do wykorzystania w dowolnej ilości i w dowolnym czasie. Oznacza to możliwość skalowania i kontraktowania infrastruktury w dowolnym czasie.

GRUDZIEŃ 2012 www.prevent-magazine.pl

Mierzalność usług – zasoby mogą być monitorowane, kontrolowane i raportowane – dostarczając przejrzystości zarówno dla dostawcy, jak i odbiorcy usługi. Kryteria mierzalności zasobów powinny być właściwe do typu usługi, np. ilość przestrzeni dyskowej, moc obliczeniowa, pamięć, przepustowość, liczba aktywnych użytkowników. Samoobsługa na żądanie – klient może jednostronnie skorzystać z oferowanych zasobów zgodnie ze swoimi potrzebami, w sposób zautomatyzowany, bez konieczności interakcji z dostawcą.

Wizualizacja definicji cloudcomputingu wg NIST

Agregacja zasobów - usługi świadczone w modelu chmury osiągają efekt dźwigni i skali poprzez agregację zasobów w obrębie wspólnej infrastruktury. Koncepcja ta, znana pod nazwą współdzielenia (multitenancy), rozdziela zasoby pośród wielu różnych klientów, stosując separację i mechanizmy kontrolne w celu zapobiegania mieszania się danych. W modelu chmury istnieje pewien poziom niezależności od lokalizacji, w którym użytkownik nie posiada kontroli nad dokładnym położeniem dostarczanych zasobów, ale może podać lokalizację na

wysokim poziomie abstrakcji (np. kraj, stan, centrum danych), spełniając wymagania wydajności lub regulatora. Przykładowymi zasobami mogą być bazy danych, moc obliczeniowa, pamięć, przepustowość lub maszyny wirtualne. Nawet chmury prywatne mogą zmierzać do agregacji zasobów i współdzielić je pomiędzy różne części tej samej organizacji, by w ten sposób osiągnąć efekt skali. Koncepcja agregacji zasobów jest krytycznym aspektem przetwarzania w chmurze. Idea polega na tym, że dostawca

usługi posiada różne zasoby (jednostki mocy obliczeniowej CPU, przestrzeń składowania, zasoby sieciowe itp.), zlokalizowane w jednym lub w wielu centrach danych i obszarach geograficznych. Dla klienta lokalizacja zasobów nie jest aż tak istotna. Ważniejsze dla niego jest to, aby zasoby (obliczeniowe, sieciowe, do składowania), jakie są mu potrzebne, były dostępne i współdziałały ze sobą. Zatem dostawcy łączą zasoby w tzw. pule i dostarczają je klientom zgodnie z ich oczekiwaniami oraz wymaganiami aplikacji.

Zarządzanie ryzykiem

Współdzielenie jest podstawową koncepcją dzięki, której chmura działa. Bez względu na model rozmieszczenia usług, oferta chmury powinna uwzględniać następujące aspekty, nawet jeśli infrastruktura nie jest współdzielona: • Wymuszanie polis – każdy klient musi mieć możliwość wymuszania własnych, specyficznych polis dla swoich urządzeń działających w chmurze. Część z nich będzie skoncentrowana na aspektach bezpieczeństwa haseł, część na szyfrowaniu danych, a jeszcze inni na kontroli dostępu. W modelu współdzielenia każdy klient może wymusić swoje polisy odpowiednie dla każdego środowiska istniejącego na urządzeniach zainstalowanych w chmurze. • Segmentacja – klienci powinni posiadać możliwość segmentacji urządzeń i wykorzystywania zaawansowanych narzędzi projektowania i segmentacji sieci. • Izolacja – w modelu dzielonej infrastruktury maszyny wirtualne działają na wspólnej warstwie sprzętowej. Dla dostawców usług oznacza to konieczność udostępnienia możliwości odizolowania danych przechowywanych we wspólnym środowisku. • Nadzór (Governance) – w ostatecznym rozrachunku to klient jest odpowiedzialny za dane i aplikacje

przetwarzane w modelu chmury. Zatem dostawca powinien dostarczyć dowody i narzędzia wspierające utrzymanie zgodności spełniające wymagania klientów. Dostawcy nie są zainteresowani udostępnianiem swoich środowisk audytorom

bezpieczeństwa informacji dostawca usług może przejść proces audytu i certyfikacji wg normy ISO/IEC 270001. •P oziomy usług – dostawca usługi powinien posiadać możliwość oferowania różnych poziomów usług

Przetwarzanie w chmurze definiuje się poprzez określenie 5 istotnych cech, 3 modeli usług (IaaS, PaaS i SaaS) oraz 4 modeli rozmieszczenia usług. działającym w imieniu klienta. Wielu z nich zamiast tego poddaje się różnym audytom i certyfikacjom, które mają potwierdzić istnienie systemu kontroli na miejscu. Przykładowo może to być badanie zgodne ze standardem SSAE - Standards for AttestationEngagements No. 16 (dawny „SAS 70”). SSAE stanowi oficjalny raport o budowie, wdrożeniu i efektywności operacyjnej mechanizmów kontrolnych organizacji świadczącej usługi. Innym przykładem jest standard PCI DSS (Payment Card Industry Data Security Standard) odnoszący się do bezpieczeństwa płatności kartami płatniczymi. Amazon przeszedł przez ocenę zgodności z wymaganiami PCI DSS, aby zademonstrować, że ich infrastruktura może być wykorzystywana przez organizacje, które muszą działać zgodnie z wymaganiami tego standardu. W zakresie

GRUDZIEŃ 2012 www.prevent-magazine.pl

dla poszczególnych klientów. Ten aspekt współdzielenia dotyczy sposobu, w jaki dostawca projektuje architekturę swojego środowiska, aby spełnić różne wymagania klientów np. w stosunku do dostępności, kiedy część klientów wymaga bezawaryjnego działania swoich maszyn lub systemów, a część ma mniejsze wymagania w tym zakresie. •M odel billingowy – korzystanie z modelu chmury oraz płatności za usługi powinny się odbywać w sposób jak najbardziej elastyczny dla klienta. To oznacza, że w przypadku, gdy klient chce skorzystać z wielu różnych usług jednocześnie, np. ilość maszyn, ilość pamięci lub przestrzeni dyskowej, dostawca powinien pobierać opłaty za każdą z tych usług z osobna w oparciu o ich faktyczne użycie. To jest poziom szczegóło-

wości, który model współdzielenia powinien zapewniać. Podejście dostawców do modelu współdzielenia jest podobne. Ich głównym celem jest tak zaprojektować infrastrukturę, aby zapewnić efekt skali, dostępność, segmentację, izolację i skuteczne funkcjonowanie.

Modele usług Typy usług w chmurze są zazwyczaj podzielone na trzy różne poziomy i są określane terminem stos SPI: S – Software as a Service, P – Platform as a Service, I – Infrastructure as a Service. Obecnie stos chmury ewoluuje i można zauważyć pokrywanie się

i coraz mniejsze zróżnicowanie pomiędzy warstwami stosu. Zacznijmy więc od standardowej definicji dla każdej warstwy. Model IaaS – Infrastructure as a service jest podobny do uruchomienia własnego centrum danych, ale bez konieczności martwienia się o detale. Dostawca oferuje

Zarządzanie ryzykiem

Klient nie zarządza ani nie kontroluje najniższej warstwy infrastruktury chmury (sprzęt, urządzenia), ale kontroluje

poprzez interfejs „cienkiego klienta”, jak przeglądarka internetowa. Klient nie zarządza ani nie kontroluje podstawowej infrastruktury, włączając również zasoby sieciowe, serwery, systemy operacyjne i składowanie danych. Może też mieć ograniczoną możliwość zmiany

Zabezpieczenie chmury nie oznacza tylko ochrony infrastruktury, ale również poszczególnych aplikacji, a nawet poszczególnych danych. systemy operacyjne, składowanie danych (storage), zainstalowane aplikacje i w ograniczonym stopniu wybrane komponenty sieciowe (np. host firewalls). PaaS – Platform as a service obejmuje IaaS i umożliwia dostęp do sprzętu poprzez oprogramowanie pośredniczące (middleware) lub inne narzędzia umożliwiające integrację. Klient nie zarządza ani kontroluje podstawowej infrastruktury, włączając również zasoby sieciowe, serwery, systemy operacyjne i składowanie danych (storage). Klient kontroluje zainstalowane aplikacje oraz ewentualnie może zarządzać konfiguracją własnych hostów. Saas – Software as a service znajduje się najwyżej na stosie i obejmuje zarówno IaaS, jak i PaaS. Aplikacje są dostępne za pomocą różnych urządzeń

ustawień oraz kastomizacji aplikacji, z których korzysta. Im niżej stosu dostawca świadczy usługi w chmurze, tym klient jest bardziej odpowiedzialny za zarządzanie oraz zabezpieczenie środowiska. W modelu Iaas dostawca dostarcza niezbędną infrastrukturę i sprzęt, więc klient jest odpowiedzialny za zabezpieczenie systemów i aplikacji. PaaS jest pośrodku stosu i może oferować pewien poziom bezpieczeństwa. Klient jest odpowiedzialny za zabezpieczenie aplikacji, która jest osadzona na platformie. W przypadku modelu SaaS dostawca jest odpowiedzialny za całokształt rozwiązania („od kołyski aż po grób”), stąd jest również odpowiedzialny za zapewnienie bezpieczeństwa na wszystkich warstwach stosu.

GRUDZIEŃ 2012 www.prevent-magazine.pl

Modele rozmieszczenia usług Pojęcie infrastruktury obejmuje fizyczną infrastrukturę, jak urządzenia oraz zasoby sieciowe i obliczeniowe oraz składowania danych. Rozmieszczenie infrastruktury nie powinno być rozpatrywane jedynie w kontekście „wewnętrzny” czy „zewnętrzny” w odniesieniu do fizycznej lokalizacji zasobów, informacji czy aktywów. W przypadku modelu chmury rozmieszczenie oznacza fizyczną lokalizację, a także obejmuje kwestie, przez kogo jest wykorzystywana i kto jest odpowiedzialny za zarządzanie nimi (nadzór, operacje, bezpieczeństwo, zgodność itp.). Nie oznacza to, że lokalizacja wewnątrz lub na zewnątrz organizacji nie wpływa na bezpieczeństwo i ryzyko, ale powinny one być rozpatrywane również pod względem: •T ypów zarządzanych aktywów, zasobów i informacji; •K to nimi zarządza i kiedy; •J akie kontrole są wybrane i jak są zintegrowane; •K westie zgodności (compliance). Przykładowo LAMP (Linux, Apache, MySQL, Pearl) umieszczony na infrastrukturze Amazona AWS EC2 zostanie sklasyfikowany jako chmura publiczna w modelu IaaS, na zewnątrz organizacji, zarządzana przez dostawcę; nawet jeśli poszczególne instancje i aplikacje oraz dane zawarte w środowisku są zarządzane przez organizację,

Zdjęcia: Fotolia, autor

nam niezbędną infrastrukturę oraz sprzęt, dzięki którym klient może zainstalować własne systemy lub korzystać z zasobów obliczeniowych poprzez zbiory abstrakcji lub API.

całe środowisko, które współdzielimy z innymi użytkownikami, jest pod kontrolą dostawcy.

Chmura prywatna – infrastruktura jest wykorzystywana jedynie przez pojedynczą organizację. Może być zarządzana przez organizację lub Kastomizowalna aplikacja przez dostawcę, może być służąca wielu jednostkom ulokowana wewnątrz lub na biznesowym, umieszczona zewnątrz organizacji. Każda w chmurze Eucalyptusa, infrastruktura, w której odpoktóra będzie pod kontrolą wiedzialność za zarządzanie i w posiadaniu organizależy po stronie organizacji, cji, będzie określona jako może być nazwana chmurą chmura prywatna w modelu prywatną. Oznacza to, że każde SaaS, wewnątrz organizacji, istniejące centrum danych, zarządzana przez organizację. posiadające cechy charakterystyczne dla infrastruktury Zaufana strona to ta, która jest chmury (szeroki dostęp przez rozpatrywana jako część orgaInternet, błyskawiczna elastycznizacji (pod względem prawnym, ność, mierzalne usługi itd.), jest biznesowym, wspólnej polityki rodzajem chmury prywatnej. i misji itp.), obejmująca pracowników (stałych i kontraktoChmura współdzielona – infrawych) oraz partnerów biznesostruktura wspiera i jest dzielowych. Niezaufana strona to ta, na pomiędzy kilka organizacji, która może być autoryzowana które może łączyć wspólny do korzystania z części lub cel, wspólnota interesów, całości usług, ale nie jest wspólna misja, wymagania logiczną częścią organizacji. bezpieczeństwa i zgodności itp. (np. grupa kapitałowa, Chmura publiczna – infrastruk- organizacje rządowe, sektura jest dostępna publicznie tor branżowy). Wykorzystanie lub dla sektora branżowego potencjału chmury i efektu i jest zarządzana i w posiadaniu skali pomaga obniżeniu koszdostawcy, który za jej pomocą tów i zwiększeniu możliwości oferuje usługi. Jest ona usług IT. Chmura współdzielona umieszona na zewnątrz może być zarządzana przez organizacji. Ten model jest organizację lub dostawcę i być najczęściej określany mianem umieszczona wewnątrz lub „chmury” przez organizacje. na zewnątrz organizacji. Zasadniczo jest to zbiór zasobów sprzętowych Chmura hybrydowa – infraudostępnianych „w locie” struktura jest kompozycją (mogą być natychmiastowo dwóch lub więcej chmur skalowane w górę lub w dół), (publicznych, prywatnych wspierających prawie każdy lub współdzielonych), które rodzaj aplikacji, zaś dostęp pozostają odrębnymi jeddo nich odbywa się za pomocą nostkami, ale są ze sobą Internetu. połączone przy wykorzysta-

