欧盟(European Union)条例2016 / 679 ,又称《通用数据保护条例》(《通用数据保护条例》) ,经过两年的过渡期后,于2018年5月25起生效。 该法规要求所有在欧盟运营的公司在管理其客户、用户、供应商和员工的个人数据时,采取新的政策、流程和做法。
《通用数据保护条例》对人力资源部门有巨大的影响,因为他们必须调整他们的流程来符合这一条例的规定。
《通用数据保护条例》的目的是规范和加强欧洲居民在个人数据方面的权利。 这意味着负责处理欧盟居民个人数据的人和公司都必须在透明度、安全性和问责性方面符合新的标准。
《通用数据保护条例》对人力资源有何影响?
《通用数据保护条例》要求企业仅存储必要、准确、最新的员工数据。 此外,公司必须明确说明如何、在哪里以及存储员工个人信息多长时间。同样,员工可以随时使用自己的信息,也可以请求获取已存储数据的副本,并要求删除这些数据。
人力资源团队必须了解处理员工信息所涉及的风险和责任,以避免受到制裁,因为不合规行为可能导致高达20万欧元或年营业额的4 % 的罚款。
人力资源中《通用数据保护条例》的关键要素
为了符合《通用数据保护条例》,人力资源团队必须调整并改进其员工管理流程,以保障员工的权利并遵循数据保护指南。
下面是人力资源应该考虑的最关键要素:
1.个人数据收集
收集和处理个人数据是合法的,并且仅限于为履行雇佣合约而提供的相关信息(例如:考勤系统),或为遵守法律义务所必需的信息(例如:工资表)。
如果没有其他法律依据来验证数据(例如:个人电子邮件帐户)的处理,则需要征得同意。
2. 员工的知情权
企业有义务告知员工处理数据的目的和法律依据,以及个人数据的保存期限。 在获取该员工的个人数据时,必须提供这些信息。
3.员工的新权利
《通用数据保护条例》引入了新的员工权利,例如数据可携带性权利,允许员工在不同的服务中出于自己的目的获取和重复使用其个人数据。 该法还规定了一些具体权利,如被遗忘权(使员工能够要求删除其个人数据)和更正权(使员工有权要求更正不准确的个人数据)。
反对用户画像活动的权利可以防止公司仅根据自动化处理做出决策,这将对人工智能软件在人力资源领域的应用产生重要影响。
4.数据保护官
公司必须任命一名数据保护官 (DPO),该官员独立行事,并拥有履行职责所需的资源。DPO负责监督公司的数据保护政策及其实施情况,确保符合《通用数据保护条例》。
5.影响评估和违反安全
公司必须开展影响评估,以确定哪些业务对工人权利或安全漏洞构成重大风险。如果发生个人数据泄露事件,公司必须在确认后不迟于72 小时内通知当局。
6. 远程信息技术和行为规范
为了适应新的数据保护要求,公司必须审查其有关使用远程信息处理技术的内部政策和行为准则。此外,公司还必须根据欧洲人权法院的判决以及新技术对工作场所的影响来调整其内容。
7. 视频监控
企业还必须检查它们的视频监控安装和使用程序。 ECHR 规定,在安装固定摄像机时,员工必须根据数据保护条例的规定事先清楚地了解其用途。
8.欧盟以外的国际数据传输
将员工的个人数据传输到欧盟以外的国家是一个巨大的风险,因为没有任何保护保证。《通用数据保护条例》规定了一定的限制,以限制公司传输此类数据的能力,并强制执行员工的权利。
9. 第三方供应商合同
为了确保符合《通用数据保护条例》的规定,有必要更新与那些有权访问公司个人数据的供应商或承包商签订的合同。 这包括与工资发放和招聘提供商签订的合同。
由于公司在其所有流程中管理的个人数据量很大,人力资源部对促进符合《通用数据保护条例》的贡献至关重要。 所以,在实施有效的行动计划时,必须考虑《通用数据保护条例》的所有要素。
为了符合《通用数据保护条例》,人力资源团队该怎么做?
《通用数据保护条例》要求企业积极主动,负责实施确保投诉数据处理的技术和组织措施。
企业需要分析他们处理的数据类型、目的,以及处理方法。 下面是帮助人力资源团队符合《通用数据保护条例》的一些建议:
1. 聘请数据保护官(DPO)
根据《通用数据保护条例》 37条规定,聘请数据保护官至关重要。 DPO负责监督企业的数据保护策略,并确保遵守《通用数据保护条例》的要求。
2.对个人数据处理进行盘点。
对重要数据进行盘点可以让跟踪和处理变得更加简单,有助于确认合规。 下面是跟踪贵公司的信息时的一些主要考虑事项:
- 确定个人数据和敏感数据,以及现有处理操作,然后确认合规。
- 了解哪些人(员工、承包商或供应商)有权访问这些数据,以及为什么。
- 监督员工、承包商,以及与公司合作的供应商的数据并审核相关合同。
- 确认由承包商和供应商完成的任何数据处理均符合《通用数据保护条例》。
- 分析人力资源个人数据的存档做法和保留时间。
- 确保人力资源解决方案和人力资源信息系统 (HRIS)(如果适用)均符合《通用数据保护条例》。
3.采取行动
在您进行盘点并确定所需的纠正后,必须制定并实施行动计划,在该计划中可定义要遵循的步骤,这十分很重要。
确保您:
- 审计数据
- 进行影响评估
- 检查您的保护和安全措施
- 检查您的流程和程序。
4.实施传播计划
实施一个内部沟通计划是很重要的,这样所有员工都可以知道如何获取他们的信息,以及在这个过程中发生任何变化时应该怎么做。 新条例还规定,企业必须传达清楚,将如何存储员工的个人信息、存储位置在哪里,以及存储多久。
5.确保存储的数据正确无误
企业必须确保只保留正确和最新的数据。 它们还必须确定需要保留哪些数据,以及必须删除哪些数据。 拥有的数据越少,就越容易符合《通用数据保护条例》。
6.查看隐私政策
企业必须对他们处理的数据保持透明。 查看隐私协议可以提高透明度并建立信任。 使用清楚和简单的语言更新数据安全政策和程序,并确保这些政策易于获取。
7.执行员工权利
如前所述,《通用数据保护条例》规定了员工享有的新权利。 必须确保这些权利得到执行,以避免受到制裁,这至关重要。
8.采用《通用数据保护条例》以作为公司文化的一部分
企业必须在公司范围内宣传这些条例,这很重要。 通过将其融合到公司文化中,您可以确保所有员工都认识并了解它们。
9.提高安全性
确保数据安全无虞并避免漏洞。 如果出现数据泄露,必须在 72 小时内通知相关方。 为了避免泄露,除了制定最新的安全政策外,您还应该使用可靠的数据存储服务。
10.征求员工同意
您必须告知员工公司所采取的措施和程序,并获得他们对处理和转移他们数据的同意,这至关重要。 同意必须是以协议形式给出的一种自由、知情和明确的表达。
除了它所规定的义务之外,《通用数据保护条例》还有助于提高公司的业绩、员工的信心和幸福感。 但是,这只有在数据和安全性、工具、方法和流程都简化后才会发生。
这些新的挑战使人力资源部有机会成为其公司国际化的驱动力,加强与供应商和承包商的合作质量。 在个人数据管理方面制定明确的政策也可以提高公司的声誉,使他们成为有吸引力的雇主。
