Peraturan UE (Uni Eropa), yang 2016/679juga dikenal sebagai Peraturan Perlindungan Data Umum (GDPR), mulai berlaku Mei 25, 2018 setelah periode transisi dua tahun. Peraturan tersebut mengharuskan semua perusahaan yang beroperasi di Uni Eropa untuk mengadopsi kebijakan, proses, dan praktik baru sambil mengelola data pribadi pelanggan, pengguna, pemasok, dan pekerja mereka.
Peraturan Pelindungan Data Umum memiliki dampak besar pada departemen SDM, karena mereka harus menyesuaikan proses mereka untuk mematuhi persyaratan peraturan ini.
Tujuan Peraturan Pelindungan Data Umum adalah untuk menstandarkan dan memperkuat hak-hak penduduk Eropa sehubungan dengan data pribadi mereka. Ini berarti bahwa setiap organisasi yang berurusan dengan data pribadi penduduk Uni Eropa harus mematuhi standar baru untuk transparansi, keamanan, dan akuntabilitas.
Bagaimana GDPR memengaruhi sumber daya manusia?
Peraturan Pelindungan Data Umum mengharuskan perusahaan untuk hanya menyimpan data karyawan yang penting, akurat, dan terkini. Selain itu, perusahaan harus mengomunikasikan dengan jelas bagaimana, di mana, dan berapa lama informasi pribadi karyawan akan disimpan. Dengan cara yang sama, karyawan dapat menggunakan informasi mereka kapan saja, serta meminta salinan data yang disimpan, dan memerintahkan penghapusannya.
Tim SDM harus memahami risiko dan tanggung jawab yang terlibat dalam penanganan informasi karyawan untuk menghindari sanksi, karena ketidakpatuhan dapat mengakibatkan denda hingga EUR€20 juta, atau 4 persen dari omzet tahunan.
Faktor utama GDPR dalam Sumber Daya Manusia
Untuk mematuhi Peraturan Pelindungan Data Umum, tim SDM harus menyesuaikan dan meningkatkan proses manajemen karyawan mereka untuk menjamin hak-hak karyawan dan mengikuti pedoman perlindungan data.
Berikut adalah faktor paling penting yang harus dipertimbangkan oleh sumber daya manusia:
1.Pengumpulan data pribadi
Mengumpulkan dan memproses data pribadi adalah sah dan terbatas pada informasi yang relevan untuk pemenuhan perjanjian kerja (misalnya, waktu dan sistem kehadiran), atau informasi yang diperlukan untuk mematuhi kewajiban hukum (misalnya, pengupahan).
Persetujuan diperlukan ketika tidak ada dasar hukum lain yang memvalidasi pemrosesan data (misalnya, akun email pribadi.
2. Hak karyawan untuk mendapatkan informasi
Perusahaan berkewajiban untuk memberi tahu karyawan tentang tujuan dan dasar hukum pemrosesan data dan periode penyimpanan data pribadi. Informasi ini harus diberikan pada saat data pribadi karyawan diperoleh.
3. Hak-hak baru untuk karyawan
Peraturan Pelindungan Data Umum memperkenalkan hak-hak karyawan baru, seperti hak atas portabilitas data, yang memungkinkan karyawan untuk mendapatkan dan menggunakan kembali data pribadi mereka untuk tujuan mereka sendiri di berbagai layanan. Undang-undang ini juga mengatur hak-hak tertentu, seperti hak untuk dilupakan yang memungkinkan karyawan meminta penghapusan data pribadi mereka, dan hak perbaikan, yang memberikan hak kepada karyawan untuk mendapatkan perbaikan data pribadi yang tidak akurat.
Hak untuk menolak aktivitas pemrofilan mencegah perusahaan membuat keputusan hanya berdasarkan pemrosesan otomatis, yang akan berdampak penting pada implementasi perangkat lunak kecerdasan buatan di bidang sumber daya manusia.
