일반개인정보보호규정(GDPR) 으로도 알려진 EU(유럽연합) 규정 2016/(일반개인정보보호규정(GDPR))이679 25 2018 2년간의 유예 기간을 거쳐 5월부터, 에서 시행되었습니다. 이 규정은 유럽연합에서 활동하는 모든 기업이 고객, 사용자, 공급업체 및 근로자의 개인 데이터를 관리하면서 새로운 정책, 프로세스 및 관행을 채택하도록 요구합니다.
일반데이터보호규정(GDPR)은 인사 부서에 막대한 영향을 미칩니다. 인사 부서가 이 규정의 요건을 준수하기 위해 프로세스들을 맞춰 조정해야 하기 때문입니다.
일반데이터보호규정(GDPR)의 목표는 개인 데이터와 관련하여 유럽 시민의 권리를 표준화하고 강화하는 것입니다. 즉 EU 시민의 개인 데이터를 취급하는 모든 조직이 투명성, 보안 및 책임에 대한 새로운 표준을 준수해야 한다는 것을 의미합니다.
일반데이터보호규정(GDPR)은 인사에 어떤 영향을 끼칩니까?
일반데이터보호규정(GDPR)은 기업이 필수적이고 정확하며 최신 직원 데이터만 저장하도록 요구합니다. 또한, 기업은 직원의 개인 정보가 어떻게, 어디서, 얼마나 오래 보관될지 명확히 안내해야 합니다. 마찬가지로 직원들은 언제든지 자신의 정보를 사용할 수 있고, 저장된 데이터 사본을 요청하여 삭제를 명령할 수도 있습니다.
인사 팀은 직원 정보 처리에 따른 리스크와 책임을 이해해야 하며, 이를 피하기 위해 불준수 시 최대 20 00만 유로, 연간 매출액의 4 %에 달하는 벌금을 부과받을 수 있습니다.
인사 일반데이터보호규정(GDPR) 주요 요인
인사팀은 일반데이터보호규정(GDPR)을 준수하기 위해 직원 관리 프로세스를 조정 및 개선하여 직원의 권리를 보장하고 데이터 보호 지침을 따라야 합니다.
인사에서 고려해야 하는 가장 중요한 요인들을 다음과 같습니다.
1. 개인정보 수집
개인 데이터 수집 및 처리는 합법적이며, 근로계약서(예: 시간 및 출근 시스템)를 이행하기 위한 관련 정보, 또는 법적 의무(예. 급여)를 준수하는 데 필요한 정보로 제한됩니다.
데이터 처리(예. 개인 이메일 계정)를 입증하는 다른 법적 근거가 없을 때 동의가 있어야 합니다.
2. 직원의 알 권리
기업은 직원에게 데이터 처리의 목적과 법적 근거, 그리고 개인 데이터 보관 기간을 알릴 의무가 있습니다. 이 정보는 직원의 개인 데이터를 입수할 당시에 제공해야 합니다.
3. 직원의 새로운 권리
일반개인정보보호규정(GDPR)은 개인정보 이동권과 같은 새로운 직원 권리를 도입하여 직원이 자신의 개인정보를 다른 서비스에서 자신의 목적에 맞게 획득하고 재사용할 수 있도록 했습니다. 또한 직원이 자신의 개인 데이터 삭제를 요청할 수 있는 잊혀질 권리, 부정확한 개인 데이터의 정정을 요청할 수 있는 정정권 등 구체적인 권리도 규정하고 있습니다.
프로파일 링 활동에 반대할 권리 는 기업이 자동화 처리만을 기반으로 의사결정을 내리는 것을 방지하며, 이는 인사 분야에서 인공지능(AI) 소프트웨어 도입에 중요한 영향을 미칠 것입니다.
4. 데이터 보호 책임자
기업은 필요한 자원을 갖춘 독립적으로 활동하는 데이터 보호 책임자(DPO )를 임명해야 합니다. DPO는 기업의 데이터 보호 정책과 그 이행을 모니터링하여 일반데이터보호규정(GDPR) 준수를 보장할 책임이 있습니다.