niu standardowej lub własnej technologii, która umożliwia przenaszalność danych i aplikacji, np. rozerwanie chmury (cloudbursting) na potrzeby równoważenia obciążenia (load-balancing) pomiędzy chmurami lub na potrzeby redundancji środowisk. Może być w posiadaniu i zarządzana jednocześnie zarówno przez organizację, jak i dostawcę i jednocześnie być rozmieszczona zarówno wewnątrz, jak i na zewnątrz organizacji. Teraz, gdy już mamy podstawą wiedzę na temat koncepcji występujących w modelu cloudcomputing, możemy przejść do omówienia standardów zarządzania ryzkiem i bezpieczeństwem w chmurze. Aby dobrze to zrozumieć, należy zmienić myślenie tradycyjnymi pojęciami i w bardziej elastyczny sposób postrzegać definicje, co jest wewnętrzne, a co zewnętrzne dla naszej sieci. Zabezpieczenie chmury nie oznacza tylko ochrony infrastruktury, ale również poszczególnych aplikacji, a nawet poszczególnych danych. Ważne jest także zrozumienie, kto jest konsumentem, a kto dostawcą poszczególnych zasobów w określonych modelach usług (ze względu na typ i rozmieszczenie) i kto jest odpowiedzialny za ich zabezpieczenie. AUTOR: Marcin Fronczak, Prezes EureXa Sp. z o.o., Prezes stowarzyszenia Cloud Security Alliance Polska. www.eurexa.pl

Temat numeru

DOSKONALENIE WARUNKIEM BEZPIECZEŃSTWA Bezpieczeństwo to ludzie. Żadne systemy bezpieczeństwa nie są w stanie działać sprawnie, jeżeli ludzie, którzy je obsługują, popełniają błędy. To od kompetencji ludzi zależy dzisiaj bezpieczeństwo nas wszystkich.

Inwestowanie w szkolenia oraz rozwój ludzi zwiększa bezpieczeństwo firmy, zwielokrotnia jej zdolność do radzenia sobie w trudnych warunkach konkurencji rynkowej i kryzysu. Jeżeli ktoś może przetrwać, to tylko ludzie świetnie przygotowani, doskonale radzący sobie ze stresem, szybko uczący się nowych rzeczy, dopaso-

wujący się do zmieniających się warunków, szybko podejmujący decyzje, nastawieni na działanie i eksperymentowanie, poszukujący innowacyjnych rozwiązań. Wszystkie te kompetencje można rozwijać w ludziach.

wydaje się banalne. Zwycięzca biegu na 100 metrów mężczyzn podczas igrzysk olimpijskich w 1908 roku pokonał ten dystans w czasie 22,6 sekundy. Dzisiaj taki wynik bez trudu osiągają… gimnazjaliści. W przypadku maratonu (42 km i 195 m) najlepszy

Talent jest tylko jednym z warunków sukcesu i to wcale nie tym najbardziej determinującym. W 90% za nasze osiągnięcia odpowiadają ciężka praca i ciągłe doskonalenie się. Dlatego warto inwestować w rozwój pracowników. Ludzie rzadko są sami z siebie geniuszami. Talent jest tylko jednym z wielu warunków sukcesu. W 90% za sukces odpowiada ciężka praca i ciągłe doskonalenie się!!! A wymagania rosną. To, co było uważane za wybitne osiągnięcie 100 lat temu, dzisiaj

GRUDZIEŃ 2012 www.prevent-magazine.pl

czas uzyskany na zawodach licealistów w USA kilka lat temu jest o ponad 20 minut lepszy od rekordu olimpijskiego z 1908 roku! I jeszcze inny przykład: kiedy Piotr Czajkowski w 1878 roku skończył komponować swój koncert skrzypcowy D-dur, utwór ten uchodził za niemożliwy

Zdjęcia: Fotolia, autor

odobnie jest w biznesie. Ciągłe doskonalenie ludzi zwiększa bezpieczeństwo każdego przedsięwzięcia. Im wyższe kwalifikacje naszych pracowników, tym większe szanse na sukces. To jest tak, jak we współczesnej wojnie: najlepiej sprawdzają się siły specjalne. To znaczy świetnie wyszkolone, niewielkie oddziały żołnierzy, którzy zadają wrogowi precyzyjne ciosy.

do zagrania. Dzisiaj grają go uczniowie każdego konserwatorium na świecie. W 1994 roku grupa angielskich badaczy wyruszyła na poszukiwania talentu muzycznego. Wzięto pod lupę 257 uczniów i podzielono ich na 5 grup kompetencyjnych (ze względu na instrument, czas poświęcany na naukę, warunki socjoekonomiczne itd.). Przeprowadzono szczegółowe wywiady z uczniami i ich rodzicami. Zadawano różne pytania: jak dużo czasu dziecko przeznacza na ćwiczenia, w jakim wieku potrafiło

zanucić możliwą do rozpoznania melodię i tym podobne. Wyniki były jednoznaczne. W grupie najzdolniejszych młodych muzyków nie udało się znaleźć żadnych przejawów rozwiniętych zdolności muzycznych. Mimo to różnice w osiągnięciach uczniów były ogromne. Okazało się, że jedynym czynnikiem różnicującym tych najlepszych od przeciętnych była… liczba godzin poświęconych na ćwiczenia. Najlepsi muzycy poświęcali średnio 2 godziny dziennie na ćwiczenia, przeciętni – 15 minut. Różnica wynosiła więc 800%!!! I to była

kluczowa kwestia różnicująca „talenty” od przeciętniaków. A więc kluczową kompetencją okazało się doskonalenie się i rozwój. Uczenie się jest warunkiem sukcesu. A sukces przynosi bezpieczeństwo każdemu biznesowi! Można by więc powiedzieć, że bezpieczeństwo jest funkcją ciągłego doskonalenia ludzi i organizacji. AUTOR: Robert St. Bokacki, Country Manager Wiceprezes, CEO Kontekst HR International Group, www.konteksthr.pl

Temat numeru

Branża IT

na rynku pracy Choć spowolnienie gospodarcze dotknęło też branżę IT, to specjaliści zajmujący się nowymi technologami raczej nie muszą martwić się o pracę, bo potrzebni są również w innych sektorach. Jak sprawdził portal Pracuj.pl, nie oznacza to jednak, że każdy z nich może liczyć na równie atrakcyjną posadę.

