กฎระเบียบของสหภาพยุโรป (สหภาพยุโรป) 2016/679 หรือที่เรียกว่า ระเบียบว่าด้วยข้อมูลทั่วไป (GDPR)) มีผลใช้บังคับเมื่อเดือนพฤษภาคม 25, 2018 หลังจากผ่านไปสองปีในช่วงเปลี่ยนผ่าน กฎระเบียบนี้กำหนดให้บริษัททุกแห่งที่ดำเนินงานในสหภาพยุโรปต้องนำนโยบาย กระบวนการ และแนวปฏิบัติใหม่มาใช้ในการจัดการข้อมูลส่วนบุคคลของลูกค้า ผู้ใช้ ซัพพลายเออร์ และพนักงานของตน
GDPR มีผลกระทบอย่างมากต่อแผนกทรัพยากรบุคคล เนื่องจากต้องปรับกระบวนการให้สอดคล้องกับข้อกำหนดของระเบียบข้อบังคับนี้
เป้าหมายของ GDPR คือการสร้างมาตรฐานและเสริมสร้างสิทธิของชาวยุโรปที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของพวกเขา ซึ่งหมายความว่าองค์กรใดๆ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของผู้อยู่อาศัยในสหภาพยุโรปต้องปฏิบัติตามมาตรฐานใหม่ในด้านความโปร่งใส ความปลอดภัย และความรับผิดชอบ
GDPR ส่งผลต่อทรัพยากรบุคคลอย่างไร
โครงสร้างว่าด้วยข้อมูลทั่วไป กำหนดให้บริษัทจัดเก็บเฉพาะข้อมูลที่จำเป็น ถูกต้อง และเป็นปัจจุบันของพนักงาน นอกจากนี้ บริษัทต้องสื่อสารอย่างชัดเจนว่าข้อมูลส่วนบุคคลของพนักงานจะถูกจัดเก็บอย่างไร ที่ไหน และนานแค่ไหน ในทำนองเดียวกัน พนักงานสามารถเข้าถึงข้อมูลของตนได้ตลอดเวลา รวมถึงขอสำเนาข้อมูลที่จัดเก็บไว้ และสั่งให้ลบข้อมูลได้
ทีมงานแต่ละคนจะต้องเข้าใจความเสี่ยงและความรับผิดชอบที่เกี่ยวข้องกับการจัดการข้อมูลของพนักงานเพื่อหลีกเลี่ยงการลงโทษ เนื่องจากการไม่ปฏิบัติตามอาจส่งผลให้ต้องเสียค่าปรับสูงถึง EUR€20 ล้านหรือ 4 เปอร์เซ็นต์ของทุกปีต่อลาออก
ปัจจัยสำคัญของ GDPR ในทรัพยากรบุคคล
เพื่อให้สอดคล้องกับ GDPR ทีมทรัพยากรบุคคลต้องปรับและปรับปรุงกระบวนการจัดการพนักงานเพื่อรับประกันสิทธิ์ของพนักงานและปฏิบัติตามแนวทางการคุ้มครองข้อมูล
นี่คือปัจจัยที่สำคัญที่สุดที่ทรัพยากรบุคคลควรพิจารณา:
1 การเก็บรวบรวมข้อมูลส่วนบุคคล
การรวบรวมและประมวลผลข้อมูลส่วนบุคคลนั้นถูกต้องตามกฎหมายและจำกัดเฉพาะข้อมูลที่เกี่ยวข้องสำหรับการปฏิบัติตามสัญญาจ้างงาน (เช่น ระบบเวลาและการเข้างาน) หรือข้อมูลที่จำเป็นเพื่อการปฏิบัติตามภาระผูกพันทางกฎหมาย (เช่น บัญชีเงินเดือน)
ความยินยอมเป็นสิ่งจำเป็นเมื่อไม่มีพื้นฐานทางกฎหมายอื่นใดที่ยืนยันการประมวลผลข้อมูล (เช่น บัญชีอีเมลส่วนบุคคล
2. สิทธิของพนักงานที่จะได้รับแจ้ง
บริษัทมีหน้าที่ต้องแจ้งให้พนักงานทราบเกี่ยวกับวัตถุประสงค์และพื้นฐานทางกฎหมายของการประมวลผลข้อมูลและช่วงเวลาที่ข้อมูลส่วนบุคคลจะถูกเก็บไว้ ต้องให้ข้อมูลนี้ในเวลาที่ได้รับข้อมูลส่วนบุคคลของพนักงาน
