لائحة الاتحاد الأوروبي (الاتحاد الأوروبي) 2016/679 ، والمعروفة أيضًا باسم اللائحة العامة لحماية البيانات (GDPR)) ، دخلت حيز التنفيذ في مايو 25 ، 2018 بعد فترة مرور مرور عامين. تتطلب اللائحة من جميع الشركات العاملة في الاتحاد الأوروبي اعتماد سياسات وعمليات وممارسات جديدة أثناء إدارة البيانات الشخصية لعملائها ومستخدميها ومورديها وعمالها.
اللائحة العامة لحماية البيانات لها تأثير كبير على إدارات الموارد البشرية، حيث يجب عليها تكييف عملياتها لتتوافق مع متطلبات هذه اللائحة.
الهدف من اللائحة العامة لحماية البيانات هو توحيد وتعزيز حقوق المقيمين الأوروبيين فيما يتعلق ببياناتهم الشخصية. هذا يعني أن أي منظمة تتعامل مع البيانات الشخصية لسكان الاتحاد الأوروبي يجب أن تمتثل للمعايير الجديدة للشفافية والأمان والمساءلة.
كيف تؤثر اللائحة العامة لحماية البيانات على الموارد البشرية؟
اللائحة العامة لحماية البيانات تتطلب من الشركات تخزين بيانات الموظفين الأساسية والدقيقة والحديثة فقط. كما يجب على الشركات أن توضح بوضوح كيف وأين وكم من الوقت سيتم تخزين المعلومات الشخصية للموظف. وبنفس الطريقة، يمكن للموظفين الاستفادة من معلوماتهم في أي وقت، وكذلك طلب نسخة من البيانات المخزنة وطلب حذفها.
يجب على فرق الأمن البشري أن تفهم المخاطر والمسؤولية التي ينطوي عليها التعامل مع معلومات المراسل لتجنب العقوبات، حيث يمكن أن يؤدي عدم الامتثال إلى غرامات تصل إلى 20 ملايين يورو، أو 4 % من الرقم التجاري السنوي.
العوامل الأساسية في اللائحة العامة لحماية البيانات في شؤون الإنسان
للامتثال للائحة العامة لحماية البيانات، يجب على فرق الموارد البشرية تعديل وتحسين عمليات إدارة الموظفين لضمان حقوق الموظفين واتباع إرشادات حماية البيانات.
فيما يلي أهم العوامل التي يجب أن تأخذها الموارد البشرية في الاعتبار:
1. جمع البيانات الشخصية
يُعد جمع ومعالجة البيانات الشخصية أمرًا مشروعًا ويقتصر على المعلومات ذات الصلة بتنفيذ عقد النشر (مثل أنظمة الحضور والانصراف)، أو المعلومات الضرورية لتنفيذ الالتزامات القانونية (مثل كشوف المرتبات).
الموافقة ضرورية في حالة عدم وجود أساس قانوني آخر للتحقق من صحة معالجة البيانات (على سبيل المثال، حساب بريد إلكتروني شخصي).
2. حق الموظفين في الحصول على المعلومات
تلتزم الشركات بإبلاغ الموظفين بالغرض والأساس القانوني لمعالجة البيانات والفترة التي سيتم خلالها الاحتفاظ بالبيانات الشخصية. يجب تقديم هذه المعلومات في وقت الحصول على البيانات الشخصية للموظف.
3. حقوق جديدة للموظفين
أدخلت اللائحة العامة لحماية البيانات حقوقًا جديدة للموظفين، مثل الحق في نقل البيانات، والذي يسمح للموظفين بالحصول على بياناتهم الشخصية وإعادة استخدامها لأغراضهم الخاصة عبر خدمات مختلفة. كما ينظم حقوقًا محددة، مثل الحق في النسيان الذي يمكّن الموظفين من طلب حذف بياناتهم الشخصية، وحق التصحيح، الذي يمنح الموظفين الحق في الحصول على تصحيح البيانات الشخصية غير الدقيقة.
إن الحق في معارضة أنشطة التنميط يمنع الشركات من اتخاذ القرارات بناءً على المعالجة الآلية فقط، الأمر الذي سيكون له تأثير كبير على تطبيق برامج الذكاء الاصطناعي في مجال الموارد البشرية.