5. 영향 평가 및 보안 침해
기업들은 근로자 권리에 중대한 리스크 또는 보안 침해가 있는 작업을 식별하기 위해 영향 평가를 수행해야 합니다. 개인 데이터 유출이 발생한 경우 기업은 식별 후 24시간 이내에 72 당국에 알려야 합니다.
6. 텔레매틱스 및 행동 강령
새로운 데이터 보호 요건에 적응하기 위해 기업은 텔레매틱스 사용에 관한 내부 정책과 행동 강령을 검토해야 합니다. 또한 기업은 유럽인권재판소(ECHR)의 판단과 직장에서의 신기술의 영향에 따라 콘텐츠를 조정해야 합니다.
7. 비디오 감시
기업은 또한 비디오 감시 장치의 설치 및 사용에 대해 마련된 절차를 검토해야 합니다. ECHR은 고정 카메라 설치에 대해, 데이터 보호 규정의 조항에 따라 근로자에게 설치 목적을 미리 명확히 알려야 한다고 판단하였습니다.
8. EU 외 지역으로 데이터 해외 전송
직원의 개인정보를 EU 외 국가로 이전하는 것은 엄청난 리스크이며, 보호가 보장되지 않습니다. 일반데이터보호규정(GDPR)은 기업이 이러한 데이터를 이전하는 능력을 제한하고 직원의 권리를 집행하기 위해 일정한 제한 을 부과했습니다.
9. 제3자 벤더 계약
기업의 개인 데이터에 액세스할 수 있는 공급업체 또는 독립계약자와의 계약을 업데이트하여 일반데이터보호규정(GDPR) 요건의 준수를 보장해야 합니다. 여기에는 급여 및 채용 제공업체와의 계약이 포함됩니다.
기업이 모든 프로세스에서 관리하는 개인 데이터의 규모가 큽니다. 그래서 인사 부서가 일반데이터보호규정(GDPR) 준수에 기여하는 역할이 중요합니다. 따라서, 효율적인 실행 계획을 이행하기 위해서는 일반데이터보호규정(GDPR)의 모든 요소를 고려해야 합니다.
일반데이터보호규정(GDPR)을 준수하기 위해 인사팀은 무엇을 할 수 있습니까?
일반데이터보호규정(GDPR)에 따라 기업은 규정을 준수하는 데이터 처리를 위한 기술적 및 조직적 조치를 적극적으로 이행할 책임이 있습니다.
기업은 처리하는 데이터의 유형, 그 목적과 방법에 대해 분석해야 합니다. 인사팀의 일반데이터보호규정(GDPR) 준수를 위한 팁은 다음과 같습니다.
1. 데이터 보호 책임자(DPO) 고용하기
일반데이터보호규정(GDPR) 제 37 조에 따라 DPO 고용은 매우 중요합니다. DPO는 기업의 데이터 보호 전략을 감독하고 일반데이터보호규정(GDPR) 요건 준수를 보장하는 책임을 집니다.
2. 개인 데이터 처리의 목록을 만들어야 합니다.
중요한 데이터의 목록을 작성하면 데이터 추적과 처리가 보다 수월하고 규정준수를 확인하는 데 도움이 됩니다. 귀사의 정보를 추적하면서 몇 가지 주요 고려 사항이 있습니다.
- 개인 데이터, 민감한 데이터와 더불어 기존 처리 작업을 식별하여 규정준수를 확인합니다.
- 누가(직원, 독립계약자 또는 공급업체) 데이터 액세스 권한을 갖고 있는지와 그 이유에 대해 알아봅니다.
- 기업의 데이터를 취급하는 직원, 독립계약자와 공급업체를 모니터링하고 계약을 검토합니다.
- 독립계약자 및 공급업체가 완료한 모든 데이터 처리가 일반데이터보호규정(GDPR)을 준수하는지 확인합니다.
