תקנה האיחוד האירופי (האיחוד האירופי) 2016/679, המכונה גם האסדרה הכללית להגנה על מידע (הסדרה הכללית להגנה על מידע), נכנסה לתוקף במאי 25, 2018 לאחר תקופת מעבר של שנתיים. התקנה מחייבת את כל החברות הפועלות באיחוד האירופי לאמץ מדיניות, תהליכים ונהלים חדשים תוך ניהול המידע האישי של לקוחותיהן, משתמשיהן, ספקיהן ועובדיהן.
להסדרה הכללית להגנה על מידע יש השפעה עצומה על מחלקות משאבי אנוש, שכן עליהן להתאים את התהליכים שלהן כדי לעמוד בדרישות של תקנה זו.
מטרת הסדרה הכללית להגנה על מידע היא לתקן ולחזק את הזכויות של תושבי אירופה ביחס לנתונים האישיים שלהם. משמעות הדבר היא שכל ארגון המטפל במידע אישי של תושבי האיחוד האירופי חייב לעמוד בסטנדרטים החדשים לשקיפות, אבטחה ואחריות.
כיצד משפיעה הסדרה הכללית להגנה על מידע על משאבי אנוש?
הסדרה הכללית להגנה על מידע דורשת מחברות לאחסן רק נתוני עובד חיוניים, מדויקים ועדכניים. כמו כן, חברות חייבות לתקשר בבירור כיצד, היכן ולמשך כמה זמן יישמר המידע האישי של העובד. באותו אופן, עובדים יכולים לעשות שימוש במידע שלהם בכל עת, וכן לבקש עותק של הנתונים המאוחסנים ולהורות על מחיקתם.
צוותי משאבי אנוש חייבים להבין את הסיכון והאחריות הכרוכים בטיפול במידע של עובדים כדי להימנע מסנקציות, שכן אי ציות עלול להוביל לקנסות של עד 20 מיליון אירו, או 4 אחוזים מהמחזור השנתי.
גורמי מפתח של הסדרה הכללית להגנה על מידע במשאבים אנושיים
כדי לעמוד בהסדרה הכללית להגנה על מידע, צוותי משאבי אנוש חייבים להתאים ולשפר את תהליכי ניהול העובד שלהם כדי להבטיח את זכויות העובדים ולפעול לפי הנחיות הגנת הנתונים.
הנה הגורמים החשובים ביותר שמשאבי אנוש צריכים לקחת בחשבון:
1.איסוף נתונים אישיים
איסוף ועיבוד של נתונים אישיים הם לגיטימיים ומוגבלים למידע רלוונטי לצורך מילוי חוזה העסקה (למשל, מערכות נוכחות ושעות), או מידע הנחוץ לתאימות עם חובה חוקית (למשל, שכר).
הסכמה נחוצה כאשר אין בסיס משפטי אחר המאשר את עיבוד הנתונים (למשל, חשבון דוא"ל אישי).
2. זכותם של העובדים לקבל מידע
חברות מחויבות ליידע את העובדים על מטרת עיבוד הנתונים והבסיס המשפטי שלהם ועל משך הזמן בו יישמרו הנתונים האישיים. יש למסור מידע זה בעת קבלת הנתונים האישיים של העובד.
3. זכויות חדשות לעובדים
הסדרה הכללית להגנה על מידע הציגה זכויות עובד חדשות, כגון הזכות לנתונים ניידים, המאפשרת לעובדים להשיג ולהשתמש מחדש בנתונים האישיים שלהם למטרותיהם בשירותים שונים. כמו כן, הוא מסדיר זכויות ספציפיות, כגון הזכות להישכח, המאפשרת לעובדים לבקש מחיקת מידע אישי, וזכות התיקון, המעניקה לעובדים את הזכות לתקן מידע אישי לא מדויק.
הזכות להתנגד לפעילויות יצירת פרופילים מונעת מחברות לקבל החלטות המבוססות אך ורק על עיבוד אוטומטי, דבר שתהיה לו השפעה חשובה על יישום תוכנות בינה מלאכותית בתחום משאבי האנוש.
4. קצין הגנת מידע
חברות חייבות למנות קצין הגנת מידע (DPO) אשר יפעל באופן עצמאי ויהיה ברשותן המשאבים הדרושים לביצוע תפקידיו. ה-DPO אחראי למעקב אחר מדיניות הגנת המידע של החברה ויישומה כדי להבטיח התאמה להסדרה הכללית להגנה על מידע.
5. הערכת השפעה ופרצות אבטחה
חברות חייבות לבצע הערכת השפעה כדי לזהות פעולות המהוות סיכון משמעותי לזכויות עובדים או פרצת אבטחה. במקרה של פרצת מידע אישי, חברות חייבות להודיע לרשויות לא יאוחר מ- 72 שעות לאחר הזיהוי.
6. טלמטיקה וקודי התנהגות
כדי להסתגל לדרישות הגנת המידע החדשות, חברות חייבות לבחון את המדיניות הפנימית ואת כללי ההתנהגות שלהן בנוגע לשימוש בטלמטיקה. כמו כן, חברות חייבות להתאים את התוכן שלהן לפסיקת בית המשפט האירופי לזכויות אדם (ECHR), כמו גם להשפעת טכנולוגיות חדשות על מקום העבודה.
7. מעקב וידאו
חברות חייבות גם לבחון מחדש את הנוהל שלהן להתקנה ושימוש במערכות מעקב וידאו. האמנה האירופית לזכויות אדם קובעת כי לצורך התקנת מצלמות קבועות, יש ליידע את העובדים מראש ובצורה ברורה על ייעודן, בהתאם להוראות תקנות הגנת המידע.
8. העברה בינלאומית של נתונים מחוץ לאיחוד האירופי
העברת מידע אישי של עובדים למדינות מחוץ לאיחוד האירופי מהווה סיכון עצום, שכן אין ערובה להגנה. הסדרה הכללית להגנה על מידע הטילה הגבלות מסוימות כדי להגביל את יכולתה של חברה להעביר נתונים כאלה, ולאכוף את זכויות העובדים.
9. חוזי מוכרים של צד שלישי
יש צורך לעדכן חוזים עם ספקים או קבלנים שיש להם גישה לנתונים האישיים של החברה כדי להבטיח התאמה לדרישות האסדרה הכללית להגנה על מידע. זה כולל חוזים עם ספקי שכר וגיוס.
בשל נפח הנתונים האישיים שמנהלת חברה במהלך כל התהליכים שלה, התרומה של מחלקת משאבי אנוש להסדרה הכללית להגנה על מידע תאימות היא קריטית. לכן חיוני לשקול את כל המרכיבים של הסדרה הכללית להגנה על מידע כדי ליישם תוכנית פעולה יעילה.
מה יכולים צוותי משאבי אנוש לעשות כדי לציית להסדרה הכללית להגנה על מידע?
הסדרה הכללית להגנה על מידע דורשת מחברות להיות פרואקטיביות ואחריות ליישום אמצעים טכניים וארגוניים המבטיחים עיבוד נתוני תלונות.
חברות נדרשות לנתח את סוג הנתונים שהן מעבדות, את מטרתם וכיצד הן עושות זאת. להלן כמה טיפים שיעזרו לצוותי משאבי אנוש לציית להסדרה הכללית להגנה על מידע:
1. שכור קצין הגנת מידע (DPO)
כפי שמכתיב סעיף 37 של האסדרה הכללית להגנה על מידע, שכירת DPO היא קריטית. DPO אחראי לפיקוח על אסטרטגיות הגנת המידע של חברות ומבטיח התאמה לדרישות הסדרה הכללית להגנה על מידע.
2. קח מלאי של עיבוד נתונים אישיים.
רישום מלאי של נתונים חשובים מקל על המעקב והעיבוד שלהם ועוזר לוודא תאימות. הנה כמה שיקולים מרכזיים בעת מעקב אחר המידע של החברה שלך:
- זהה נתונים אישיים ומידע רגיש, כמו גם פעולות עיבוד קיימות ואמת תאימות.
