Peraturan Uni Eropa (EU) 2016/679, juga dikenal sebagai Peraturan Perlindungan Data Umum (General Data Protection Regulation/GDPR)), mulai berlaku pada bulan Mei 25, 2018 setelah periode transisi dua tahun. Peraturan ini mewajibkan semua perusahaan yang beroperasi di Uni Eropa untuk mengadopsi kebijakan, proses, dan praktik baru dalam mengelola data pribadi pelanggan, pengguna, pemasok, dan pekerja mereka.

Peraturan Pelindungan Data Umum memiliki dampak besar pada departemen SDM, karena mereka harus menyesuaikan proses mereka untuk mematuhi persyaratan peraturan ini.

Tujuan Peraturan Pelindungan Data Umum adalah untuk menstandarkan dan memperkuat hak-hak penduduk Eropa sehubungan dengan data pribadi mereka. Ini berarti bahwa setiap organisasi yang berurusan dengan data pribadi penduduk Uni Eropa harus mematuhi standar baru untuk transparansi, keamanan, dan akuntabilitas.

Bagaimana Peraturan Pelindungan Data Umum memengaruhi sumber daya manusia?

Peraturan Pelindungan Data Umum mewajibkan perusahaan untuk hanya menyimpan data karyawan yang penting, akurat, dan terkini. Selain itu, perusahaan harus mengkomunikasikan secara jelas bagaimana, di mana, dan berapa lama informasi pribadi karyawan akan disimpan. Dengan cara yang sama, karyawan dapat menggunakan informasi mereka kapan saja, serta meminta salinan data yang tersimpan, dan memerintahkan penghapusannya.

Tim SUMBER DAYA MANUSIA harus memahami risiko dan tanggung jawab yang terkait dengan penanganan informasi karyawan untuk menghindari sanksi, karena ketidakpatuhan dapat mengakibatkan denda hingga EUR€20 juta, atau 4 persen dari pendapatan tahunan karyawan.

Faktor kunci Peraturan Pelindungan Data Umum dalam Sumber Daya Manusia

Untuk mematuhi Peraturan Pelindungan Data Umum, tim SDM harus menyesuaikan dan meningkatkan proses manajemen karyawan mereka untuk menjamin hak-hak karyawan dan mengikuti pedoman perlindungan data.

Berikut adalah faktor paling penting yang harus dipertimbangkan oleh sumber daya manusia:

1Pengumpulan data pribadi

Mengumpulkan dan memproses data pribadi adalah sah dan terbatas pada informasi yang relevan untuk pemenuhan perjanjian kerja (misalnya, waktu dan sistem kehadiran), atau informasi yang diperlukan untuk mematuhi kewajiban hukum (misalnya, pengupahan).

Persetujuan diperlukan ketika tidak ada dasar hukum lain yang memvalidasi pemrosesan data (misalnya, akun email pribadi.

2. Hak karyawan untuk diberi tahu

Perusahaan berkewajiban untuk memberi tahu karyawan tentang tujuan dan dasar hukum pemrosesan data dan periode penyimpanan data pribadi. Informasi ini harus diberikan pada saat data pribadi karyawan diperoleh.

3. Hak-hak baru untuk karyawan

Peraturan Pelindungan Data Umum memperkenalkan hak-hak karyawan baru, seperti hak portabilitas data, yang memungkinkan karyawan untuk memperoleh dan menggunakan kembali data pribadi mereka untuk keperluan mereka sendiri di berbagai layanan. Undang-undang ini juga mengatur hak-hak khusus, seperti hak untuk dilupakan yang memungkinkan karyawan untuk meminta penghapusan data pribadi mereka, dan hak ralat, yang memberikan hak kepada karyawan untuk mendapatkan ralat atas data pribadi yang tidak akurat.

Hak untuk menolak aktivitas pembuatan profil mencegah perusahaan mengambil keputusan hanya berdasarkan pemrosesan otomatis, yang akan berdampak penting pada implementasi perangkat lunak AI di bidang sumber daya manusia.

4. Petugas Perlindungan Data

Perusahaan harus menunjuk Petugas Perlindungan Data (DPO) yang bertindak secara independen dengan sumber daya yang diperlukan untuk melaksanakan tugasnya. DPO bertanggung jawab untuk memantau kebijakan perlindungan data perusahaan dan implementasinya untuk memastikan kepatuhan terhadap Peraturan Perlindungan Data Umum.

