Iar unul dintre departamentele care vor intra în contact direct cu normele regulamentului european privind colectarea și protecția datelor cu caracter personal este cel de resurse umane (HR), fix prin prisma faptului că oamenii de acolo lucrează cu datele personale ale tuturor angajaților dintr-o companie. Oricât de mare sau mică ar fi, indiferent dacă este din online sau offline.
Având în vedere faptul că după data de 25 mai, afacerile care nu se conformează regulamentului GDPR vor primi amenzi în valoare de 20 de milioane de euro sau 4% din cifra de afaceri, companiile ar trebui să-și instruiască departamentele de HR pentru ca managerii din ele să-ți facă o idee mai bună privind impactul pe care-l va avea GDPR asupra activității lor: consimțământul angajaților pentru prelucrarea datelor, cât timp se pot ține datele personale, o verificare a referințelor despre ei, dar și ce fac cu potențialii angajați într-un proces de recrutare, dar și cu cei care sunt respinși.
Noul regulament va avea impact asupra tipului de date personale colectate despre utilizator și a modului în care utilizatorul își oferă acordul pentru colectarea acestor date.
GDPR în HR - consimțămânul angajaților
Astfel, echipele de HR vor avea nevoie, în mod explicit, de consimțământul angajaților pentru colectarea și păstrarea acestor date personale. Totodată, companiile pot folosi informațiile personale ale angajaților doar pentru scopul în care au fost cerute și pentru care au primit consimțământul oamenilor din subordine. Dacă vor să folosească datele pentru altceva, va fi nevoie să ceară, din nou, permisiunea angajaților.
În alte cuvinte, business-urile vor trebui să aibă un proces de transparență totală în ceea ce privește relația cu angajații pe zona procesării datelor personale ale acestora.
Regulamentul GDPR - securitatea datelor
GDPR stabilește niște norme clare și în ceea ce privește furtul sau pierderea datelor persoale ale angajaților. Astfel, regulamentul spune clar că datele ar trebui prelucrate într-o manieră care asigură măsuri adecvate de securitate. Adică, incluzând protecții împotriva accesului neautorizat sau prelucrarea nelegală, distrugere sau vătămarea integrității.
Așa că, dacă știu că nu stau foarte bine pe zona de securitate online, firmele trebuie să aibă în vedere și măsuri suplimentare pentru protejarea acestor informații. În cazul în care un atac cibernetic duce la pierderea acestor informații, iar intimitatea angajaților este pusă în pericol, companiile vor trebui să anunțe autoritățile de resort în decurs de maximum 72 de ore.
Evident, este ideal ca toată lumea din firmă să evite breșele de securitate acordând atenție sporită mailurilor sau mesajelor spam pe care le primesc, paginilor pe care intră, și divulgării parolelor (lucruri la care angajații ar trebui, oricum, să fie atenți). Și asta pentru că o încălcare a securității, indiferent dacă este făcută în mod accidental sau ilegal, duce la pierderea, distrugerea, divulgarea sau modificarea neautorizată a datelor cu caracter personal prelucrate și stocate de companie și la accesul neautorizat la acestea.
GDPR - dreptul angajaților de a fi uitați
Regulamentul GDPR, care va intra în vigoare pe 25 mai, spune și că utizatorii, în cazul nostru angajații, au dreptul de a fi uitați, adică persoanele vizate au dreptul de a cere ștergerea datelor cu caracter personal în anumite circumstanțe. De exemplu, dacă datele nu mai sunt necesare pentru îndeplinirea scopurilor, persoana vizată își retrage consimțământul sau se opune prelucrării datelor, datele au fost prelucrate ilegal.
În acest context, o altă măsură pe care oamenii de HR vor trebui să o aibă în vedere este cea a introducerii unor procesuri pentru ștergerea informațiilor pe care le primesc și în timpul procesului de recrutare sau în ceea ce privește foștii angajați.