poszukiwanych specjalistów w sektorze IT znaleźli się również handlowcy i specjaliści od konsultingu. Tendencje dotyczące poszukiwanych specjalistów IT potwierdzają też sami pracodawcy z branży. – Najwięcej ofert pracy jest tradycyjnie dla programistów, ale nie brakuje propozycji dla administratorów sieci i systemów, wdrożeniowców czy osób zajmujących się utrzymaniem infrastruktury i wsparciem technicznym. Pracę najłatwiej jest znaleźć oczywiście w popularnych technologiach, choć na przykład specjaliści PHP muszą liczyć się z dużą konkurencją, a w związku z tym często też z niższymi niż inni zarobkami – mówi Grzegorz Kieliszczyk z firmy Steria Polska. Anna Bąk z firmy Ericpol podkreśla też, że w szczególnie popularnych technologiach, jak Java czy C++, nie wystarczy już posiadanie wyłącznie wiedzy akademickiej, niezbędne jest doświadczenie projektowe. – Na jego brak mogą sobie pozwolić jedynie specjaliści w bardzo niszowych

GRUDZIEŃ 2012 www.prevent-magazine.pl

technologiach – dodaje. Grzegorz Kieliszczyk zwraca też uwagę na to, że niszowi

specjaliści mogą trochę dłużej czekać na wymarzoną pracę, ale często oferuje im się lepsze warunki pracy. – Do tej grupy należą osoby znające takie języki programowania i systemy, jak na przykład Cobol, AS 400, Python czy PowerBuilder.

Zdjęcia: autor, rys. Pracuj.pl

raportu „Rynek Pracy Specjalistów”, przygotowywanego cyklicznie przez ekspertów Pracuj.pl, wynika, że w III kwartale br. firmy z branży IT opublikowały w tym serwisie o 17% mniej ofert niż w II kwartale, w sumie było ich nieco ponad 6 tys. Branża IT najczęściej szukała informatyków, przede wszystkim programistów (36% wszystkich ofert skierowanych było właśnie do nich, z czego większość do specjalistów znających języki programowania Java, PHP czy platformę .NET), specjalistów od projektowania i wdrażania (15%), a także administratorów (14%). Warto zauważyć, że mimo największego zapotrzebowania na tych specjalistów liczba propozycji dla nich, w stosunku do II kwartału, spadła (w przypadku wdrożeniowców nawet o 22%). W tym samym okresie wzrosło natomiast zapotrzebowanie w branży na pracowników innych działów, głównie wspierających rozwój biznesu, np. pracowników biurowych (wzrost o 21%). Poza informatykami na liście top 5

Inne sektory też zatrudniają Choć najwięcej ofert dla specjalistów IT pochodziło w III kw. z sektora telekomunikacji i zaawansowanych technologii oraz branży IT, warto pamiętać, że nie tylko w tych branżach poszukiwani są informatycy. W analizowanym okresie dość dużo propozycji pochodziło też z firm doradczych i sektora finansowego. W obydwu tych branżach odnotowano nawet wzrost zapotrzebowania na tych pracowników na poziomie ok. 7%! W sumie, w okresie lipiec-wrzesień, wszystkich ofert dla specjalistów IT było na Pracuj.pl ponad 18,5 tys. Specjalista IT pracę najłatwiej znajdzie na Mazowszu – z tego regionu pochodziła co 4. oferta, w woj. dolnośląskim (2,4 tys. ofert) i małopolskim (2 tys.). Zdecydowanie najmniejszy wybór mają osoby chcące pracować w regionie świętokrzyskim, lubuskim i opolskim. W tym ostatnim województwie odnotowano zresztą największy spadek publikacji ofert (na poziomie 20%), w porównaniu do II kw. Nie za każdą cenę Wprawdzie całkowita liczba ofert pracy dla specjalistów IT spadła nieco w III kw. (o 7%), to pracodawcy zgodnie mówią, że ci pracownicy nie muszą bać się o zatrudnienie, nawet w czasach dekoniunktury. Jak podkreśla Grzegorz Kieliszczyk, spowolnienie gospodarcze będzie miało wpływ na rynek pracy IT, ale będzie się ono raczej przejawiało niższą płynnością rynku, czyli

większą ostrożnością kandydatów przed zmianą pracy i ostrożnością pracodawców przy redukcji etatów. – Przedsiębiorcy zdają sobie sprawę, że w trudnych czasach nie warto pozbywać się kluczowych zasobów, a takimi bez wątpienia są informatycy. Ponieważ branża IT jest motorem zmian, które zachodzą w globalnej gospodarce, może się okazać, że informatycy będą nawet bardziej poszukiwani niż dotąd. Patrząc z perspektywy firmy takiej, jak nasza – która dostarcza usługi przede wszystkim klientom w krajach zachodnich – może się nawet okazać, że lokalnie zyskamy na spowolnieniu gospodarczym, będąc konkurencyjnymi na rynku globalnym. Wymiernym tego dowodem jest to, że w tym i w następnym roku zamierzamy znacząco zwiększyć poziom zatrudnienia. Mimo odczuwalnego spowolnienia w gospodarce, swój zespół konsekwentnie powiększa też firma Transition Technologies. – W czasach kryzysu branża IT jest jedną z najmniej poszkodowanych, a co za tym idzie szanse na znalezienie pracy w tym sektorze są większe niż gdzie indziej – mówi asystent ds. HR i Promocji w tej firmie, Joanna Wojdan. Grzegorz Kwiatkowski z Nokia Siemens Networks, która w centrach R&D w Polsce zatrudnia blisko 2 tys. informatyków, podkreśla, że w dłuższej perspektywie zapotrzebowanie na informatyków będzie rosło: – Nie oznacza to, że każdy specjalista IT bez trudu dostanie ofertę zatrudnienia na stanowisko, na które zaaplikuje. Kandydaci muszą pamiętać, że zwłaszcza

oczekiwania finansowe powinny iść w parze z umiejętnościami, wiedzą i doświadczeniem, które są w stanie zaoferować pracodawcy. Z tym, że specjaliści IT nie muszą się konkurować o stanowisko pracy, bo ofert pracy jest stosunkowo dużo, nie zgadza się też Joanna Wojdan. – Z naszych doświadczeń wynika, że najtrudniej zatrudnić się programistom tuż po studiach. Często reagują zdziwieniem, że wysoka średnia na studiach nie wystarczy, aby być konkurencyjnym kandydatem do pracy. Remedium na problemy ze znalezieniem pracy w tym zawodzie jest znajomość więcej niż jednego języka obcego i doświadczenie w pracy projektowej – nawet, jeśli będzie to projekt w ramach koła naukowego lub praktyk, na przykład takich, jak w naszej firmie. – mówi. Z kolei Grzegorz Kieliszczyk podkreśla, że największym przeciwnikiem w zdobyciu pracy może być dla specjalisty IT on sam, jeśli uwierzy, że wystarczą tylko umiejętności techniczne, by zostać przyjętym. – Bagatelizowanie znaczenia wymagań formalnych, jak znajomość języków programowania i posiadanie certyfikatów, czy niedocenianie znaczenia umiejętności miękkich, jak zdolność do pracy w zespole, nastawienie się na potrzeby klienta oraz kreatywność, może skutecznie zablokować rozwój nawet najbardziej utalentowanego informatyka. AUTOR: Elżbieta Flasińska, Grupa Pracuj, do której należy portal Pracuj.pl, www.pracuj.pl www.grupapracuj.pl

Temat numeru

Dane osobowe w Ĺ&#x203A;rodowisku pracy

Kodeks pracy w art. 221 wyraźnie precyzuje, jakich informacji pracodawca może wymagać zarówno od kandydatów do pracy, jak i zatrudnionych. W obydwu przypadkach katalog ten jest zamknięty. Z administrowaniem danymi osobowymi wiąże się obowiązek zapewnienia im należytej ochrony. Dane osobowe kandydatów i pracowników Pracodawca może żądać wyłącznie danych osobowych wymienionych w Kodeksie

dzieci (tylko wówczas, gdy jest to konieczne ze względu na korzystanie ze szczególnych uprawnień przewidzianych w prawie pracy), numer PESEL pracownika nadany przez Rządowe Centrum Informatyczne Powszechnego Elektronicznego Systemu Ewidencji Ludności (RCI PESEL), a także inne dane, wyraźnie przewidziane w przepisach. Pracownicy udostępniają je w formie oświadczenia, pracodawca ma jednak prawo żądać ich udokumentowania. W przypadku ustalania uprawnienia osoby zatrudnionej do świadczeń socjalnych na przetwarzanie

Umieszczenie wizerunku pracownika na identyfikatorach czy też w Internecie, co do zasady wymaga zgody pracownika. Przyzwolenie nie jest wymagane, jeżeli wizerunek pracownika jest ściśle związany z jego zawodem i charakterem pracy, który wymaga identyfikacji. Pracy lub gdy inny przepis prawa tak stanowi. Od osób ubiegających się o pracę można wymagać podania: imienia (imion) i nazwiska, imion rodziców, daty urodzenia, miejsca zamieszkania (adresu do korespondencji), wykształcenia, a także przebiegu dotychczasowego zatrudnienia. Zakres informacji, których pracodawca ma prawo żądać od zatrudnionych, jest znacznie szerszy. Obejmuje także imiona i nazwiska oraz daty urodzenia

danych osobowych zezwala art. 8 ust. 1 ustawy z dnia 4 marca 1994 r. o zakładowym funduszu świadczeń. Źródło prawa może również stanowić stosowny zapis regulaminu zobowiązujący pracownika do przedłożenia PIT-u w celu weryfikacji sytuacji socjalnej. Zatem to przepisy wyznaczają granice, jakich danych osobowych może żądać pracodawca. Pozostałe informacje, dotyczące sfery życia prywatnego zatrudnionych, pozostają dla pracodawcy niedostępne.

Zaświadczenie o niekaralności Pytanie o legalność przetwarzania danych o niekaralności powodują sytuacje, w których kandydaci do pracy czy zatrudnieni muszą dostarczyć zaświadczenie z Krajowego Rejestru Karnego, a zawód lub zajmowane stanowisko nie uzasadniają tak daleko idącej ostrożności. Z wnioskiem o udostępnienie takich informacji pracodawcy mogą wystąpić jedynie wtedy, gdy z przepisów wynika wymóg niekaralności, korzystania z pełni praw publicznych, uprawnienia do zajmowania określonego stanowiska, wykonywania określonego zawodu lub prowadzenia określonej działalności gospodarczej. W przypadku braku umocowania w przepisie kandydat do pracy czy zatrudniony ma prawo odmówić przedłożenia zaświadczenia z KRK, gdyż te informacje nie wchodzą w zakres katalogu uregulowanego w art. 221 kodeksu pracy. Zgodnie z art. 6. ust. 1 pkt 10. z dnia 24 maja 2000 r. o Krajowym Rejestrze Karnym, prawo do uzyskania informacji o osobach, których dane osobowe zgromadzone zostały w Rejestrze, przysługuje pracodawcom, w zakresie niezbędnym dla zatrudnienia pracownika, co do którego z przepisów ustawy wynika wymóg niekaralności, korzystania z pełni praw publicznych, a także ustalenia uprawnienia do zajmowania określonego stanowiska,

Temat numeru

Zakaz przetwarzania danych biometrycznych W związku z rozwojem technologii i możliwościami wykorzystywania danych biometrycznych do rejestracji czasu pracy (np. przetworzonych do postaci cyfrowej informacji o charakterystycznych punktach linii papilarnych palców pracowników), na gruncie polskiego prawa pojawiły się uzasadnione wątpliwości, czy takie praktyki nie naruszają praw zatrudnionych. Pracodawcy, po uprzednim uzyskaniu pisemnej zgody pracowników, przetwarzali ich dane biometryczne w postaci charakterystycznych punktów linii papilarnych w celu ewidencji czasu pracy. Zgodnie z utrwaloną linią orzecznictwa Naczelnego Sądu Najwyższego (zob. m.in. wyrok NSA z dnia 1.12.2009r, I OSK 249/09 oraz wyrok NSA z dnia 06.09.2011r., I OSK 1476), wyrażona na życzenie pracodawcy pisemna zgoda pracownika na pobranie i przetwarzanie danych biometrycznych narusza jego prawa i nie daje podstawy do legalnego ich przetwarzania. Zależność zatrudnionego od pracodawcy powoduje brak dobrowolności w wyrażeniu takiej zgody. W ocenie Sądu poszerzenie katalogu danych, których może żądać pracodawca w oparciu o zgodę pracownika, naruszałoby zasadę proporcjonalności wyra-

żoną m.in. w art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych. Wykorzystywanie danych biometrycznych do kontroli czasu pracy jest nieproporcjonalne do zamierzonego celu ich przetwarzania.

szeniem prawa. Dane te są bowiem ściśle związane z wykonywaniem obowiązków służbowych w ramach stosunku pracy. Zakaz podawania tych danych do informacji publicznej prowadziłoby

Przykłady naruszenia bezpieczeństwa danych: • Niewłaściwe zabezpieczenie zbioru danych przed ich udostępnieniem osobom nieupoważnionym (np. przechowywanie dokumentów personalnych w szafach bez zamków oraz na otwartych półkach i regałach); • Drukowanie materiałów zawierających dane osobowe na ogólnodostępnych w firmie drukarkach (osoba drukująca materiały odbiera je z urządzenia dopiero po jakimś czasie - leżą one na drukarce i potencjalnie każdy może się z nimi zapoznać); • Przesyłanie danych osobowych drogą elektroniczną w formie niezaszyfrowanej; • Niewłaściwe parametry systemów IT (kontrole GIODO potwierdzają, że stosowane w firmach systemy informatyczne nie odnotowywały daty pierwszego wprowadzenia danych, jak i identyfikatora osoby); • Stosowanie zbyt łatwych haseł dostępu – hasła powinny być odpowiednio skomplikowane, trudne do złamania, czyli składające się np. z wielkich i małych znaków oraz liter i cyfr. Hasła takie należy także zmieniać (np. co 30 dni), a system powinien o tym przypominać użytkownikowi.

