一般データ保護規則(GDPR)としても知られる EU (欧州連合) 規則2016 / 679は、2 年間の移行期間を経て、5 月25 、 2018に発効しました。 この規制は、欧州連合内で事業を行うすべての企業に対し、顧客、利用者、供給業者、従業員の個人データを管理する際に、新たな方針、プロセス、慣行を採用することを義務付けている。

人事部はGDPRの要件を順守するために自社のプロセスを適応させる必要があるため、非常に大きな影響を受けます。

GDPRの目的は、欧州市民の個人データに関連した権利を標準化および強化することです。 つまり、EU市民の個人データを取り扱う組織は、透明性、セキュリティ、そしてアカウンタビリティを確保するために新しい基準を順守しなくてはいけません。

GDPRは人事にどのような影響を与えるのでしょうか?

一般データ保護規則(GDPR)では、企業は重要かつ正確で最新の従業員データのみを保存することが求められています。 また、企業は従業員の個人情報がどのように、どこに、どのくらいの期間保管されるのかを明確に伝える必要がある。同様に、従業員はいつでも自分の情報を利用できるほか、保存されているデータのコピーを要求したり、データの削除を指示したりすることもできます。

人事、人事部チームは、制裁を回避するために従業員情報の取り扱いに伴うリスクと責任を理解する必要があります。違反した場合、最大20 00 万ユーロ、または年間売上高の4 % の罰金が科せられる可能性があります。

人事におけるGDPRの主な影響

GDPRを順守するため、人事チームは従業員管理プロセスを調整および改善して従業員の権利を保障し、データ保護規則のガイドラインに従う必要があります。

以下に、人事が考慮すべき最も重要な要素について解説しています:

1個人データの収集

個人データの収集および取り扱いが合法となるのは、雇用契約の履行において関連性のある情報(例:勤怠管理システム)、または法的義務の順守において必要な情報(例:給与支払い管理)に限定されます。

データの取り扱い(例:個人のメールアカウント)を正当化する、そのほかの法的根拠が無い場合は同意が必要となります。

2. 従業員の知る権利

企業は、データ取り扱いの目的と法的根拠のほか、個人データの保管期間について従業員に通知する義務を負っています。 この情報は、従業員の個人データを取得する際に提供しなくてはいけません。

3 。従業員の新たな権利

一般データ保護規則(GDPR)では、従業員がさまざまなサービスにわたって自分の目的のために個人データを取得して再利用できるデータポータビリティの権利など、新しい従業員の権利が導入されました。 また、従業員が自身の個人データの削除を要求できる「忘れられる権利」や、従業員が不正確な個人データの訂正を求める権利を付与する「訂正権」など、特定の権利も規定している。

プロファイリング活動に反対する権利は、企業が自動処理のみに基づいて意思決定を行うことを阻止し、人事分野におけるAIソフトウェアの導入に重要な影響を与えるでしょう。

4 。データ保護責任者

企業は、職務を遂行するために必要なリソースを備え、独立して行動するデータ保護責任者(DPO)を任命しなければならない。DPO は、一般データ保護規則(GDPR)への準拠を確保するために、会社のデータ保護ポリシーとその実装を監視する責任があります。

5 。影響評価とセキュリティ侵害

企業は、労働者の権利に重大なリスクをもたらす、あるいはセキュリティ侵害につながる可能性のある事業活動を特定するために、影響評価を実施しなければならない。個人データ漏洩が発生した場合、企業は漏洩が確認されてから72時間以内に当局に通知しなければなりません。

6. テレマティクスと行動規範

新たなデータ保護要件に対応するため、企業はテレマティクス利用に関する社内方針および行動規範を見直す必要がある。また、企業は欧州人権裁判所(ECHR)の判決や、職場における新技術の影響に合わせてコンテンツを調整する必要がある。

7. ビデオによる監視

企業は、ビデオによる監視の利用およびその設置に関する手順を見直す必要があります。 ECHRは、固定型カメラの設置に関して、労働者にその目的をデータ保護規則の規定に従ってあらかじめ明確に伝える必要があると規定しています。

8 。EU外での国際的なデータ移転

従業員の個人データをEU域外の国に移転することは、保護が保証されないため、大きなリスクを伴う。一般データ保護規則(GDPR)は、会社がそのようなデータを転送する能力を制限し、従業員の権利を強制するために一定の制限を課しています。

9. 第三者業者との契約

GDPR要件の順守を確保するため、会社の個人データにアクセスできるサプライヤーまたは請負人との契約内容を更新する必要があります。 これには、給与支払い管理および人材採用会社との契約も含まれます。

会社がデータ取り扱いにおいて管理する個人データは膨大な量に達するため、人事部はGDPRを順守する上で重大な貢献を果たします。 このため、効果的な行動計画を実装するにはGDPRのあらゆる要素を検討することが不可欠です。

