Pregătirea pentru GDPR: măsuri imediat aplicabile în departamentul de HR

25 Aprilie 2018

Departamentul de HR deține și prelucrează date sensibile despre angajații companiei tale, motiv pentru care există câteva măsuri pe care trebuie să le fi aplicat deja sau să le aplici cât mai repede posibil pentru a te alinia cerințelor GDPR.

Cât va dura să te aliniezi e greu de estimat, dar folosirea unui software de HR ce respectă cerințele GDPR va scurta cu siguranță timpul necesar și îți va simplifica întregul proces de aliniere. Află ce măsuri ar trebui să aplici acum pentru ca luna mai 2018 să te prindă pregătit.

 

Responsabilul pentru protecţia datelor

Chiar dacă GDPR-ul nu te obligă să angajezi un responsabil pentru protecţia datelor / Data Protection Officer, ar trebui să te gândești serios la colaborarea cu un specialist în domeniu care să te ajute să te aliniezi noilor cerințe, să îți ofere training, drafturi de proceduri și politici, să fie o persoană de contact în legătură cu autoritatea de protecție a datelor abilitată și să te sfătuiască în general cu aspecte legate de GDPR.

Pașii următori: 

Tu decizi dacă angajezi un DPO sau numești pe cineva din intern. Dacă alegi pe cineva din cadrul companiei, ar fi bine să afli de ce pregătire are nevoie în continuare, ce rol va îndeplini și să te asiguri că nu va intra în conflict cu alte sarcini existente pe care le are de îndeplinit.

 

Consimțământul primit în contractele de muncă

Conform GDPR, consimțământul pentru procesarea datelor personale, în absența unor motive justificate, trebuie să fie oferit liber, informat și explicit. În prezent, mulți angajatori prind permisiunea de a prelucra datele sub consimțământul oferit prin contractul de angajare, dar sunt puține șanse ca acest mecanism să mai fie eficient în viitor.

Ce înseamnă justificare? Poate fi nevoia de a procesa anumite date pentru a măsura performanțele sau pentru a proteja interesele angajaților tăi. Cele mai problematice sunt datele cu caracter personal sensibile, cum ar fi statutul civil, starea de sănătate, cazierul. De acum înainte vei justifica nevoia de a deține aceste informații.

Pașii următori:

Ai neapărată nevoie de auditul datelor personale pe care le deții despre angajații tăi. Trebuie să știi ce date deții și motivul pentru care le procesezi. Dacă nu există o justificare legală pentru a colecta și procesa datele, atunci vei avea de șters tot ce reprezintă date inutile și date personale pentru care nu ai un consimțământ valid.

 

Emiterea de notificări privind confidențialitatea

Odată cu intrarea în vigoare a cerințelor GDPR, angajații vor avea dreptul de a cere informații detaliate cu privire la modul în care folosești datele lor personale. Nu e suficient doar să justifici motivul pentru care le prelucrezi datele personale, ci trebuie să prezinți și baza legală care îți permite să faci acest lucru. Informațiile pe care le oferi angajaților trebuie să fie concise, transparente și ușor de accesat.

Pașii următori:

Cel mai important e să conturezi notificări privind confidențialitatea clare și simple pentru angajații tăi. Aceste notificări trebuie să ajungă la toți angajații tăi și ar fi de preferat să se întâmple cât mai repede, înainte de intrarea în vigoare a GDPR.

 

Încălcarea securității datelor cu caracter personal

Odată cu GDPR-ul, orice încălcare a securității datelor cu caracter personal trebuie raportată autorității de protecție a datelor abilitată, și acest lucru trebuie să se întâmple în parcursul a 72 de ore. În plus, dacă această încălcare are efect asupra drepturilor și libertăților angajatului, atunci angajatul trebuie anunțat fără întârziere asupra situației.

Pașii următori:

Ai nevoie de stabilirea unei proceduri prin care să anunți imediat acest timp de încălcări. Acest plan ar putea fi pus la punct și coordonat de către responsabilul pentru protecţia datelor (DPO). De asemenea, angajații tăi trebuie să fie încurajați să anunțe astfel de situații, ce se pot ivi dintr-o greșeală umană, cum ar fi un stick de memorie cu datele angajaților ce a fost pierdut într-o sală de conferințe. E important să raportezi pentru a evita penalizările autorității de protecție a datelor abilitate.

 

Solicitările de acces din partea persoanelor vizate

Solicitările de acces din partea persoanelor vizate sunt oarecum controversate căci sunt adesea folosite de foști angajați sau de angajații nemulțumiți pentru a colecta informații ce ajung în sala de judecată într-un proces împotriva angajatorului. Conform GDPR, ca angajator, ești obligat să răspunzi solicitărilor primite de la angajați sau foști angajați în cel mult o lună de zile.

Pașii următori:

Cu cât vei avea mai multe solicitări, cu atât îți va fi mai greu să le faci față în lipsa unui sistem software capabil să te ajute în identificarea rapidă a datelor solicitate și a trasabilității acestora. În cazul în care folosești deja un astfel de software de HR, e bine să evaluezi dacă modul în care este setat în acest moment corespunde noilor politici și proceduri ale companiei tale, care te ajută să respecți cerințele GDPR, și ce alte funcționalități disponibile te-ar ajuta suplimentar. De exemplu, ai putea să oferi acces angajaților în mod transparent la cât mai multe din datele lor personale pe care le deții și prelucrezi, astfel încât să nu mai fie nevoie de astfel de solicitări.

GDPR e cadrul legal de care avem nevoie într-o lume puternic digitalizată, iar tu ai nevoie să aplici aceste măsuri deoarece, dincolo de amenzile mari pe care riști să le primești, respectarea noului regulament te ajută să construiești un lanț de încredere.

Vrei să afli mai multe despre cum să depășești provocările legate de GDPR?

Află cum te poate ajuta un software de HR să gestionezi legal și în siguranță datele cu caracter personal ale angajaților și candidaților tăi.