กฎระเบียบของสหภาพยุโรป (สหภาพยุโรป) 2016/679 หรือที่เรียกว่า ระเบียบว่าด้วยข้อมูลทั่วไป (GDPR)) มีผลใช้บังคับเมื่อเดือนพฤษภาคม 25, 2018 หลังจากผ่านไปสองปีในช่วงเปลี่ยนผ่าน กฎระเบียบนี้กำหนดให้บริษัททุกแห่งที่ดำเนินงานในสหภาพยุโรปต้องนำนโยบาย กระบวนการ และแนวปฏิบัติใหม่มาใช้ในการจัดการข้อมูลส่วนบุคคลของลูกค้า ผู้ใช้ ซัพพลายเออร์ และพนักงานของตน​​ 

GDPR มีผลกระทบอย่างมากต่อแผนกทรัพยากรบุคคล เนื่องจากต้องปรับกระบวนการให้สอดคล้องกับข้อกำหนดของระเบียบข้อบังคับนี้​​ 

เป้าหมายของ GDPR คือการสร้างมาตรฐานและเสริมสร้างสิทธิของชาวยุโรปที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของพวกเขา ซึ่งหมายความว่าองค์กรใดๆ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของผู้อยู่อาศัยในสหภาพยุโรปต้องปฏิบัติตามมาตรฐานใหม่ในด้านความโปร่งใส ความปลอดภัย และความรับผิดชอบ​​ 

GDPR ส่งผลต่อทรัพยากรบุคคลอย่างไร​​ 

โครงสร้างว่าด้วยข้อมูลทั่วไป กำหนดให้บริษัทจัดเก็บเฉพาะข้อมูลที่จำเป็น ถูกต้อง และเป็นปัจจุบันของพนักงาน นอกจากนี้ บริษัทต้องสื่อสารอย่างชัดเจนว่าข้อมูลส่วนบุคคลของพนักงานจะถูกจัดเก็บอย่างไร ที่ไหน และนานแค่ไหน ในทำนองเดียวกัน พนักงานสามารถเข้าถึงข้อมูลของตนได้ตลอดเวลา รวมถึงขอสำเนาข้อมูลที่จัดเก็บไว้ และสั่งให้ลบข้อมูลได้​​ 

ทีมงานแต่ละคนจะต้องเข้าใจความเสี่ยงและความรับผิดชอบที่เกี่ยวข้องกับการจัดการข้อมูลของพนักงานเพื่อหลีกเลี่ยงการลงโทษ เนื่องจากการไม่ปฏิบัติตามอาจส่งผลให้ต้องเสียค่าปรับสูงถึง EUR€20 ล้านหรือ 4 เปอร์เซ็นต์ของทุกปีต่อลาออก​​ 

ปัจจัยสำคัญของ GDPR ในทรัพยากรบุคคล​​ 

เพื่อให้สอดคล้องกับ GDPR ทีมทรัพยากรบุคคลต้องปรับและปรับปรุงกระบวนการจัดการพนักงานเพื่อรับประกันสิทธิ์ของพนักงานและปฏิบัติตามแนวทางการคุ้มครองข้อมูล​​ 

นี่คือปัจจัยที่สำคัญที่สุดที่ทรัพยากรบุคคลควรพิจารณา:​​ 

1 การเก็บรวบรวมข้อมูลส่วนบุคคล​​ 

การรวบรวมและประมวลผลข้อมูลส่วนบุคคลนั้นถูกต้องตามกฎหมายและจำกัดเฉพาะข้อมูลที่เกี่ยวข้องสำหรับการปฏิบัติตามสัญญาจ้างงาน (เช่น ระบบเวลาและการเข้างาน) หรือข้อมูลที่จำเป็นเพื่อการปฏิบัติตามภาระผูกพันทางกฎหมาย (เช่น บัญชีเงินเดือน)​​ 

