Articol publicat pe site-ul BURSA On Line, ediția din 05.04.2018
LEGISLAȚIE
Managementul resurselor umane din perspectiva GDPR
click aici
ANCA-IULIA ZEGREAN (stânga), Avocat, Head of Labor Practice, Biriș Goran s.p.a.r.l. și MIRELA SĂVULESCU (dreapta), Human capital expert, antreprenor
     Prelucrarea de către departamentele de resurse umane a datelor cu caracter personal este un element-cheie al conformării cu GDPR, mai ales prin prisma faptului că în această zonă operațională se prelucrează o cantitate foa-rte mare de date, iar riscul evenimentelor de securitate a datelor (data breach) este ridicat.

     În primul rând, haideți să vedem care sunt drepturile salariaților sub noile reglementări:

     -vor putea afla ce date cu caracter personal prelucrează departamentul resurse umane, care este motivul pentru care acestea sunt procesate, unde anume sunt stocate și pentru ce perioadă;

     -vor avea dreptul să solicite departamentului resurse umane o copie gratuită a oricărui tip de date cu caracter personal deținut;

     -vor beneficia de date personale procesate corect, complet și la zi;

     -vor primi o informare din partea departamentului resurse umane cu privire la orice prelucrare a datelor cu caracter personal care îi privește, precum și scopul în care această procesare are loc;

     -le va fi asigurat dreptul la acces, corectare și/sau ștergerea acestora.

     Principiile care stau la baza noilor reglementări cu privire la prelucrarea datelor cu caracter personal sunt și ele stipulate foarte clar în Regulamentul European, precum și în proiectul de lege de transpunere din România.

     Specialiștii în resurse umane vor trebui să fie foarte atenți în primul rând la elementul timp - datele personale nu mai pot fi stocate pe o perioadă nedeterminată, acest lucru având aplicabilitate asupra datelor foștilor angajați, dar și ale candidaților la interviuri care au fost respinși. Fiecare angajator va trebui să stabilească, prin politici și proceduri interne, termenul de retenție a datelor cu privire la personal. În aceeași categorie intră, spre exemplu, datele de monitorizare precum registre GPS, monitorizarea video etc. Pentru acestea, proiectul de lege de transpunere prevede un maximum de 30 de zile.

     De asemenea, datele cu caracter personal nu pot fi folosite decât prin raportarea la unul dintre temeiurile prevăzute prin Regulamentul European și argumentarea unui scop precis, bine definit și care poate fi susținut în fața autorității de control. Temeiul trebuie identificat în mod corect de către operator. Spre exemplu, în raporturile cu salariații se recomandă evitarea utilizării consimțământului ca temei al prelucrării, ci mai degrabă se va avea în vedere executarea contractului (contractul individual de muncă sau contractul colectiv), conformarea cu o obligație legală, sau interesul legitim. Totodată, departamentul resurse umane va analiza în detaliu tipul de date care sunt prelucrate în legătură cu personalul pentru a identifica dacă există categorii speciale de date cu caracter personal (origine etnică, confesiune, date de sănătate etc.), întrucât cu privire la prelucrarea acestora Regulamentul European prevede restricții sporite.

     În altă ordine de idei, evenimentele de securitate cu privire la datele cu caracter personal (data breach events) vor trebui raportate într-un interval de maximum 72 de ore de la constatarea acestora, cu atât mai mult cu cât datele personale ale angajaților ar putea fi vulnerabilizate în acest sens. În anumite cazuri angajații vor trebui notificați și ei, pe lângă raportarea către autoritatea de resort.

     Stocarea datelor și modul de circulare internă a acestora vor trebui securizate și, după caz, vor fi criptate. Tot prin intermediul politicilor interne, departamentul resurse umane va trebui să definească cine are acces la acestea și cum procedează la autentificarea în sistem atunci când le utilizează. Un element important este aplicarea acelorași măsuri de securitate și în cazul documentelor pe suport fizic.

     Având în vedere apropierea datei de 25 mai 2018, profesioniștii în resurse umane trebuie să se pregătească, ca și celelalte funcțiuni dealtfel, prin parcurgerea unor pași de aliniere internă, așa cum sunt ei ceruți de către noul Regulament de protecție a datelor cu caracter personal.

     O abordare serioasă și responsabilă a conformării la GDPR începe cu redesenarea politicilor și procedurilor de resurse umane ale companiei, ca și prin acomodarea, în clauze speciale, a noilor cerințe.

     Întocmirea de către departamentul resurse umane a unui registru care inventariază practic toate tipurile de date cu caracter personal stocate sau prelucrate de companie, precum și locul în care sunt acestea depozitate, este un alt pas firesc în procesul de aliniere. La nivel de companie, acest registru va fi parte integrantă a Registrului Operațiunilor de Prelucrare, iar actualizarea acestuia va fi făcută periodic.

     Tot în sarcina resurselor umane cade și organizarea și monitorizarea sesiunilor de informare a tuturor angajaților cu privire la cerințele GDPR, și aceasta obligatorie.

     Pe plan intern, în companie, specialiștii în resurse umane vor trebui să conlucreze strâns cu celelalte fluxuri operaționale, în așa fel încât să beneficieze de informații la zi asupra datelor cu caracter personal prelucrate de către aceștia, și să poată integra elementele de noutate ale politicilor și procedurilor aferente.

     Acest aspect vine să întărească rolul departamentului de resurse umane, cum este și firesc, pe zona de protejare a datelor colectate de la anga-jați în scopul executării contractului de muncă. 
ANCA-IULIA ZEGREAN, MIRELA SĂVULESCU
 

 

.