- גלה למי (עובדים, קבלנים או ספקים) יש גישה לנתונים ומדוע.
- ניטור עובדים, קבלנים וספקים העובדים עם נתוני החברה ובחינת חוזים.
- ודא שכל עיבוד נתונים שהושלם על ידי קבלנים וספקים תואם את הסדרה הכללית להגנה על מידע.
- ניתוח נוהלי אחסון וזמני שמירת נתונים אישיים של משאבי אנוש.
- ודא שפתרונות משאבי אנוש ומערכת המידע של משאבי אנוש שלך (HRIS), אם ישים, הם תואם עם הסדרה הכללית להגנה על מידע.
3. נקיטת פעולה
לאחר שביצעת מלאי וזיהית את התיקונים הנדרשים, חשוב ליצור וליישם תוכנית פעולה בה תגדיר את השלבים שיש לבצע.
ודא שאתה:
- ביקורת הנתונים
- ביצוע הערכות השפעה
- סקור את אמצעי ההגנה והאבטחה שלך
- סקור את התהליכים והנהלים שלך.
4.יישום תוכנית תקשורת
חשוב ליישם תוכנית תקשורת פנימית כך שכל העובדים ידעו כיצד לגשת למידע שלהם ומה לעשות במקרה של שינוי כלשהו בתהליך זה. חלק מהתקנות החדשות דורש מחברות לתקשר בבירור כיצד, היכן ולמשך כמה זמן יישמר המידע האישי של עובדים.
5. ודא שהנתונים המאוחסנים נכונים
חברות חייבות להבטיח לשמור רק נתונים מתוקנים ומעודכנים. עליהם גם לזהות אילו נתונים עליהם לשמור, ואילו יש למחוק. ככל שיש לך פחות נתונים, כך יהיה קל יותר לציית להסדרה הכללית להגנה על מידע.
6. סקירת מדיניות הפרטיות
חברות חייבות להיות שקופות במידע שהן מטפלות בו. סקירת הסכמי פרטיות יוצרת שקיפות ובונה אמון. עדכנו את מדיניות ונהלי אבטחת המידע תוך שימוש בשפה ברורה ופשוטה, וודאו שמדיניות זו נגישה בקלות.
7. לאכוף את זכויות העובדים
כפי שציינו, הסדרה הכללית להגנה על מידע קובעת זכויות חדשות לעובדים. חיוני להבטיח את אכיפת זכויות אלה כדי להימנע מסנקציות.
8. אמצו את הסדרה הכללית להגנה על מידע כחלק מתרבות החברה
חשוב שחברות יידעו את התקנות בכל רחבי הארגון. על ידי שילובם בתרבות החברה, אתם מבטיחים שכל העובדים מודעים להם ומבינים אותם.
9. שיפור האבטחה
ודאו שהנתונים מאובטחים ומנעו דליפות. במקרה של פרצת נתונים, יש להודיע לצדדים המעורבים תוך 72 שעות. כדי למנוע דליפות, עליכם לשכור שירותי אחסון נתונים אמינים, בנוסף לקביעת מדיניות אבטחה מעודכנת.
10. קבלת הסכמת העובד
חיוני שתודיעו לעובדים על האמצעים והנהלים המתרחשים, ותקבלו את הסכמתם לעיבוד והעברת הנתונים שלהם. הסכמה חייבת להיות ביטוי חופשי, מדעת וברור של הסכמה.
מעבר למחויבות שהיא מייצגת, הסדרה הכללית להגנה על מידע יכולה לתרום לשיפור הביצועים של החברה שלך, ואת האמון והרווחה של העובדים. עם זאת, זה רק אם הנתונים והאבטחה, הכלים, השיטות והתהליכים שלך יעילים.
אתגרים חדשים אלה נותנים למחלקות משאבי אנוש את ההזדמנות להיות המניעים של הבינלאומיות של החברה שלהן, ולחזק את איכות שיתוף הפעולה שלהן עם הספקים והקבלנים שלהן. מדיניות ברורה בנוגע לניהול נתונים אישיים משפרת גם את המוניטין של חברות והופכת אותן לאטרקטיביות כמעסיקים.
