歐盟(European Union2016/679,簡稱GDPR)法規,在兩年過渡期2018 年 5 月 25 日後生效。 該法規要求在歐盟營運的所有公司在管理其客戶、用戶、供應商和員工的個人數據的同時,採用新的政策、流程和做法。
通用數據保障條例 (GDPR) 對人力資源部門產生了巨大影響,因為他們必須調整其程序以符合該法規的要求。
通用數據保障條例 (GDPR) 的目標是標準化和加強歐洲居民在個人數據方面的權利。 這意味著任何處理歐盟居民個人數據的組織都必須遵守透明度、安全性和問責制的新標準。
GDPR 如何影響 人力資源?
通用數據保障條例 (GDPR)要求公司僅儲存必要、準確和最新的僱員數據。 此外,公司必須明確傳達僱員個人資料的儲存方式、地點和時間。 同樣,僱員可以隨時使用他們的資料,以及索取存儲數據的副本,並下令刪除。
人資團隊必須瞭解處理員工資訊時所涉及的風險和責任,以避免受到制裁,因為違反規定可能導致最高 00 萬歐元20的罰款,或是年營業額的 4%。
GDPR 在 人力資源 中的關鍵 因素
為了遵守通用數據保障條例 (GDPR),人力資源團隊必須調整和改進其僱員管理流程,以保障僱員的權利並遵守數據保護指南。
以下是人力資源應考慮的最關鍵因素:
1.個人數據的收集
收集和處理個人數據是合法的,僅限於履行僱傭合約的相關資料(例如考勤系統),或遵守法律義務所需的資訊(例如薪資)。
如果沒有其他法律依據來驗證數據的處理(例如,個人電子郵件帳戶),則需要同意。
2. 員工獲得通知的權利
個人數據收集公司有義務告知僱員數據處理的目的和法律依據以及個人數據的保存期限。 該資料必須在獲得僱員個人數據時提供。
3. 僱員的新權利
通用數據保障條例 (GDPR) 引入了新的僱員權利,例如數據可攜性的權利,允許僱員在不同的服務中為自己的目的獲取和重複使用他們的個人數據。 它還規定了特定權利,例如允許員工要求刪除其個人資料的權利,以及允許員工獲得糾正不準確個人資料的權利。
反對剖析活動的權利阻止了公司僅基於自動化處理作出決策,這將對人工智能軟件在人力資源領域的實施產生重要影響。
4. 數據保護專員
公司必須任命一名數據保護專員 (DPO),其獨立行事並擁有必要的資源來履行其職責。 DPO 負責監控公司的數據保護政策及其實施,以確保符合通用數據保障條例 (GDPR)。
5. 影響評估和安全漏洞
公司必須進行影響評估,以確定對工人權利或安全漏洞構成重大風險的營運。 在個人數據洩露的情況下,公司必須在識別後不遲於 小時後通知72當局。
6. 語言 和 行為準則
為了適應新的數據保護要求,公司必須檢查其有關使用遙距資訊處理的內部政策和行為準則。 此外,公司必須根據歐洲人權法院 (ECHR) 的判決以及新技術對工作場所的影響調整其內容。
7. 視訊監視
公司還必須審查其安裝和使用視像監控的程序。 ECHR 規定,根據數據保護條例的規定,對於安裝固定攝像機,必須事先明確告知工人其目的。
8. 歐盟以外的國際數據傳輸
將僱員的個人數據傳輸到歐盟以外的國家代表一個巨大的風險,因為沒有保護的保證。 通用數據保障條例 (GDPR) 施加了某些限制,以限制公司傳輸此類數據的能力,並強制執行僱員的權利。
9. 第三方廠商合約
有必要更新與有權訪問公司個人數據的供應商或承包商的合同,以確保符合通用數據保障條例 (GDPR) 要求。 這包括與薪資和招聘提供者的合同。
由於公司在其所有流程中管理的個人數據量很大,因此人力資源部門對通用數據保障條例 (GDPR) 合規性的貢獻至關重要。 因此,必須考慮通用數據保障條例 (GDPR) 的所有要素以實施有效的行動計劃。
人力資源團隊 可以 如何 遵守 GDPR?
通用數據保障條例 (GDPR) 要求公司積極主動並負責實施確保投訴數據處理的技術和組織措施。
公司需要分析他們處理的數據類型、目的以及如何處理。 以下是幫助人力資源團隊遵守通用數據保障條例 (GDPR) 的一些技巧:
1. 聘用資料保護官 (DPO)
根據通用數據保障條例 (GDPR) 37條款的規定,聘請 DPO 至關重要。 DPO 負責監督公司的數據保護策略並確保符合通用數據保障條例 (GDPR) 要求。
2. 盤點個人數據處理。
盤點重要數據可以更輕鬆地進行跟踪和處理,並有助於驗證合規性。 以下是跟踪公司資料時的一些關鍵注意事項:
- 識別個人數據和敏感數據,以及現有的處理操作並驗證合規性。
- 找出誰(僱員、承包商或供應商)可以訪問數據以及原因。
- 監控使用公司數據的僱員、承包商和供應商並審查合同。
- 驗證承包商和供應商完成的任何數據處理是否符合通用數據保障條例 (GDPR)。
- 分析人力資源個人數據的存檔做法和保留時間。
- 確保人力資源解決方案和您的人力資源資料系統 (HRIS)(如果適用)符合通用數據保障條例 (GDPR)。
3. 採取行動
一旦您進行了盤點並識別了所需的更正,制定和實施行動計劃就很重要,您可以在其中定義要遵循的步驟。
確保您:
- 稽核資料
- 進行影響評估
- 查看您的保護和安全措施
- 審查您的流程和程序。
4.執行溝通計畫
實施內部溝通計劃很重要,這樣所有僱員都知道如何訪問其資料,以及若此程序發生任何變化時該怎麼做。 新法規的一部分要求公司明確傳達僱員個人資料的儲存方式、地點和時間。
5. 確保儲存的數據正確
公司必須確保只保留更正和更新的數據。 他們還必須確定哪些數據需要保留,哪些必須刪除。 您擁有的數據越少,就越容易遵守通用數據保障條例 (GDPR)。
6. 查看私隱政策
公司必須對其處理的數據保持透明。 審查私隱協議會產生透明度並建立信任。 使用清晰簡單的語言更新數據安全政策和程序,並確保這些政策易於訪問。
7. 執行員工 的權利
正如我們所提到的,通用數據保障條例 (GDPR) 為員工確立了新的權利。 確保這些權利得到執行以避免制裁至關重要。
8. 將通用數據保障條例 (GDPR) 作為公司文化的一部分
重要的是,公司要在整個組織內宣傳這些法規。 通過將其融入公司文化,您可以確保所有僱員都得知並理解。
9. 提高安全性
確保數據安全並避免洩漏。 如果發生數據洩露,必須在 72 小時內通知受影響的各方。 為避免洩漏,除了建立更新的安全策略外,您還應該聘請可靠的數據儲存服務。
10. 獲得僱員同意
您必須將所採取的措施和程序告知員工,並獲得他們對處理和傳輸數據的同意。 同意必須是自由、知情和明確的同意表達。
除了它所代表的義務之外,通用數據保障條例 (GDPR) 還有助於提高公司的績效,以及僱員的信心和福祉。 但是,這只有在您的數據和安全性、工具、方法和流程得到簡化的情況下才能實現。
這些新挑戰讓人力資源部門有機會成為公司國際化的推動者,加強與供應商和承包商的合作品質。 制定明確的個人數據管理政策還可以提高公司的聲譽並使其作為僱主更具吸引力。