5. Penilaian dampak dan pelanggaran keamanan

Perusahaan harus melakukan penilaian dampak untuk mengidentifikasi operasi yang menimbulkan risiko signifikan terhadap hak-hak pekerja atau pelanggaran keamanan. Dalam kasus pelanggaran data pribadi, perusahaan harus memberi tahu pihak berwenang selambat-lambatnya 72 jam setelah identifikasi.

6. Telematika dan kode etik

Untuk menyesuaikan diri dengan persyaratan perlindungan data yang baru, perusahaan harus meninjau kebijakan internal dan kode etik mereka terkait penggunaan telematika. Selain itu, perusahaan juga harus menyesuaikan konten mereka dengan keputusan Pengadilan Hak Asasi Manusia Eropa (ECHR), serta dampak teknologi baru di tempat kerja.

7. Pengawasan video

Perusahaan juga harus meninjau prosedur mereka untuk pemasangan dan penggunaan pengawasan video. ECHR menetapkan bahwa untuk pemasangan kamera tetap, pekerja harus diberi tahu sebelumnya dan jelas tentang tujuan mereka, sesuai dengan ketentuan peraturan perlindungan data.

8. Transfer data internasional di luar UE

Mentransfer data pribadi karyawan ke negara-negara di luar Uni Eropa merupakan risiko besar, karena tidak ada jaminan perlindungan. Peraturan Pelindungan Data Umum telah memberlakukan pembatasan tertentu untuk membatasi kemampuan perusahaan dalam mentransfer data tersebut, dan untuk menegakkan hak-hak karyawan.

9. Kontrak vendor pihak ketiga

Penting untuk memperbarui kontrak dengan pemasok atau kontraktor yang memiliki akses ke data pribadi perusahaan untuk memastikan ada kepatuhan terhadap persyaratan Peraturan Pelindungan Data Umum. Ini termasuk kontrak dengan penyedia pengupahan dan perekrutan.

Karena volume data pribadi yang dikelola perusahaan selama semua proses mereka, kontribusi departemen SDM terhadap kepatuhan Peraturan Pelindungan Data Umum sangat penting. Oleh karena itu, penting untuk mempertimbangkan semua elemen Peraturan Pelindungan Data Umum untuk mengimplementasikan rencana aksi yang efektif.

Infografis Faktor Utama Peraturan Pelindungan Data Umum dalam SDM

Apa yang dapat dilakukan tim SDM agar mematuhi Peraturan Pelindungan Data Umum?

Peraturan Pelindungan Data Umum mengharuskan perusahaan untuk proaktif dan bertanggung jawab atas penerapan langkah-langkah teknis dan organisasi yang memastikan pemrosesan data keluhan.

Perusahaan dituntut untuk menganalisis jenis data yang mereka proses, tujuan dari itu, dan bagaimana mereka melakukannya. Berikut adalah beberapa kiat untuk membantu tim SDM mematuhi Peraturan Pelindungan Data Umum:

1. Mempekerjakan Petugas Perlindungan Data (DPO)

Sebagaimana ditentukan dalam Pasal 37 Peraturan Pelindungan Data Umum, mempekerjakan DPO sangatlah penting. DPO bertanggung jawab untuk mengawasi strategi perlindungan data perusahaan dan memastikan kepatuhan terhadap persyaratan Peraturan Pelindungan Data Umum.

2. Lakukan inventarisasi pemrosesan data pribadi.

Mengambil inventaris data penting membuat pelacakan dan pemrosesan lebih mudah dan membantu memverifikasi kepatuhan. Berikut adalah beberapa pertimbangan utama saat melacak informasi perusahaan Anda:

  • Identifikasi data pribadi dan data sensitif, serta operasi pemrosesan yang ada dan verifikasi kepatuhan.
  • Cari tahu siapa (karyawan, kontraktor, atau pemasok) yang memiliki akses ke data dan alasannya.
  • Pantau karyawan, kontraktor, dan pemasok yang bekerja dengan data perusahaan dan tinjau kontrak.
  • Verifikasi bahwa setiap pemrosesan data yang diselesaikan oleh kontraktor dan pemasok, mematuhi Peraturan Pelindungan Data Umum.
  • Menganalisis praktik pengarsipan dan waktu penyimpanan data pribadi SDM.
  • Pastikan solusi SDM dan Sistem Informasi Sumber Daya Manusia Human Resources Information System (HRIS) Anda, jika memungkinkan, mematuhi Peraturan Pelindungan Data Umum.