4. Petugas Perlindungan Data
Perusahaan harus menunjuk Petugas Perlindungan Data (DPO) yang bertindak secara independen dengan sumber daya yang diperlukan untuk melaksanakan tugasnya. DPO bertanggung jawab untuk memantau kebijakan perlindungan data perusahaan dan implementasinya untuk memastikan kepatuhan terhadap Peraturan Pelindungan Data Umum.
5. Penilaian dampak dan pelanggaran keamanan
Perusahaan harus melakukan penilaian dampak untuk mengidentifikasi operasi yang menimbulkan risiko signifikan terhadap hak-hak pekerja atau pelanggaran keamanan. Dalam kasus pelanggaran data pribadi, perusahaan harus memberi tahu pihak otoritas selambat-lambatnya 72 jam setelah identifikasi.
6. Telematika dan pedoman perilaku
Untuk menyesuaikan diri dengan persyaratan perlindungan data baru, perusahaan harus memeriksa kebijakan internal dan kode etik mereka mengenai penggunaan telematika. Selain itu, perusahaan harus menyesuaikan konten mereka dengan penilaian European Court of Human Rights (ECHR), serta dampak teknologi baru di tempat kerja.
7.Pengawasan video
Perusahaan juga harus meninjau prosedur mereka untuk pemasangan dan penggunaan pengawasan video. ECHR menetapkan bahwa untuk pemasangan kamera tetap, pekerja harus diberi tahu sebelumnya dan jelas tentang tujuan mereka, sesuai dengan ketentuan peraturan perlindungan data.
8. Transfer data internasional di luar UE
Mentransfer data pribadi karyawan ke negara-negara di luar UE merupakan risiko besar, karena tidak ada jaminan perlindungan. Peraturan Pelindungan Data Umum telah memberlakukan pembatasan tertentu untuk membatasi kemampuan perusahaan untuk mentransfer data tersebut, dan untuk menegakkan hak-hak karyawan.
9.Kontrak vendor pihak ketiga
Penting untuk memperbarui kontrak dengan pemasok atau kontraktor yang memiliki akses ke data pribadi perusahaan untuk memastikan ada kepatuhan terhadap persyaratan Peraturan Pelindungan Data Umum. Ini termasuk kontrak dengan penyedia pengupahan dan perekrutan.
Karena volume data pribadi yang dikelola perusahaan selama semua proses mereka, kontribusi departemen SDM terhadap kepatuhan Peraturan Pelindungan Data Umum sangat penting. Oleh karena itu, penting untuk mempertimbangkan semua elemen Peraturan Pelindungan Data Umum untuk mengimplementasikan rencana aksi yang efektif.
Apa yang dapat dilakukan tim SDM untuk mematuhi GDPR?
Peraturan Pelindungan Data Umum mengharuskan perusahaan untuk proaktif dan bertanggung jawab atas penerapan langkah-langkah teknis dan organisasi yang memastikan pemrosesan data keluhan.
Perusahaan dituntut untuk menganalisis jenis data yang mereka proses, tujuan dari itu, dan bagaimana mereka melakukannya. Berikut adalah beberapa kiat untuk membantu tim SDM mematuhi Peraturan Pelindungan Data Umum:
1. Mempekerja kan Petugas Perlindungan Data (Data Protection Officer atau DPO)
Sebagaimana yang disebutkan Pasal 37 dari Peraturan Pelindungan Data Umum, mempekerjakan DPO itu penting. DPO bertanggung jawab untuk mengawasi strategi perlindungan data perusahaan dan memastikan kepatuhan dengan Peraturan Pelindungan Data Umum.
2. Lakukan inventarisasi pemrosesan data pribadi.
Mengambil inventaris data penting membuat pelacakan dan pemrosesan lebih mudah dan membantu memverifikasi kepatuhan. Berikut adalah beberapa pertimbangan utama saat melacak informasi perusahaan Anda:
- Identifikasi data pribadi dan data sensitif, serta operasi pemrosesan yang ada dan verifikasi kepatuhan.
- Cari tahu siapa (karyawan, kontraktor, atau pemasok) yang memiliki akses ke data dan alasannya.
- Pantau karyawan, kontraktor, dan pemasok yang bekerja dengan data perusahaan dan tinjau kontrak.