4. مسؤول حماية البيانات
يجب على الشركات تعيين مسؤول حماية البيانات (DPO) الذي يعمل بشكل مستقل مع الموارد اللازمة لتنفيذ واجباته. مسؤول حماية البيانات مسؤول عن مراقبة سياسة حماية البيانات الخاصة بالشركة وتنفيذها للتأكد من عدم الالتزام باللائحة العامة للبيانات.
5. تقييمات التأثير والاختراقات الأمنية
يجب على الشركات إجراء تقييمات الأثر لتحديد العمليات التي تشكل خطرًا كبيرًا على حقوق العمال أو خرقًا أمنيًا. في حالة خرق البيانات الشخصية، يجب على الشركات إخطار السلطات في موعد لا يتجاوز 72 ساعة بعد تحديد الهوية.
6. تقنيات المعلومات ومدونات السلوك
للتكيف مع متطلبات حماية البيانات الجديدة، يجب على الشركات مراجعة سياساتها الداخلية وقواعد السلوك الخاصة بها فيما يتعلق باستخدام تقنيات المعلوماتية عن بعد. كما يجب على الشركات تكييف محتواها مع حكم المحكمة الأوروبية لحقوق الإنسان (ECHR)، وكذلك لتأثير التقنيات الجديدة في مكان العمل.
7. المراقبة بالفيديو
يجب على الشركات أيضًا مراجعة إجراءاتها الخاصة بتثبيت واستخدام المراقبة بالفيديو. تنص المحكمة الأوروبية لحقوق الإنسان على أنه بالنسبة لتركيب الكاميرات الثابتة، يجب إبلاغ العمال مسبقًا وبشكل واضح عن الغرض منها، وفقًا لأحكام لوائح حماية البيانات.
8. النقل الدولي للبيانات خارج الاتحاد الأوروبي
يمثل نقل البيانات الشخصية للموظفين إلى دول خارج الاتحاد الأوروبي مخاطرة كبيرة، حيث لا يوجد ضمان للحماية. فرضت اللائحة العامة لحماية البيانات (GDPR) قيودًا معينة للحد من قدرة الشركة على نقل هذه البيانات، ولإنفاذ حقوق الموظفين.
9. عقود البائعين الخارجيين
من الضروري تحديث العقود مع الموردين أو المقاولين الذين لديهم حق الوصول إلى البيانات الشخصية للشركة لضمان الامتثال لمتطلبات اللائحة العامة لحماية البيانات (GDPR). وهذا يشمل العقود مع مزودي الرواتب والتوظيف.
نظرًا لحجم البيانات الشخصية التي تديرها الشركة خلال جميع عملياتها، فإن مساهمة إدارة الموارد البشرية في اللائحة العامة لحماية البيانات اسرع. لذلك من الضروري مراعاة جميع عناصر اللائحة العامة لحماية البيانات (GDPR) لتنفيذ خطة عمل فعالة.
ما الذي يمكن للفرق البشرية فعله للالتزام باللوائح العامة لحماية البيانات؟
تتطلب اللائحة العامة لحماية البيانات من الشركات أن تكون استباقية ومسؤولة عن تنفيذ التدابير الفنية والتنظيمية التي تضمن معالجة بيانات الشكاوى.
يتعين على الشركات تحليل نوع البيانات التي تعالجها والغرض منها وكيفية القيام بذلك. فيما يلي بعض النصائح لمساعدة فرق الموارد البشرية على الالتزام باللوائح العامة لحماية البيانات:
1. تعيين مسؤول حماية البيانات (DPO)
كما هو منصوص عليه في المادة 37 من اللائحة العامة لحماية البيانات ، فإن تعيين مسؤول حماية البيانات أمر بالغ الأهمية. مسؤول حماية البيانات مسؤول عن الإشراف على استراتيجيات حماية البيانات الخاصة بالشركات والتأكد من الالتزام باللائحة العامة لمتطلبات البيانات.
2. خذ قائمة جرد لمعالجة البيانات الشخصية.
إن أخذ قائمة مجردة من البيانات المهمة يجعل تتبعها ومعالجتها أسهل ويساعد على التحقق منها. فيما يلي بعض الاعتبارات الرئيسية عند تتبع معلومات شركتك:
- تحديد البيانات الشخصية والبيانات الحساسة، بالإضافة إلى عمليات المعالجة الحالية والتحقق منها.
- تعرف على الأشخاص (الموظفين أو المقاولين أو الموردين) الذين يمكنهم الوصول إلى البيانات ولماذا.