ความยินยอมเป็นสิ่งจำเป็นเมื่อไม่มีพื้นฐานทางกฎหมายอื่นใดที่ยืนยันการประมวลผลข้อมูล (เช่น บัญชีอีเมลส่วนบุคคล​​ 

2. สิทธิของพนักงานที่จะได้รับแจ้ง​​ 

บริษัทมีหน้าที่ต้องแจ้งให้พนักงานทราบเกี่ยวกับวัตถุประสงค์และพื้นฐานทางกฎหมายของการประมวลผลข้อมูลและช่วงเวลาที่ข้อมูลส่วนบุคคลจะถูกเก็บไว้ ต้องให้ข้อมูลนี้ในเวลาที่ได้รับข้อมูลส่วนบุคคลของพนักงาน​​ 

3. สิทธิใหม่สำหรับพนักงาน​​ 

โครงสร้างว่าด้วยข้อมูลทั่วไปได้แนะนำสิทธิใหม่ของพนักงาน เช่น สิทธิในการเก็บข้อมูล ซึ่งอนุญาตให้พนักงานได้รับและนำข้อมูลส่วนบุคคลของตนกลับมาใช้ซ้ำเพื่อวัตถุประสงค์ของตนเองในบริการต่างๆ นอกจากนี้ กฎหมายยังควบคุมสิทธิเฉพาะต่างๆ เช่น สิทธิที่จะถูกลืม ซึ่งช่วยให้พนักงานสามารถขอให้ลบข้อมูลส่วนบุคคลของตนได้ และ สิทธิในการแก้ไข ซึ่งให้สิทธิแก่พนักงานในการขอแก้ไขข้อมูลส่วนบุคคลที่ไม่ถูกต้อง​​ 

สิทธิในการคัดค้านกิจกรรมการประมวลผลข้อมูลส่วนบุคคล จะป้องกันไม่ให้บริษัทต่างๆ ตัดสินใจโดยอาศัยการประมวลผลอัตโนมัติเพียงอย่างเดียว ซึ่งจะมีผลกระทบสำคัญต่อการนำซอฟต์แวร์ปัญญาประดิษฐ์มาใช้ในด้านทรัพยากรบุคคล​​ 

4. เจ้าหน้าที่คุ้มครองข้อมูล​​ 

บริษัทต่างๆ ต้องแต่งตั้ง เจ้าหน้าที่คุ้มครองข้อมูล (Data Protection Officer หรือ DPO) ซึ่งปฏิบัติหน้าที่อย่างอิสระและมีทรัพยากรที่จำเป็นในการปฏิบัติหน้าที่ของตน อ.ส.ค. มีหน้าที่ติดตามนโยบายและข้อมูลการดำเนินงานของบริษัทเพื่อให้มั่นใจว่ากฎระเบียบกับระเบียบว่าด้วยข้อมูลทั่วไปทั่วไป​​ 

5. การประเมินผลกระทบและการละเมิดความปลอดภัย​​ 

บริษัทต่างๆ ต้องดำเนินการประเมินผลกระทบเพื่อระบุการดำเนินงานที่ก่อให้เกิดความเสี่ยงอย่างมีนัยสำคัญต่อสิทธิของคนงานหรือการละเมิดความปลอดภัย ในกรณีที่ข้อมูลส่วนบุคคลรั่วไหล บริษัทต้องแจ้งให้ หน่วยงานที่เกี่ยวข้อง ทราบภายในเวลาไม่เกิน 72 ชั่วโมงหลังจากตรวจพบ​​ 

6. เทเลเมติกส์และจรรยาบรรณ​​ 

เพื่อให้สอดคล้องกับข้อกำหนดด้านการคุ้มครองข้อมูลใหม่ บริษัทต่างๆ ต้องตรวจสอบนโยบายภายในและจรรยาบรรณเกี่ยวกับการใช้ระบบเทเลเมติกส์ นอกจากนี้ บริษัทต่างๆ ต้องปรับเนื้อหาของตนให้สอดคล้องกับคำตัดสินของ ศาลสิทธิมนุษยชนแห่งยุโรป (ECHR) รวมถึงผลกระทบของเทคโนโลยีใหม่ๆ ในสถานที่ทำงานด้วย​​ 