3. สิทธิใหม่สำหรับพนักงาน
โครงสร้างว่าด้วยข้อมูลทั่วไปได้แนะนำสิทธิใหม่ของพนักงาน เช่น สิทธิในการเก็บข้อมูล ซึ่งอนุญาตให้พนักงานได้รับและนำข้อมูลส่วนบุคคลของตนกลับมาใช้ซ้ำเพื่อวัตถุประสงค์ของตนเองในบริการต่างๆ นอกจากนี้ กฎหมายยังควบคุมสิทธิเฉพาะต่างๆ เช่น สิทธิที่จะถูกลืม ซึ่งช่วยให้พนักงานสามารถขอให้ลบข้อมูลส่วนบุคคลของตนได้ และ สิทธิในการแก้ไข ซึ่งให้สิทธิแก่พนักงานในการขอแก้ไขข้อมูลส่วนบุคคลที่ไม่ถูกต้อง
สิทธิในการคัดค้านกิจกรรมการประมวลผลข้อมูลส่วนบุคคล จะป้องกันไม่ให้บริษัทต่างๆ ตัดสินใจโดยอาศัยการประมวลผลอัตโนมัติเพียงอย่างเดียว ซึ่งจะมีผลกระทบสำคัญต่อการนำซอฟต์แวร์ปัญญาประดิษฐ์มาใช้ในด้านทรัพยากรบุคคล
4. เจ้าหน้าที่คุ้มครองข้อมูล
บริษัทต่างๆ ต้องแต่งตั้ง เจ้าหน้าที่คุ้มครองข้อมูล (Data Protection Officer หรือ DPO) ซึ่งปฏิบัติหน้าที่อย่างอิสระและมีทรัพยากรที่จำเป็นในการปฏิบัติหน้าที่ของตน อ.ส.ค. มีหน้าที่ติดตามนโยบายและข้อมูลการดำเนินงานของบริษัทเพื่อให้มั่นใจว่ากฎระเบียบกับระเบียบว่าด้วยข้อมูลทั่วไปทั่วไป
5. การประเมินผลกระทบและการละเมิดความปลอดภัย
บริษัทต่างๆ ต้องดำเนินการประเมินผลกระทบเพื่อระบุการดำเนินงานที่ก่อให้เกิดความเสี่ยงอย่างมีนัยสำคัญต่อสิทธิของคนงานหรือการละเมิดความปลอดภัย ในกรณีที่ข้อมูลส่วนบุคคลรั่วไหล บริษัทต้องแจ้งให้ หน่วยงานที่เกี่ยวข้อง ทราบภายในเวลาไม่เกิน 72 ชั่วโมงหลังจากตรวจพบ
6. เทเลเมติกส์และจรรยาบรรณ
เพื่อให้สอดคล้องกับข้อกำหนดด้านการคุ้มครองข้อมูลใหม่ บริษัทต่างๆ ต้องตรวจสอบนโยบายภายในและจรรยาบรรณเกี่ยวกับการใช้ระบบเทเลเมติกส์ นอกจากนี้ บริษัทต่างๆ ต้องปรับเนื้อหาของตนให้สอดคล้องกับคำตัดสินของ ศาลสิทธิมนุษยชนแห่งยุโรป (ECHR) รวมถึงผลกระทบของเทคโนโลยีใหม่ๆ ในสถานที่ทำงานด้วย
7. กล้องวิดีโอวงจรปิด
บริษัทยังต้องทบทวนขั้นตอนการติดตั้งและใช้งานกล้องวิดีโอวงจรปิดด้วย ECHR กำหนดว่าสำหรับการติดตั้งกล้องแบบอยู่กับที่ ผู้ปฏิบัติงานต้องได้รับแจ้งวัตถุประสงค์ก่อนหน้าอย่างชัดเจนตามข้อกำหนดของระเบียบข้อบังคับด้านการคุ้มครองข้อมูล
8. การถ่ายโอนข้อมูลระหว่างประเทศนอกสหภาพยุโรป
การส่งต่อข้อมูลส่วนบุคคลของพนักงานไปยังประเทศนอกสหภาพยุโรปมีความเสี่ยงสูงมาก เนื่องจากไม่มีการรับประกันว่าจะได้รับการคุ้มครอง โครงสร้างว่าด้วยข้อมูลทั่วไปได้กำหนด ข้อจำกัดบางประการ เพื่อจำกัดความสามารถของบริษัทในการถ่ายโอนข้อมูลดังกล่าว และเพื่อบังคับใช้สิทธิของพนักงาน
9. สัญญาผู้ขายบุคคลที่สาม
จำเป็นต้องอัปเดตสัญญากับซัพพลายเออร์หรือผู้รับจ้างที่มีสิทธิ์เข้าถึงข้อมูลส่วนบุคคลของบริษัทเพื่อให้แน่ใจว่ามีการปฏิบัติตามกฎระเบียบของ GDPR ซึ่งรวมถึงสัญญากับผู้ให้บริการด้านบัญชีเงินเดือนและการจัดหางาน
เนื่องจากปริมาณข้อมูลส่วนบุคคลที่บริษัทจัดการในระหว่างกระบวนการทั้งหมด การมีส่วนร่วมของแผนกทรัพยากรบุคคลเพื่อปฏิบัติตาม GDPR จึงเป็นสิ่งสำคัญ ดังนั้นจึงจำเป็นต้องพิจารณาองค์ประกอบทั้งหมดของ GDPR เพื่อนำแผนปฏิบัติการที่มีประสิทธิภาพไปใช้
ทีมทรัพยากรบุคคลจะทำอะไรได้บ้างเพื่อให้เป็นไปตาม GDPR
GDPR กำหนดให้บริษัทต้องดำเนินการในเชิงรุกและรับผิดชอบในการใช้มาตรการทางเทคนิคและระดับองค์กรที่รับรองการประมวลผลข้อมูลการร้องเรียน
บริษัทต่างๆ จำเป็นต้องวิเคราะห์ประเภทของข้อมูลที่พวกเขาประมวลผล วัตถุประสงค์ของข้อมูล และวิธีที่พวกเขาประเมินผลข้อมูลนั้น ต่อไปนี้คือเคล็ดลับบางประการที่จะช่วยให้ทีมทรัพยากรบุคคลปฏิบัติตาม GDPR:
1. จ้างเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)
ตามที่กำหนดโดย มาตรา 37 ของระเบียบว่าด้วยข้อมูลทั่วไป การว่าจ้าง DPO ถือเป็นสิ่งสำคัญ อ.ส.ค. มีหน้าที่รับผิดชอบในการกำกับดูแลบริษัทต่างๆ กลยุทธ์ด้านข้อมูล และรับรองระเบียบข้อบังคับด้วยระเบียบว่าด้วยข้อกำหนดทั่วไปของข้อมูลทั่วไป
2. จดรายการการประมวลผลข้อมูลส่วนบุคคล
การเก็บบันทึกข้อมูลสำคัญทำให้การติดตามและประมวลผลง่ายขึ้น และช่วยตรวจสอบการปฏิบัติตามกฎระเบียบ ข้อควรพิจารณาที่สำคัญบางประการขณะติดตามข้อมูลบริษัทของคุณ:
- ระบุข้อมูลส่วนบุคคลและข้อมูลที่ละเอียดอ่อน ตลอดจนการดำเนินการประมวลผลที่มีอยู่และตรวจสอบการปฏิบัติตามกฎระเบียบ
- ค้นหาว่าใคร (พนักงาน ผู้รับจ้าง หรือซัพพลายเออร์) ที่มีสิทธิ์เข้าถึงข้อมูล และเหตุผลในการเข้าถึงข้อมูล
- ควบคุมดูแลพนักงาน ผู้รับจ้าง และซัพพลายเออร์ที่ทำงานกับข้อมูลของบริษัทและทบทวนสัญญา
- ตรวจสอบว่าการประมวลผลข้อมูลที่ทำเสร็จสิ้นโดยผู้รับจ้างและซัพพลายเออร์ ต้องสอดคล้องกับ GDPR
- วิเคราะห์วิธีปฏิบัติในการเก็บถาวรและเวลาเก็บรักษาข้อมูลส่วนบุคคลของฝ่ายทรัพยากรบุคคล
- ตรวจสอบให้แน่ใจว่าโซลูชันทรัพยากรบุคคลและระบบข้อมูลทรัพยากรบุคคล (HRIS) ของคุณ (ถ้ามี) เป็นไปตาม GDPR
3. เริ่มปฏิบัติ
เมื่อคุณสร้างรายการสินค้าและระบุการแก้ไขที่จำเป็นแล้ว สิ่งสำคัญคือต้องสร้างและดำเนินการตามแผนปฏิบัติการที่คุณกำหนดขั้นตอนไว้
ตรวจสอบให้แน่ใจว่าคุณ:
- ตรวจสอบข้อมูล
- ดำเนินการประเมินผลกระทบ
- ตรวจสอบมาตรการป้องกันและรักษาความปลอดภัยของคุณ
- ตรวจสอบกระบวนการและขั้นตอนของคุณ
4.ดำเนินการตามแผนการสื่อสาร
