歐盟(European Union2016/679,簡稱GDPR)法規,在兩年過渡期2018 年 5 月 25 日後生效。 該法規要求,在歐盟運營的所有公司在管理顧客、用戶、供應商和員工的個人資料時,採用新的政策、流程和做法。
《一般資料保護規範》(GDPR) 對人力資源部門產生了巨大的影響,因為人力資源部門必須調整其流程來符合該法規的要求。
《一般資料保護規範》(GDPR) 的目的是規範和加強歐洲居民在個人資料方面的權利。 這表示,任何一家處理歐盟居民個人資料的公司,都必須符合透明度、安全性和問責制的新標準。
GDPR 如何影響人力資源?
GDPR 要求公司僅儲存必要、準確且最新的員工資料。 此外,公司要明確告知員工的個人資訊會以何種方式儲存、在何處儲存以及儲存多久。 同樣地,員工能隨時使用資訊、索要儲存資料的副本以及要求刪除資料。
人資團隊必須瞭解處理員工資訊時所涉及的風險和責任,以避免受到制裁,因為違反規定可能導致最高 00 萬歐元20的罰款,或是年營業額的 4%。
GDPR 人力資源的關鍵 因素
為了符合《一般資料保護規範》(GDPR),人力資源團隊必須調整和改進管理流程,以便保障員工權利並遵循資料保護準則。
以下是人力資源團隊應考慮的關鍵因素:
1.個人資料收集
收集和處理個人資料是合法的,但僅限於勞動契約中的相關資訊(例如考勤制度),或履行法律義務時所需的資訊(例如薪資發放)。
如果沒有其他法律依據能證實資料(例如個人電子郵件帳戶)處理的合法性,則應徵得同意。
2. 員工獲得通知的權利
公司有義務告知員工資料處理的目的和法律依據,以及個人資料的保存期限。 該資訊必須在獲取員工個人資訊時提供。
3. 員工的新權利
《一般資料保護規範》(GDPR) 引入了新的員工權利,例如資料可攜性權利;這項權利允許員工可以在不同的服務中,出於自己的目的獲取和重用個人資訊。 它還規定了特定權利,例如允許員工要求刪除其個人資料的權利,以及允許員工獲得糾正不準確個人資料的權利。
反對分析活動權防止公司僅基於自動化處理作出決策,這會對人工智慧在人力資源領域的實施產生重要影響。
4. 資料保護長
公司必須任命一名資料保護長 (DPO),其行事獨立,且擁有必要的資源來履行職責。 資料保護長負責監督公司的資料保護政策及實施情況,確保符合《一般資料保護規範》(GDPR)。
5. 影響評估和安全漏洞
公司必須進行影響評估,找出會嚴重危及員工權利的操作或安全漏洞。 如果個人資料洩露,公司必須在找到安全漏洞後的 72 小時內通知當局。
6. 語言 和 行為準則
為了適應新的資料保護要求,公司必須檢查與使用車載資通訊系統有關的內部政策以及行為準則。 此外,公司必須根據歐洲人權法庭 (ECHR) 的判決和新科技對工作場所的影響調整其內容。
7. 視訊監視
公司還必須審查安裝和使用影像監控的程序。 歐洲人權法庭規定,若要安裝固定攝像頭,則必須根據資料保護條例的規定提前明確告知員工其用途。
8. 在歐盟以外傳輸資料
由於無法保證資料的安全,將員工個人資料傳輸到歐盟以外的國家/地區會造成巨大風險。 《一般資料保護規範》(GDPR) 強制實行某些限制條件,用以限制公司傳輸此類資料的能力以及執行員工權利。
9. 第三方廠商合約
必須要更新與可存取公司個人資料的供應商或約聘人員的契約,以便確保符合《一般資料保護規範》(GDPR) 的要求。 這包括涉及薪資發放和招聘供應商的契約。
由於公司在所有流程中管理的個人資料非常多,人力資源部門必須遵循《一般資料保護規範》(GDPR) 的規定。 因此,必須考慮《一般資料保護規範》(GDPR) 的所有要素,以便實施有效的行動計畫。
人力資源團隊 可以 如何 遵守 GDPR?
《一般資料保護規範》(GDPR) 要求公司主動負責實施技術和組織措施,確保投訴資料得到處理。
公司應分析所處理的資料類型、用途和用法。 下面是幫助人力資源團隊符合《一般資料保護規範》(GDPR) 的部分建議:
1. 聘用資料保護官 (DPO)
根據《一般資料保護規範》(GDPR) 第 37 條的規定,聘僱資料保護長至關重要。 資料保護長負責監督公司資料保護策略,並確保公司符合《一般資料保護規範》(GDPR) 要求。
2. 盤點個人資料處理情況。
盤點重要資料,既能讓追蹤和處理變得容易,又能幫助驗證合規情況。 下面是追蹤公司資訊時的一些關鍵注意事項:
- 確定個人資料、敏感性資料及現有的處理操作,然後驗證合規情況。
- 查明誰(員工、約聘人員或供應商)有權存取資料和可以存取資料的原因。
- 監控使用公司資料的員工、約聘人員和供應商,並審查契約。
- 驗證約聘人員和供應商完成的資料處理是否符合《一般資料保護規範》(GDPR)。
- 分析人力資源個人資料的封存做法和保留時間。
- 確保人力資源解決方案和人力資源資訊系統 (HRIS)(如適用)符合《一般資料保護規範》(GDPR)。
3. 採取行動
一旦進行了盤點並確定了需要更正的地方,就必須建立並實施行動計畫,在計畫中明確需要遵循的步驟。
確保要:
- 稽核資料
- 執行影響評估
- 審查保護和安全措施
- 審查程序。
4.執行溝通計畫
施行內部溝通計畫重要,可讓員工知道如何存取自己的資訊、在流程有變動時應該怎麼做。 部分新規要求公司要明確告知員工的個人資訊會以何種方式儲存、在何處儲存以及儲存多久。
5. 確保儲存資料正確無誤
公司必須確保只保存正確和最新的資料。 同時也要明確必須留存以及刪除哪些資料。 資料越少,就更容易符合《一般資料保護規範》(GDPR)。
6. 審查隱私政策
公司必須公開說明所處理的資料。 審查隱私權協議有助於提高透明度並建立信任。 使用清晰簡單的語言更新資料安全政策和流程,並確保這些政策易於存取。
7. 執行員工 的權利
前面提到過,《一般資料保護規範》(GDPR) 規定了員工新權利。 必須執行這些權利,避免受到制裁。
8. 將《一般資料保護規範》(GDPR) 納入公司文化
公司必須確保所有人都知道此法規。 透過將法規與公司文化相融合,確保所有員工都知曉並瞭解這些法規。
9. 提高安全性
確保資料安全,避免資料洩露。 一旦資料洩露,必須在 72 小時內通知受影響方。 為了防止資料洩露,除了更新安全政策,還應聘僱可靠的資料儲存服務提供商。
10. 取得員工同意
必須告知員工正在採取的措施和程序,取得員工同意後再處理和傳輸他們的資料。 同意必須以內容清晰的協議呈現,並且必須在員工自主、知請的情況下簽訂協議。
除了其所代表的義務以外,《一般資料保護規範》(GDPR) 還有助於提高公司績效、增強員工信心及改善員工福利。 但是,只有精簡了資料和安全、工具、方法以及流程後,這一切才會實現。
借助這些新挑戰,人力資源部門可以成為公司國際化的推動者,提高公司與供應商和約聘人員的合作質量。 明確的個人資料管理政策還能提升公司信譽,提高公司作為雇主的吸引力。
