Nimeni cu scapă de GDPR. 6 implicații pentru HR
Anul acesta, intră în vigoare noua legislație europeană pentru operarea datelor într-un mod cu mult mai strict decât până acum. O legislație de care nimeni nu va scăpa! Astfel, începând cu 25 mai 2018, Regulamentul General privind Protecția Datelor (GDPR) se va baza pe actul normativ existent privind protecția datelor, impunând reguli mai stricte privind modalitatea în care societățile gestionează datele. Introducerea GDPR va schimba modul în care organizațiile pot stoca și utiliza informațiile personale. Și, bineînțeles, acest lucru va avea, de asemenea, o repercusiune directă asupra politicii de resurse umane. José Alberto Rodríguez Ruiz, ofițer de confidențialitate la Cornerstone OnDemand, subliniază cele șase implicații principale ale noii legi pentru resurse umane, venind cu precizări cât se poate de utile și lămuritoare:
1. Nu mai agonisiți
Conform noilor reglementări, organizațiile pot păstra datele cu caracter personal numai atâta timp cât este necesar. De exemplu, într-un proces de aplicare, datele candidaților care nu sunt angajați ar trebui să fie șterse la scurt timp după procesul de recrutare, cu excepția cazului în care respectii candidați și-au dat consimțământul explicit. De asemenea, datele angajaților care părăsesc o companie (prin demisie, pentru că au găsit un alt loc de muncă sau au fost concediați) pot fi reținute doar pentru o perioadă limitată de timp, ceea ce va afecta cu siguranță procedurile multor companii în acest sens. "Ștergerea datelor angajaților" trebuie să fie completată cu datele existente pe lista detaliată a activității pe "telefonul mobil de serviciu" al acestora.
2. Informațiile trebuie să fie vizate
Angajatorii pot solicita date numai potențialilor angajați dacă este necesar. Pentru toate celelalte forme de colectare a datelor, trebuie solicitată o permisiune explicită. O analiză critică a procedurii actuale de solicitare este, prin urmare, esențială. De exemplu, sunt necesare informații pentru a face o evaluare corectă. Același lucru este valabil și pentru datele angajaților actuali. Orice date privitoare la angajați trebuie luate de către companie pentru un motiv bine întemeiat. Anterior, companiile puteau colecta date generice cum ar fi statutul civil, numărul de copii, permisul de conducere, etc. Dar, acum, va fi mai dificilă justificarea colectării datelor care nu au legătură directă cu rolul sau conducerea angajatului.
3. Asigurați transparență și responsabilitate
Începând cu data de 25 mai 2018, companiile sunt obligate să furnizeze informații despre cum și unde sunt stocate și prelucrate datele angajaților. Pentru informații care necesită permisiunea angajaților, consimțământul lor trebuie deținut și de companie. Acest lucru nu este definitiv, angajații au dreptul să-și retragă permisiunea. De asemenea, trebuie clarificat cine are acces la ce date. Pentru a face această transparență posibilă, companiile trebuie să analizeze critic actuala arhitectură a datelor stocate. Actualul mod de arhivare îndeplinește cerințele mai stricte sau ar trebui procesele să se schimbe? În special, companiile vor trebui să documenteze și să dovedească modul în care respectă noua lege.
4. Utilizați datele numai în scopul dorit
Departamentele de resurse umane nu sunt limitate doar la cantitatea de date pe care le pot solicita de la angajați sau solicitanți (a se vedea al doilea punct). Astfel, acestea pot utiliza aceste informații numai în scopul pentru care sunt solicitate. Cu condiția să fi fost acordat un consimțământ explicit. Acest lucru poate împiedica capacitatea unei companii de a menține, din perspectiva datelor, un fond de talente. Stocarea informațiilor personale de contact pentru utilizarea în viitor fără permisiune nu este permisă de noul act de date.
5. Urmăriți datele
Obligația de a actualiza informațiile personale are și consecințe pentru HR. Modificările de date de la personal (îndepărtarea, schimbarea locului de muncă, etc.) sunt de obicei păstrate. Dar ce se întâmplă cu evaluările performanței? Există interviuri de performanță și, dacă da, sunt stocate central sau sunt revizuite într-un mod diferit? Oricare ar fi forma, HR trebuie să se asigure că sunt disponibile instrumentele potrivite pentru păstrarea datelor într-o manieră simplă și utilă.
6. Protecția datelor
Unul dintre principalele obiective ale noului act european privind protecția datelor este asigurarea protecției datelor cu caracter personal. Aceasta înseamnă că datele trebuie stocate în siguranță. Pe plan intern, securitatea datelor trebuie să fie bine organizată: doar o cantitate limitată de persoane ar trebui să aibă acces la informațiile confidențiale. Colaborarea strânsă cu IT este necesară pentru a găsi echilibrul corect între recuperarea datelor și modul de protejare a acestor date de amenințările externe. Pe plan extern, dacă se utilizează subcontractarea sau subprocesarea (de exemplu, prin sistemul cloud), companiile trebuie să aleagă un furnizor cu garanții adecvate (în special, securitatea datelor). Acestea trebuie să aibă un contract care să acopere toate aspectele legate de subcontractare / subprocesare, să asigure sprijinul furnizorului în caz de incidente, să asigure capacitatea de recuperare a datelor și să le elimine la sfârșitul contractului. Ca atare, pentru a se conforma GDPR, companiile ar putea fi nevoite să revizuiască actualul ecosistem de furnizori, garanții și contractele pe care le au în vigoare.