תקנה של האיחוד האירופי (האיחוד האירופי), הידועה 2016/679גם בשם התקנה הכללית להגנה על נתונים (GDPR), נכנסה לתוקף מאי 25, 2018 לאחר תקופת מעבר של שנתיים. האסדרה דורשת מכל החברות הפועלות באיחוד האירופי לאמץ נוהלי מדיניות, תהליכים ושיטות עבודה חדשים בעת ניהול המידע האישי של הלקוחות, המשתמשים, הספקים והעובדים שלהן.
לאסדרה הכללית להגנה על מידע יש השפעה עצומה על מחלקות משאבי אנוש, מכיוון שעליהן להתאים את התהליכים שלהן לשם הבטחת תאימות לדרישותיה של האסדרה הזאת.
מטרת האסדרה הכללית להגנה על מידע היא לקבוע אמות מידה עבור זכויותיהם של תושבי האיחוד האירופי בקשר למידע אישי, ולחזק את הזכויות האלו. פירושו של דבר הוא שכל חברה המטפלת במידע אישי של תושבי האיחוד האירופי נדרשת לעמוד באמות המידה החדשות עבור שקיפות, אבטחה ואחריות דיווח.
כיצד GDPR משפיע על משאבי אנוש?
האסדרה הכללית להגנה על מידע דורשת מחברות לשמור אך ורק נתוני עובדים חיוניים, מדויקים ועדכניים. כמו כן, חברות נדרשות לדווח באופן ברור איך, היכן ולמשך כמה זמן הן ישמרו על המידע האישי של העובדים. באותו האופן, עובדים יכולים להשתמש במידע שלהם בכל עת, וכן לבקש עותק של המידע השמור ולהורות על מחיקתו.
על צוותי משאבי אנוש להבין את הסיכון והאחריות הכרוכים בטיפול במידע על עובדים כדי להימנע מסנקציות, מאחר שאי-ציות עלול להוביל לקנסות של עד מיליון אירו20, או 4 אחוז מהמחזור השנתי.
גורמי מפתח של GDPR במשאבי אנוש
לשם שמירה על תאימות עם האסדרה הכללית להגנה על מידע, צוותי משאבי אנוש נדרשים להתאים ולשפר את תהליכי ניהול העובדים שלהם כדי להבטיח שמירה על זכויות העובדים וציות להנחיות ההגנה על המידע.
הנה כמה מההיבטים החשובים ביותר שאנשי משאבי אנוש צריכים לשקול:
1. איסוף מידע אישי
האיסוף והעיבוד של מידע אישי הם לגיטימיים ומוגבלים למידע שרלוונטי לביצועו של חוזה ההעסקה (למשל מערכות תיעוד שעות ונוכחות), או מידע שנחוץ לעמידה בדרישה חוקית (למשל שכר).
נחוצה הסכמה כאשר אין כל בסיס משפטי אחר לעיבוד המידע (למשל חשבון דוא"ל אישי).
2.זכות העובדים לקבל מידע
חברות מחויבות להודיע לעובדים על המטרה והבסיס המשפטי של עיבוד המידע ופרק הזמן שבמהלכו המידע האישי יישמר. יש לספק את המידע הזה בזמן שבו המידע האישי של העובדים נאסף.
3. זכויות עובדים חדשות
האסדרה הכללית להגנה על מידע קובעת זכויות עובדים חדשות, כמו הזכות לניידות נתונים, המאפשרת לעובדים להשיג את המידע האישי שלהם ולהשתמש בו עבור המטרות האישיות שלהם בשירותים שונים. היא גם מסדירה זכויות ספציפיות, כגון הזכות להישכח, המאפשרות לעובדים לבקש את מחיקת הנתונים האישיים שלהם, ואת הזכות לתיקון, המעניקה לעובדים את הזכות לקבל תיקון של נתונים אישיים לא מדויקים.
הזכות להתנגד לפעילויות אפיון פרופיל מונעת מחברות לקבל החלטות המבוססות אך ורק על עיבוד אוטומטי, ולכן תהיה לה השפעה חשובה על היישום של תוכנות בינה מלאכותית בתחום משאבי האנוש.
