Practica demonstrează că în marea majoritate a companiilor din zona de business departamentele HR sunt cele mai critice pentru organizație, fiind singurele care prelucrează date cu caracter special în calitate de operator. Este important ca toate departamentele de resurse umane să reconsidere poziționarea lor în organizație și să abordeze GDPR cu toată responsabilitatea administrării celui mai de preț bun al companiilor: oamenii.

Amenințarea unor amenzi care pot să ne scoată din business, mesajele controversate venite pe canale neconvenționale, lipsa unei strategii coerente, ignoranța, eforturile interne nesincronizate, lipsa unor surse și a unui suport oficial și inexistența unui cod de bune practici, sunt doar câțiva dintre factorii care generează confuzie în departamentele sau serviciile de resurse umane. Una dintre cele mai frecvente și mai păguboase atitudini este cea de bagatelizare a datelor angajaților pe motivul că “sunt oamenii noștri și lucrează pentru noi”.

PROVOCĂRI GDPR ÎN ADMINISTRAREA RELAȚIILOR CU ANGAJAȚII

MAI MULTE DREPTURI, MAI MULTĂ RĂSPUNDERE – Regulamentul extinde în mare măsură complexitatea relațiilor dintre angajatori și propriul personal, atât prin necesitatea de instruire adecvată a acestora și de explicare a drepturilor pe care le au ca persoane vizate, cât și prin creșterea considerabilă a responsabilității angajaților implicați în procesele de prelucrare de datelor personale ale clienților, partenerilor sau propriilor colegi.

ASUMAREA RĂSPUNDERII CA OPERATOR  – În orice companie, departamentul de resurse umane are un rol critic din perspectiva GDPR, prin poziția de garant a integrității și confidențialității datelor personale ale angajaților. În plus, oamenii de la HR trebuie să aibă grijă și de conformitatea furnizorilor de servicii care au acces și care procesează datele angajaților, precum medicina și protecția muncii, eliberarea bonurilor de masă, firmele de asigurări sau orice prestator de servicii externalizate, care în funcție de accesul la date, scopul și mijloacele procesării pot juca rolul de procesatori sau operatori asociați. Un departament de HR trebuie să demonstreze că știe și că poate efectiv să își asume răspunderea pentru integritatea și confidențialitatea datelor prelucrate, dar și să impună angajaților și partenerilor implicați asumarea unei responsabilități individuale.

DEMONSTRAREA CONFORMITĂȚII – Orice departament de HR trebuie să demonstreze că să știe și că respectă Principiile GDPR.  Dacă prelucrarea legală, corectă și transparentă este un atribut implicit pentru cei implicați în administrarea resurselor umane, principiul colectării numai în scopuri specifice, explicite și legitime este adeseori ignorat sau prost înțeles, HR-ul colectând de-a valma tot felul de date neadecvate, irelevante și de care nu e musai nevoie, fără să-și bată capul cu actualizarea, sintetizarea și minimizarea datelor personale pe care un angajat le furnizează pe toată durata unui contract de muncă. Mai mult de atât, în marea majoritate a companiilor nu există politici de retenție pentru datele personale ale candidaților la diferite posturi.

E LEGAL TOT CEEA CE FACEM? Deși justificarea legalității prelucrării are acoperire preponderentă prin existența contractelor individuale sau colective de muncă și prin obligațiile legale impuse de Constituția României, Codul Muncii și întreaga serie de hotărâri și acte normative, există situații în care consimțământul și legitimul interes trebuie luate în considerare ca temei legal al prelucrării unor anumite tipuri de date.

DATE PERSONALE CU CARACTER SPECIAL – O altă valență critică indusă de GDPR pentru departamentele de resurse umane este aceea legată de accesul și prelucrarea la o serie de date cu caracter special precum numerele unice de identificare ale angajaților (CNP, card identitate, pașaport, permis conducere, card de sănătate), informațiile de natură medicală (starea de sănătate, maternitate, incapacitate temporară de muncă, concedii medicale, etc), informațiile de natură juridică (stare civilă, cazier judiciar, pensii alimentare, etc) sau de natură financiară (salarii, sporuri, bonificații, conturi bancare, etc.). Toate aceste date personale sunt considerate de GDPR mai sensibile și au nevoie de o protecție suplimentară.

INFORMAȚI, NU CEREȚI APROBAREA – Consimțământul este unul dintre temeiurile legale cele mai sensibile în cazul binomului angajator – angajat, considerat de cele mai multe ori ca o relație ”de forță”, în care angajatul nu are prea multe șanse de a nu consimți la anumite procese de prelucrare. În consecință, companiile sunt sfătuite să nu se bazeze pe consimțământ atunci când este posibil și să caute o altă bază legitimă pentru prelucrare.  Asta nu înseamnă că un angajator nu trebuie să își informeze angajații cu privire la natura oricărei prelucrări de date pe care o efectuează, inclusiv temeiurile legale pe care se bazează pentru orice procesare. Această informare trebuie să fie într-o formă concisă, transparentă, inteligibilă și ușor accesibilă, folosind un limbaj clar și simplu. Acest lucru trebuie făcut printr-o politică internă privind prelucrarea datelor personale, pusă la dispoziția tuturor angajaților.

