กฎระเบียบของสหภาพยุโรป (สหภาพยุโรป) 2016/679หรือที่รู้จักกันในชื่อกฎระเบียบการคุ้มครองข้อมูลทั่วไป (GDPR) มีผลบังคับใช้พฤษภาคม 25, 2018หลังจากระยะเวลาเปลี่ยนผ่านสองปี ระเบียบข้อบังคับกำหนดให้บริษัททั้งหมดที่ดำเนินงานในสหภาพยุโรปต้องนำนโยบาย กระบวนการ และแนวปฏิบัติใหม่ๆ มาใช้ควบคู่ไปกับการจัดการข้อมูลส่วนบุคคลของลูกค้า ผู้ใช้ ซัพพลายเออร์ และพนักงาน
GDPR มีผลกระทบอย่างมากต่อแผนกทรัพยากรบุคคล เนื่องจากต้องปรับกระบวนการให้สอดคล้องกับข้อกำหนดของระเบียบข้อบังคับนี้
เป้าหมายของ GDPR คือการสร้างมาตรฐานและเสริมสร้างสิทธิของชาวยุโรปที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของพวกเขา ซึ่งหมายความว่าองค์กรใดๆ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของผู้อยู่อาศัยในสหภาพยุโรปต้องปฏิบัติตามมาตรฐานใหม่ในด้านความโปร่งใส ความปลอดภัย และความรับผิดชอบ
GDPR ส่งผลต่อทรัพยากรบุคคลอย่างไร
GDPR กำหนดให้บริษัทจัดเก็บเฉพาะข้อมูลพนักงานที่จำเป็น ถูกต้อง และเป็นปัจจุบันเท่านั้น นอกจากนี้ บริษัทต้องสื่อสารให้ชัดเจนว่าจะจัดเก็บข้อมูลส่วนบุคคลของพนักงานอย่างไร ที่ไหน และนานแค่ไหน ในทำนองเดียวกัน พนักงานสามารถใช้ข้อมูลของตนได้ตลอดเวลา รวมทั้งขอสำเนาข้อมูลที่เก็บไว้ และสั่งให้ลบข้อมูล
ทีมทรัพยากรบุคคลต้องเข้าใจความเสี่ยงและความรับผิดชอบที่เกี่ยวข้องกับการจัดการข้อมูลของพนักงานเพื่อหลีกเลี่ยงการลงโทษ เนื่องจากการไม่ปฏิบัติตามข้อกำหนดอาจส่งผลให้ต้องเสียค่าปรับสูงถึง ล้านยูโร20หรือ 4 เปอร์เซ็นต์ของผลประกอบการประจำปี
ปัจจัยหลักของ GDPR ใน ฝ่ายทรัพยากรบุคคล
เพื่อให้สอดคล้องกับ GDPR ทีมทรัพยากรบุคคลต้องปรับและปรับปรุงกระบวนการจัดการพนักงานเพื่อรับประกันสิทธิ์ของพนักงานและปฏิบัติตามแนวทางการคุ้มครองข้อมูล
นี่คือปัจจัยที่สำคัญที่สุดที่ทรัพยากรบุคคลควรพิจารณา:
1.การเก็บข้อมูลส่วนบุคคล
การรวบรวมและประมวลผลข้อมูลส่วนบุคคลนั้นถูกต้องตามกฎหมายและจำกัดเฉพาะข้อมูลที่เกี่ยวข้องสำหรับการปฏิบัติตามสัญญาจ้างงาน (เช่น ระบบเวลาและการเข้างาน) หรือข้อมูลที่จำเป็นเพื่อการปฏิบัติตามภาระผูกพันทางกฎหมาย (เช่น บัญชีเงินเดือน)
ความยินยอมเป็นสิ่งจำเป็นเมื่อไม่มีพื้นฐานทางกฎหมายอื่นใดที่ยืนยันการประมวลผลข้อมูล (เช่น บัญชีอีเมลส่วนบุคคล
2.สิทธิ ของพนักงานที่จะได้รับการแจ้งให้ทราบ
บริษัทมีหน้าที่ต้องแจ้งให้พนักงานทราบเกี่ยวกับวัตถุประสงค์และพื้นฐานทางกฎหมายของการประมวลผลข้อมูลและช่วงเวลาที่ข้อมูลส่วนบุคคลจะถูกเก็บไว้ ต้องให้ข้อมูลนี้ในเวลาที่ได้รับข้อมูลส่วนบุคคลของพนักงาน