7. กล้องวิดีโอวงจรปิด​​ 

บริษัทยังต้องทบทวนขั้นตอนการติดตั้งและใช้งานกล้องวิดีโอวงจรปิดด้วย ECHR กำหนดว่าสำหรับการติดตั้งกล้องแบบอยู่กับที่ ผู้ปฏิบัติงานต้องได้รับแจ้งวัตถุประสงค์ก่อนหน้าอย่างชัดเจนตามข้อกำหนดของระเบียบข้อบังคับด้านการคุ้มครองข้อมูล​​ 

8. การถ่ายโอนข้อมูลระหว่างประเทศนอกสหภาพยุโรป​​ 

การส่งต่อข้อมูลส่วนบุคคลของพนักงานไปยังประเทศนอกสหภาพยุโรปมีความเสี่ยงสูงมาก เนื่องจากไม่มีการรับประกันว่าจะได้รับการคุ้มครอง โครงสร้างว่าด้วยข้อมูลทั่วไปได้กำหนด ข้อจำกัดบางประการ เพื่อจำกัดความสามารถของบริษัทในการถ่ายโอนข้อมูลดังกล่าว และเพื่อบังคับใช้สิทธิของพนักงาน​​ 

9. สัญญาผู้ขายบุคคลที่สาม​​ 

จำเป็นต้องอัปเดตสัญญากับซัพพลายเออร์หรือผู้รับจ้างที่มีสิทธิ์เข้าถึงข้อมูลส่วนบุคคลของบริษัทเพื่อให้แน่ใจว่ามีการปฏิบัติตามกฎระเบียบของ GDPR ซึ่งรวมถึงสัญญากับผู้ให้บริการด้านบัญชีเงินเดือนและการจัดหางาน​​ 

เนื่องจากปริมาณข้อมูลส่วนบุคคลที่บริษัทจัดการในระหว่างกระบวนการทั้งหมด การมีส่วนร่วมของแผนกทรัพยากรบุคคลเพื่อปฏิบัติตาม GDPR จึงเป็นสิ่งสำคัญ ดังนั้นจึงจำเป็นต้องพิจารณาองค์ประกอบทั้งหมดของ GDPR เพื่อนำแผนปฏิบัติการที่มีประสิทธิภาพไปใช้​​ 

อินโฟกราฟิกของปัจจัยสำคัญของ GDPR ในฝ่ายทรัพยากรบุคคล​​ 

ทีมทรัพยากรบุคคลจะทำอะไรได้บ้างเพื่อให้เป็นไปตาม GDPR​​ 

GDPR กำหนดให้บริษัทต้องดำเนินการในเชิงรุกและรับผิดชอบในการใช้มาตรการทางเทคนิคและระดับองค์กรที่รับรองการประมวลผลข้อมูลการร้องเรียน​​ 

บริษัทต่างๆ จำเป็นต้องวิเคราะห์ประเภทของข้อมูลที่พวกเขาประมวลผล วัตถุประสงค์ของข้อมูล และวิธีที่พวกเขาประเมินผลข้อมูลนั้น ต่อไปนี้คือเคล็ดลับบางประการที่จะช่วยให้ทีมทรัพยากรบุคคลปฏิบัติตาม GDPR:​​ 

1. จ้างเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)​​ 

ตามที่กำหนดโดย มาตรา 37 ของระเบียบว่าด้วยข้อมูลทั่วไป การว่าจ้าง DPO ถือเป็นสิ่งสำคัญ อ.ส.ค. มีหน้าที่รับผิดชอบในการกำกับดูแลบริษัทต่างๆ กลยุทธ์ด้านข้อมูล และรับรองระเบียบข้อบังคับด้วยระเบียบว่าด้วยข้อกำหนดทั่วไปของข้อมูลทั่วไป​​ 

