دخلت لائحة الاتحاد الأوروبي (EU)، المعروفة 2016/679أيضًا باسم اللائحة العامة لحماية البيانات (GDPR)، حيز التنفيذ مايو 25, 2018 بعد فترة انتقالية مدتها عامين. تتطلب اللائحة من جميع الشركات العاملة في الاتحاد الأوروبي تبني سياسات وعمليات وممارسات جديدة مع إدارة البيانات الشخصية لعملائها ومستخدميها ومورديها والعاملين لديها.
تؤثر اللائحة العامة لحماية البيانات تأثيرًا كبيرًا على إدارات الموارد البشرية، حيث يجب عليها تكييف عملياتها للامتثال لمتطلبات هذه اللائحة.
يتمثل الهدف من اللائحة العامة لحماية البيانات في توحيد وتعزيز حقوق المقيمين في أوروبا فيما يتعلق ببياناتهم الشخصية. وهذا يعني أن أي منظمة تتعامل مع البيانات الشخصية للمقيمين في الاتحاد الأوروبي يجب أن تمتثل للمعايير الجديدة للشفافية والأمن والمساءلة.
كيف تؤثر اللائحة العامة لحماية البيانات على الموارد البشرية؟
تتطلب اللائحة العامة لحماية البيانات من الشركات تخزين بيانات الموظفين الأساسية والدقيقة والحديثة فقط. كما يجب على الشركات أن تُبلّغ بوضوح كيف، وأين، ومدة تخزين المعلومات الشخصية للموظف. وبنفس الطريقة، يمكن للموظفين الاستفادة من معلوماتهم في أي وقت، وكذلك طلب نسخة من البيانات المخزنة، وطلب حذفها.
يجب أن تفهم فرق الموارد البشرية المخاطر والمسؤولية التي ينطوي عليها التعامل مع معلومات الموظفين لتجنب العقوبات، حيث يمكن أن يؤدي عدم الامتثال إلى غرامات تصل إلى مليون يورو20، أو 4 بالمائة من حجم المبيعات السنوية.
العوامل الرئيسية للائحة العامة لحماية البيانات في الموارد البشرية
للامتثال للائحة العامة لحماية البيانات، يجب على فرق الموارد البشرية تعديل عمليات إدارة الموظفين وتحسينها لضمان حقوق الموظفين واتباع إرشادات حماية البيانات.
فيما يلي أهم العوامل التي يجب أن تأخذها الموارد البشرية بعين الاعتبار:
1.جمع البيانات الشخصية
يعد جمع البيانات الشخصية ومعالجتها أمرًا مشروعًا ويقتصر على المعلومات ذات الصلة للوفاء بعقد العمل (على سبيل المثال، أنظمة الوقت والحضور)، أو المعلومات اللازمة للامتثال لالتزام قانوني (على سبيل المثال، كشوف الرواتب).
تكون الموافقة ضرورية عندما لا يكون هناك أساس قانوني آخر يتحقق من معالجة البيانات (على سبيل المثال، حساب بريد إلكتروني شخصي.
2.حق الموظفين في أن يتم إبلاغهم
تلتزم الشركات بإبلاغ الموظفين بالغرض والأساس القانوني لمعالجة البيانات والفترة التي سيتم خلالها الاحتفاظ بالبيانات الشخصية. يجب تقديم هذه المعلومات في وقت الحصول على البيانات الشخصية للموظف.
3. حقوق جديدة للموظفين
أدخلت اللائحة العامة لحماية البيانات حقوقًا جديدة للموظفين، مثل الحق في إمكانية نقل البيانات، مما يسمح للموظفين بالحصول على بياناتهم الشخصية وإعادة استخدامها لأغراضهم الخاصة عبر خدمات مختلفة. كما أنه ينظم حقوقًا محددة، مثل الحق في النسيان الذي يمكّن الموظفين من طلب حذف بياناتهم الشخصية، وحق التصحيح، الذي يمنح الموظفين الحق في الحصول على تصحيح للبيانات الشخصية غير الدقيقة.
يمنع الحق في معارضة أنشطة التنميط الشركات من اتخاذ القرارات بناءً على المعالجة الآلية فقط، مما سيكون له تأثير مهم على تنفيذ برامج الذكاء الاصطناعي في مجال الموارد البشرية.