Dane osobowe w Internecie Publikacja na stronie internetowej firmy danych osobowych pracownika tj. imienia, nazwiska, stanowiska, adresu e-mailowego czy służbowego numeru telefonu nie jest naru-

GRUDZIEŃ 2012 www.prevent-magazine.pl

do nieproporcjonalnego ograniczenia interesów pracodawcy, co potwierdził wyrok Sądu Najwyższego z dnia 19 listopada 2003 r., sygn. akt I PK 590/02, OSNP 2004/20/351. Warto podkreślić, iż umieszczenie wizerunku pracownika na identyfikatorach czy też

Zdjęcia: Fotolia, autor

wykonywania określonego zawodu lub prowadzenia określonej działalności gospodarczej.

w Internecie, co do zasady wymaga zgody pracownika. Przyzwolenie nie jest wymagane, jeżeli wizerunek pracownika jest ściśle związany z jego zawodem i charakterem pracy, który wymaga identyfikacji. W związku z tym, że katalog informacji udostępnianych na potrzeby firmy, jest ściśle określony, odmowa udzielenia przez pracownika informacji nieprzewidzianych w art. 221 Kodeksu pracy lub w odrębnych przepisach nie stanowi naruszenia jego obowiązków pracowniczych i nie uzasadnia

z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz przepisy wykonawcze do tej ustawy. Pod pojęciem przetwarzania kryje się wiele operacji. Należą do nich: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie. Zwłaszcza jeśli wykonuje się je w systemach informatycznych. Administrator danych zobowiązany jest zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.

W związku z rozwojem technologii i możliwościami wykorzystywania danych biometrycznych do rejestracji czasu pracy, na gruncie polskiego prawa pojawiły się uzasadnione wątpliwości, czy takie praktyki nie naruszają praw zatrudnionych. rozwiązania umowy o pracę bez wypowiedzenia. Tak też orzekł Sąd Najwyższy w wyroku z dnia 5 sierpnia 2008 r., IPK 37/08. Obowiązki pracodawcy jako administratora danych Pracodawca jako podmiot przetwarzający dane osobowe pracowników, czyli decydujący o celach i środkach przetwarzania danych osobowych, staje się administratorem tych danych. Ze statusem administratora danych osobowych wiąże się szereg obowiązków, które określają przepisy ustawy

Zarządzając aktami osobowymi personelu, przetwarza się informacje w nich zawarte. Podstawowym zadaniem administratora jest zapewnienie legalności ich wykorzystywania oraz zabezpieczenie przed utratą, uszkodzeniem, zniszczeniem czy udostępnieniem osobom nieupoważnionym. Pracodawca jest zobowiązany do stosowania środków technicznych i organizacyjnych, które zapewnią im ochronę. Do obsługi systemu informatycznego oraz urządzeń wchodzących w jego skład mogą być dopuszczone wyłącznie osoby posiadające upoważnie-

nie administratora danych. Do podstawowych obowiązków zabezpieczenia danych osobowych zatrudnionych, można zaliczyć m.in. wyznaczenie osoby odpowiedzialnej za ich bezpieczeństwo w systemie informatycznym oraz opracowanie polityki bezpieczeństwa i instrukcji określającej sposób zarządzania systemem informatycznym, służącym do przetwarzania danych. Równie ważną kwestią jest przechowywanie kopii awaryjnych zbiorów, nośników informacji oraz wydruków komputerowych w warunkach, które uniemożliwiają dostęp do nich osobom niepowołanym. Istotne jest też wyposażenie systemu informatycznego w mechanizmy uwierzytelniania użytkownika. W przypadku urządzeń zasilanych energią elektryczną należy zabezpieczyć je przed utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci. Zbiory danych osobowych pracowników przetwarzanych w związku z zatrudnieniem zwolnione są z obowiązku rejestracji u Generalnego Inspektora Ochrony Danych Osobowych (GIODO).

AUTOR: Justyna Metelska, Adwokat w TGC Corporate Lawyers, www.tgc.eu

Wirtualizacja procesu rekrutacji

Działy HR często są traktowane po macoszemu ze względu na chłonność zasobów finansowych, a nieprzynoszące wymiernych zysków dla samej organizacji – w dobie kryzysu, jako pierwsze podlegają cięciom budżetowym. Dyrektorzy finansowi nie biorą pod uwagę strategicznego znaczenia tego działu, widząc w nim jedynie koszty. Dział HR w ujęciu księgowym wykazuje zawsze saldo ujemne i podejmowane z takiego punktu widzenia operacje zmierzające do redukcji kosztów przedsiębiorstwa są oczywiste. Należy sobie zadać pytanie, czy te działania są zasadne? Jakie skutki dla organizacji może nieść za sobą decyzja cięć budżetowych w HR? Kosztem jakich procesów HR zostanie przeprowadzona redukcja? Czy nie prowadzi to do przysłowiowego „podcinania gałęzi”? Kryzys i cięcia w budżecie HR Próbując znaleźć odpowiedź na powyższe, zacznijmy od przyjrzenia się wybranym zadaniom działów HR, zadaniom strategicznym z punktu widzenia organizacji. Każda organizacja, jako sprawnie działający mechanizm, musi mieć zapewnioną ciągłość produkcji czy działalności operacyjnej. W odniesieniu do fabryk o pełnej automatyce, sprawność takową zapewniają pracownicy działu serwisu bądź

zewnętrznej firmy. W każdym innym przypadku, gdzie działanie przedsiębiorstwa opiera się na zasobie ludzkim, utrzymanie ciągłości produkcji polega na zapewnieniu wymaganej liczby pracowników gotowych świadczyć pracę. Ludzie, w przeciwieństwie do maszyn, odchodzą z pracy, chorują, potrzebują urlopów czy ulegają wypadkom i innym zdarzeniom losowym. Powstają wtedy ubytki, które należy uzupełnić lub, odpowiednio oszacowane, ująć w planach