3. Ambil langkah

Setelah Anda membuat inventaris dan mengidentifikasi koreksi yang diperlukan, penting untuk membuat dan menerapkan rencana tindakan di mana Anda menentukan langkah-langkah yang harus diikuti.

Pastikan Anda:

  •  Audit data
  • Melakukan penilaian dampak
  • Tinjau langkah-langkah perlindungan dan keamanan Anda
  • Tinjau proses dan prosedur Anda.

4.Menerapkan rencana komunikasi

Penting untuk menerapkan rencana komunikasi internal sehingga semua karyawan tahu cara mengakses informasi mereka dan apa yang harus dilakukan jika ada perubahan dalam proses ini. Bagian dari peraturan baru mengharuskan perusahaan untuk mengomunikasikan dengan jelas bagaimana, di mana, dan berapa lama informasi pribadi karyawan akan disimpan.

5. Pastikan data yang disimpan sudah benar

Perusahaan harus memastikan untuk hanya menyimpan data yang diperbaiki dan diperbarui. Mereka juga harus mengidentifikasi data mana yang perlu mereka simpan, dan mana yang harus dihapus. Semakin sedikit data yang Anda miliki, semakin mudah untuk mematuhi Peraturan Pelindungan Data Umum.

6. Tinjau kebijakan privasi

Perusahaan harus transparan dengan data yang mereka tangani. Meninjau perjanjian privasi menghasilkan transparansi dan membangun kepercayaan. Perbarui kebijakan dan prosedur keamanan data menggunakan bahasa yang jelas dan sederhana, dan pastikan kebijakan ini mudah diakses.

7. Menjalankan hak-hak karyawan

Seperti yang kami sebutkan, Peraturan Pelindungan Data Umum menetapkan hak-hak baru bagi karyawan. Sangat penting untuk memastikan hak-hak ini ditegakkan untuk menghindari sanksi.

8. Mengadopsi Peraturan Pelindungan Data Umum sebagai bagian dari budaya perusahaan

Adalah penting bahwa perusahaan membuat peraturan dikenal di seluruh organisasi. Dengan mengintegrasikannya ke dalam budaya perusahaan, Anda memastikan bahwa semua karyawan menyadari dan memahaminya.

9. Tingkatkan keamanan

Pastikan data aman dan terhindar dari kebocoran. Jika terjadi pelanggaran data, pihak yang terkena dampak harus diberi tahu dalam waktu 72 jam. Untuk menghindari kebocoran, Anda harus menyewa layanan penyimpanan data yang andal, selain menetapkan kebijakan keamanan yang diperbarui.

10. Dapatkan persetujuan karyawan

Sangat penting bagi Anda untuk memberi tahu karyawan tentang langkah-langkah dan prosedur yang terjadi, dan untuk mendapatkan persetujuan mereka untuk pemrosesan dan transfer data mereka. Persetujuan harus merupakan ekspresi persetujuan yang bebas, terinformasi, dan jelas.

Infografis tentang Apa yang dapat dilakukan tim SDM untuk mematuhi Peraturan Pelindungan Data Umum

Di luar kewajiban yang diwakilinya, Peraturan Pelindungan Data Umum dapat berkontribusi untuk meningkatkan kinerja perusahaan Anda, serta kepercayaan diri dan kesejahteraan karyawan. Namun, ini hanya jika data dan keamanan, alat, metode, dan proses Anda disederhanakan.

Tantangan baru ini memberi departemen SDM kesempatan untuk menjadi pendorong internasionalisasi perusahaan mereka, memperkuat kualitas kerja sama mereka dengan pemasok dan kontraktor mereka. Memiliki kebijakan yang jelas tentang manajemen data pribadi juga meningkatkan reputasi perusahaan dan membuatnya menarik sebagai perusahaan.