GDPR HR: 8 pași pentru respectare GDPR

• GDPR

13 minute • Ana-Maria Udriste • 04 aprilie 2018

---

Cu doar câteva săptămâni până când Regulamentul general privind protecția datelor (GDPR) devine direct aplicabil la 25 mai 2018, multe organizații intră într-o perioadă crucială, întrucât încearcă să-și “actualizeze” standardele de confidențialitate și protecție a datelor pentru a satisface noile și cerințe legale.
În ansamblul său, GDPR schimbă dramatic așteptările persoanele privind modul în care întreprinderile care gestionează, utilizează, stochează, asigură și prelucrează în alt mod date cu caracter personal. În mod evident, pozitiile de HR și talent scouting acționează în calitate de ”custozi” ai unor volume semnificative de date personale deseori sensibile sau confidențiale în cadrul oricărei organizații și, prin urmare, trebuie să se ocupe de această nouă lege dificilă.
Ar putea fi ușor sau tentant ca organizațiile să ne găndim că prelucrarea informațiilor salariaților, aplicanților și partenerilor ca având mai puțină prioritate decât alte domenii ale afacerii. Cu toate acestea, GDPR – și sancțiunile sale în mod semnificativ crescute (inclusiv amenzi administrative de până la 4% din cifra de afaceri globală a unei întreprinderi sau 20 milioane EUR (oricare este mai mare)) pentru organizațiile neconforme – nu consideră că aceste categorii ar trebui să beneficieze de un regim mai relexat.
Grupurile de lucru și membrii personalului sunt adesea sursa problemelor ridicate direct de companii cu autoritățile de reglementare. Riscul de sancționare va fi, de asemenea, sporit din perspectiva răspunderii vicarioase pentru angajatori, iar acest lucru ar putea decurge dintr-o încălcare aparent minoră a procesării datelor de către un angajat în cursul “ocupării forței de muncă” sau altfel spus, al procesului de angajare. Departamentele HR și de resurse umane care sunt nesigure de modul în care noile reguli le vor afecta activitățile și obligațiile ar trebui să acționeze acum.
Pentru a ajuta întreprinderile cu programele lor de conformitate cu GDPR specifice HR, am identificat – la un nivel înalt și destul de general – un număr de puncte-cheie de acțiune în lista de verificare de mai jos, împărțită între opt teme GDPR proeminente. Avem experiență în fiecare dintre aceste domenii și ne-am bucura să vă ajutăm afacerea prin hățisul acestor noi provocări.

1. Transparență:

Persoanele angajate de orice organizație (fie angajați, antreprenori, aplicanți, stagiari sau voluntari, de exemplu) trebuie să primească informații mai detaliate, granulare și accesibile, care să indice modul în care sunt utilizate datele lor personale. Acest lucru este prezentat în mod obișnuit într-o “notificare privind confidențialitatea” și trebuie furnizată persoanelor fizice la începutul oricărei relații de muncă (chiar și la început) și actualizat în mod regulat.
Pașii cheie de conformitate vor include:

• Examinați/actualizați anunțurile de confidențialitate ale angajaților și ale aplicanților care să respecte cerințele detaliate privind informațiile.
• Implementarea procedurilor pentru a asigura că notificările sunt furnizate la timp, actualizate în conformitate cu noile activități de procesare și versiunile de control anterioare sunt păstrate.
• Luați în considerare introducerea unor anunțuri adaptate pentru activități de prelucrare specifice sau riscante, cum ar fi controalele de fond și furnizarea anumitor beneficii.

