Početna Blog Usklađenost s GDPR-om: sve što HR timovi trebaju znati!

Usklađenost s GDPR-om: sve što HR timovi trebaju znati!

Svi članci
18.03.2022.

GDPR ima ogroman utjecaj na odjele za ljudske potencijale koji moraju prilagoditi svoje procese kako bi bili u skladu sa zahtjevima GDPR-a.

Cilj GDPR-a je standardizirati i ojačati prava ispitanika u odnosu na njihove osobne podatke. To znači da se svaka organizacija koja se bavi osobnim podacima ispitanika mora pridržavati standarda za transparentnost, sigurnost i odgovornost.

 

Kako GDPR utječe na ljudske potencijale?

GDPR zahtijeva od tvrtki da pohranjuju samo bitne, točne i ažurne podatke o zaposlenicima. Također, tvrtke moraju jasno odrediti kako, gdje i koliko dugo će se pohranjivati ​​osobni podaci zaposlenika. Na isti način zaposlenici mogu u bilo kojem trenutku izmijeniti svoje podatke, zatražiti kopiju pohranjenih podataka ili zatražiti njihovo brisanje.

 

Odjeli za ljudske potencijale moraju razumjeti rizik i odgovornost pri rukovanju informacijama zaposlenika kako bi izbjegli sankcije, jer nepoštivanje može rezultirati kaznama do 20 milijuna eura ili 4 posto godišnjeg prometa.

 

Ključni čimbenici GDPR-a u ljudskim potencijalima

Kako bi bili u skladu s GDPR-om, HR timovi moraju prilagoditi i poboljšati svoje procese upravljanja zaposlenicima kako bi jamčili prava zaposlenika i slijedili smjernice za zaštitu podataka.

Evo najvažnijih čimbenika koje ljudski potencijali trebaju uzeti u obzir:

1.Prikupljanje osobnih podataka

Prikupljanje i obrada osobnih podataka ograničeno je na relevantne informacije za ispunjenje ugovora o radu (npr. evidencija radnog vremena) ili informacije koje su potrebne za ispunjavanje zakonske obveze (npr. obračun plaća).

Pristanak je nužan kada ne postoji druga pravna osnova koja potvrđuje obradu podataka (npr. privatni račun e-pošte).

2. Pravo zaposlenika na informiranje

Tvrtke su dužne informirati zaposlenike o svrsi i pravnoj osnovi obrade podataka te o razdoblju u kojem će se osobni podaci čuvati. Ove informacije moraju se dati u trenutku kada se dobiju osobni podaci zaposlenika.

3. Nova prava za zaposlenike

GDPR je uveo nova prava zaposlenika, kao što je pravo na prenosivost podataka, koje zaposlenicima omogućuje dobivanje i ponovnu upotrebu njihovih osobnih podataka za vlastite potrebe na različitim uslugama. Uređuje i posebna prava, kao što je pravo na zaborav kojim se zaposlenicima omogućuje da zatraže brisanje svojih osobnih podataka, te pravo na ispravak kojim se zaposlenicima daje pravo na ispravak netočnih osobnih podataka.

Pravo suprotstavljanja aktivnostima profiliranja onemogućuje tvrtkama da donose odluke temeljene isključivo na automatiziranoj obradi, što će imati važan utjecaj na implementaciju softvera za umjetnu inteligenciju u području ljudskih potencijala.

4. Službenik za zaštitu podataka

Tvrtke moraju imenovati službenika za zaštitu podataka (DPO) koji djeluje neovisno s potrebnim resursima za obavljanje svojih dužnosti. DPO je odgovoran za praćenje politike zaštite podataka tvrtke i njezinu provedbu kako bi se osigurala usklađenost s GDPR-om.

5. Procjene utjecaja i kršenja sigurnosti

Tvrtke moraju provesti procjenu učinka kako bi identificirale aktivnosti koje predstavljaju značajan rizik za prava radnika ili kršenje sigurnosti. U slučaju povrede osobnih podataka, tvrtke moraju obavijestiti nadležna tijela najkasnije 72 sata nakon otkrivanja povrede.

6. Kodeksi ponašanja

Kako bi se prilagodile novim zahtjevima zaštite podataka, tvrtke moraju ispitati svoje interne politike i kodekse ponašanja u vezi s korištenjem telematike. Također, tvrtke moraju prilagoditi svoj sadržaj presudi Europskog suda za ljudska prava (ECHR), kao i utjecaju novih tehnologija na radnom mjestu.

7. Video nadzor

Tvrtke također moraju preispitati svoju proceduru za ugradnju i korištenje video nadzora. EKLJP utvrđuje da za ugradnju fiksnih kamera radnici moraju biti prethodno i jasno obaviješteni o njihovoj namjeni, u skladu s odredbama propisa o zaštiti podataka.

8. Međunarodni prijenos podataka izvan EU

Prijenos osobnih podataka zaposlenika u zemlje izvan EU-a predstavlja veliki rizik, jer ne postoji jamstvo zaštite. GDPR je nametnuo određena ograničenja kako bi se ograničila sposobnost tvrtke za prijenos takvih podataka i za provođenje prava zaposlenika.

9. Ugovori s trećima

Potrebno je ažurirati ugovore s dobavljačima ili izvođačima koji imaju pristup osobnim podacima zaposlenika tvrtke kako bi se osigurala usklađenost sa zahtjevima GDPR-a. To uključuje ugovore s npr. vanjskim računovodstvom ili agencija koje pružaju usluga zapošljavanja.