3. สิทธิใหม่สำหรับพนักงาน
GDPR นำเสนอสิทธิ์ใหม่ของพนักงาน เช่น สิทธิ์ในการโอนข้อมูล ซึ่งช่วยให้พนักงานได้รับและนำข้อมูลส่วนบุคคลของตนไปใช้ซ้ำเพื่อวัตถุประสงค์ของตนเองในบริการต่างๆ นอกจากนี้ ยังควบคุมสิทธิเฉพาะ เช่น สิทธิที่จะถูกลืม ซึ่งจะช่วยให้พนักงานสามารถขอลบข้อมูลส่วนบุคคลของตน และสิทธิในการแก้ไขซึ่งให้สิทธิ์แก่พนักงานในการแก้ไขข้อมูลส่วนบุคคลที่ไม่ถูกต้อง
สิทธิ์ในการคัดค้านกิจกรรมการทำโปรไฟล์จะป้องกันไม่ให้บริษัทตัดสินใจโดยอาศัยการประมวลผลอัตโนมัติเพียงอย่างเดียว ซึ่งจะมีผลกระทบที่สำคัญต่อการนำซอฟต์แวร์ปัญญาประดิษฐ์ไปใช้งานในด้านทรัพยากรบุคคล
4. เจ้าหน้าที่คุ้มครองข้อมูล
บริษัทต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล (DPO) ซึ่งทำหน้าที่อย่างอิสระด้วยทรัพยากรที่จำเป็นเพื่อปฏิบัติหน้าที่ของตน DPO มีหน้าที่ตรวจสอบนโยบายการคุ้มครองข้อมูลของบริษัทและการดำเนินการเพื่อให้มั่นใจว่าสอดคล้องกับ GDPR
5. การประเมินผลกระทบและการละเมิดความปลอดภัย
บริษัทต้องดำเนินการประเมินผลกระทบเพื่อระบุการดำเนินการที่ก่อให้เกิดความเสี่ยงอย่างมีนัยสำคัญต่อสิทธิของพนักงานหรือการละเมิดความปลอดภัย ในกรณีที่มีการละเมิดข้อมูลส่วนบุคคล บริษัทต้องแจ้งเจ้าหน้าที่ภายในไม่เกิน 72 ชั่วโมงหลังจากที่ระบุทราบเหตุการณ์
6 .เทเลเมติกส์ และ หลักปฏิบัติ
ในการปรับให้เข้ากับข้อกำหนดด้านการคุ้มครองข้อมูลใหม่ บริษัทต่างๆ จะต้องตรวจสอบนโยบายภายในและหลักจรรยาบรรณเกี่ยวกับการใช้เทเลเมติกส์ นอกจากนี้ บริษัทต่างๆ ยังต้องปรับเนื้อหาของตนให้เข้ากับคำตัดสินของศาลสิทธิมนุษยชนแห่งยุโรป (ECHR) ตลอดจนผลกระทบของเทคโนโลยีใหม่ในสถานที่ทำงาน
7. ระบบวิดีโอตรวจสอบระวังความปลอดภัย
บริษัทยังต้องทบทวนขั้นตอนการติดตั้งและใช้งานกล้องวิดีโอวงจรปิดด้วย ECHR กำหนดว่าสำหรับการติดตั้งกล้องแบบอยู่กับที่ ผู้ปฏิบัติงานต้องได้รับแจ้งวัตถุประสงค์ก่อนหน้าอย่างชัดเจนตามข้อกำหนดของระเบียบข้อบังคับด้านการคุ้มครองข้อมูล
8. การถ่ายโอนข้อมูลระหว่างประเทศนอกสหภาพยุโรป
การถ่ายโอนข้อมูลส่วนบุคคลของพนักงานไปยังประเทศนอกสหภาพยุโรปถือเป็นความเสี่ยงอย่างมาก เนื่องจากไม่มีการรับประกันการคุ้มครอง GDPR ได้กำหนดข้อจำกัดบางอย่างเพื่อจำกัดความสามารถของบริษัทในการถ่ายโอนข้อมูลดังกล่าว และเพื่อบังคับใช้สิทธิ์ของพนักงาน
9สัญญากับผู้ขายที่ เป็นบุคคลภายนอก