2. จดรายการการประมวลผลข้อมูลส่วนบุคคล​​ 

การเก็บบันทึกข้อมูลสำคัญทำให้การติดตามและประมวลผลง่ายขึ้น และช่วยตรวจสอบการปฏิบัติตามกฎระเบียบ ข้อควรพิจารณาที่สำคัญบางประการขณะติดตามข้อมูลบริษัทของคุณ:​​ 

  • ระบุข้อมูลส่วนบุคคลและข้อมูลที่ละเอียดอ่อน ตลอดจนการดำเนินการประมวลผลที่มีอยู่และตรวจสอบการปฏิบัติตามกฎระเบียบ​​ 
  • ค้นหาว่าใคร (พนักงาน ผู้รับจ้าง หรือซัพพลายเออร์) ที่มีสิทธิ์เข้าถึงข้อมูล และเหตุผลในการเข้าถึงข้อมูล​​ 
  • ควบคุมดูแลพนักงาน ผู้รับจ้าง และซัพพลายเออร์ที่ทำงานกับข้อมูลของบริษัทและทบทวนสัญญา​​ 
  • ตรวจสอบว่าการประมวลผลข้อมูลที่ทำเสร็จสิ้นโดยผู้รับจ้างและซัพพลายเออร์ ต้องสอดคล้องกับ GDPR​​ 
  • วิเคราะห์วิธีปฏิบัติในการเก็บถาวรและเวลาเก็บรักษาข้อมูลส่วนบุคคลของฝ่ายทรัพยากรบุคคล​​ 
  • ตรวจสอบให้แน่ใจว่าโซลูชันทรัพยากรบุคคลและระบบข้อมูลทรัพยากรบุคคล (HRIS) ของคุณ (ถ้ามี) เป็นไปตาม GDPR​​ 

3. เริ่มปฏิบัติ​​ 

เมื่อคุณสร้างรายการสินค้าและระบุการแก้ไขที่จำเป็นแล้ว สิ่งสำคัญคือต้องสร้างและดำเนินการตามแผนปฏิบัติการที่คุณกำหนดขั้นตอนไว้​​ 

ตรวจสอบให้แน่ใจว่าคุณ:​​ 

  •  ตรวจสอบข้อมูล​​ 
  • ดำเนินการประเมินผลกระทบ​​ 
  • ตรวจสอบมาตรการป้องกันและรักษาความปลอดภัยของคุณ​​ 
  • ตรวจสอบกระบวนการและขั้นตอนของคุณ​​ 

4.ดำเนินการตามแผนการสื่อสาร​​ 

สิ่งสำคัญคือต้องใช้แผนการสื่อสารภายในเพื่อให้พนักงานทุกคนทราบวิธีเข้าถึงข้อมูลของตนและต้องทำอย่างไรในกรณีที่มีการเปลี่ยนแปลงในกระบวนการนี้ ส่วนหนึ่งของข้อบังคับใหม่กำหนดให้บริษัทสื่อสารให้ชัดเจนว่าจะจัดเก็บข้อมูลส่วนบุคคลของพนักงานอย่างไร ที่ไหน และนานแค่ไหน​​ 

5. ตรวจสอบให้แน่ใจว่าข้อมูลที่เก็บไว้นั้นถูกต้อง​​ 

บริษัทต้องมั่นใจว่าจะเก็บข้อมูลที่ถูกต้องและเป็นปัจจุบันเท่านั้น พวกเขายังต้องระบุข้อมูลที่ต้องการเก็บไว้และข้อมูลที่ต้องลบทิ้ง ยิ่งคุณมีข้อมูลน้อยเท่าไหร่ การปฏิบัติตาม GDPR ก็จะยิ่งง่ายขึ้นเท่านั้น​​ 