4. مسؤول حماية البيانات
يجب على الشركات تعيين مسؤول حماية بيانات (DPO) يعمل بشكل مستقل مع الموارد اللازمة لتنفيذ واجباته. يتحمل مسؤول حماية البيانات مسؤولية مراقبة سياسة حماية البيانات لدى الشركة وتنفيذها لضمان الامتثال للائحة العامة لحماية البيانات.
5. تقييمات الأثر والانتهاكات الأمنية
يجب على الشركات إجراء تقييمات الأثر لتحديد العمليات التي تشكل خطرًا كبيرًا على حقوق العمال أو انتهاكًا أمنيًا. في حالة حدوث خرق للبيانات الشخصية، يجب على الشركات إخطار السلطات في موعد أقصاه 72 ساعات بعد تحديد الهوية.
6. المعلومات ومدونات قواعد السلوك
للتكيف مع متطلبات حماية البيانات الجديدة، يجب على الشركات فحص سياساتها الداخلية ومدونات قواعد السلوك الخاصة بها فيما يتعلق باستخدام الاتصالات عن بُعد. كما يجب على الشركات تكييف محتواها مع حكم المحكمة الأوروبية لحقوق الإنسان (ECHR)، وكذلك مع تأثير التقنيات الجديدة في مكان العمل.
7.مراقبة الفيديو
يجب على الشركات أيضًا مراجعة إجراءاتها الخاصة بتثبيت المراقبة بالفيديو واستخدامها. تنص ECHR على أنه بالنسبة لتركيب الكاميرات الثابتة، يجب إبلاغ العمال مسبقًا وبوضوح بالغرض منها، وفقًا لأحكام لوائح حماية البيانات.
8. النقل الدولي للبيانات خارج الاتحاد الأوروبي
يمثل نقل البيانات الشخصية للموظفين إلى دول خارج الاتحاد الأوروبي خطرًا كبيرًا، حيث لا يوجد ضمان للحماية. وقد فرضت اللائحة العامة لحماية البيانات قيودًا معينة للحد من قدرة الشركة على نقل هذه البيانات وإنفاذ حقوق الموظفين.
9.عقود الموردين الخارجيين
من الضروري تحديث العقود مع الموردين أو المقاولين الذين لديهم حق الوصول إلى البيانات الشخصية للشركة لضمان الامتثال لمتطلبات اللائحة العامة لحماية البيانات. ويشمل ذلك العقود المبرمة مع مقدمي خدمات الرواتب والتوظيف.
نظرًا لحجم البيانات الشخصية التي تديرها الشركة خلال جميع عملياتها، فإن مساهمة إدارة الموارد البشرية في الامتثال للائحة العامة لحماية البيانات أمر بالغ الأهمية. لذلك من الضروري النظر في جميع عناصر اللائحة العامة لحماية البيانات لتنفيذ خطة عمل فعالة.
ما الذي يمكن لفرق الموارد البشرية فعله للامتثال للائحة العامة لحماية البيانات؟
تتطلب اللائحة العامة لحماية البيانات من الشركات أن تكون استباقية ومسؤولة عن تنفيذ التدابير الفنية والتنظيمية التي تضمن معالجة بيانات الشكاوى.
يتعين على الشركات تحليل نوع البيانات التي تعالجها والغرض منها وكيفية القيام بذلك. فيما يلي بعض النصائح لمساعدة فرق الموارد البشرية على الامتثال للائحة العامة لحماية البيانات:
1. تعيين مسؤول حماية بيانات (DPO)
وفقًا لما تنص عليه المادة 37 من اللائحة العامة لحماية البيانات، يُعد تعيين مسؤول حماية البيانات أمرًا بالغ الأهمية. يتحمل مسؤول حماية البيانات مسؤولية الإشراف على استراتيجيات حماية بيانات الشركات وضمان الامتثال لمتطلبات اللائحة العامة لحماية البيانات.
2. جرد معالجة البيانات الشخصية.
إن جرد البيانات المهمة يجعل تتبع ومعالجة الأمر أسهل ويساعد على التحقق من الامتثال. فيما يلي بعض الاعتبارات الرئيسية أثناء تتبع معلومات شركتك:
- تحديد البيانات الشخصية والبيانات الحساسة، وكذلك عمليات المعالجة الحالية والتحقق من الامتثال.
- اكتشف من (الموظفين أو المقاولين أو الموردين) الذين يمكنهم الوصول إلى البيانات ولماذا.