จำเป็นต้องอัปเดตสัญญากับซัพพลายเออร์หรือผู้รับจ้างที่มีสิทธิ์เข้าถึงข้อมูลส่วนบุคคลของบริษัทเพื่อให้แน่ใจว่ามีการปฏิบัติตามกฎระเบียบของ GDPR ซึ่งรวมถึงสัญญากับผู้ให้บริการด้านบัญชีเงินเดือนและการจัดหางาน
เนื่องจากปริมาณข้อมูลส่วนบุคคลที่บริษัทจัดการในระหว่างกระบวนการทั้งหมด การมีส่วนร่วมของแผนกทรัพยากรบุคคลเพื่อปฏิบัติตาม GDPR จึงเป็นสิ่งสำคัญ ดังนั้นจึงจำเป็นต้องพิจารณาองค์ประกอบทั้งหมดของ GDPR เพื่อนำแผนปฏิบัติการที่มีประสิทธิภาพไปใช้
ทีม HR สามารถ ทําอะไรได้บ้าง เพื่อปฏิบัติตาม GDPR
GDPR กำหนดให้บริษัทต้องดำเนินการในเชิงรุกและรับผิดชอบในการใช้มาตรการทางเทคนิคและระดับองค์กรที่รับรองการประมวลผลข้อมูลการร้องเรียน
บริษัทต่างๆ จำเป็นต้องวิเคราะห์ประเภทของข้อมูลที่พวกเขาประมวลผล วัตถุประสงค์ของข้อมูล และวิธีที่พวกเขาประเมินผลข้อมูลนั้น ต่อไปนี้คือเคล็ดลับบางประการที่จะช่วยให้ทีมทรัพยากรบุคคลปฏิบัติตาม GDPR:
1. ว่าจ้างเจ้าหน้าที่ คุ้มครองข้อมูล (DPO)
ตามข้อบังคับ37ของ GDPR การจ้าง DPO เป็นสิ่งสำคัญ DPO มีหน้าที่กำกับดูแลกลยุทธ์การคุ้มครองข้อมูลของบริษัทและรับรองการปฏิบัติตามข้อกำหนดของ GDPR
2. จดรายการการประมวลผลข้อมูลส่วนบุคคล
การเก็บบันทึกข้อมูลสำคัญทำให้การติดตามและประมวลผลง่ายขึ้น และช่วยตรวจสอบการปฏิบัติตามกฎระเบียบ ข้อควรพิจารณาที่สำคัญบางประการขณะติดตามข้อมูลบริษัทของคุณ:
- ระบุข้อมูลส่วนบุคคลและข้อมูลที่ละเอียดอ่อน ตลอดจนการดำเนินการประมวลผลที่มีอยู่และตรวจสอบการปฏิบัติตามกฎระเบียบ
- ค้นหาว่าใคร (พนักงาน ผู้รับจ้าง หรือซัพพลายเออร์) ที่มีสิทธิ์เข้าถึงข้อมูล และเหตุผลในการเข้าถึงข้อมูล
- ควบคุมดูแลพนักงาน ผู้รับจ้าง และซัพพลายเออร์ที่ทำงานกับข้อมูลของบริษัทและทบทวนสัญญา
- ตรวจสอบว่าการประมวลผลข้อมูลที่ทำเสร็จสิ้นโดยผู้รับจ้างและซัพพลายเออร์ ต้องสอดคล้องกับ GDPR
- วิเคราะห์วิธีปฏิบัติในการเก็บถาวรและเวลาเก็บรักษาข้อมูลส่วนบุคคลของฝ่ายทรัพยากรบุคคล
- ตรวจสอบให้แน่ใจว่าโซลูชันทรัพยากรบุคคลและระบบข้อมูลทรัพยากรบุคคล (HRIS) ของคุณ (ถ้ามี) เป็นไปตาม GDPR
3. เริ่มปฏิบัติ
เมื่อคุณสร้างรายการสินค้าและระบุการแก้ไขที่จำเป็นแล้ว สิ่งสำคัญคือต้องสร้างและดำเนินการตามแผนปฏิบัติการที่คุณกำหนดขั้นตอนไว้
ตรวจสอบให้แน่ใจว่าคุณ:
- ตรวจสอบข้อมูล
- ดำเนินการประเมินผลกระทบ
- ตรวจสอบมาตรการป้องกันและรักษาความปลอดภัยของคุณ
- ตรวจสอบกระบวนการและขั้นตอนของคุณ
4.ใช้แผนการสื่อสาร