- 아카이브 관행과 인사 개인 데이터의 보존 기간을 분석합니다.
- 인사 솔루션과 해당되는 경우 귀사의 인적자원정보 시스템(HRIS)이 일반데이터보호규정(GDPR)을 준수하는지 확인합니다.
3. 행동을 취한다
목록을 작성하고 필요한 시정 사항을 파악한 후, 따라야 할 단계들을 정의하는 실행 계획을 세우고 이행해야 합니다.
다음 사항을 지키십시오.
- 데이터 감사
- 영향 평가 수행
- 보호 및 보안 조치 검토
- 프로세스 및 절차 검토
4.커뮤니케이션 계획 실행
전 직원이 자신의 정보에 액세스할 수 있는 방법을 알고 이 프로세스에 변경 사항이 생기면 무엇을 해야 하는지 알 수 있도록 내부 커뮤니케이션 계획을 이행해야 합니다. 이 새로운 규정의 일부는 기업이 직원의 개인 정보를 어떻게, 어디에, 얼마나 오래 저장할 것인가에 대해 명확히 알릴 것을 요구합니다.
5. 저장된 데이터가 정확한지 확인한다
기업은 정확하고 업데이트된 데이터만 보관해야 합니다. 또한 어느 데이터를 보관하고 어느 데이터를 삭제해야 할지 파악해야 합니다. 데이터 양이 적을수록 일반데이터보호규정(GDPR)을 보다 수월하게 준수할 수 있습니다.
6. 개인정보 보호 정책을 검토한다
기업은 직접 취급하는 데이터에 대해 투명해야 합니다 개인정보 보호 계약을 검토하면 투명성을 확보주고 신뢰를 쌓을 수 있습니다. 명확하고 간단한 언어로 데이터 보안 정책과 절차를 업데이트하고, 이러한 정책을 쉽게 이용할 수 있도록 합니다.
7. 직원의 권리를 시행한다
앞서 언급했듯이, 일반데이터보호규정(GDPR)은 직원에게 새로운 권리를 부여합니다. 이러한 권리를 시행하여 제재를 예방하는 것이 중요합니다.
8. 일반데이터보호규정(GDPR)을 기업 문화의 일부로 채택한다
기업은 전사 차원에서 이 규정을 공유해야 합니다. 이 규정을 기업 문화에 반영함으로써 모든 직원이 이를 인식하고 이해하도록 보장해야 합니다.
9. 보안을 강화한다
데이터 보안이 되는지 확인하고 데이터 유출을 예방해야 합니다. 데이터 침해가 발생하는 경우, 이를 영향 받는 당사자들에게 72시간 이내에 알려야 합니다. 데이터 유출을 예방하기 위해 보안 정책을 업데이트하는 것 외에도 신뢰할 수 있는 데이터 저장 서비스를 이용해야 합니다.
10. 직원의 동의를 받는다
진행되고 있는 조치와 절차를 직원에게 알리고, 그들의 데이터의 처리와 전송에 대한 동의를 얻는 것이 매우 중요합니다. 동의는 자유롭고 정보에 입각한 명확한 합의로 표현되어야 합니다.
일반데이터보호규정(GDPR)은 규정된 의무를 넘어서서 기업의 성과 및 직원의 신뢰와 웰빙을 향상시키는 데 기여할 수 있습니다. 그러나 이는 기업의 데이터 및 보안, 도구, 방법과 프로세스가 간소화된 경우에만 가능합니다.
이와 같은 새로운 도전 과제들은 인사 부서로 하여금 공급업체 및 독립계약자와의 협력의 질을 향상시키고 기업의 글로벌화를 이끄는 견인차 역할을 하게끔 기회를 주고 있습니다. 개인 데이터 관리에 대해 명확한 정책을 마련하는 것은 또한 기업의 평판을 개선하고 기업이 매력적인 고용주로 인식되게 합니다.