人事におけるGDPRの重要な要素を示すインフォグラフィック

人事チームがGDPRを順守するためにできること

GDPRでは、規則に乗っ取ったデータ取り扱いを確保するため、技術的および組織的な対策を万全の体制で予防的に実装する責任を企業に課しています。

企業は取り扱うデータの種類、目的、そして方法を分析することが義務付けられています。 以下では、人事チームがGDPRを順守するためのヒントをご紹介しています。

1 。データ保護責任者(DPO)を雇用する

一般データ保護規則(GDPR)の第37条に規定されているように、DPO を雇用することが重要です。 DPO は企業のデータ保護戦略を監督し、一般データ保護規則(GDPR)要件への準拠を保証する責任があります。

2 。個人データ取り扱いにおけるデータインベントリの維持

重要なデータのインベントリを維持することで、追跡および取り扱いが容易になり、法令順守の確認にも役立ちます。 お客様の会社の情報を追跡管理する際に考慮すべき主なポイントは以下の通りです。

  • 個人データと取扱に注意を要するデータならびに既存の取り扱い業務を特定して、法令順守を確認する
  • 誰が(従業員、請負人、サプライヤー)データにアクセスでき、なぜアクセスできるのかを明らかにする
  • 会社のデータを扱う従業員、請負人、およびサプライヤーを監視して、その契約内容を見直す
  • 請負人とサプライヤーによるデータ取り扱いがGDPR基準に準拠していることを確認する
  • 人事の個人データに関するアーカイブ慣行およびリテンション時間を分析する
  • 人事ソリューション、また該当する場合は人事情報システム(HRIS)が、それぞれGDPR基準に準拠していることを確認する

3 。行動に移す

インベントリを作成して必要な修正内容を特定した後は、その後の手順を定義した行動計画を策定して実施することが大事です。

必ず、以下を行いましょう。

  •  データを監査する
  • インパクト評価を実施する
  • 保護およびセキュリティ対策を見直す
  • プロセスと手順を見直す

4コミュニケーション計画を実行する

内部コミュニケーション計画を導入して、すべての従業員が自分の情報にアクセスして、プロセスに変更があった場合にどうするべきか把握できるようにすることが大事です。 新しい規制の下では、企業が従業員の個人情報を保管する方法、場所、また期間について明確に伝えることを義務付けています。

5 。保管されたデータの正確さに万全を期する

企業は、修正・更新されたデータのみを保管する必要があります。 また、保持するデータと削除するデータを特定する必要もあります。 抱えているデータの量が少なければ少ないほど、一般データ保護規則(GDPR)の順守が容易になります。

6 。プライバシーポリシーを見直す

企業は取り扱うデータに関する透明性を示す必要があります。 プライバシーポリシーを見直すことで透明性が生まれ、信頼関係の構築につながります。 明白かつ分かりやすい言葉でセキュリティポリシーおよび手順を更新して、必ず、こうしたポリシーにすぐにアクセスできるようにしましょう。

7 。従業員の権利を行使する

前述の通り、一般データ保護規則(GDPR)は従業員のために新しい権利を設定するものです。 こうした権利を確実に行使して、制裁措置を回避することが重要です。

8 。企業文化の一環として一般データ保護規則(GDPR)を採用する

企業は組織全体で一般データ保護規則(GDPR)の存在を認知させることが重要です。 これを企業文化に統合することで、すべての従業員が認識し、理解できるようになります。

9 。セキュリティを向上させる

必ず、データのセキュリティを確保して漏洩を防ぎましょう。 データ漏洩が発生した場合は、影響を受けた当事者に72時間以内に通知しなくてはいけません。 データ漏洩を避けるには、セキュリティポリシーを更新することに加え、信頼できるデータストレージサービスを利用する必要があります。

10 。従業員の同意を取得する

従業員には、実施される措置と手順を通達して、彼らのデータの取り扱いおよび転送に合意を得ることが不可欠です。 同意は自由意志によるもので、十分な情報を与えられた上で、明確に合意が表明されなければなりません。

人事チームが一般データ保護規則(GDPR)に順守するために行っている対策を示したインフォグラフィック

一般データ保護規則(GDPR)は提示する義務以外にも、お客様の会社の業績、そして従業員の自信とウェルビーイングの向上に寄与することができます。 ただし、これはお客様のデータ、セキュリティ、ツール、手法、そしてプロセスが合理化されている場合のみに限られます。

こうした新しい課題は、人事部が会社の国際化の推進役となり、サプライヤーと請負人との協力関係の質を向上させるきっかけとなっています。 個人データ管理に関する明確なポリシーを設けることで、会社の評判も高まり、雇用主としての魅力も高まります。