สิ่งสำคัญคือต้องใช้แผนการสื่อสารภายในเพื่อให้พนักงานทุกคนทราบวิธีเข้าถึงข้อมูลของตนและต้องทำอย่างไรในกรณีที่มีการเปลี่ยนแปลงในกระบวนการนี้ ส่วนหนึ่งของข้อบังคับใหม่กำหนดให้บริษัทสื่อสารให้ชัดเจนว่าจะจัดเก็บข้อมูลส่วนบุคคลของพนักงานอย่างไร ที่ไหน และนานแค่ไหน
5. ตรวจสอบให้แน่ใจว่าข้อมูลที่เก็บไว้นั้นถูกต้อง
บริษัทต้องมั่นใจว่าจะเก็บข้อมูลที่ถูกต้องและเป็นปัจจุบันเท่านั้น พวกเขายังต้องระบุข้อมูลที่ต้องการเก็บไว้และข้อมูลที่ต้องลบทิ้ง ยิ่งคุณมีข้อมูลน้อยเท่าไหร่ การปฏิบัติตาม GDPR ก็จะยิ่งง่ายขึ้นเท่านั้น
6. ตรวจสอบนโยบายความเป็นส่วนตัว
บริษัทต้องโปร่งใสกับข้อมูลที่พวกเขาจัดการ การตรวจสอบข้อตกลงความเป็นส่วนตัวจะสร้างความโปร่งใสและสร้างความไว้วางใจ อัปเดตนโยบายและขั้นตอนการรักษาความปลอดภัยของข้อมูลโดยใช้ภาษาที่ชัดเจนและเรียบง่าย และตรวจสอบให้แน่ใจว่านโยบายเหล่านี้เข้าถึงได้ง่าย
7. บังคับใช้ สิทธิของพนักงาน
ดังที่เราได้กล่าวไปแล้ว GDPR ได้กำหนดสิทธิ์ใหม่สำหรับพนักงาน เป็นสิ่งสำคัญที่จะต้องแน่ใจว่ามีการบังคับใช้สิทธิเหล่านี้เพื่อหลีกเลี่ยงการลงโทษ
8. ใช้ GDPR เป็นส่วนหนึ่งของวัฒนธรรมบริษัท
เป็นสิ่งสำคัญที่บริษัทต่างๆ จะต้องกำหนดระเบียบข้อบังคับให้ทราบทั่วทั้งองค์กร คุณมั่นใจได้ว่าพนักงานทุกคนรับทราบและมีคนเข้าใจพวกเขาผ่านการผสานรวมเข้ากับวัฒนธรรมของบริษัท
9. ปรับปรุงการรักษาความปลอดภัย
ตรวจสอบให้แน่ใจว่าข้อมูลมีความปลอดภัยและหลีกเลี่ยงการรั่วไหล ในกรณีที่มีการละเมิดข้อมูล จะต้องแจ้งให้ฝ่ายที่ได้รับผลกระทบทราบภายใน 72 ชั่วโมง เพื่อหลีกเลี่ยงการรั่วไหล คุณควรจ้างผู้ให้บริการจัดเก็บข้อมูลที่เชื่อถือได้ นอกเหนือจากการจัดทำนโยบายความปลอดภัยที่ได้รับการปรับปรุงอยู่เสมอ
10. รับความยินยอมจากพนักงาน
คุณจำเป็นต้องแจ้งให้พนักงานทราบเกี่ยวกับมาตรการและขั้นตอนการดำเนินการ และต้องได้รับความยินยอมจากพนักงานในการประมวลผลและถ่ายโอนข้อมูล ความยินยอมต้องเป็นการแสดงออกถึงข้อตกลงโดยเสรี รับทราบข้อมูล และชัดเจน
นอกเหนือจากภาระผูกพันที่แสดงให้เห็นแล้ว GDPR ยังมีส่วนช่วยในการปรับปรุงประสิทธิภาพบริษัทของคุณ ตลอดจนความมั่นใจและสวัสดิภาพของพนักงาน อย่างไรก็ตาม สิ่งนี้จะเกิดขึ้นก็ต่อเมื่อข้อมูลและความปลอดภัย เครื่องมือ วิธีการ และกระบวนการของคุณมีความคล่องตัว
ความท้าทายใหม่เหล่านี้ทำให้แผนกทรัพยากรบุคคลมีโอกาสเป็นแรงผลักดันให้บริษัทก้าวไปสู่ความเป็นสากล เสริมสร้างคุณภาพของความร่วมมือกับซัพพลายเออร์และผู้รับจ้าง การมีนโยบายที่ชัดเจนเกี่ยวกับการจัดการข้อมูลส่วนบุคคลยังช่วยปรับปรุงชื่อเสียงของบริษัทและทำให้พวกเขาน่าดึงดูดใจในฐานะนายจ้าง
