GDPR ima ogroman utjecaj na odjele za ljudske potencijale koji moraju prilagoditi svoje procese kako bi bili u skladu sa zahtjevima GDPR-a.
Cilj GDPR-a je standardizirati i ojačati prava ispitanika u odnosu na njihove osobne podatke. To znači da se svaka organizacija koja se bavi osobnim podacima ispitanika mora pridržavati standarda za transparentnost, sigurnost i odgovornost.
Kako GDPR utječe na ljudske potencijale?
GDPR zahtijeva od tvrtki da pohranjuju samo bitne, točne i ažurne podatke o zaposlenicima. Također, tvrtke moraju jasno odrediti kako, gdje i koliko dugo će se pohranjivati osobni podaci zaposlenika. Na isti način zaposlenici mogu u bilo kojem trenutku izmijeniti svoje podatke, zatražiti kopiju pohranjenih podataka ili zatražiti njihovo brisanje.
Odjeli za ljudske potencijale moraju razumjeti rizik i odgovornost pri rukovanju informacijama zaposlenika kako bi izbjegli sankcije, jer nepoštivanje može rezultirati kaznama do 20 milijuna eura ili 4 posto godišnjeg prometa.
Ključni čimbenici GDPR-a u ljudskim potencijalima
Kako bi bili u skladu s GDPR-om, HR timovi moraju prilagoditi i poboljšati svoje procese upravljanja zaposlenicima kako bi jamčili prava zaposlenika i slijedili smjernice za zaštitu podataka.
Evo najvažnijih čimbenika koje ljudski potencijali trebaju uzeti u obzir:
1.Prikupljanje osobnih podataka
Prikupljanje i obrada osobnih podataka ograničeno je na relevantne informacije za ispunjenje ugovora o radu (npr. evidencija radnog vremena) ili informacije koje su potrebne za ispunjavanje zakonske obveze (npr. obračun plaća).
Pristanak je nužan kada ne postoji druga pravna osnova koja potvrđuje obradu podataka (npr. privatni račun e-pošte).
2. Pravo zaposlenika na informiranje
Tvrtke su dužne informirati zaposlenike o svrsi i pravnoj osnovi obrade podataka te o razdoblju u kojem će se osobni podaci čuvati. Ove informacije moraju se dati u trenutku kada se dobiju osobni podaci zaposlenika.
3. Nova prava za zaposlenike
GDPR je uveo nova prava zaposlenika, kao što je pravo na prenosivost podataka, koje zaposlenicima omogućuje dobivanje i ponovnu upotrebu njihovih osobnih podataka za vlastite potrebe na različitim uslugama. Uređuje i posebna prava, kao što je pravo na zaborav kojim se zaposlenicima omogućuje da zatraže brisanje svojih osobnih podataka, te pravo na ispravak kojim se zaposlenicima daje pravo na ispravak netočnih osobnih podataka.
Pravo suprotstavljanja aktivnostima profiliranja onemogućuje tvrtkama da donose odluke temeljene isključivo na automatiziranoj obradi, što će imati važan utjecaj na implementaciju softvera za umjetnu inteligenciju u području ljudskih potencijala.
4. Službenik za zaštitu podataka
Tvrtke moraju imenovati službenika za zaštitu podataka (DPO) koji djeluje neovisno s potrebnim resursima za obavljanje svojih dužnosti. DPO je odgovoran za praćenje politike zaštite podataka tvrtke i njezinu provedbu kako bi se osigurala usklađenost s GDPR-om.
5. Procjene utjecaja i kršenja sigurnosti
Tvrtke moraju provesti procjenu učinka kako bi identificirale aktivnosti koje predstavljaju značajan rizik za prava radnika ili kršenje sigurnosti. U slučaju povrede osobnih podataka, tvrtke moraju obavijestiti nadležna tijela najkasnije 72 sata nakon otkrivanja povrede.
6. Kodeksi ponašanja
Kako bi se prilagodile novim zahtjevima zaštite podataka, tvrtke moraju ispitati svoje interne politike i kodekse ponašanja u vezi s korištenjem telematike. Također, tvrtke moraju prilagoditi svoj sadržaj presudi Europskog suda za ljudska prava (ECHR), kao i utjecaju novih tehnologija na radnom mjestu.
7. Video nadzor
Tvrtke također moraju preispitati svoju proceduru za ugradnju i korištenje video nadzora. EKLJP utvrđuje da za ugradnju fiksnih kamera radnici moraju biti prethodno i jasno obaviješteni o njihovoj namjeni, u skladu s odredbama propisa o zaštiti podataka.
8. Međunarodni prijenos podataka izvan EU
Prijenos osobnih podataka zaposlenika u zemlje izvan EU-a predstavlja veliki rizik, jer ne postoji jamstvo zaštite. GDPR je nametnuo određena ograničenja kako bi se ograničila sposobnost tvrtke za prijenos takvih podataka i za provođenje prava zaposlenika.