6. ตรวจสอบนโยบายความเป็นส่วนตัว​​ 

บริษัทต้องโปร่งใสกับข้อมูลที่พวกเขาจัดการ การตรวจสอบข้อตกลงความเป็นส่วนตัวจะสร้างความโปร่งใสและสร้างความไว้วางใจ อัปเดตนโยบายและขั้นตอนการรักษาความปลอดภัยของข้อมูลโดยใช้ภาษาที่ชัดเจนและเรียบง่าย และตรวจสอบให้แน่ใจว่านโยบายเหล่านี้เข้าถึงได้ง่าย​​ 

7. บังคับใช้สิทธิของพนักงาน​​ 

ดังที่เราได้กล่าวไปแล้ว GDPR ได้กำหนดสิทธิ์ใหม่สำหรับพนักงาน เป็นสิ่งสำคัญที่จะต้องแน่ใจว่ามีการบังคับใช้สิทธิเหล่านี้เพื่อหลีกเลี่ยงการลงโทษ​​ 

8. ใช้ GDPR เป็นส่วนหนึ่งของวัฒนธรรมบริษัท​​ 

เป็นสิ่งสำคัญที่บริษัทต่างๆ จะต้องกำหนดระเบียบข้อบังคับให้ทราบทั่วทั้งองค์กร คุณมั่นใจได้ว่าพนักงานทุกคนรับทราบและมีคนเข้าใจพวกเขาผ่านการผสานรวมเข้ากับวัฒนธรรมของบริษัท​​ 

9. ปรับปรุงการรักษาความปลอดภัย​​ 

ตรวจสอบให้แน่ใจว่าข้อมูลมีความปลอดภัยและหลีกเลี่ยงการรั่วไหล ในกรณีที่มีการละเมิดข้อมูล จะต้องแจ้งให้ฝ่ายที่ได้รับผลกระทบทราบภายใน 72 ชั่วโมง เพื่อหลีกเลี่ยงการรั่วไหล คุณควรจ้างผู้ให้บริการจัดเก็บข้อมูลที่เชื่อถือได้ นอกเหนือจากการจัดทำนโยบายความปลอดภัยที่ได้รับการปรับปรุงอยู่เสมอ​​ 

10. รับความยินยอมจากพนักงาน​​ 

คุณจำเป็นต้องแจ้งให้พนักงานทราบเกี่ยวกับมาตรการและขั้นตอนการดำเนินการ และต้องได้รับความยินยอมจากพนักงานในการประมวลผลและถ่ายโอนข้อมูล ความยินยอมต้องเป็นการแสดงออกถึงข้อตกลงโดยเสรี รับทราบข้อมูล และชัดเจน​​ 

อินโฟกราฟิกของสิ่งที่ทีมทรัพยากรบุคคลสามารถทำได้เพื่อให้สอดคล้องกับ GDPR​​ 

นอกเหนือจากภาระผูกพันที่แสดงให้เห็นแล้ว GDPR ยังมีส่วนช่วยในการปรับปรุงประสิทธิภาพบริษัทของคุณ ตลอดจนความมั่นใจและสวัสดิภาพของพนักงาน อย่างไรก็ตาม สิ่งนี้จะเกิดขึ้นก็ต่อเมื่อข้อมูลและความปลอดภัย เครื่องมือ วิธีการ และกระบวนการของคุณมีความคล่องตัว​​ 

ความท้าทายใหม่เหล่านี้ทำให้แผนกทรัพยากรบุคคลมีโอกาสเป็นแรงผลักดันให้บริษัทก้าวไปสู่ความเป็นสากล เสริมสร้างคุณภาพของความร่วมมือกับซัพพลายเออร์และผู้รับจ้าง การมีนโยบายที่ชัดเจนเกี่ยวกับการจัดการข้อมูลส่วนบุคคลยังช่วยปรับปรุงชื่อเสียงของบริษัทและทำให้พวกเขาน่าดึงดูดใจในฐานะนายจ้าง​​