歐盟(European Union)條例2016 / 679 ,又稱通用資料保障條例(一般資料保障條例) ,經過兩年的轉型期後,於2018年5月25生效。 該法規要求所有在歐盟營運的公司在管理其客戶、使用者、供應商和員工的個人資料時,採取新的政策、流程和做法。
通用數據保障條例 (GDPR) 對人力資源部門產生了巨大影響,因為他們必須調整其程序以符合該法規的要求。
通用數據保障條例 (GDPR) 的目標是標準化和加強歐洲居民在個人數據方面的權利。 這意味著任何處理歐盟居民個人數據的組織都必須遵守透明度、安全性和問責制的新標準。
通用數據保障條例 (GDPR) 如何影響人力資源?
一般資料保障條例要求公司僅儲存必要的、準確的和最新的員工資料。 此外,公司必須明確說明如何、在哪裡以及儲存員工的個人資訊多長時間。 同樣地,員工可以隨時使用自己的資訊,並申請備份資料並下令刪除。
人力資源團隊必須了解處理員工資訊所涉及的風險和責任,以避免受到製裁,因為不合規可能導致高達20萬歐元或年薪4 % 的罰款。
人力資源中通用數據保障條例 (GDPR) 的關鍵因素
為了遵守通用數據保障條例 (GDPR),人力資源團隊必須調整和改進其僱員管理流程,以保障僱員的權利並遵守數據保護指南。
以下是人力資源應考慮的最關鍵因素:
1.個人資料收集
收集和處理個人數據是合法的,僅限於履行僱傭合約的相關資料(例如考勤系統),或遵守法律義務所需的資訊(例如薪資)。
如果沒有其他法律依據來驗證數據的處理(例如,個人電子郵件帳戶),則需要同意。
2. 僱員的知情權
個人數據收集公司有義務告知僱員數據處理的目的和法律依據以及個人數據的保存期限。 該資料必須在獲得僱員個人數據時提供。
3.僱員的新權利
一般資料保障條例引入了新的員工權利,例如資料可攜性權,允許員工在不同的服務中出於自己的目的獲取和重複使用其個人資料。 它還規範了特定的權利,例如被遺忘的權利(使員工能夠要求刪除其個人資料)和糾正權利(賦予員工獲得糾正不準確個人資料的權利)。
反對使用者畫像活動的權利可以防止公司僅根據自動化處理做出決策,這將對人工智慧軟體在人力資源領域的應用產生重要影響。
4.數據保護專員
公司必須任命一位資料保護長 (DPO),獨立行事並擁有履行職責所需的資源。DPO 負責監督公司的資料保護政策及其實施,以確保遵守一般資料保障規範。
5.影響評估和安全漏洞
公司必須進行影響評估,以找出對勞工權益或安全漏洞構成重大風險的作業。若發生個人資料外洩,公司必須在識別後不遲於72 小時通知主管機關。
6. 遙距資料處理和行為準則
為了適應新的資料保護要求,企業必須檢視其內部關於車聯網使用的政策與行為準則。此外,企業必須調整內容以配合 歐洲人權法院(ECHR)的判決,以及新科技對職場的影響。
7. 視像監控
公司還必須審查其安裝和使用視像監控的程序。 ECHR 規定,根據數據保護條例的規定,對於安裝固定攝像機,必須事先明確告知工人其目的。
8.歐盟以外的國際數據傳輸
將員工的個人資料轉移到歐盟以外的國家代表著巨大的風險,因為沒有保護的保證。一般資料保障條例施加了某些限制,以限制公司傳輸此類資料的能力,並強制執行員工的權利。
9. 第三方供應商合同
有必要更新與有權訪問公司個人數據的供應商或承包商的合同,以確保符合通用數據保障條例 (GDPR) 要求。 這包括與薪資和招聘提供者的合同。
由於公司在其所有流程中管理的個人數據量很大,因此人力資源部門對通用數據保障條例 (GDPR) 合規性的貢獻至關重要。 因此,必須考慮通用數據保障條例 (GDPR) 的所有要素以實施有效的行動計劃。
人力資源團隊可以做些什麼來遵守通用數據保障條例 (GDPR)?
通用數據保障條例 (GDPR) 要求公司積極主動並負責實施確保投訴數據處理的技術和組織措施。
公司需要分析他們處理的數據類型、目的以及如何處理。 以下是幫助人力資源團隊遵守通用數據保障條例 (GDPR) 的一些技巧:
1. 聘請資料保護主任 (DPO)
根據《一般資料條例》第37條的規定,聘請 DPO 至關重要。 DPO 負責監督公司的資料保護策略並確保遵守一般資料保障規範的要求。
2.盤點個人數據處理。
盤點重要數據可以更輕鬆地進行跟踪和處理,並有助於驗證合規性。 以下是跟踪公司資料時的一些關鍵注意事項:
- 識別個人數據和敏感數據,以及現有的處理操作並驗證合規性。
- 找出誰(僱員、承包商或供應商)可以訪問數據以及原因。
- 監控使用公司數據的僱員、承包商和供應商並審查合同。
- 驗證承包商和供應商完成的任何數據處理是否符合通用數據保障條例 (GDPR)。
- 分析人力資源個人數據的存檔做法和保留時間。
- 確保人力資源解決方案和您的人力資源資料系統 (HRIS)(如果適用)符合通用數據保障條例 (GDPR)。
3.採取行動
一旦您進行了盤點並識別了所需的更正,制定和實施行動計劃就很重要,您可以在其中定義要遵循的步驟。
確保您:
- 審計數據
- 進行影響評估
- 查看您的保護和安全措施
- 審查您的流程和程序。
4.執行溝通計劃
實施內部溝通計劃很重要,這樣所有僱員都知道如何訪問其資料,以及若此程序發生任何變化時該怎麼做。 新法規的一部分要求公司明確傳達僱員個人資料的儲存方式、地點和時間。
5.確保儲存的數據正確
公司必須確保只保留更正和更新的數據。 他們還必須確定哪些數據需要保留,哪些必須刪除。 您擁有的數據越少,就越容易遵守通用數據保障條例 (GDPR)。
6.查看私隱政策
公司必須對其處理的數據保持透明。 審查私隱協議會產生透明度並建立信任。 使用清晰簡單的語言更新數據安全政策和程序,並確保這些政策易於訪問。
7.執行僱員的權利
正如我們所提到的,通用數據保障條例 (GDPR) 為員工確立了新的權利。 確保這些權利得到執行以避免制裁至關重要。
8.將通用數據保障條例 (GDPR) 作為公司文化的一部分
重要的是,公司要在整個組織內宣傳這些法規。 通過將其融入公司文化,您可以確保所有僱員都得知並理解。
9.提高安全性
確保數據安全並避免洩漏。 如果發生數據洩露,必須在 72 小時內通知受影響的各方。 為避免洩漏,除了建立更新的安全策略外,您還應該聘請可靠的數據儲存服務。
10.獲得僱員同意
您必須將所採取的措施和程序告知員工,並獲得他們對處理和傳輸數據的同意。 同意必須是自由、知情和明確的同意表達。
除了它所代表的義務之外,通用數據保障條例 (GDPR) 還有助於提高公司的績效,以及僱員的信心和福祉。 但是,這只有在您的數據和安全性、工具、方法和流程得到簡化的情況下才能實現。
這些新挑戰讓人力資源部門有機會成為公司國際化的推動者,加強與供應商和承包商的合作品質。 制定明確的個人數據管理政策還可以提高公司的聲譽並使其作為僱主更具吸引力。