- مراقبة الموظفين والمقاولين والموردين الذين يتعاملون مع بيانات الشركة ومراجعة العقود.
- التحقق من أن أي معالجة للبيانات يكملها المقاولون والموردون تتوافق مع اللائحة العامة لحماية البيانات.
- تحليل ممارسات الأرشفة ووقت الاحتفاظ بالبيانات الشخصية للموارد البشرية.
- تأكد من أن حلول الموارد البشرية ونظام معلومات الموارد البشرية (HRIS)، إن وجد، متوافقان مع اللائحة العامة لحماية البيانات.
3. اتخاذ إجراء
بمجرد إجراء جرد وتحديد التصحيحات المطلوبة، من المهم إنشاء وتنفيذ خطة عمل تحدد فيها الخطوات التي يجب اتباعها.
تأكد من:
- تدقيق البيانات
- إجراء تقييمات الأثر
- مراجعة تدابير الحماية والأمن الخاصة بك
- راجع عملياتك وإجراءاتك.
4.تنفيذ خطة تواصل
من المهم تنفيذ خطة اتصال داخلية حتى يعرف جميع الموظفين كيفية الوصول إلى معلوماتهم وما يجب القيام به في حالة وجود أي تغيير في هذه العملية. يتطلب جزء من اللائحة الجديدة من الشركات أن تبلغ بوضوح عن كيفية تخزين المعلومات الشخصية للموظف ومكانها ومدتها.
5. تأكد من صحة البيانات المخزنة
يجب على الشركات التأكد من الاحتفاظ بالبيانات المصححة والمحدثة فقط. كما يجب عليهم تحديد البيانات التي يحتاجون إلى الاحتفاظ بها، وأيها يجب حذفها. كلما قل عدد البيانات التي لديك، أصبح من الأسهل الامتثال للائحة العامة لحماية البيانات.
6. مراجعة سياسات الخصوصية
يجب أن تتسم الشركات بالشفافية فيما يتعلق بالبيانات التي تتعامل معها. تؤدي مراجعة اتفاقيات الخصوصية إلى تحقيق الشفافية وبناء الثقة. تحديث سياسات وإجراءات أمان البيانات باستخدام لغة واضحة وبسيطة، والتأكد من سهولة الوصول إلى هذه السياسات.
7. إنفاذ حقوق الموظفين
كما ذكرنا، تحدد اللائحة العامة لحماية البيانات حقوقًا جديدة للموظفين. من المهم للغاية ضمان إنفاذ هذه الحقوق لتجنب العقوبات.
8. اعتماد اللائحة العامة لحماية البيانات كجزء من ثقافة الشركة
من المهم أن تقوم الشركات بتعريف اللوائح في جميع أنحاء المؤسسة. من خلال دمجها في ثقافة الشركة، فإنك تضمن أن جميع الموظفين على دراية بها وفهمها.
9. تحسين الأمن
تأكد من أن البيانات آمنة وتجنب التسريبات. في حالة حدوث خرق للبيانات، يجب إبلاغ الأطراف المتأثرة في غضون 72 ساعات. لتجنب التسرب، يجب عليك توظيف خدمات تخزين بيانات موثوقة، بالإضافة إلى وضع سياسات أمان محدثة.
10. الحصول على موافقة الموظف
من الضروري أن تبلغ الموظفين بالإجراءات والتدابير التي يتم اتخاذها، وأن تحصل على موافقتهم على معالجة بياناتهم ونقلها. يجب أن تكون الموافقة تعبيرًا حرًا ومستنيرًا وواضحًا عن الاتفاق.
بعيدًا عن الالتزام الذي يمثله، يمكن أن تسهم اللائحة العامة لحماية البيانات في تحسين أداء شركتك، وثقة الموظفين ورفاهيتهم. ومع ذلك، لا يحدث ذلك إلا إذا تم تبسيط بياناتك وأمنك وأدواتك وأساليبك وعملياتك.
تمنح هذه التحديات الجديدة إدارات الموارد البشرية الفرصة لتكون بمثابة دوافع لتدويل شركتها، مما يعزز جودة تعاونها مع مورديها ومقاوليها. كما أن وجود سياسة واضحة لإدارة البيانات الشخصية يحسن أيضًا سمعة الشركات ويجعلها جذابة كأصحاب عمل.