- Verifikasi bahwa setiap pemrosesan data yang diselesaikan oleh kontraktor dan pemasok, mematuhi Peraturan Pelindungan Data Umum.
- Menganalisis praktik pengarsipan dan waktu penyimpanan data pribadi SDM.
- Pastikan solusi SDM dan Sistem Informasi Sumber Daya Manusia Human Resources Information System (HRIS) Anda, jika memungkinkan, mematuhi Peraturan Pelindungan Data Umum.
3. Ambil langkah
Setelah Anda membuat inventaris dan mengidentifikasi koreksi yang diperlukan, penting untuk membuat dan menerapkan rencana tindakan di mana Anda menentukan langkah-langkah yang harus diikuti.
Pastikan Anda:
- Mengaudit data
- Melakukan penilaian dampak
- Tinjau langkah-langkah perlindungan dan keamanan Anda
- Tinjau proses dan prosedur Anda.
4.Mengimplementasikan rencana komunikasi
Penting untuk menerapkan rencana komunikasi internal sehingga semua karyawan tahu cara mengakses informasi mereka dan apa yang harus dilakukan jika ada perubahan dalam proses ini. Bagian dari peraturan baru mengharuskan perusahaan untuk mengomunikasikan dengan jelas bagaimana, di mana, dan berapa lama informasi pribadi karyawan akan disimpan.
5. Pastikan data yang disimpan sudah benar
Perusahaan harus memastikan untuk hanya menyimpan data yang diperbaiki dan diperbarui. Mereka juga harus mengidentifikasi data mana yang perlu mereka simpan, dan mana yang harus dihapus. Semakin sedikit data yang Anda miliki, semakin mudah untuk mematuhi Peraturan Pelindungan Data Umum.
6. Tinjau kebijakan privasi
Perusahaan harus transparan dengan data yang mereka tangani. Meninjau perjanjian privasi menghasilkan transparansi dan membangun kepercayaan. Perbarui kebijakan dan prosedur keamanan data menggunakan bahasa yang jelas dan sederhana, dan pastikan kebijakan ini mudah diakses.
7. Menegakkan hak karyawan
Seperti yang kami sebutkan, Peraturan Pelindungan Data Umum menetapkan hak-hak baru bagi karyawan. Sangat penting untuk memastikan hak-hak ini ditegakkan untuk menghindari sanksi.
8. Mengadopsi Peraturan Pelindungan Data Umum sebagai bagian dari budaya perusahaan
Adalah penting bahwa perusahaan membuat peraturan dikenal di seluruh organisasi. Dengan mengintegrasikannya ke dalam budaya perusahaan, Anda memastikan bahwa semua karyawan menyadari dan memahaminya.
9. Tingkatkan keamanan
Pastikan data aman dan terhindar dari kebocoran. Jika terjadi pelanggaran data, pihak yang terkena dampak harus diberi tahu dalam waktu 72 jam. Untuk menghindari kebocoran, Anda harus menyewa layanan penyimpanan data yang andal, selain menetapkan kebijakan keamanan yang diperbarui.
10. Dapatkan persetujuan karyawan
Sangat penting bagi Anda untuk memberi tahu karyawan tentang langkah-langkah dan prosedur yang terjadi, dan untuk mendapatkan persetujuan mereka untuk pemrosesan dan transfer data mereka. Persetujuan harus merupakan ekspresi persetujuan yang bebas, terinformasi, dan jelas.
Di luar kewajiban yang diwakilinya, Peraturan Pelindungan Data Umum dapat berkontribusi untuk meningkatkan kinerja perusahaan Anda, serta kepercayaan diri dan kesejahteraan karyawan. Namun, ini hanya jika data dan keamanan, alat, metode, dan proses Anda disederhanakan.
Tantangan baru ini memberi departemen SDM kesempatan untuk menjadi pendorong internasionalisasi perusahaan mereka, memperkuat kualitas kerja sama mereka dengan pemasok dan kontraktor mereka. Memiliki kebijakan yang jelas tentang manajemen data pribadi juga meningkatkan reputasi perusahaan dan membuatnya menarik sebagai perusahaan.