- مراقبة الموظفين والمتعاقدين والموردين الذين يعملون ببيانات الشركة ومراجعة العقود.
- تحقق من أن أي معالجة للبيانات تتم بواسطة المقاولين والموردين تتوافق مع اللائحة العامة لحماية البيانات (GDPR).
- تحليل ممارسات الأرشفة ووقت الاحتفاظ بالبيانات الشخصية للبشرية.
- التأكد من أن الحلول البشرية ونظام معلومات الموارد البشرية (HRIS)، إن أمكن، ممثَّلة باللائحة العامة لحماية البيانات.
3. بادروا بالتحرك
بمجرد إعداد قائمة وتحديد التصحيحات المطلوبة، من المهم إنشاء وتنفيذ خطة عمل تحدد فيها الخطوات التي يجب اتباعها.
تأكد من أنك:
- قم بمراجعة البيانات
- إجراء تقييمات الأثر
- راجع تدابير الحماية والأمان الخاصة بك
- راجع العمليات والإجراءات الخاصة بك.
4. تنفيذ خطة اتصال
من المهم تنفيذ خطة اتصال داخلية حتى يعرف جميع الموظفين كيفية الوصول إلى معلوماتهم وما يجب القيام به في حالة حدوث أي تغيير في هذه العملية. يتطلب جزء من اللائحة الجديدة من الشركات أن توضح بوضوح كيف وأين وكم من الوقت سيتم تخزين المعلومات الشخصية للموظف.
5. تأكد من صحة البيانات المخزنة
يجب على الشركات التأكد من الاحتفاظ بالبيانات المصححة والمحدثة فقط. يجب عليهم أيضًا تحديد البيانات التي يحتاجون إلى الاحتفاظ بها، والتي يجب حذفها. كلما قلت البيانات المتوفرة لديك، أصبح من الأسهل الالتزام باللائحة العامة لحماية البيانات.
6. راجع سياسات الخصوصية
يجب أن تكون الشركات شفافة مع البيانات التي تتعامل معها. تؤدي مراجعة اتفاقيات الخصوصية إلى الشفافية وبناء الثقة. قم بتحديث سياسات وإجراءات أمان البيانات باستخدام لغة واضحة وبسيطة، وتأكد من سهولة الوصول إلى هذه السياسات.
7. إنفاذ حقوق الموظفين
كما ذكرنا، فإن اللائحة العامة لحماية البيانات (GDPR) تحدد حقوقاً جديدة للموظفين. من الأهمية بمكان ضمان إنفاذ هذه الحقوق لتجنب العقوبات.
8. تبني اللائحة العامة لحماية البيانات كجزء من ثقافة الشركة
من المهم أن تجعل الشركات اللوائح معروفة في جميع أنحاء المنظمة. من خلال دمجها في ثقافة الشركة، تضمن أن يكون جميع الموظفين على دراية بها ويفهمونها.
9. تحسين الأمان
تأكد من أن البيانات آمنة وتجنب التسريبات. في حالة حدوث خرق للبيانات، يجب إبلاغ الأطراف المتأثرة في غضون 72 ساعة. لتجنب التسريبات، يجب عليك استخدام خدمات تخزين بيانات موثوقة، بالإضافة إلى وضع سياسات أمنية محدثة.
10. الحصول على موافقة الموظفين
من الضروري بالنسبة لك إبلاغ الموظفين بالتدابير والإجراءات الجارية، والحصول على موافقتهم على معالجة ونقل بياناتهم. يجب أن تكون الموافقة تعبيرًا حرًا ومستنيرًا وواضحًا عن الاتفاق.
بالإضافة إلى الالتزام الذي تمثله اللائحة العامة لحماية البيانات، يمكن أن تساهم في تحسين أداء شركتك وثقة ورفاهية الموظفين. ومع ذلك، لا يحدث هذا إلا إذا تم تبسيط البيانات والأمان والأدوات والأساليب والعمليات.
تمنح هذه التحديات الجديدة أقسام الشركات البشرية فرصة لتكون محركات لتدويل شركاتها، مما يعزز جودة تعاونها مع مورديها ومقاوليها. إن وجود سياسة واضحة لإدارة البيانات الشخصية يحسن أيضًا سمعة الشركات ويجعلها جذابة كأصحاب عمل.