2. Drepturi individuale:

Organizațiile vor trebui să fie conștiente de drepturile sporite individuale de acces (în cadrul unui regim diferit și rafinat de acces la date), de opoziții și de rectificare, precum și de noi drepturi privind portabilitatea, restricționarea și ștergerea datelor.
Echipamentele aparținând departamentelor de resurse umane trebuie să poată recunoaște și rezolva cererile individuale în termenele limită. Următoarele informații vă vor ajuta:

• Introducerea modulelor de îndrumare și instruire practică cu privire la recunoașterea și oferirea cât mai rapidă a răspunsurilor la cererile individuale de formulate de persoanele individuale privind protecția datelor acestora în cadrul GDPR.
• Colaborați cu echipele IT pentru a testa sistemul existent/sau să îl adaptați și pentru a vă asigura capacitatea de a răspunde în mod corespunzător exercitării fiecărui drept al persoanelor privind cererilor lor de date personale atât la nivel tehnic, cât și practic.
• Punerea în aplicare a perioadelor formale de păstrare a datelor pentru anumite categorii de date privind resursele umane și efectuarea exercițiilor de curățare a datelor în conformitate cu aceste limite.

3. Legalitatea prelucrării:

Prelucrarea datelor cu caracter personal pentru fiecare scop identificat în domeniul resurselor umane trebuie să fie justificată de cel puțin unul dintre mai multe motive legale prevăzute expres de lege (vezi AICI care sunt temeiurile legale pentru prelucrarea datelor cu caracter personal sub GPDR).
Perioada când ne bazam doar pe consimțământul angajaților a luat sfârșit. Se vor cere motive alternative la cerințele legale, precum încrederea în “interesele legitime” ale unei organizații sau necesitatea contractuală (care derivă dintr-un contract).
Întreprinderile ar trebui, cel puțin, să facă următoarele:

• Auditeze și și să găsească temeiuri juridice specifice și conforme cu GDPR pentru toate activitățile și scopurile de prelucrare a datelor HR, inclusiv cele care implică categorii speciale de date personale (adesea sensibile).
• Documenteze motive legale valabile în anunțurile privind confidențialitatea și, acolo unde este posibil sau în conformitate cu legislația locală, înregistrările organizației privind activitățile de prelucrare.
• Actualizeze politica și documentația contractuală (inclusiv contactele de angajare) pentru a elimina referirea la consimțământul angajatului ca temei juridic aplicabil pentru procesare.

4. Calitatea și minimizarea datelor:

Întreprinderile trebuie să fie capabile să demonstreze “protecția datelor prin protecție și concepție” în cadrul sistemelor interne, astfel încât conceptul de minimizare a datelor (prin care cantitatea minimă de date să fie păstrată pentru perioada cea mai scurtă) să devin un pol central în cadrul departamentelor HR.
Acest lucru poate fi realizat printr-o combinație de măsuri tehnice, organizatorice și practice, cum ar fi:

• Introducerea unor cadre clare de orientare și raportare pentru a evalua și aproba necesitatea și amploarea tuturor inițiativelor noi sau modificate de prelucrare a datelor privind resursele umane.
• Formalizarea limitelor de păstrare a datelor privind resursele umane (atât la nivel intern, cât și cu vânzătorii) și coordonarea cu departamentul IT pentru a asigura implementarea internă la nivel tehnic.
• Proiectele de orientare ghidate către întreprinderi pentru a se asigura că activitățile de prelucrare planificate și/sau actuale considerate a fi “riscante” sunt identificate și fac obiectul unei evaluări a impactului privind protecția datelor (DPIA) conformă cu GDPR (a se vedea punctul 8 de mai jos).
• Luați în considerare dacă organizația trebuie să numească un responsabil cu protecția datelor (DPO) în cadrul GDPR sau, alternativ, dacă se poate justifica numirea unor specialiști dedicați în materie de confidențialitate a căror ”orientare” profesională nu este în mod clar acel “DPO” al GDPR. Întrucât GDPR cere ca un DPO să acționeze independent și să nu fie concediat sau sancționar pentru îndeplinirea sarcinilor sale, este important să înțelegeți implicațiile acestei numiri.

