Publicația industriei TECH regionale

Adevăr sau provocare? Câteva chestiuni pe care să le punem în ordine

Ce a fost prima dată, oul sau GDPR-ul?

Diana Avîrvarei, HR Manager Gemini CAD Systems și fondator HRforIT Iasi Community
În ton de poveste sau lecție de istorie, chiar au fost o dată ca niciodată mai multe cadre legale europene care vizau protecția datelor cu caracter personal pentru protejarea integrității individului uman, numit cetățean.
Libera circulație a datelor și procesarea informațiilor au fost principalele arii de interes care au derivat pentru indivizi drepturi și obligații, inclusiv amenzi în caz de nerespectare, pentru organizațiile care colectează, prelucrează și stochează informații despre aceștia.
La nivel european, există Regulamentul din 2016 /679 (UE) emis de Parlamentul European și Directiva 95 /46/ CE dată de aceeași Instituție. La nivel național, încă din 2001 există Legea 677/2001, rezultată din Directiva 95 /46 și Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, înființată din 2001.
Tot cadrul legal de GDPR a fost conceput pe următoarele temeiuri juridice și drepturi pentru protejarea datelor.
Datele cu caracter personal pot fi folosite de terți doar dacă există un temei precum: executarea unui contract, ori îndeplinirea unei obligații legale a operatorului, sau consimțământul persoanei vizate, ori pe interesul legitim, sau protejarea intereselor vitale ale unor persoane și/sau îndeplinirea unei sarcini care servește interesul public.
Iar indivizii se pot proteja în fața unei încălcări prin invocarea următoarelor drepturi :

  • de informare (art 12 si art 13),
  • de acces la date (art 15),
  • de rectificare (art 16),
  • dreptul de a fi uitat sau șters (art 17),
  • de a restricționa prelucrarea (art 18),
  • de a porta datele (art 20),
  • de opoziție (art 21)
  • dreptul de a nu se crea profiluri/profilare (art 22).

Privat sau personal?

Deci unde se oprește limita de privat sau personal? Tradus din engleză în română cu resursele avute, legislația românească nu dă cu precizie unde e limita dintre privat sau personal.
Și ca să luăm un exemplu concret – s-a pierdut un proces în instanță, în care un angajator a încetat un raport de muncă cu un angajat, motivând că pe laptopul de serviciu s-a regăsit un folder cu filme video pentru adulți, iar Instanța a confirmat că nu a fost o încălcare a unui spațiu privat, căci acel Folder era denumit simplu PERSONAL, și nu PRIVAT.

Ce înseamnă date personale?

Orice informație poate fi considerată dată cu caracter personal (și de contextul în care este
folosită). În câteva exemple, aș enumera de la cele uzuale, la cele complexe. Așadar, avem informații precum nume, CNP, adresa, un buletin de analize, orientarea sexuală, preferințe religioase sau politice, fotografia, un desen, rată la bancă a unui împrumut, cât avem de plătit la întreținere, consumul de apă, istoricul conversațiilor mobile sau pe rețelele de socializare, istoricul comenzilor online de la un provider, parola sau PIN-ul de la card/aplicația mobile a contului, status cazier juridic, naționalitate, semnătură, cookies, loguri de acces, coordonate GPS, salariul, greutatea, consumul de tutun sau alcool, amenzi, grupa de sânge, amprenta ș.a.

GDPR pentru HR

După apariția GDPR-ului, majoritatea organizațiilor au conștientizat trecerea la un proces asumat de utilizare a datelor (aici includem și colectarea, stocarea și prelucrarea lor).
Primul pas în această direcție îl consider procesele de tip ISO, ca acum sistemul asumat de utilizare a informațiilor (GDPR-ul), iar estimările din partea specialiștilor (și mă refer aici la Dl. Profesor Adrian Munteanu, UAIC Iași) – e că atenția Europei va fi pentru procesele comerțului electronic și securitatea modalităților de plată (sau securitate în general).
Menționam de organizații care au procese. HR-ul e unul din departamentele unei companii, care cantitativ și calitativ deține cele mai multe date cu caracter personal.
Scop legitim avem pe măsură – executarea unui contract individual de muncă, cadru legal special pentru transmiterea spre instituțiile statului Reges – HG 500 2011 pentru Reges, AJOFM – Legea 76/2002 – privind comunicarea locurilor de muncă, provider-ul de medicina muncii – HG nr. 355 /2007 privind supravegherea sănătății angajaților), evaluarea profesională a performanței (Codul Muncii, Art. 40, lit. F), arhivarea pe zeci de ani și a unui contract încetat.