PROCESĂRI DE DATE CRITICE – În cazul în care companiile intenționează să se bazeze pe justificări legale precum “obligațiile necesare pentru ocuparea forței de muncă” sau “evaluarea capacității de muncă a unui angajat”, care pot presupune și prelucrarea altor categorii de date cu caracter special (orientări religioase, apartenență etnică, sindicate, preferințe sexuale, etc;) departamentele de resurse umane trebuie să aibă seturi adecvate de documente care să dovedească dreptul de a accesa și prelucra astfel de date, cu explicitarea adecvată a conformității prin respectarea principiilor GDPR, precum proceduri coerente de achiziție, păstrare și ștergere a datelor din categoriile speciale.

CARE, CINE, CE, CUM? – Toate dovezile de conformitate trebuie să transpară cu claritate în evidența prelucrării datelor, procedură obligatorie pentru orice operator de date personale impusă oricărei companii, indiferent de mărime sau de domeniul de activitate, prin Art.30 din GDPR. Această evidență trebuie să includă toate fluxurile de prelucrare a datelor începând cu activitățile de recrutare, selecție a candidaților, semnarea contractului de muncă și administrarea relațiilor cu angajatul, pe toată durata de valabilitate, cât și după încetarea acestuia. Practica demonstrează că cele mai multe probleme de natură juridică ale unei companii sunt legate de problemele apărute cu foștii angajați, insuficient acoperite prin clauze post-contractuale.

ȘI ANGAJAȚII AU DREPTURI DE PERSOANE VIZATE – Respectarea solicitărilor de acces ale angajaților la datele personale prelucrate reprezintă o altă provocare pe care GDPR o aduce pentru departamentele de HR. Chiar dacă ”dreptul de a fi uitat” nu va putea fi niciodată pus în practică în relația angajator – angajat, asta nu exclude obligația ca o companie să își informeze angajații cu privire la drepturile lor oferite de GDPR, precum și elaborarea unor proceduri de rezolvare a solicitărilor primite de la angajați, inclusiv obligativitatea unui răspuns în intervalul se 30 de zile. De asemenea, dreptul de retragere a consimțământului acordat pentru anumite activități de prelucrare care nu au putut fi subscrise unui alt temei legal, nu trebuie să afecteze armonia relației dintre angajator și angajați, în relațiile cotidiene de muncă.

MONITORIZAREA LA LOCUL DE MUNCĂ – GDPR plasează restricții și protecții speciale pentru monitorizarea angajaților. Indiferent tipul și justificarea sistemelor de monitorizare (camere video, carduri de acces cu rol de pontaj, sisteme GPS pe mașinile de serviciu, monitorizarea ecranului, aplicațiilor sau paginilor de Internet și Social Media accesate), obligația oricărui angajator este aceea de a-și informa angajații încă din perioada de selecție cu privire la condițiile speciale de lucru, urmând ca în primele zile de angajare să le pună la dispoziție informații detaliate despre sistemele de monitorizare folosite, temeiul legal al acestora, condițiile de acces, prelucrare și păstrare a datelor, precum și părțile terțe cu care pot fi partajate aceste date. Un angajat nu trebuie să își dea consimțământul pentru utilizarea unui sistem de acces bazat pe carduri sau a camerelor de supraveghere video, dar trebuie să fie informat despre rolul acestora și siguranța datelor colectate.

ÎNTREBĂRI PENTRU DEPARTAMENTELE DE RESURSE UMANE

• În procesul de Recrutare, furnizați candidaților o notificare de confidențialitate adecvată care să explice modul în care vor fi folosite datele lor personale?
• Puteți demonstra că datele personale colectate în fiecare etapă a procesului de Recrutare sunt proporționale și necesare?
• Aveți o politică de retenție a CV-urilor candidaților?
• Este legală monitorizarea propriilor angajați ?
• Informați angajații în mod clar și transparent cu privire la modul în care le prelucrați datele personale și care le sunt drepturile ca persoane vizate?
• Aveți resursele necesare pentru a asigura efectiv orice solicitare de acces venită din partea angajaților?
• Aveți un plan coerent de instruire a angajaților implicați în prelucrarea de date personale?
• Ați revizuit politicile interne și procedurile de asimilare a acestora în spiritul GDPR?
• Faceți o evaluare a impactului asupra vieții private a angajaților înainte de orice nou proiect?
• Ați actualizat contractele cu partenerii de procesare a datelor angajaților, prin includerea clauzelor GDPR?

Soluții concrete la aceste întrebări și la multe altele la fel de importante sunt abordate pe larg în programul GDPR MasterClass.