Το HR στην εποχή του GDPR

Τη στιγμή που τυπώνεται αυτό το περιοδικό, ο νέος κανονισμός για την προστασία των δεδομένων προσωπικού χαρακτήρα βρίσκεται ήδη σε ισχύ, διαμορφώνοντας ένα ομοιόμορφο, αυστηρότερο και πιο συνεκτικό πλαίσιο προστασίας των προσωπικών μας δεδομένων. Mία επιτακτική ανάγκη που προέκυψε από τις ραγδαίες τεχνολογικές εξελίξεις, η οποία όμως θέτει προκλήσεις για τις επιχειρήσεις και ιδίως για το HR.

Στις 25 Μαΐου 2018 τέθηκε σε ισχύ στην Ευρωπαϊκή Ένωση ο Γενικός Κανονισμός Προστασίας Δεδομένων (2016/679, General Data Protection Regulation-GDPR), ο οποίος εισάγει αυξημένες υποχρεώσεις και περιορισμούς για τις επιχειρήσεις που διατηρούν, διαχειρίζονται και επεξεργάζονται προσωπικά δεδομένα.

Κάθε οργανισμός που χειρίζεται προσωπικά δεδομένα τα οποία αφορούν φυσικά πρόσωπα χωρών που ανήκουν στην Ευρωπαϊκή Ένωση, είναι υποχρεωμένος να συμμορφωθεί πλήρως με τον νέο κανονισμό, επανεξετάζοντας ή και αναθεωρώντας όλες τις διαδικασίες διαχείρισης των πληροφοριών του. Μάλιστα, έχει εφαρμογή όχι μόνο στις επιχειρήσεις με έδρα στην Ε.Ε., αλλά σε κάθε επιχείρηση που διαθέτει και διαχειρίζεται δεδομένα Ευρωπαίων πολιτών.

Ως δεδομένα προσωπικού χαρακτήρα αναγνωρίζονται όσες πληροφορίες μπορούν να οδηγήσουν στην ταυτοποίηση ενός ατόμου, όπως το ονοματεπώνυμο, η διεύθυνση κατοικίας, η διεύθυνση ηλεκτρονικού ταχυδρομείου, τα φυσικά χαρακτηριστικά, η οικονομική κατάσταση, τα ψηφιακά ίχνη κ.ά. Τα ευαίσθητα προσωπικά δεδομένα, ως ειδική υποκατηγορία, περιλαμβάνουν πληροφορίες που αναφέρονται στις θρησκευτικές ή πολιτικές πεποιθήσεις ενός ατόμου, στη φυλετική ή εθνική του προέλευση, στην υγεία του κ.ά.

ΑΥΣΤΗΡΕΣ ΚΥΡΩΣΕΙΣ
Οι κυρώσεις που προβλέπονται σε περίπτωση παραβίασης των διατάξεων του Κανονισμού για την προστασία των δεδομένων είναι εξαιρετικά αυστηρές. Συγκεκριμένα, προβλέπεται η δυνατότητα επιβολής διοικητικού προστίμου μέχρι και του ποσού των 20 εκατομμυρίων ευρώ, ή ποσού έως το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του Ομίλου κατά το προηγούμενο έτος (ανάλογα με το ποιο είναι υψηλότερο). Κατά τον προσδιορισμό του τελικού ποσού του διοικητικού προστίμου, εξετάζονται διάφορα κριτήρια, όπως η φύση, η βαρύτητα και η διάρκεια της παράβασης, οι κατηγορίες των προσωπικών δεδομένων που επηρεάζει η παράβαση, η ύπαρξη δόλου ή αμέλειας κ.ά. Οι επιχειρήσεις που επεξεργάζονται δεδομένα για λογαριασμό τρίτων, ενδέχεται επίσης να φέρουν ευθύνη για παραβίαση του Κανονισμού σε περίπτωση μη συμμόρφωσης.

ΑΝΤΙΚΤΥΠΟΣ ΣΤΟ HR
Είναι προφανές ότι η εφαρμογή του GDPR έχει άμεση επίπτωση στα τμήματα ανθρώπινου δυναμικού, τα οποία διαχειρίζονται πλήθος δεδομένων προσωπικού χαρακτήρα του ανθρώπινου δυναμικού της επιχείρησης, αλλά και των υποψηφίων ή πρώην εργαζομένων. Μεταξύ των βασικών αλλαγών που επιφέρει και απαιτούν σε μεγάλο βαθμό αναπροσαρμογή των συστημάτων HR είναι:

1. Η ρητή συγκατάθεση των ατόμων για την κατοχή στην ηλεκτρονική βάση της επιχείρησης προσωπικών δεδομένων τους είναι υποχρεωτική και πρέπει να είναι συγκεκριμένη, ενημερωμένη και αδιαμφισβήτητη. Επίσης, πρέπει να έχει επικοινωνηθεί με ξεκάθαρο και κατανοητό τρόπο και η συναίνεση του ατόμου επίσης να έχει δοθεί ευκρινώς. Η τυποποιημένη συναίνεση που τυχόν υφίσταται στην εργασιακή σύμβαση που είχε υπογράψει στο παρελθόν ο εργαζόμενος δεν αρκεί. Επιπλέον, έχει το δικαίωμα να αποσύρει τη συναίνεσή του ανά πάσα στιγμή, άρα θα πρέπει τα συστήματα HR να επιτρέπουν αυτή την άμεση επεξεργασία και τη διαγραφή των προσωπικών δεδομένων του υπαλλήλου, σύμφωνα με την επιθυμία του.
2. Η διάρκεια διατήρησης των προσωπικών δεδομένων του ανθρώπινου δυναμικού από το HR περιορίζεται. Σύμφωνα με τον νέο Γενικό Ευρωπαϊκό Κανονισμό Προστασίας των Δεδομένων, οι επιχειρήσεις επιτρέπεται να διατηρούν τα δεδομένα αυτά μόνο για όσο διάστημα είναι απαραίτητα για τη λειτουργία τους (εκτός αν έχουν ξεκάθαρη συναίνεση από τους ίδιους τους εργαζομένους). Εξαίρεση προβλέπεται σε περιπτώσεις όπου ο ίδιος ο νόμος απαιτεί τη διατήρηση ή επεξεργασία των δεδομένων αυτών.
3. Τα δεδομένα δεν μπορούν να χρησιμοποιηθούν ελεύθερα από την επιχείρηση, αλλά αποκλειστικά για τον επιδιωκόμενο σκοπό, τον οποίο οι εργαζόμενοι πρέπει να γνωρίζουν με σαφήνεια και τον οποίο επίσης τα τμήματα HR θα πρέπει να είναι σε θέση να τεκμηριώσουν αν τους ζητηθεί. Αυτό ισχύει για οποιονδήποτε απασχολούμενο στην επιχείρηση, ακόμη και για τους freelancers.
4. Οι παραβιάσεις δεδομένων πρέπει να κοινοποιούνται. Ο Κανονισμός προβλέπει την υποχρέωση αναφοράς όλων των περιστατικών παραβίασης των προσωπικών δεδομένων, που ενέχουν υψηλό κίνδυνο, εντός 72 ωρών από την εκδήλωση του περιστατικού. Υπό προϋποθέσεις, μάλιστα, η ενημέρωση αυτή πρέπει να απευθύνεται και προς τα πρόσωπα των οποίων τα δεδομένα έχουν εκτεθεί σε κίνδυνο, π.χ. από κυβερνοεπιθέσεις. Για να ανταποκριθούν επαρκώς στην παραπάνω υποχρέωση, οι επιχειρήσεις πρέπει να έχουν σχεδιάσει και υιοθετήσει αντίστοιχη πολιτική και να έχουν αναπτύξει μία σειρά από κατάλληλες εσωτερικές διαδικασίες και μηχανισμούς για την έγκαιρη ανίχνευση της παραβίασης και την έγκαιρη γνωστοποίησή της στα εμπλεκόμενα μέρη και την αρμόδια Αρχή.
5. Τα δεδομένα πρέπει να είναι κρυπτογραφημένα. Θα πρέπει να έχουν ληφθεί μέτρα ασφαλείας για όλα τα δεδομένα που συλλέγονται από το τμήμα ανθρώπινου δυναμικού. Όλα τα ευαίσθητα προσωπικά δεδομένα πρέπει να αντιμετωπίζονται με την απαραίτητη προσοχή και ένας από τους πιο αποτελεσματικούς τρόπους για την προστασία τους είναι η κρυπτογράφησή τους: τόσο των ίδιων των αρχείων, όσο και του τρόπου αποστολής τους (π.χ. e-mail), για προστασία από hackers. Παράλληλα, είναι σημαντικός και ο έλεγχος της πρόσβασης στα δεδομένα, ώστε αυτή να επιτρέπεται μόνο σε όσους πραγματικά είναι απαραίτητο.

Ο ΡΟΛΟΣ ΤΟΥ HR
Το τμήμα Διοίκησης Ανθρώπινου Δυναμικού θα μπορούσε να διαδραματίσει δραστικό ρόλο στη σωστή υλοποίηση του Κανονισμού μέσα στον οργανισμό, σύμφωνα με τις εργασίες πρόσφατου webinar του HR magazine με τη συμμετοχή ανωτέρων στελεχών HR. Στην πραγματικότητα, η ανασφάλεια είναι μεγάλη, καθώς μόλις το 1/3 των επιχειρήσεων δηλώνουν έτοιμες και σωστά προετοιμασμένες για τη νέα εποχή της προστασίας προσωπικών δεδομένων που ξεκίνησε στις 25 Μαΐου.

