यूरोपीय संघ (यूरोपीय संघ) विनियमन2016/679, जिसे सामान्य डेटा संरक्षण विनियमन (जीडीपीआर) के रूप में भी जाना जाता है, दो साल की संक्रमण अवधि के मई 25, 2018 बाद प्रभावी हुआ। विनियमन के लिए यूरोपीय संघ में काम करने वाली सभी कंपनियों को अपने ग्राहकों, उपयोगकर्ताओं, आपूर्तिकर्ताओं और श्रमिकों के व्यक्तिगत डेटा का प्रबंधन करते समय नई नीतियों, प्रक्रियाओं और प्रथाओं को अपनाने की आवश्यकता होती है।
GDPR का मानव संसाधन विभागों पर व्यापक प्रभाव पड़ता है, क्योंकि उन्हें इस विनियमन की आवश्यकताओं का अनुपालन करने के लिए अपनी प्रक्रियाओं को अनुकूलित करना होगा।
GDPR का उद्देश्य अपने व्यक्तिगत डेटा के संबंध में यूरोपीय निवासियों के अधिकारों को मानकीकृत और मजबूत करना है। इसका मतलब है कि यूरोपीय संघ के निवासियों के व्यक्तिगत डेटा से निपटने वाले किसी भी संगठन को पारदर्शिता, सुरक्षा और जवाबदेही के लिए नए मानकों का पालन करना चाहिए।
GDPR मानव संसाधनों को कैसे प्रभावित करता है?
जीडीपीआर के लिए कंपनियों को केवल आवश्यक, सटीक और अद्यतित कर्मचारी डेटा संग्रहीत करने की आवश्यकता होती है। इसके अलावा, कंपनियों को स्पष्ट रूप से यह बताना चाहिए कि किसी कर्मचारी की व्यक्तिगत जानकारी कैसे, कहाँ और कितने समय तक संग्रहीत की जाएगी। उसी तरह, कर्मचारी किसी भी समय अपनी जानकारी का उपयोग कर सकते हैं, साथ ही संग्रहीत डेटा की एक प्रति का अनुरोध कर सकते हैं, और इसे हटाने का आदेश दे सकते हैं।
एचआर टीमों को प्रतिबंधों से बचने के लिए कर्मचारी की जानकारी को संभालने में शामिल जोखिम और जिम्मेदारी को समझना चाहिए, क्योंकि गैर-अनुपालन के परिणामस्वरूप €20 मिलियन तक का जुर्माना या वार्षिक कारोबार का 4 प्रतिशत हो सकता है।
मानव संसाधन में GDPR के प्रमुख कारक
GDPR का अनुपालन करने के लिए, HR टीमों को कर्मचारियों के अधिकारों की गारंटी देने और डेटा सुरक्षा दिशानिर्देशों का पालन करने के लिए अपनी कर्मचारी प्रबंधन प्रक्रियाओं को समायोजित और सुधारना होगा।
यहां सबसे महत्वपूर्ण कारक हैं जो मानव संसाधनों को ध्यान में रखना चाहिए:
1.व्यक्तिगत डेटा संग्रह
व्यक्तिगत डेटा एकत्र करना और संसाधित करना वैध है और रोजगार अनुबंध (जैसे, समय और उपस्थिति प्रणाली) की पूर्ति के लिए प्रासंगिक जानकारी तक सीमित है, या कानूनी दायित्व (जैसे, पेरोल) के अनुपालन के लिए आवश्यक जानकारी।
सहमति तब आवश्यक होती है जब कोई अन्य कानूनी आधार नहीं होता है जो डेटा के प्रसंस्करण को मान्य करता है (उदाहरण के लिए, एक व्यक्तिगत ई-मेल खाता।
2. कर्मचारियों को सूचित करने का अधिकार
कंपनियां कर्मचारियों को डेटा प्रोसेसिंग के उद्देश्य और कानूनी आधार और उस अवधि के बारे में सूचित करने के लिए बाध्य हैं जिसके दौरान व्यक्तिगत डेटा रखा जाएगा। यह जानकारी उस समय प्रदान की जानी चाहिए जब कर्मचारी का व्यक्तिगत डेटा प्राप्त किया जाता है।
3. कर्मचारियों के लिए नए अधिकार