5. Schimbul datelor:

În cazul în care datele departamentelor HR sunt împărțite într-un grup de corporații (cum ar fi pe o platformă IT sau pe parcursul desfășurării unor anchete specifice sau ) sau cu furnizori externi de servicii (cum ar fi cei care oferă platforme de găzduire, administrare de salarizare sau alte asemenea) organizațiile vor trebui să pună în aplicare noi acorduri contractuale cu fiecare beneficiar pentru a se asigura că vor gestiona corect datele.
Următorii pași ar trebuit să fie atinși:

• Auditați fluxurile intragrup de date cu caracter personal, clasificați beneficiarii potențiali (de exemplu, operatorul de date sau procesatorul) și puneți în aplicare acorduri îmbunătățite de împărtășire a datelor în conformitate cu obligațiile GDPR.
• Trimiteți fluxurile de date cu caracter personal către prestatorii externi de servicii HR, efectuați un exercițiu de clasificare (așa cum este indicat de mai sus) și actualizați contractele de servicii pentru a reflecta noile cerințe.
• Îmbunătățirea oricărui proces oficial pentru vânzători, care să includă atât evaluările de “clasificare”, cât și cele de verificare a confidențialității (adică dacă pot respecta în practică obligațiile privind protecția datelor). Programați verificări regulate.
• Asigurați-vă că sunt îndeplinite obligațiile de transfer de date (a se vedea punctul 6 de mai jos).

6. Transferuri de date:

Deși GDPR nu modifică în mod fundamental cerințele privind transferul datelor cu caracter personal peste granițe, organizațiile ar putea să se folosească de această ocazie pentru a lua în considerare modificarea mecanismului existent de transfer al datelor prin implementarea unor Clauze Standard Contractuale (”CSC”), Reguli corporative obligatorii și Scutul de confidențialitate UE-SUA.
Departamentele HR ar trebui să se concentreze asupra:

• Maparea fluxurilor internaționale de date privind resursele umane (interne și externe), având în vedere că doar accesul la informații în străinătate constituie un transfer în scopul protejării datelor.
• Asigurarea faptului că, în cazul în care datele cu caracter personal sunt transferate în afara SEE sau printr-o altă jurisdicție care face obiectul unei decizii a Comisiei Europene, fiecare beneficiar potențial (fie că este vorba de o entitate din grup sau de o terță parte externă) este acoperit de un mecanism valid de transfer de date.
• Implementarea și menținerea unei baze de date “vii” (posibil ca parte a unei “înregistrări formale a activității de prelucrare”, a se vedea punctul 8 de mai jos) a destinatarilor de date cu caracter personal și a mecanismelor corespunzătoare de transfer de date, care pot fi furnizate persoanelor fizice la cerere.

7. Încălcări de date:

GDPR ridică mizele în ceea ce privește securitatea datelor personale, nu în ultimul rând datorită amenzilor sale potențiale sporite și a sancțiunilor în cazul în care ar exista încălcări ale datelor.
Organizațiile vor trebui să poată recunoaște, izola, repara și remedia incidentele de securitate în conformitate cu o procedură formală și vor raporta anumite încălcări autorității lor de reglementare (în decurs de 72 de ore) și/sau persoanelor fizice.
Departamentele de HR, fie că lucrează sau nu în cadrul unei organizații sau sunt externe, trebuie să fie conștiente de faptul că termenul “încălcarea datelor” nu se limitează la hacking rău intenționat; fișierele în format fizic ale personalului care sunt copiate greșit și destinatarii eronați de e-mail pot fi de asemenea incluse.
Încălcările ar putea rezulta din acțiuni ale angajaților care par a fi inofensive, de exemplu transmiterea unui lanț de e-mail care conține date cu caracter personal/date sensibile (de exemplu, “nu vine să lucreze astăzi, deoarece fiica ei are varicela”).
Riscurile pot fi reduse prin următorii pași minimi:

• Aplicați proceduri clare și bine repetate privind securitatea/încălcarea datelor – în colaborare cu echipele IT – pentru a asigura că încălcările datelor pot fi atenuate rapid și raportate în termen de 72 de ore.
• Asigurați-vă că măsurile de securitate tehnică și organizatorică adecvate acoperă toate sistemele și funcțiile HR, inclusiv limitările de acces bazate pe “necesitatea de a cunoaște”, criptarea și instruirea/îndrumarea regulată.
• Testare periodică a măsurilor de securitate și modul în care persoanele răspund la ele și le aplică – la fel ca un exercițiu de incendiu – pentru a asigura capacitatea unei organizații de a răspunde în diverse scenarii.
• Puneți la cunoștința personalului că orice încălcare (electronică sau fizică) trebuie raportată imediat, asigurându-se că politicile disciplinare interne (ie. Regulamentele de ordine interioară) sunt actualizate pentru a clarifica faptul că responsabilitatea sau incapacitatea de a raporta orice incident de securitate poate fi considerată o abatere disciplinară.
• Revizuiți clauzele din contracte, precum și dispozițiile privind confidențialitatea și proprietatea intelectuală în cadrul contractelor de muncă și al contractelor de consultanță.

8. Responsabilitate:

O adaptare pasivă la GPDR nu este posibilă.
În schimb, toate ariile/departamentele afacerii – inclusiv HR – vor trebui acum să “demonstreze conformitatea” cu obligațiile de protecție a datelor.
Organizațiile ar trebui să acționeze în direcția acestei cerințe prin: (i) introducerea unor politici detaliate privind protecția datelor și instruirea personalului în acest sens; (ii) supunerea controalelor interne la audit și revizuire periodică; și (iii) menținerea unei “înregistrări complete” a tuturor activităților de prelucrare. Având în vedere acest lucru, întreprinderile ar trebui:

• să elaboreze și să mențină o “înregistrare completă a activității de prelucrare“, în conformitate cu cerințele GDPR, care pot fi furnizate autorităților de protecție a datelor la cerere – așa numitul Registru al prelucrării datelor cu caracter personal.
• implementați și/sau actualizați politicile și instruirea angajaților (inclusiv IT și procedurile disciplinare) care se adresează tuturor domeniilor cheie discutate mai sus.
• să stabilească obiectul procedurilor și al controalelor interne pentru revizuirea și testarea periodică, asigurându-se că rezultatele și măsurile de remediere sunt documentate corespunzător.
• să ia în considerare realizarea DPIA în cazul în care procesarea apare “riscantă“, cum ar fi monitorizarea angajaților și verificările de fond.

 

[wpforms id=”13083″]

---

Citeste mai multe despre GDPR:

• Drepturi? Îți oferă GDPR câte vrei!????
• GDPR în 20 minute – Regulamentul explicat pe scurt
• GDPR – Ce reprezintă dreptul de ștergere?
• GDPR: DPO (responsabilul cu protectia datelor) – cand il numim?
• GDPR si dreptul la portabilitatea datelor cu caracter personal
• RGPD (I) – Extinderea notiunii de date cu caracter personal
• RGPD (II) – Extinderea domeniului de aplicare
• RGPD (III). Prelucrezi date personale? Afla daca ai justificarea legala.
• GDPR și implicațiile sale în viața minorilor
• Responsabilul cu protectia datelor potrivit GDPR
• GDPR. Prelucrezi datele personale legal, corect si transparent?
• Dacă transfer date în afara UE, GDPR este sau nu de partea mea?
• GDPR: 5 lucrurile pe care trebuie sa le stii despre consimtamantul prin email
• GDPR. Care sunt criteriile pentru stabilirea cuantumul amenzii? S01E06

Lasă un răspuns Anulează răspunsul

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

Comentariu *

Nume *

Email *

Site web

Salvează-mi numele, emailul și site-ul web în acest navigator pentru data viitoare când o să comentez.

Δ