4. ממונה אבטחת מידע
חברות נדרשות למנות ממונה אבטחת מידע (DPO) הפועל באופן עצמאי ומחזיק בגישה לכל המשאבים הדרושים כדי לבצע את חובותיו. הממונה על אבטחת המידע אחראי על הניטור של מדיניות אבטחת המידע של החברה ועל היישום שלה כדי להבטיח תאימות לאסדרה הכללית להגנה על מידע.
5. הערכות השפעה ופריצות אבטחה
חברות נדרשות לבצע הערכות השפעה כדי לזהות פעולות המהוות סיכון משמעותי לזכויות העובדים או לפריצות אבטחה. במקרה של פריצה למידע אישי, חברות נדרשות להודיע לרשויות לא יאוחר מ-72 שעות מרגע הזיהוי.
6. טלמטיקה וקודי התנהגות
כדי להתאים את עצמן לדרישות הגנת המידע החדשות, חברות חייבות לבחון את נוהלי המדיניות הפנימיים שלהם ואת קודי ההתנהגות הקשורים לשימוש בטלמטיקה. בנוסף, חברות חייבות להתאים את התוכן שלהן לפסקי הדין של בית המשפט האירופי לזכויות אדם (ECHR), וכן להשפעתן של טכנולוגיות חדשות במקום העבודה.
7.מעקב וידאו
חברות נדרשות גם לבחון את הנהלים שלהן להתקנה ולשימוש במצלמות אבטחה. ה-ECHR קובע שבכל מקרה של התקנת מצלמות קבועות יש ליידע את העובדים מראש ובאופן ברור על מטרתן, בהתאם להוראות של תקנות אבטחת המידע.
8. העברה בינלאומית של מידע מחוץ לאיחוד האירופי
העברת מידע אישי של עובדים למדינות מחוץ לאיחוד האירופי מהווה סיכון עצום, מכיוון שאין כל ערובה להגנה עבור המידע. האסדרה הכללית להגנה על מידע קבעה הוראות מסוימות שנועדו להגביל את יכולתה של חברה להעביר מידע שכזה וכן לאכוף את זכויות העובדים.
9.חוזי ספק צד שלישי
יש צורך לעדכן את החוזים שנערכו מול ספקים או קבלנים שזוכים לגישה אל המידע האישי של החברה, כדי להבטיח את התאימות שלהם לדרישות האסדרה הכללית להגנה על מידע. חובה זו חלה גם על חוזים מול ספקי שירותי גיוס ושכר.
לאור נפח המידע האישי שחברה מנהלת במהלך כל התהליכים המתרחשים בה, התרומה של מחלקת משאבי האנוש לתאימות לדרישות האסדרה הכללית להגנה על מידע היא חשובה במיוחד. משום כך, חיוני לקחת בחשבון את כל מרכיבי האסדרה הכללית להגנה על מידע כדי ליישם תוכנית פעולה אפקטיבית.
מה צוותי משאבי אנוש יכולים לעשות כדי לציית ל- GDPR?
האסדרה הכללית להגנה על מידע דורשת מחברות לפעול באופן יזום ולקחת אחריות על ההטמעה של אמצעים טכניים וארגוניים המבטיחים שעיבוד המידע יתאים לתקנים.
חברות נדרשות לנתח את סוג המידע שהן מעבדות, את מטרות העיבוד ואת אופן ביצוע העיבוד. הנה כמה טיפים שיסייעו לצוותי משאבי אנוש לשמור על תאימות עם האסדרה הכללית להגנה על מידע:
1. שכור קצין הגנת נתונים (DPO)
כפי שנקבע בסעיף 37 של האסדרה הכללית להגנה על מידע, העסקתו של ממונה אבטחת מידע היא חיונית. ממונה אבטחת מידע אחראי לפקח על אסטרטגיות אבטחת המידע של חברות כדי להבטיח תאימות לדרישות האסדרה הכללית להגנה על מידע.
2. תעדו איזה מידע אישי מעובד.
תיעוד של מידע חשוב מקל על המעקב אחריו ועל עיבודו, ועוזר להבטיח תאימות. הנה כמה שיקולים מרכזיים שיש לזכור בעת מעקב אחר המידע של החברה שלכם:
- זהו מידע אישי ומידע רגיש, וכן את כל פעולות העיבוד הקיימות, וודאו תאימות.
- מצאו למי (עובדים, קבלנים, או ספקים) יש גישה למידע ומדוע.
- נטרו את פעילותם של עובדים, קבלנים וספקים העובדים עם המידע של החברה ובדקו את החוזים שנערכו עימם.
- ודאו שכל עיבוד מידע שהושלם על ידי קבלנים וספקים תואם לדרישות האסדרה הכללית להגנה על מידע.
- נתחו את נוהלי ההעברה לארכיון וזמני שמירה של מידע אישי בתחום משאבי אנוש.
- ודאו שפתרונות של משאבי אנוש ומערכת המידע שלכם עבור משאבי אנוש (HRIS), אם ישנה כזו, תואמים לדרישות האסדרה הכללית להגנה על מידע.
3. נקטו פעולה
לאחר שתיעדתם וזיהיתם את התיקונים הדרושים, חשוב ליצור וליישם את תוכנית הפעולה שבה תגדירו את השלבים הבאים.
ודאו שאתם:
- ביקורת הנתונים
- מבצעים הערכות השפעה
- סוקרים את אמצעי ההגנה והאבטחה שלכם
- סוקרים את התהליכים והנהלים שלכם.
4.יישום תוכנית תקשורת
חשוב ליישם תוכנית להעברת מסרים בחברה כדי שכל העובדים ידעו איך לגשת למידע שלהם ומה לעשות במקרה שחל שינוי כלשהו בתהליך הזה. חלק מהאסדרה החדשה דורש מחברות לדווח באופן ברור איך, היכן ולמשך כמה זמן הן ישמרו על המידע האישי של העובדים.
5. ודאו שהמידע השמור נכון
חברות חייבות לוודא שהן שומרות אך ורק מידע מתוקן ועדכני. עליהן גם לזהות אילו נתונים עליהן לשמור ואילו חובה עליהן למחוק. ככל שיהיה ברשותכם פחות מידע, כך יהיה לכם קל יותר לשמור על תאימות עם האסדרה הכללית להגנה על מידע.
6. סקרו את נוהלי מדיניות הפרטיות
חברות חייבות לפעול בשקיפות בכל הקשור למידע שבו הן מטפלות. סקירת הסכמי הפרטיות מייצרת שקיפות ובונה אמון. עדכנו את מדיניות ונוהלי אבטחת המידע תוך שימוש בשפה ברורה ופשוטה, וכן ודאו שנוהלי המדיניות הללו קלים לגישה.
7. אכיפת זכויות העובדים
כפי שהזכרנו, האסדרה הכללית להגנה על מידע מעניקה לעובדים זכויות חדשות. חיוני שתבטיחו כי הזכויות הללו נאכפות כדי להימנע מסנקציות.
8. אמצו את האסדרה הכללית להגנה על מידע כחלק מהתרבות הארגונית
חשוב שחברות יפרסמו את התקנות ברחבי הארגון. באמצעות הטמעתן בתרבות הארגונית, אתם תבטיחו שכל העובדים מודעים להן ומבינים אותן.
9. שפרו את האבטחה
ודאו שהמידע מאובטח והימנעו מדליפות. במקרה של פריצה למידע, יש ליידע את הצדדים המושפעים מכך בתוך 72 שעות. כדי להימנע מדליפות עליכם להפעיל שירותי אחסון מידע מהימנים, בנוסף לקיומם של נוהלי מדיניות אבטחה מעודכנים.
10. השיגו את הסכמת העובדים
חיוני שתיידעו את העובדים בדבר האמצעים והנהלים שהוטמעו ושתשיגו את הסכמתם לעיבוד ולהעברה של המידע שלהם. על ההסמכה להיות מודעת, ולהינתן באופן חופשי כביטוי ברור של הסכמה.
מעבר למחויבות שהיא דורשת, האסדרה הכללית להגנה על מידע יכולה לתרום לשיפור הביצועים של החברה שלכם, ולשיפור תחושת הביטחון והרווחה של העובדים. עם זאת, הדבר תלוי ביעילות הנתונים והאבטחה, הכלים, השיטות והתהליכים שלכם.
אתגרים חדשים אלה מעניקים למחלקות משאבי אנוש את ההזדמנות להניע את יציאת החברה שלהן לזירה הבינלאומית, באמצעות שיפור איכות שיתוף הפעולה שלהן עם הספקים והקבלנים שלהן. ביסוס מדיניות ברורה בנושא ניהול מידע אישי משפר גם את המוניטין של החברות והופך אותן למעסיקים אטרקטיביים.