GDPR și recrutarea

Însă ce facem cu recrutarea? Sau cu pozele dintr-un teambuilding afișate pe Facebook? Sau cu documente păstrate scriptic sau electronic, în mai multe locuri?
Cum vor fi justificate și ce temei legal vor mai avea datele cu caracter personal deținute deja despre candidați? Ar exista temei legal pentru păstrarea datelor – indiferent că ești organizație IT cu departament de HR sau agenție de recrutare?
Până unde folosești datele de pe eJobs sau BestJobs? Dar Linkedin, cum îl mai folosești în nume propriu, cu un cont Premium, dar în numele angajatorului? Ce faci cu baza de date deja existentă?
Dar cu notițele din interviuri, testele tehnice sau feedback-uri tehnice? Cum ceri la toată baza de candidați consimțământul de păstrare și prelucrare a datelor?
Să le luăm pe rând:

  • BestJobs și Ejobs – pentru acest platforme plătești pentru accesul la informații și nu pentru a utiliza (suna sau scrie email) candidaților. E ca și cum ai cumpăra date cu caracter personal.
  • Linkedin – știută ca rețea de socializare cu scop business. Acolo îți faci profil dacă dorești, iar dacă se întâmplă acest lucru înseamnă că îți asumi răspunderea de a fi vizibil, implicit căutat. Mai interesant este pentru cei ce folosesc tool-ul pentru recrutare. Indiferent că e cont simplu sau Premium, utilizarea datelor începând din 25 mai se va face doar cu un prealabil consimțământ. Ca specialiști de recrutare nu ne vom șterge desigur conturile, ci atenție mai multă la baza de date deja existentă și în ce condiții o folosim.
  • Baza de date deja existentă. Dacă sunt firmă de recrutare – avem scop legitim. Asta face business-ul meu. Dacă sunt companie IT și am departament de HR cu roluri de recrutare, atunci într-o procedură internă menționez cât și cum voi folosi datele (CV-uri, notițe interviuri de HR sau rezultate tehnice). Dacă voi căuta o tehnologie timp de 1 an pentru mai multe proiecte, păi stabilesc scriptic. Ce fac cu cei ce-i am deja în baza de date? Conform GDPR, trebuie luat consimțământul de la ei.
  • Informații adiționale precum fișe de interviuri de HR, teste tehnice, feedback-uri tehnice – pot fi reglementate printr-o procedură internă de cât și cum va rămâne. Justificată și de ce va rămâne. Și unde va fi stocată și protejată. Aplicându-se principiul uitării și a ștergerii (pentru acest lucru luăm în considerare softuri dedicate care îți dau un certificat de autenticitate pentru acest principiu
    – al ștergerii).
  • Arhivarea în mai multe locații – scriptic și electronic. Recomand tot într-o procedură internă să fie menționat cât și unde se vor regăsi informațiile și documentele. Și din nou – cum vor fi ele protejate.

Priviți partea plină a paharului – ca practică, GDPR-ul în recrutare avem minimizarea datelor. Vom păstra doar ce e necesar. Va fi nevoie de curățenie și o nouă structură a datelor. Nu se va mai aduna orice, oricând ca date (că poate va fi nevoie cândva), ci doar acolo unde se poate justifica în mod rezonabil accesarea datelor și cu informarea persoanelor vizate.

GDPR și partea de HR administrativ

Aici avem următoarele puncte de interes:

  • Data loss prevention (DLP ) este principala responsabilitate pentru a avea siguranța că impactul asupra dreptului la viață privată al angajaților este adresat în mod corespunzător.
  • Camere video – nu există nici un temei legal pentru a înregistra colegii dintr-un birou sau o hală.
  • Amprenta și accesul în clădiri – înseamnă supra procesare a datelor (amprenta – identificator unic al unei persoane) și va fi acceptată doar conform legii.
  • Locații GPS – dacă există un scop legitim, atunci este OK. Însă să respecte orele de lucru.
  • Monitorizarea datelor accesate de către angajați, de către angajator (de pe laptop, mobil, etc) – atâta timp cât există un temei și scop, se pot monitoriza datele și pentru simplul fapt de protecție a datelor companiei.

Toate aceste prevederi și acțiuni se recomandă a fi documentate într-o procedură internă și informare internă pentru angajați. Inclusiv, training-uri interne cu privire la GDPR.

În loc de concluzie

.. 3 chestiuni de ținut minte mereu:

  • GDPR-ul vizează doar persoanele fi – zice, nu și pe cele juridice.
  • GDPR se va aplica organizațiilor care prelucrează alte categorii sensibile de date cu caracter personal, precum bănci, spitale, clinici private; ori instituțiile de stat (deși au posturile blocate pentru angajare); sau pentru organizațiile care procesează date la o scara larga – exemplu: provider de utilități, telefonie mobilă ș.a.
  • Iar amenzile sunt întâi pentru pentru zona tehnică și apoi pentru chestiuni administrative.

Putem considera ca a început cu certificările de ISO – aveam un control al proceselor și documentelor, acum avem control a informațiilor din documente (de orice fel și de pe orice suport).
În concluzie, opinia mea e că GDPR e o chestiune bună care asigură mai multă asumare și responsabilizare pentru datele cu care lucrăm. Așa cum e de preferat să ținem la secretul de serviciu (dreptul de proprietate intelectuală) sau la confidențialitatea legată de salariu, așa și abrevierea acestor 4 litere nu face nimic altceva decât să procedureze scriptic ce se întâmplă cu informațiile cu care lucrezi în organizația ta.
 
Dacă vrei să afli mai multe despre Management și Dezvoltare, click aici. 

Distribuie și tu:

RECOMANDATE

Articole similare

7 ani de #FabLab în Iași

Asociatia Fab Lab Iași sărbătorește 7 ani de la deschiderea primului său spațiu de coworking, timp în care a devenit un catalizator al inovației tehnologice,