GDPR ने नए कर्मचारी अधिकार पेश किए, जैसे डेटा पोर्टेबिलिटी का अधिकार, जो कर्मचारियों को विभिन्न सेवाओं में अपने स्वयं के उद्देश्यों के लिए अपने व्यक्तिगत डेटा को प्राप्त करने और पुन: उपयोग करने की अनुमति देता है। यह विशिष्ट अधिकारों को भी नियंत्रित करता है, जैसे कि भूलने का अधिकार जो कर्मचारियों को अपने व्यक्तिगत डेटा को हटाने का अनुरोध करने में सक्षम बनाता है, और सुधार का अधिकार, जो कर्मचारियों को गलत व्यक्तिगत डेटा के सुधार को प्राप्त करने का अधिकार देता है।
प्रोफाइलिंग गतिविधियों का विरोध करने का अधिकार कंपनियों को पूरी तरह से स्वचालित प्रसंस्करण के आधार पर निर्णय लेने से रोकता है, जिसका मानव संसाधनों के क्षेत्र में कृत्रिम बुद्धिमत्ता सॉफ्टवेयर के कार्यान्वयन पर महत्वपूर्ण प्रभाव पड़ेगा।
4. डेटा सुरक्षा अधिकारी
कंपनियों को एक डेटा संरक्षण अधिकारी (डीपीओ) नियुक्त करना होगा जो अपने कर्तव्यों को पूरा करने के लिए आवश्यक संसाधनों के साथ स्वतंत्र रूप से कार्य करता है। डीपीओ कंपनी की डेटा सुरक्षा नीति और जीडीपीआर के अनुपालन को सुनिश्चित करने के लिए इसके कार्यान्वयन की निगरानी के लिए जिम्मेदार है।
5. प्रभाव आकलन और सुरक्षा उल्लंघन
कंपनियों को उन परिचालनों की पहचान करने के लिए प्रभाव आकलन करना चाहिए जो श्रमिकों के अधिकारों या सुरक्षा उल्लंघन के लिए महत्वपूर्ण जोखिम पैदा करते हैं। व्यक्तिगत डेटा उल्लंघन के मामले में, कंपनियों को पहचान के कुछ 72 घंटों बाद अधिकारियों को सूचित करना चाहिए।
6. टेलीमैटिक और आचार संहिताएं
नई डेटा सुरक्षा आवश्यकताओं को समायोजित करने के लिए, कंपनियों को टेलीमैटिक्स के उपयोग के संबंध में अपनी आंतरिक नीतियों और आचार संहिताओं की जांच करनी चाहिए। इसके अलावा, कंपनियों को अपनी सामग्री को यूरोपीय मानवाधिकार न्यायालय (ECHR) के फैसले के साथ-साथ कार्यस्थल में नई प्रौद्योगिकियों के प्रभाव के अनुकूल बनाना चाहिए।
7. वीडियो निगरानी
कंपनियों को वीडियो निगरानी की स्थापना और उपयोग के लिए अपनी प्रक्रिया की भी समीक्षा करनी चाहिए। ECHR स्थापित करता है कि निश्चित कैमरों की स्थापना के लिए, श्रमिकों को डेटा सुरक्षा नियमों के प्रावधानों के अनुसार, उनके उद्देश्य के बारे में पहले और स्पष्ट रूप से सूचित किया जाना चाहिए।
8. यूरोपीय संघ के बाहर डेटा का अंतर्राष्ट्रीय हस्तांतरण
यूरोपीय संघ के बाहर के देशों में कर्मचारियों के व्यक्तिगत डेटा को स्थानांतरित करना एक बड़ा जोखिम है, क्योंकि सुरक्षा की कोई गारंटी नहीं है। GDPR ने ऐसे डेटा को स्थानांतरित करने और कर्मचारियों के अधिकारों को लागू करने की कंपनी की क्षमता को सीमित करने के लिए कुछ प्रतिबंध लगाए हैं।
9. तृतीय-पक्ष विक्रेता अनुबंध
उन आपूर्तिकर्ताओं या ठेकेदारों के साथ अनुबंधों को अपडेट करना आवश्यक है जिनके पास कंपनी के व्यक्तिगत डेटा तक पहुंच है ताकि यह सुनिश्चित किया जा सके कि जीडीपीआर आवश्यकताओं का अनुपालन है। इसमें पेरोल और भर्ती प्रदाताओं के साथ अनुबंध शामिल हैं।
कंपनी द्वारा अपनी सभी प्रक्रियाओं के दौरान प्रबंधित व्यक्तिगत डेटा की मात्रा के कारण, GDPR अनुपालन में मानव संसाधन विभाग का योगदान महत्वपूर्ण है। इसलिए एक प्रभावी कार्य योजना को लागू करने के लिए GDPR के सभी तत्वों पर विचार करना आवश्यक है।
GDPR का अनुपालन करने के लिए HR टीमें क्या कर सकती हैं?
GDPR के लिए कंपनियों को तकनीकी और संगठनात्मक उपायों के कार्यान्वयन के लिए सक्रिय और जिम्मेदार होना आवश्यक है जो शिकायत डेटा प्रसंस्करण सुनिश्चित करते हैं।
कंपनियों को उनके द्वारा संसाधित किए जाने वाले डेटा के प्रकार, इसके उद्देश्य और वे इसे कैसे करते हैं, इसका विश्लेषण करना आवश्यक है। HR टीमों को GDPR का अनुपालन करने में मदद करने के लिए यहां कुछ सुझाव दिए गए हैं:
1.डेटा सुरक्षा अधिकारी (DPO) को नियुक्त करें
जैसा कि जीडीपीआर 37 के अनुच्छेद द्वारा निर्धारित किया गया है, डीपीओ को भर्ती करना महत्वपूर्ण है। डीपीओ कंपनियों की डेटा सुरक्षा रणनीतियों की निगरानी के लिए जिम्मेदार है और जीडीपीआर आवश्यकताओं के अनुपालन को सुनिश्चित करता है।
2. व्यक्तिगत डेटा प्रसंस्करण की सूची लें।
महत्वपूर्ण डेटा की सूची लेना ट्रैकिंग और प्रसंस्करण को आसान बनाता है और अनुपालन को सत्यापित करने में मदद करता है। आपकी कंपनी की जानकारी को ट्रैक करते समय यहां कुछ महत्वपूर्ण विचार दिए गए हैं:
- व्यक्तिगत डेटा और संवेदनशील डेटा के साथ-साथ मौजूदा प्रसंस्करण संचालन की पहचान करें और अनुपालन को सत्यापित करें।
- पता लगाएं कि किसके (कर्मचारियों, ठेकेदारों या आपूर्तिकर्ताओं) के पास डेटा तक पहुंच है और क्यों।
- कंपनी के डेटा के साथ काम करने वाले कर्मचारियों, ठेकेदारों और आपूर्तिकर्ताओं की निगरानी करें और अनुबंधों की समीक्षा करें।
- सत्यापित करें कि ठेकेदारों और आपूर्तिकर्ताओं द्वारा पूरा किया गया कोई भी डेटा प्रोसेसिंग, GDPR का अनुपालन करता है।
- मानव संसाधन व्यक्तिगत डेटा की संग्रहण प्रथाओं और अवधारण समय का विश्लेषण करें।
- सुनिश्चित करें कि मानव संसाधन समाधान और आपकी मानव संसाधन सूचना प्रणाली (HRIS), यदि लागू हो, तो GDPR के अनुरूप हैं।
3. कार्रवाई करें
एक बार जब आप एक इन्वेंट्री बना लेते हैं और आवश्यक सुधारों की पहचान कर लेते हैं, तो एक कार्य योजना बनाना और लागू करना महत्वपूर्ण है जिसमें आप अनुसरण करने वाले चरणों को परिभाषित करते हैं।
सुनिश्चित करें कि आप:
- डेटा का ऑडिट करें
- प्रभाव आकलन करें
- अपने सुरक्षा और सुरक्षा उपायों की समीक्षा करें
- अपनी प्रक्रियाओं और प्रक्रियाओं की समीक्षा करें।
4.संचार योजना लागू करें
आंतरिक संचार योजना को लागू करना महत्वपूर्ण है ताकि सभी कर्मचारी जान सकें कि इस प्रक्रिया में कोई बदलाव होने की स्थिति में उनकी जानकारी तक कैसे पहुंचा जाए और क्या करना है। नए विनियमन के भाग के लिए कंपनियों को स्पष्ट रूप से यह बताना आवश्यक है कि किसी कर्मचारी की व्यक्तिगत जानकारी को कैसे, कहाँ और कितने समय तक संग्रहीत किया जाएगा।
5. सुनिश्चित करें कि संग्रहीत डेटा सही है
कंपनियों को केवल सही और अद्यतन डेटा रखना सुनिश्चित करना चाहिए। उन्हें यह भी पहचानना होगा कि उन्हें कौन सा डेटा रखने की आवश्यकता है, और जिसे हटाया जाना चाहिए। आपके पास जितना कम डेटा होगा, GDPR का अनुपालन करना उतना ही आसान होगा।
6. गोपनीयता नीतियों की समीक्षा करें
कंपनियों को अपने द्वारा संभाले जाने वाले डेटा के साथ पारदर्शी होना चाहिए। गोपनीयता समझौतों की समीक्षा पारदर्शिता उत्पन्न करती है और विश्वास का निर्माण करती है। स्पष्ट और सरल भाषा का उपयोग करके डेटा सुरक्षा नीतियों और प्रक्रियाओं को अपडेट करें, और सुनिश्चित करें कि ये नीतियां आसानी से सुलभ हैं।
7. कर्मचारियों के अधिकारों को लागू करें
जैसा कि हमने उल्लेख किया है, GDPR कर्मचारियों के लिए नए अधिकार स्थापित करता है। प्रतिबंधों से बचने के लिए इन अधिकारों को लागू करना सुनिश्चित करना महत्वपूर्ण है।
8. GDPR को कंपनी की संस्कृति के हिस्से के रूप में अपनाएं
यह महत्वपूर्ण है कि कंपनियां पूरे संगठन में नियमों को ज्ञात करें। उन्हें कंपनी की संस्कृति में एकीकृत करके, आप सुनिश्चित करते हैं कि सभी कर्मचारी उन्हें जानते हैं और समझते हैं।
9. सुरक्षा में सुधार
सुनिश्चित करें कि डेटा सुरक्षित है और लीक से बचें। डेटा उल्लंघन की स्थिति में, प्रभावित पक्षों को 72 घंटों के भीतर सूचित किया जाना चाहिए। लीक से बचने के लिए आपको अद्यतन सुरक्षा नीतियों को स्थापित करने के अलावा विश्वसनीय डेटा स्टोरेज सेवाओं को किराए पर लेना चाहिए।
10. कर्मचारी की सहमति प्राप्त करें
आपके लिए कर्मचारियों को होने वाले उपायों और प्रक्रियाओं के बारे में सूचित करना और उनके डेटा के प्रसंस्करण और हस्तांतरण के लिए उनकी सहमति प्राप्त करना आवश्यक है। सहमति समझौते की एक स्वतंत्र, सूचित और स्पष्ट अभिव्यक्ति होनी चाहिए।
यह जिस दायित्व का प्रतिनिधित्व करता है, उससे परे, जीडीपीआर आपकी कंपनी के प्रदर्शन और कर्मचारियों के आत्मविश्वास और कल्याण में सुधार करने में योगदान दे सकता है। हालांकि, यह केवल तभी है जब आपका डेटा और सुरक्षा, उपकरण, विधियां और प्रक्रियाएं सुव्यवस्थित हों।
ये नई चुनौतियां मानव संसाधन विभागों को अपनी कंपनी के अंतर्राष्ट्रीयकरण के चालक बनने का अवसर दे रही हैं, जिससे उनके आपूर्तिकर्ताओं और ठेकेदारों के साथ उनके सहयोग की गुणवत्ता मजबूत हो रही है। व्यक्तिगत डेटा प्रबंधन पर एक स्पष्ट नीति होने से कंपनियों की प्रतिष्ठा में सुधार होता है और उन्हें नियोक्ता के रूप में आकर्षक बनाता है।
