歐盟 (European Union) 法規2016/679 ,又稱為《一般資料保護規範》(GDPR) (《一般資料保護規範》),在經過兩年的轉換期後,於 5 月生效25 ,2018 。 該法規要求所有在歐盟營運的公司在管理顧客、使用者、供應商和員工的個人資料時,必須採取新的政策、流程和實務。
《一般資料保護規範》(GDPR) 對人力資源部門產生了巨大的影響,因為人力資源部門必須調整其流程來符合該法規的要求。
《一般資料保護規範》(GDPR) 的目的是規範和加強歐洲居民在個人資料方面的權利。 這表示,任何一家處理歐盟居民個人資料的公司,都必須符合透明度、安全性和問責制的新標準。
《一般資料保護規範》(GDPR) 如何影響人力資源?
一般資料保護規範》(GDPR)要求公司僅儲存必要、正確且最新的員工資料。 此外,公司必須清楚溝通員工的個人資訊儲存方式、位置及時間。同樣地,員工可以隨時使用自己的資訊,也可以要求取得儲存資料的複本,或下令刪除資料。
人力資源團隊必須瞭解處理員工資訊所涉及的風險與責任,以避免受到制裁,因為違規行為最高可被罰款20 萬歐元,或年營業額的4 %。
人力資源中《一般資料保護規範》(GDPR) 的關鍵因素
為了符合《一般資料保護規範》(GDPR),人力資源團隊必須調整和改進管理流程,以便保障員工權利並遵循資料保護準則。
以下是人力資源團隊應考慮的關鍵因素:
1 .個人資料收集
收集和處理個人資料是合法的,但僅限於勞動契約中的相關資訊(例如考勤制度),或履行法律義務時所需的資訊(例如薪資發放)。
如果沒有其他法律依據能證實資料(例如個人電子郵件帳戶)處理的合法性,則應徵得同意。
2.員工的知情權
公司有義務告知員工資料處理的目的和法律依據,以及個人資料的保存期限。 該資訊必須在獲取員工個人資訊時提供。
3.員工的新權利
一般資料保護規範》(GDPR) 引入了新的員工權利,例如資料可攜性權利,允許員工在不同服務中為自己的目的獲取和重複使用其個人資料。 它還規範了特定的權利,例如被遺忘的權利(使員工能夠要求刪除其個人資料)和糾正權利(賦予員工獲得糾正不準確個人資料的權利)。
反對側寫活動的權利可防止公司僅基於自動化處理做出決策,這將對人工智慧軟體在人力資源領域的實施產生重要影響。
4.資料保護長
公司必須任命一位資料保護長 (DPO),獨立行事並擁有履行職責所需的資源。DPO 負責監督公司的資料保護政策及其執行,以確保符合《一般資料保護規範》(GDPR)。
5.影響評估和安全漏洞
公司必須進行影響評估,以確定哪些營運活動會對工人權利構成重大風險或造成安全漏洞。如果發生個人資料外洩事件,公司必須在發現外洩事件後72小時內通知相關部門。
6.車載資通訊系統與行為準則
為了適應新的資料保護要求,公司必須審查其有關使用遠端資訊處理技術的內部政策和行為準則。此外,公司還必須根據歐洲人權法院的判決以及新技術對工作場所的影響來調整其內容。
7.影像監控
公司還必須審查安裝和使用影像監控的程序。 歐洲人權法庭規定,若要安裝固定攝像頭,則必須根據資料保護條例的規定提前明確告知員工其用途。
8.在歐盟以外傳輸資料
將員工的個人資料轉移到歐盟以外的國家代表著巨大的風險,因為沒有保護的保證。一般資料保護規範》(GDPR) 施加了某些限制,以限制公司轉移此類資料的能力,並執行員工的權利。
9.第三方供應商契約
必須要更新與可存取公司個人資料的供應商或約聘人員的契約,以便確保符合《一般資料保護規範》(GDPR) 的要求。 這包括涉及薪資發放和招聘供應商的契約。
由於公司在所有流程中管理的個人資料非常多,人力資源部門必須遵循《一般資料保護規範》(GDPR) 的規定。 因此,必須考慮《一般資料保護規範》(GDPR) 的所有要素,以便實施有效的行動計畫。
為了符合《一般資料保護規範》(GDPR),人力資源團隊能採取什麼措施?
《一般資料保護規範》(GDPR) 要求公司主動負責實施技術和組織措施,確保投訴資料得到處理。
公司應分析所處理的資料類型、用途和用法。 下面是幫助人力資源團隊符合《一般資料保護規範》(GDPR) 的部分建議:
1. 聘請資料保護主任 (DPO)
一般資料保護規範》(GDPR) 第37 條規定,聘請 DPO 是非常重要的。 DPO 負責監督公司的資料保護策略,並確保符合《一般資料保護規範》(GDPR) 的要求。
2.盤點個人資料處理情況。
盤點重要資料,既能讓追蹤和處理變得容易,又能幫助驗證合規情況。 下面是追蹤公司資訊時的一些關鍵注意事項:
- 確定個人資料、敏感性資料及現有的處理操作,然後驗證合規情況。
- 查明誰(員工、約聘人員或供應商)有權存取資料和可以存取資料的原因。
- 監控使用公司資料的員工、約聘人員和供應商,並審查契約。
- 驗證約聘人員和供應商完成的資料處理是否符合《一般資料保護規範》(GDPR)。
- 分析人力資源個人資料的封存做法和保留時間。
- 確保人力資源解決方案和人力資源資訊系統 (HRIS)(如適用)符合《一般資料保護規範》(GDPR)。
3.採取行動
一旦進行了盤點並確定了需要更正的地方,就必須建立並實施行動計畫,在計畫中明確需要遵循的步驟。
確保要:
- 審校資料
- 執行影響評估
- 審查保護和安全措施
- 審查程序。
4 .實施溝通計劃
施行內部溝通計畫重要,可讓員工知道如何存取自己的資訊、在流程有變動時應該怎麼做。 部分新規要求公司要明確告知員工的個人資訊會以何種方式儲存、在何處儲存以及儲存多久。
5.確保儲存資料正確無誤
公司必須確保只保存正確和最新的資料。 同時也要明確必須留存以及刪除哪些資料。 資料越少,就更容易符合《一般資料保護規範》(GDPR)。
6.審查隱私政策
公司必須公開說明所處理的資料。 審查隱私權協議有助於提高透明度並建立信任。 使用清晰簡單的語言更新資料安全政策和流程,並確保這些政策易於存取。
7.執行員工權利
前面提到過,《一般資料保護規範》(GDPR) 規定了員工新權利。 必須執行這些權利,避免受到制裁。
8.將《一般資料保護規範》(GDPR) 納入公司文化
公司必須確保所有人都知道此法規。 透過將法規與公司文化相融合,確保所有員工都知曉並瞭解這些法規。
9.提高安全性
確保資料安全,避免資料洩露。 一旦資料洩露,必須在 72 小時內通知受影響方。 為了防止資料洩露,除了更新安全政策,還應聘僱可靠的資料儲存服務提供商。
10.取得員工同意
必須告知員工正在採取的措施和程序,取得員工同意後再處理和傳輸他們的資料。 同意必須以內容清晰的協議呈現,並且必須在員工自主、知請的情況下簽訂協議。
除了其所代表的義務以外,《一般資料保護規範》(GDPR) 還有助於提高公司績效、增強員工信心及改善員工福利。 但是,只有精簡了資料和安全、工具、方法以及流程後,這一切才會實現。
借助這些新挑戰,人力資源部門可以成為公司國際化的推動者,提高公司與供應商和約聘人員的合作質量。 明確的個人資料管理政策還能提升公司信譽,提高公司作為雇主的吸引力。