 

Zbog količine osobnih podataka kojima tvrtka upravlja tijekom svih svojih procesa, doprinos HR odjela usklađenosti s GDPR-om je ključan. Stoga je bitno razmotriti sve elemente GDPR-a za provedbu učinkovitog akcijskog plana.

 

Što HR timovi mogu učiniti kako bi bili u skladu s GDPR-om?

GDPR zahtijeva od tvrtki proaktivnost i odgovornost za provedbu tehničkih i organizacijskih mjera koje osiguravaju obradu podataka u skladu s GDPR-om kao i osiguravanje adekvatnog rješavanja zahtjeva ispitanika.

 

Tvrtke su dužne analizirati vrstu podataka koje obrađuju, njihovu svrhu i način na koji to rade.

Evo nekoliko savjeta koji će pomoći timovima za ljudske potencijale da se pridržavaju GDPR-a:

1. Angažirajte službenika za zaštitu podataka (DPO)

Kako nalaže članak 37. GDPR-a, angažiranje DPO-a je ključno. DPO je odgovoran za nadzor nad strategijama zaštite podataka tvrtki i osigurava usklađenost sa zahtjevima GDPR-a.

2. Evidencije aktivnosti obrade

Evidencije aktivnosti obrade olakšavaju praćenje i obradu te pomažu u provjeravanju usklađenosti. Evo nekoliko ključnih razmatranja prilikom praćenja obrade podataka:

  • Identificirajte osobne podatke i posebne kategorije osjetljivih podataka, kao i postojeće postupke obrade i provjerite usklađenost.
  • Saznajte tko (zaposlenici, dobavljači, sponzori) ima pristup podacima i zašto.
  • Nadgledajte zaposlenike i poslovne partnere (izvođače, dobavljače, itd…) koji rade s podacima tvrtke i pregledajte ugovore.
  • Provjerite je li svaka obrada podataka koju obavljaju izvođači i dobavljači u skladu s GDPR-om.
  • Analizirajte prakse arhiviranja i vrijeme zadržavanja osobnih podataka HR-a.
  • Osigurajte da su rješenja za ljudske resurse i vaš informacijski sustav ljudskih potencijala, ako je primjenjivo, u skladu s GDPR-om.

3. Napravite akcijski plan

Nakon što ste napravili inventuru i identificirali potrebne ispravke, važno je izraditi i provesti akcijski plan u kojem ćete definirati korake koje trebate slijediti.

Pobrinite se za sljedeće aspekte:

  • Revizija podataka
  • Provođenje procjena učinka na zaštitu podataka
  • Pregledajte svoje mjere zaštite i sigurnosti
  • Pregledajte svoje procese i postupke.

4. Provedite plan komunikacije

Važno je implementirati interni komunikacijski plan kako bi svi zaposlenici znali kako pristupiti svojim informacijama i što učiniti u slučaju bilo kakve promjene u tom procesu. GDPR zahtijeva od tvrtki da jasno komuniciraju kako, gdje i koliko dugo će se pohranjivati ​​osobni podaci zaposlenika.

5. Provjerite jesu li pohranjeni podaci točni

Tvrtke moraju osigurati da čuvaju samo ispravljene i ažurirane podatke. Također moraju identificirati koje podatke trebaju čuvati, a koje treba izbrisati. Što manje podataka imate, lakše ćete se uskladiti s GDPR-om.

6. Pregledajte pravila o privatnosti

Tvrtke moraju biti transparentne s podacima kojima rukuju. Pregledom ugovora o privatnosti stvara se transparentnost i gradi povjerenje. Ažurirajte pravila i postupke sigurnosti podataka jasnim i jednostavnim jezikom i provjerite jesu li ta pravila lako dostupna.

7. Osigurajte ostvarivanje prava zaposlenika

Kao što smo spomenuli, GDPR uspostavlja nova prava za zaposlenike. Ključno je osigurati provođenje ovih prava kako bi se izbjegle sankcije.

8. Usvojite GDPR kao dio kulture tvrtke

Važno je da tvrtke objave propise u cijeloj organizaciji. Integrirajući ih u kulturu tvrtke, osiguravate da ih svi zaposlenici znaju i razumiju.

9. Poboljšajte sigurnost

Provjerite jesu li podaci sigurni i izbjegnite povrede. U slučaju povrede podataka, pogođene strane moraju biti obaviještene u roku od 72 sata. Da biste izbjegli povrede, trebali biste angažirati pouzdane usluge pohrane podataka, uz uspostavljanje ažuriranih sigurnosnih pravila.

10. Zatražite privolu zaposlenika

Za vas je bitno obavijestiti zaposlenike o mjerama i postupcima koji se provode te dobiti njihovu suglasnost za obradu i prijenos njihovih podataka. Pristanak mora biti slobodan, informiran i jasan izraz dogovora.

Osim obveze koju predstavlja, GDPR može doprinijeti poboljšanju uspješnosti vaše tvrtke, te povjerenju i dobrobiti zaposlenika. Međutim, to je samo ako su vaši podaci i sigurnost, a alati, metode i procesi pojednostavljeni.

 

Ovi novi izazovi daju odjelima za ljudske potencijale priliku da budu pokretači internacionalizacije svoje tvrtke, jačajući kvalitetu njihove suradnje sa svojim poslovnim partnerima. Jasna politika upravljanja osobnim podacima također poboljšava ugled tvrtki i čini ih privlačnima kao poslodavcima.

 

Imate pitanja? Kontaktirajte nas!
Odgovaramo u najbržem mogućem roku.

Newsletter
Prijavi se i ostvari eksluzivan pristup novostima iz svijeta GDPR-a.