GRUDZIEŃ 2012 www.prevent-magazine.pl

produkcji. Prawdopodobieństwo wystąpienia niedoborów zależy od warunków pracy na danym stanowisku oraz od specyfiki organizacji. Bez względu na wyniki analiz, to dział HR musi zapewnić możliwość uzupełnienia zasobów kadrowych. A co za tym idzie prowadzić ciągłe nabory uzupełniające lub dysponować łatwo weryfikowalną bazą danych zasobów ludzkich. Część ubytków w kadrach można uzupełnić, stosując tzw. rekrutację wewnętrzną, opar-

tą na jednostkach osobowych wchodzących w obecny skład organizacji. Jednak w znacznie większym stopniu uzupełnienie polega na rekrutacji nowych pracowników z zewnątrz. Oszczędności a standardy bezpieczeństwa? Nabór nowych pracowników to proces bez wątpienia czasochłonny i kosztowny. Znaczną część budżetu przeznaczonego na nabór pracowników do pracy pochłania udział w targach pracy oraz wykup płatnych ogłoszeń w mediach. Koszt prowadzenia takich naborów, często pomijany, to czas zaangażowania pracowników działu HR w uczestnictwo w rozmowach kwalifikacyjnych czy spotkaniach weryfikujących kompetencje. Od tych wszystkich działań zależy jakość procesu naboru pracowników, a jakość to też bezpieczeństwo. Dział HR musi zapewnić poufność danych kandydatów oraz zagwarantować, że żadne dane nie zostaną wykorzystane niezgodnie z ich przeznaczeniem. Nie nastąpi niekontrolowany wyciek dokumentów aplikacyjnych lub dane te nie zostaną wykorzystane w celach marketingowych tej lub innej organizacji. Kandydat musi czuć się bezpiecznie, aplikując do danego przedsiębiorstwa, a to ostatnie musi zagwarantować wysoki poziom obsługi aplikacji kandydata – dla niego i dla samego siebie. Przedsiębiorstwa dysponują wiedzą, którą nie zamierzają się dzielić na zewnątrz. Procesy organizacyjne, logistyczne

czy technologiczne stanowią o pozycji organizacji i wpływają na stabilizację przedsiębiorstwa. Podczas naborów nowych pracowników może dojść do niekontrolowanego wypływu tajemnic przedsiębiorstwa lub, w skrajnych przypadkach, nawet do celowych wyłudzeń informacji przez podstawionych kandydatów – szpiegów przemysłowych. Dlatego dział HR, który zajmuje się również rekrutacją lub obsługą naborów nowych kandydatów, musi zdawać sobie sprawę z tego typu zagrożeń, a tym samym posiadać odpowiednie środki w swoim budżecie, aby móc temu przeciwdziałać. Dynamika w rekrutacji Jakość i skuteczność przeprowadzenia procesu rekrutacji, naboru kandydatów czy uzupełnienia zasobów kadrowych to główne wyznaczniki bezpieczeństwa strategicznego przedsiębiorstwa. Jego stabilnej pozycji oraz odporności na wszelkie zawirowania gospodarcze – od spowolnienia po zwiększenie produkcji. Posiadanie właściwie zorganizowanej, aktualnej i weryfikowalnej bazy pracowników lub kandydatów na pracowników zapewnia skuteczność działania zespołu HR w zmiennej dynamice rozwoju organizacji. Odpowiednio zorganizowane i przechowywane dane pozwalają na skrócenie czasu adaptacji do nowych potrzeb kadrowych czy nawet analiz projektów przyszłych zmian personalnych rozwiniętych o symulację kosztów z tym

związanych. Pracownicy działu HR przeprowadzający rekrutację wewnętrzną czy nowych pracowników lub uczestniczący w procesie naboru, którego etap rekrutacji został przekazany zewnętrznej agencji, powinni zdawać sobie sprawę z najczęściej popełnianych błędów, które mogą stanowić duże zagrożenie dla bezpieczeństwa danych, osób czy samej organizacji. Wiedza i doświadczenie w organizacji naborów, powinna być wiedzą przedsiębiorstwa, a nie jedynie ludzi zaangażowanych w ten proces. Pracownicy działu HR to też ludzie, a to oznacza, że podlegają tym samym prawom i regułom co reszta kadry. Niedopuszczalne jest, by wraz z rekruterem czy dowolnym innym pracownikiem tego działu odeszły dane osobowe pracowników bądź kandydatów na pracowników. Taka sytuacja stanowi olbrzymie zagrożenie ze strony konkurencji, która może dążyć do osłabienia pozycji organizacji poprzez podkradanie kluczowych pracowników. Baza kompetencji i doświadczenia Z drugiej jednak strony, taka „cudza baza” to idealny materiał operacyjny dla każdego konkurującego przedsiębiorstwa. Głównie ze względu na dokonaną już selekcję kadrową, rozbudowaną o cechy uzupełniające, takie jak wielkość wynagrodzenia, specyfikę kompetencji i doświadczenia. W dobie cyfryzacji zasobów przedsiębiorstw, takie dane, gdy nie są wystarczająco

Temat numeru

dobrą komunikację z agentem w zakresie poszukiwań kandydatów. Agent realizuje wstępną selekcję, mając na celu dostarczenie odpowiedniej liczby kandydatów. Błędnie lub za mało szczegółowo zdefiniowany profil może doprowadzić do skrajnych przypadków eliminacji poprawnych kandydatów lub zbyt szerokiej bramki, przepuszczającej kandydatury nieodpowiadające potrzebom przedsiębiorstwa. To prowadzi do obniżenia jakości całego procesu naboru i może skutkować potrzebą ponownego jego zorganizowania czy nawet do destabilizacji obsadzanych stanowisk pracy. Dane statystyczne mówią o 80% wskaźniku fluktuacji kadry wynikającej z błędów popełnionych na najwcześniejszym etapie rekrutacji. Przy określaniu profilu poszukiwanego pracownika warto przemyśleć też pytania, jakie będą mu zadawane na etapie wywiadu lub rozmowy rekrutacyjnej. W tym celu można wykorzystać pozostałych pracowników, np. przełożonego, przyszłych współpracowników czy zakładowego psychologa. Pomocna może tez okazać się subiektywna ocena kandydatur wystawiona przez te osoby. Bazując na selekcji wstępnej, wyłaniane są kandydatury osób zapraszanych na rozmowy kwalifikacyjne i spotkania tzw. assessment centre. Podczas tego etapu dochodzi do bezpośredniego kontaktu rekrutera z kandydatem. Etap ten, zdaniem wielu fachowców z branży

GRUDZIEŃ 2012 www.prevent-magazine.pl

HR, cechuje się dużą ilością pułapek, w które sam rekruter może zostać wciągnięty. Literatura branżowa zawiera sklasyfikowane przez psychologów listy błędów, które są często określane jako „efekt anielski”, efekt diabelski” czy „efekt pierwszeństwa i świeżości”. Obrazować mają one świadomą lub podświadomą skłonność natury człowieka do wniosków podejmowanych bez rzeczowej analizy faktów, wynikających jedynie z pobieżnych obserwacji, analiz poznawczych, emocji i stanów towarzyszących kontaktowi bezpośredniemu. Może to doprowadzić do utraty kontroli nad przebiegiem rozmowy lub zbudowania fałszywego wyobrażenia o dopasowaniu kandydata do profilu. Pamiętając o kilku regułach, można uniknąć takich sytuacji. Utworzenie listy kryteriów oceny pozwoli na uniknięcie błędów poznawczych w trakcie przeprowadzania wywiadu. Warto pokusić się o określenie chociażby niezbędnych kompetencji w połączeniu z wyspecyfikowaniem zoperacjonalizowanych wskaźników umożliwiających pomiar dopasowania uzyskanych odpowiedzi lub zachowania do określonych celów z profilu poszukiwanego pracownika. Konfrontacja uzyskanych wskaźników z osobistym odczuciem na temat danego kandydata pozwala zachować wysoki poziom świadomości odebranych wrażeń emocjonalnych i pozwala uniknąć pochopnych lub błędnych opinii.

