欧盟(欧盟)条例2016/679,也称为通用数据保护条例(GDPR),在两年的过渡期2018 年 5 月 25 日后生效。 该条例要求所有在欧盟运营的企业在管理其客户、用户、供应商和员工的个人数据时都要采用新的政策、流程和规范。
《通用数据保护条例》对人力资源部门有巨大的影响,因为他们必须调整他们的流程来符合这一条例的规定。
《通用数据保护条例》的目的是规范和加强欧洲居民在个人数据方面的权利。 这意味着负责处理欧盟居民个人数据的人和公司都必须在透明度、安全性和问责性方面符合新的标准。
GDPR 如何影响人力资源?
《通用数据保护条例》要求企业只存储有关员工的基本、准确和最新数据。 同时,企业还必须传达清楚,将如何存储员工的个人信息、存储位置在哪里,以及存储多久。 同样,员工也可以随时使用自己的信息,并索取已存储数据的副本,或者要求将其删除。
人力资源团队必须了解处理员工信息的风险和责任,以避免制裁,因为不合规可能导致高达 百万欧元20的罚款,或年营业额的 4 %。
GDPR 在 人力资源 中的关键 因素
为了符合《通用数据保护条例》,人力资源团队必须调整并改进其员工管理流程,以保障员工的权利并遵循数据保护指南。
下面是人力资源应该考虑的最关键要素:
1. 个人数据收集
收集和处理个人数据是合法的,并且仅限于为履行雇佣合约而提供的相关信息(例如:考勤系统),或为遵守法律义务所必需的信息(例如:工资表)。
如果没有其他法律依据来验证数据(例如:个人电子邮件帐户)的处理,则需要征得同意。
2. 员工被告知的权利
企业有义务告知员工处理数据的目的和法律依据,以及个人数据的保存期限。 在获取该员工的个人数据时,必须提供这些信息。
3. 员工的新权利
《通用数据保护条例》引入了新的员工权利,比如数据可移植性的权利,该权利允许员工在不同的服务中获取他们的个人数据,并重用于自己的目的。 它还规定了特定的权利,例如被遗忘的权利,使员工能够要求删除其个人数据,以及纠正权利,授予员工纠正不准确的个人数据的权利。
反对侧写活动的权利可防止企业仅凭自动处理做出决策,这将对人工智能软件在人力资源领域的实施产生重要影响。
4. 数据保护官
企业必须任命一名数据保护官 (DPO),此人必须独立行事,并拥有必要的资源来履行其职责。 DPO 负责监督公司的数据保护政策及其实施情况,以确保符合《通用数据保护条例》。
5. 影响评估和违反安全
企业必须进行影响评估,以找出会对员工权利构成重大风险或违反安全的操作。 如果出现个人数据泄露,企业必须在发现后不迟于 72 小时内通知监管机构。
6. 远程信息处理 和 行为准则
为了适应新的数据保护要求,企业必须检查他们关于使用远程信息技术的内部政策和行为规范。 同时,企业还必须调整其内容,以适应欧洲人权法院 (ECHR) 的判决,以及新技术对工作场所的影响。
7. 视频监控
企业还必须检查它们的视频监控安装和使用程序。 ECHR 规定,在安装固定摄像机时,员工必须根据数据保护条例的规定事先清楚地了解其用途。
8. 欧盟以外的国际数据传输
将员工的个人数据传输到欧盟以外意味着巨大的风险,因为无法保证会得到保护。 《通用数据保护条例》规定了一些限制条件,以限制公司转移这些数据的能力,并加强员工的权利。
9. 第三方供应商合同
为了确保符合《通用数据保护条例》的规定,有必要更新与那些有权访问公司个人数据的供应商或承包商签订的合同。 这包括与工资发放和招聘提供商签订的合同。
由于公司在其所有流程中管理的个人数据量很大,人力资源部对促进符合《通用数据保护条例》的贡献至关重要。 所以,在实施有效的行动计划时,必须考虑《通用数据保护条例》的所有要素。
HR 团队 可以 采取哪些措施来 遵守 GDPR?
《通用数据保护条例》要求企业积极主动,负责实施确保投诉数据处理的技术和组织措施。
企业需要分析他们处理的数据类型、目的,以及处理方法。 下面是帮助人力资源团队符合《通用数据保护条例》的一些建议:
1. 雇用数据保护官 (DPO)
正如《通用数据保护条例》第 37 条所规定的,招聘 DPO 是至关重要的。 DPO 负责监督企业的数据保护策略并确保符合《通用数据保护条例》的规定。
2. 对个人数据处理进行盘点。
对重要数据进行盘点可以让跟踪和处理变得更加简单,有助于确认合规。 下面是跟踪贵公司的信息时的一些主要考虑事项:
- 确定个人数据和敏感数据,以及现有处理操作,然后确认合规。
- 了解哪些人(员工、承包商或供应商)有权访问这些数据,以及为什么。
- 监督员工、承包商,以及与公司合作的供应商的数据并审核相关合同。
- 确认由承包商和供应商完成的任何数据处理均符合《通用数据保护条例》。
- 分析人力资源个人数据的存档做法和保留时间。
- 确保人力资源解决方案和人力资源信息系统 (HRIS)(如果适用)均符合《通用数据保护条例》。
3. 采取行动
在您进行盘点并确定所需的纠正后,必须制定并实施行动计划,在该计划中可定义要遵循的步骤,这十分很重要。
确保您:
- 审核数据
- 进行影响评估
- 检查您的保护和安全措施
- 检查您的流程和程序。
4.实施沟通计划
实施一个内部沟通计划是很重要的,这样所有员工都可以知道如何获取他们的信息,以及在这个过程中发生任何变化时应该怎么做。 新条例还规定,企业必须传达清楚,将如何存储员工的个人信息、存储位置在哪里,以及存储多久。
5. 确保存储的数据正确无误
企业必须确保只保留正确和最新的数据。 它们还必须确定需要保留哪些数据,以及必须删除哪些数据。 拥有的数据越少,就越容易符合《通用数据保护条例》。
6. 查看隐私政策
企业必须对他们处理的数据保持透明。 查看隐私协议可以提高透明度并建立信任。 使用清楚和简单的语言更新数据安全政策和程序,并确保这些政策易于获取。
7. 行使员工 的权利
如前所述,《通用数据保护条例》规定了员工享有的新权利。 必须确保这些权利得到执行,以避免受到制裁,这至关重要。
8. 采用《通用数据保护条例》以作为公司文化的一部分
企业必须在公司范围内宣传这些条例,这很重要。 通过将其融合到公司文化中,您可以确保所有员工都认识并了解它们。
9. 提高安全性
确保数据安全无虞并避免漏洞。 如果出现数据泄露,必须在 72 小时内通知相关方。 为了避免泄露,除了制定最新的安全政策外,您还应该使用可靠的数据存储服务。
10. 征求员工同意
您必须告知员工公司所采取的措施和程序,并获得他们对处理和转移他们数据的同意,这至关重要。 同意必须是以协议形式给出的一种自由、知情和明确的表达。
除了它所规定的义务之外,《通用数据保护条例》还有助于提高公司的业绩、员工的信心和幸福感。 但是,这只有在数据和安全性、工具、方法和流程都简化后才会发生。
这些新的挑战使人力资源部有机会成为其公司国际化的驱动力,加强与供应商和承包商的合作质量。 在个人数据管理方面制定明确的政策也可以提高公司的声誉,使他们成为有吸引力的雇主。