สิ่งสำคัญคือต้องใช้แผนการสื่อสารภายในเพื่อให้พนักงานทุกคนทราบวิธีเข้าถึงข้อมูลของตนและต้องทำอย่างไรในกรณีที่มีการเปลี่ยนแปลงในกระบวนการนี้ ส่วนหนึ่งของข้อบังคับใหม่กำหนดให้บริษัทสื่อสารให้ชัดเจนว่าจะจัดเก็บข้อมูลส่วนบุคคลของพนักงานอย่างไร ที่ไหน และนานแค่ไหน
5. ตรวจสอบให้แน่ใจว่าข้อมูลที่เก็บไว้นั้นถูกต้อง
บริษัทต้องมั่นใจว่าจะเก็บข้อมูลที่ถูกต้องและเป็นปัจจุบันเท่านั้น พวกเขายังต้องระบุข้อมูลที่ต้องการเก็บไว้และข้อมูลที่ต้องลบทิ้ง ยิ่งคุณมีข้อมูลน้อยเท่าไหร่ การปฏิบัติตาม GDPR ก็จะยิ่งง่ายขึ้นเท่านั้น
6. ตรวจสอบนโยบายความเป็นส่วนตัว
บริษัทต้องโปร่งใสกับข้อมูลที่พวกเขาจัดการ การตรวจสอบข้อตกลงความเป็นส่วนตัวจะสร้างความโปร่งใสและสร้างความไว้วางใจ อัปเดตนโยบายและขั้นตอนการรักษาความปลอดภัยของข้อมูลโดยใช้ภาษาที่ชัดเจนและเรียบง่าย และตรวจสอบให้แน่ใจว่านโยบายเหล่านี้เข้าถึงได้ง่าย
7. บังคับใช้สิทธิของพนักงาน
ดังที่เราได้กล่าวไปแล้ว GDPR ได้กำหนดสิทธิ์ใหม่สำหรับพนักงาน เป็นสิ่งสำคัญที่จะต้องแน่ใจว่ามีการบังคับใช้สิทธิเหล่านี้เพื่อหลีกเลี่ยงการลงโทษ
8. ใช้ GDPR เป็นส่วนหนึ่งของวัฒนธรรมบริษัท
เป็นสิ่งสำคัญที่บริษัทต่างๆ จะต้องกำหนดระเบียบข้อบังคับให้ทราบทั่วทั้งองค์กร คุณมั่นใจได้ว่าพนักงานทุกคนรับทราบและมีคนเข้าใจพวกเขาผ่านการผสานรวมเข้ากับวัฒนธรรมของบริษัท
9. ปรับปรุงการรักษาความปลอดภัย
ตรวจสอบให้แน่ใจว่าข้อมูลมีความปลอดภัยและหลีกเลี่ยงการรั่วไหล ในกรณีที่มีการละเมิดข้อมูล จะต้องแจ้งให้ฝ่ายที่ได้รับผลกระทบทราบภายใน 72 ชั่วโมง เพื่อหลีกเลี่ยงการรั่วไหล คุณควรจ้างผู้ให้บริการจัดเก็บข้อมูลที่เชื่อถือได้ นอกเหนือจากการจัดทำนโยบายความปลอดภัยที่ได้รับการปรับปรุงอยู่เสมอ
10. รับความยินยอมจากพนักงาน
คุณจำเป็นต้องแจ้งให้พนักงานทราบเกี่ยวกับมาตรการและขั้นตอนการดำเนินการ และต้องได้รับความยินยอมจากพนักงานในการประมวลผลและถ่ายโอนข้อมูล ความยินยอมต้องเป็นการแสดงออกถึงข้อตกลงโดยเสรี รับทราบข้อมูล และชัดเจน
นอกเหนือจากภาระผูกพันที่แสดงให้เห็นแล้ว GDPR ยังมีส่วนช่วยในการปรับปรุงประสิทธิภาพบริษัทของคุณ ตลอดจนความมั่นใจและสวัสดิภาพของพนักงาน อย่างไรก็ตาม สิ่งนี้จะเกิดขึ้นก็ต่อเมื่อข้อมูลและความปลอดภัย เครื่องมือ วิธีการ และกระบวนการของคุณมีความคล่องตัว
ความท้าทายใหม่เหล่านี้ทำให้แผนกทรัพยากรบุคคลมีโอกาสเป็นแรงผลักดันให้บริษัทก้าวไปสู่ความเป็นสากล เสริมสร้างคุณภาพของความร่วมมือกับซัพพลายเออร์และผู้รับจ้าง การมีนโยบายที่ชัดเจนเกี่ยวกับการจัดการข้อมูลส่วนบุคคลยังช่วยปรับปรุงชื่อเสียงของบริษัทและทำให้พวกเขาน่าดึงดูดใจในฐานะนายจ้าง