Zdjęcia: Fotolia, autor

chronione, mogą stanowić łup łatwy do zdobycia. Ponadto budowa własnej bazy danych kompetencji, doświadczenia, a także umiejętności miękkich, cech zaobserwowanych w wyniku analiz ról lub studium przypadku – to proces praco- i czasochłonny. Nie wystarczy sama baza CV kandydatów i pracowników. To jedynie spis kompetencji i opis doświadczenia. Taki stan rzeczy powoduje potrzebę ponownego analizowania kandydatów i pracowników przy każdym organizowanym naborze. Ponowne przeprowadzanie wywiadów i spotkań skutkuje wystąpieniem subiektywnych ocen nadawanych przez osoby zaangażowane w proces naboru z ramienia działu HR – na przestrzeni czasu mogą to prowadzić różne osoby. Za każdym też razem należy ponownie i przy odpowiednim poziomie szczegółowości określić profil poszukiwanego pracownika. Nie można się ograniczyć jedynie do stwierdzeń ogólnych, np. „uczciwy, dyspozycyjny, dobrze czujący się w pracy zespołowej, asertywny”. Może okazać się, że do określonego w ten sposób profilu pasuje 90% kandydatów z posiadanej bazy CV. Takiego profilu kandydata nie należy przedstawiać headhunterowi. Agent zewnętrzny powinien otrzymać odpowiednio doprecyzowany profil poszukiwanej osoby. Z drugiej strony, zawsze istnieje obawa wycieku tych informacji i wskazania konkurencji kierunku, w jakim podąża rozwój przedsiębiorstwa. Pomijając ten skrajny przypadek, należy mieć na uwadze

Świadomość w rekrutacji Jak zatem wynika z powyższego, dział HR jest często postrzegany przez pryzmat kosztów związanych z jego utrzymaniem. Zarządy firm, dyrektorzy finansowi czy managerowie innych działów często bagatelizują znaczenie tego działu w ocenie pozycji strategicznej całej organizacji. Przyszłe planowe działania, rozwój oraz przeciwdziałanie wypadkom i innym incydentalnym zmianom w zasobach kadrowych zależą ściśle od działu HR i są mocno powiązane z metodami w nim stosowanymi. Począwszy od gromadzenia danych po ich racjonalne i świadome wykorzystanie, poprzez skuteczną ochronę przed wyciekiem, utratą lub nadmiernym rozproszeniem. Działy HR muszą współpracować z pozostałymi działami przedsiębiorstwa w celu określenia profili kandydatów na stanowiska pracy, umożliwiając im tzw. sprzężenie zwrotne w postaci wpływu na ogólną ocenę kandydatur i udzielając głosu w wyborze najlepiej dopasowanych profili. To wszystko z zachowaniem wysokiego poziomu bezpieczeństwa danych osobowych oraz danych przedsiębiorstwa. Działy HR powinny wypracować takie metody, które zagwarantują współpracę i przepływ informacji pomiędzy uczestnikami procesu naboru bez naruszenia polityk bezpieczeństwa organizacji i obowiązujących przepisów prawa (np. o ochronie danych osobowych). Rozszerzając współpracę i angażując większą liczbę

członków komisji odpowiedzialnej za wybór kandydatów, jednocześnie minimalizować koszty związane z naborem, chociażby poprzez minimalizację kosztów podróży kandydatów czy eliminację wizyt na terenie zakładu. Rekrutacja w chmurze W dobie cyfryzacji zasobów przedsiębiorstw śmiało można poszukiwać rozwiązań teleinformatycznych, które mogą być substytutem rozwiązań tradycyjnych. Wirtualizacja procesów rekrutacji przy użyciu odpowiednich narzędzi zapewni właściwą i sprawną wymianę informacji bez zagrożenia niekontrolowanego przenikania wrażliwych danych. Ponadto dzięki odpowiedniemu skatalogowaniu danych można wprowadzać lepsze metody kooperacji międzydziałowej - angażować w proces rekrutacyjny wszystkie osoby bezpośrednio decydujące o zatrudnieniu, a nawet przyszłych współpracowników. Wykorzystując mechanizmy elektronicznej rejestracji aplikacji kandydatów, rejestracji udziału w wywiadach czy rozmowach rekrutacyjnych, wpływa się na zmianę perspektywy, z jakiej dokonywana jest ocena kandydatury, a tym samym zwiększa się świadomość wyboru. Zarejestrowane materiały można wielokrotnie poddawać ocenie, stosując różne wskaźniki i punkty odniesienia. Sam proces rejestracji wywiadu lub rozmowy kwalifikacyjnej może przebiegać wedle ustalonego wcześniej, ściśle określonego planu. Stosując rozwiązania

informatyczne, gdzie każdemu z uczestników mogą być nadane określone w procesie role, można stworzyć zespół osobowy oceniający niezależnie różne cechy kandydatury, np. oczekiwania finansowe, kompetencje, doświadczenie czy umiejętności pracy w zespole, a nawet zdolności lingwistyczne. Tak samo jak zmieniają się metody produkcji, technologie czy mechanizmy sprzedaży – zmianie ulegać będą metody organizacji pracy, metody zapewnienia ciągłości produkcji czy działalności operacyjnej. Zmianie ulegać będą procesy naborów pracowników. Zasięg terytorialny poszukiwań uwarunkowany jest od zdolności migracyjnej społeczeństwa, a ta ostatnia uległa znaczącej poprawie w ostatnich latach. Absolwenci, studenci, a nawet rodziny z dziećmi wyjeżdżają za pracą do innych województw czy za granicę, co daje duże możliwości pracodawcom w doborze właściwych kandydatów. Niezależnie jednak od trybu zmian, ich intensywności, zakresu czy skali, należy zawsze pamiętać, co stanowi o bezpieczeństwie danej organizacji: ludzie, technologia, wiedza i doświadczenie, oraz o tym, co jest wyznacznikiem zdolności adaptacyjnej do przeprowadzanych zmian. AUTOR: Piotr Zyskowski, Prezes Caliber Solutions Spółka z o.o., właściciel marki Wikrutacja.pl, www.wikrutacja.pl www.caliber-solutions.pl