Το GDPR αποτελεί μέγιστη πρόκληση για τους HR leaders, αλλά και για όλους τους μάνατζερ της επιχείρησης, καθώς ο όγκος των προσωπικών δεδομένων που διαθέτουν είναι τεράστιος και διάσπαρτος. Είναι προφανές ότι όλα αυτά τα δεδομένα δεν εμπίπτουν μόνο στη δικαιοδοσία του HR, αλλά αυτό δεν σημαίνει ότι το HR δεν μπορεί να βγει μπροστά, σύμφωνα με τον Graham Jennings, Data Compliance manager του London Business School. Σε κάθε περίπτωση, είτε είναι υπεύθυνος για τη συμμόρφωση της εταιρείας στο GDPR είτε όχι, ο HR leader θα πρέπει να συνεργαστεί στενά με τις υπόλοιπες εμπλεκόμενες διευθύνσεις (Πληροφορική, Μάρκετινγκ, Νομικό Τμήμα).

Βασική αρμοδιότητα του HR επίσης είναι να βρει την κατάλληλη ισορροπία ανάμεσα στην προστασία των προσωπικών δεδομένων των πρώην εργαζομένων στην επιχείρηση και την προστασία της ίδιας της επιχείρησης, ορίζοντας πολιτικές που μπορεί να τεκμηριώσει αν αυτό ζητηθεί. Για παράδειγμα, πρέπει να οριστεί μία πολιτική για το διάστημα κατά το οποίο δικαιούται η επιχείρηση να διατηρήσει προσωπικά δεδομένα πρώην εργαζομένων, καθώς και για το είδος αυτών των δεδομένων. Σύμφωνα με τα HR στελέχη, είναι εύλογο ότι κάποιες πληροφορίες, όπως τα ονόματα, η διάρκεια απασχόλησης στην επιχείρηση και οι λόγοι της αποχώρησης, έχει νόημα να παραμείνουν στο αρχείο του οργανισμού, σε περίπτωση που στο μέλλον ο εργαζόμενος κινηθεί νομικά εναντίον της επιχείρησης.

Επιπλέον, είναι απαραίτητη η ενημέρωση/εκπαίδευση μέσω e-learning όλου του προσωπικού για το περιεχόμενο, τα δικαιώματα, τις υποχρεώσεις, αλλά και τις επιπτώσεις από την παραβίαση του GDPR. Παράλληλα, προτείνεται η παροχή κινήτρων «καλής πρακτικής» στους εργαζομένους, καθώς και οι αντίστοιχες κυρώσεις σε περίπτωση μη συμμόρφωσης. Αυτό το roll-out θα πρέπει να γίνει σε συνεργασία με τον Υπεύθυνο Επεξεργασίας Δεδομένων (DPO). Παρόλο που ο ορισμός DPO δεν είναι υποχρεωτικός για όλες τις επιχειρήσεις, ο ρόλος του είναι σημαντικός, συνεπώς προτείνεται ανεπιφύλακτα.

ΜΕΤΑΞΥ ΤΩΝ ΥΠΟΧΡΕΩΣΕΩΝ ΠΟΥ ΕΙΣΑΓΕΙ Ο ΚΑΝΟΝΙΣΜΟΣ ΠΕΡΙΛΑΜΒΑΝΟΝΤΑΙ:

η δημιουργία μητρώου, όπου θα τηρούνται απαραίτητες πληροφορίες, όπως ο σκοπός της επεξεργασίας των δεδομένων, ο τύπος των δεδομένων, οι κατηγορίες των δραστηριοτήτων επεξεργασίας κ.ά.,
ο ορισμός ενός προσώπου ως Υπεύθυνου Επεξεργασίας Δεδομένων («Data Protection Officer- DPO»), υποχρέωση που ισχύει για επιχειρήσεις που διατηρούν ή επεξεργάζονται δεδομένα σε συστηματική βάση ή σε μεγάλη κλίμακα,
η διενέργεια ειδικών αξιολογήσεων προστασίας δεδομένων (Data Protection Impact Assessments – DPIAs) όταν το είδος επεξεργασίας ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα των προσώπων, όπως για παράδειγμα όταν γίνεται χρήση νέων τεχνολογιών.

Πηγές:
1. «Skillsets biggest obstacle to HR’s GDPR response», Rachel Sharp, HR Magazine, 15/3/2018
2. «6 ways GDPR will affect HR», Mike James, GlobalSign blog, 20/12/17
3. «Οι νέες υποχρεώσεις των επιχειρήσεων για την προστασία προσωπικών δεδομένων», Grant Thornton, Taxheaven, 17/9/17

Αθηναϊκή Ζυθοποιία: Aυτοματοποιεί τη διαδικασία διαχείρισης εξοδολογίων

Εθνική Ασφαλιστική: Συνεργασία με την Kyndryl για την ολοκλήρωση του Digital Workplace

Entersoft: Λανσάρει το WorkLife, νέο λογισμικό HCM

BOUSSIAS NETWORK