9. Ugovori s trećima
Potrebno je ažurirati ugovore s dobavljačima ili izvođačima koji imaju pristup osobnim podacima zaposlenika tvrtke kako bi se osigurala usklađenost sa zahtjevima GDPR-a. To uključuje ugovore s npr. vanjskim računovodstvom ili agencija koje pružaju usluga zapošljavanja.
Zbog količine osobnih podataka kojima tvrtka upravlja tijekom svih svojih procesa, doprinos HR odjela usklađenosti s GDPR-om je ključan. Stoga je bitno razmotriti sve elemente GDPR-a za provedbu učinkovitog akcijskog plana.
Što HR timovi mogu učiniti kako bi bili u skladu s GDPR-om?
GDPR zahtijeva od tvrtki proaktivnost i odgovornost za provedbu tehničkih i organizacijskih mjera koje osiguravaju obradu podataka u skladu s GDPR-om kao i osiguravanje adekvatnog rješavanja zahtjeva ispitanika.
Tvrtke su dužne analizirati vrstu podataka koje obrađuju, njihovu svrhu i način na koji to rade.
Evo nekoliko savjeta koji će pomoći timovima za ljudske potencijale da se pridržavaju GDPR-a:
1. Angažirajte službenika za zaštitu podataka (DPO)
Kako nalaže članak 37. GDPR-a, angažiranje DPO-a je ključno. DPO je odgovoran za nadzor nad strategijama zaštite podataka tvrtki i osigurava usklađenost sa zahtjevima GDPR-a.
2. Evidencije aktivnosti obrade
Evidencije aktivnosti obrade olakšavaju praćenje i obradu te pomažu u provjeravanju usklađenosti. Evo nekoliko ključnih razmatranja prilikom praćenja obrade podataka:
3. Napravite akcijski plan
Nakon što ste napravili inventuru i identificirali potrebne ispravke, važno je izraditi i provesti akcijski plan u kojem ćete definirati korake koje trebate slijediti.
Pobrinite se za sljedeće aspekte:
4. Provedite plan komunikacije
Važno je implementirati interni komunikacijski plan kako bi svi zaposlenici znali kako pristupiti svojim informacijama i što učiniti u slučaju bilo kakve promjene u tom procesu. GDPR zahtijeva od tvrtki da jasno komuniciraju kako, gdje i koliko dugo će se pohranjivati osobni podaci zaposlenika.
5. Provjerite jesu li pohranjeni podaci točni
Tvrtke moraju osigurati da čuvaju samo ispravljene i ažurirane podatke. Također moraju identificirati koje podatke trebaju čuvati, a koje treba izbrisati. Što manje podataka imate, lakše ćete se uskladiti s GDPR-om.
6. Pregledajte pravila o privatnosti
Tvrtke moraju biti transparentne s podacima kojima rukuju. Pregledom ugovora o privatnosti stvara se transparentnost i gradi povjerenje. Ažurirajte pravila i postupke sigurnosti podataka jasnim i jednostavnim jezikom i provjerite jesu li ta pravila lako dostupna.
7. Osigurajte ostvarivanje prava zaposlenika
Kao što smo spomenuli, GDPR uspostavlja nova prava za zaposlenike. Ključno je osigurati provođenje ovih prava kako bi se izbjegle sankcije.
8. Usvojite GDPR kao dio kulture tvrtke
Važno je da tvrtke objave propise u cijeloj organizaciji. Integrirajući ih u kulturu tvrtke, osiguravate da ih svi zaposlenici znaju i razumiju.
9. Poboljšajte sigurnost
Provjerite jesu li podaci sigurni i izbjegnite povrede. U slučaju povrede podataka, pogođene strane moraju biti obaviještene u roku od 72 sata. Da biste izbjegli povrede, trebali biste angažirati pouzdane usluge pohrane podataka, uz uspostavljanje ažuriranih sigurnosnih pravila.
10. Zatražite privolu zaposlenika
Za vas je bitno obavijestiti zaposlenike o mjerama i postupcima koji se provode te dobiti njihovu suglasnost za obradu i prijenos njihovih podataka. Pristanak mora biti slobodan, informiran i jasan izraz dogovora.
Osim obveze koju predstavlja, GDPR može doprinijeti poboljšanju uspješnosti vaše tvrtke, te povjerenju i dobrobiti zaposlenika. Međutim, to je samo ako su vaši podaci i sigurnost, a alati, metode i procesi pojednostavljeni.
Ovi novi izazovi daju odjelima za ljudske potencijale priliku da budu pokretači internacionalizacije svoje tvrtke, jačajući kvalitetu njihove suradnje sa svojim poslovnim partnerima. Jasna politika upravljanja osobnim podacima također poboljšava ugled tvrtki i čini ih privlačnima kao poslodavcima.