persoana care scrie pe laptop
GDPR

GDPR în resurse umane: reglementări esențiale privind documentația și bunele practici

Respectarea Regulamentului General privind Protecția Datelor (GDPR) în domeniul resurselor umane este esențială pentru protejarea informațiilor sensibile ale angajaților și evitarea riscurilor legale. Departamentele de HR gestionează un volum mare de date personale, de la CV-uri și contracte de muncă până la evaluări de performanță și informații medicale. Conformitatea cu GDPR implică documentație adecvată, măsuri de securitate și bune practici pentru colectarea, stocarea și prelucrarea datelor. Acest articol analizează reglementările esențiale și oferă recomandări practice pentru asigurarea conformității în procesele de resurse umane.

GDPR în resurse umane: ce trebuie să știe angajatorii

Angajatorii trebuie să acorde o atenție sporită respectării Regulamentului GDPR, având în vedere că procesele de recrutare, administrare a personalului și gestionare a informațiilor angajaților implică prelucrarea unui volum semnificativ de date personale sensibile.

Fie că este vorba despre colectarea, stocarea, utilizarea sau transmiterea acestor date, angajatorii au obligația legală de a asigura transparență, securitate și respectarea drepturilor individuale ale persoanelor vizate.

Orice nerespectare a principiilor GDPR poate atrage sancțiuni financiare semnificative și poate afecta reputația companiei. De aceea, este esențial ca firmele să implementeze politici clare de protecție a datelor, măsuri tehnice și organizatorice adecvate, precum și sesiuni de instruire pentru angajați, astfel încât conformitatea cu GDPR să fie un proces continuu și eficient.

Reguli GDPR în relația cu recruții

Colectarea și prelucrarea datelor candidaților trebuie să fie limitată la informațiile strict necesare procesului de recrutare.

De asemenea, este obligatoriu să se ofere transparență privind scopul și durata stocării datelor personale. În procesul de recrutare, angajatorii trebuie să furnizeze candidaților o notificare de confidențialitate adecvată care să explice modul în care vor fi folosite datele lor personale.

Nu în ultimul rând, CV-urile și alte date sensibile trebuie șterse după finalizarea procesului, exceptând cazurile în care recruții își dau consimțământul pentru păstrare.

Reguli GDPR în relația contractuală cu angajații

Iată câteva aspecte esențiale pe care trebuie să le respecte GDPR cu privire la relația contractuală cu angajații:

Clauze de introdus în documentele interne. Angajatorii trebuie să se asigure că au incluse clauze specifice GDPR:

  • la nivelul CIM (contractului individual de muncă) atunci când prin natura activității angajatul poate avea acces la date cu caracter personal;
  • la nivelul Fișei postului angajaților, atunci când acesta prelucrează date
  • la nivelul CCM (contractului colectiv de muncă) atunci când este cazul!

Monitorizare la locul de muncă. În ceea ce privește monitorizarea la locul de muncă, aceasta este strict reglementată de GDPR, impunând restricții și protecții speciale pentru supravegherea angajaților. Acestea se aplică tuturor formelor de monitorizare, incluzând camere video, carduri de acces folosite pentru pontaj, sisteme GPS instalate pe mașinile de serviciu, precum și monitorizarea activității pe calculator (ecran, aplicații, pagini web și social media accesate).

Informarea angajaților. Angajatorii au obligația fundamentală de a-și informa prealabil angajații privind formele de supraveghere utilizate, iar acestea trebuie să aibă o justificare legală. Informarea trebuie să includă modul în care datele sunt accesate, prelucrate și păstrate, precum și despre terții care ar putea avea acces la aceste informații.

Regulamentul intern și proceduri. Este important de știut că există un set de clauze minimale care pot fi introduse în rândurile regulamentului intern, fie grupate într-un capitol distinct, fie vor fi introduse specific (ex. la drepturi și obligații ș.a.).

De asemenea, trebuie stabilite proceduri pentru gestionarea cererilor angajaților privind datele personale și  măsurile disciplinare legate de utilizarea necorespunzătoare a datelor trebuie să fie clar definite și comunicate.

Instruirea personalului la angajare

O bună practică o reprezintă instruirea personalului pe componenta specifică protecției datelor la angajare. În acest sens, angajatorii pot pregăti un material de instruire pe care să-l aducă la cunoștința angajaților odată cu regulamentul intern. Documentul trebuie să conțină informații privind manipularea responsabilă a datelor personale și respectarea politicilor GDPR ale companiei.

De asemenea, angajații trebuie instruiți specific cu privire la folosirea aplicațiilor informatice prin care se prelucrează date, trebuie să înțeleagă riscurile legate de securitatea datelor, precum phishing-ul sau accesul neautorizat.

Periodic vor fi organizate instruiri specifice protecției datelor de către Responsabilul cu Protecția Datelor, materialul de instruire și tematica fiind stabilite de comun acord împreună cu managementul.

Raportarea și gestionarea incidentelor specifice protecției datelor

Orice incident specific protecției datelor va trebui notificat de către angajați. Aceștia pot raporta problematicile inclusiv la personalul departamentului de resurse umane, însă responsabilul cu Protecția Datelor va fi anunțat cu privire la orice incident GDPR. Acesta  va conduce investigația și va documenta procesele necesare, urmărind Procedurile specifice gestionării incidentelor.

Responsabilul va păstra legătura cu ANSPDCP în cazul investigării unui incident!

Exemple de incidente:

  • Transmiterea unui email care conținea date ccp către un destinatar eronat;
  • Ștergerea / pierderea unei baze de date electronice (ex. un excel cu salariile personalului)
  • Aruncarea la coșul de gunoi a unor foi care cuprind date ccp (ex. copii după CI, date ref. salarii, date din dosarul de personal). 

Așadar, respectarea GDPR în domeniul resurselor umane nu este doar o obligație legală, ci și o măsură esențială pentru protejarea datelor angajaților și menținerea unui climat de încredere în organizație. Implementarea unor proceduri clare, politici bine definite și măsuri de securitate adecvate contribuie la prevenirea riscurilor și la evitarea sancțiunilor. Totodată, instruirea constantă a personalului și actualizarea documentației sunt pași esențiali pentru o conformitate eficientă. Un management responsabil al datelor personale nu doar că asigură respectarea reglementărilor, dar și consolidează reputația companiei, oferind angajaților siguranța că informațiile lor sunt tratate cu maximă responsabilitate.

Sursa articol: gdprcomplet.ro

Sursa foto: Pexels.com

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *