توسعه مدیریت شایا

9 روشی که GDPR بر داده ها و تجزیه و تحلیل منابع انسانی تأثیر می گذارد

حریم خصوصی داغ است. 81 درصد از پروژه های تجزیه و تحلیل افراد به دلیل مسائل اخلاقی و حفظ حریم خصوصی به خطر افتاده است. این تعداد تنها در صورتی افزایش می‌یابد که شرکت‌ها از مقررات جدید حفظ حریم خصوصی اروپا، مقررات عمومی حفاظت از داده‌ها (GDPR) که از 25 می 2018 قابل اجرا خواهد بود، پیروی نکنند.

این مقاله به شکل‌گیری و پیشرفت‌های GDPR می‌پردازد و بینشی در مورد سه تغییر مهم حریم خصوصی برای کارفرمایان ارائه می‌کند. ما با 9 نکته عملی در مورد اینکه چگونه بخش های تجزیه و تحلیل منابع انسانی می توانند برای GDPR آماده شوند، نتیجه گیری خواهیم کرد.

ارتباط

هدف از GDPR هماهنگ کردن بیشتر سطح بالاتر حفاظت از داده های شخصی است. این بر پردازش داده های شخصی در مشاغل – به ویژه داده های منابع انسانی تأثیر می گذارد.

GDPR پیامدهای عمده ای را برای قانون استخدام ایجاد می کند زیرا یک کارفرما داده های کارکنان خود (و کارمندان بالقوه) را در مقیاس بزرگ پردازش می کند. علاوه بر این، یک کارفرما ممکن است داده های کارکنان را با توجه به محیط کار پردازش کند – به عنوان مثال، داده های دوربین ها یا رفتار اینترنتی کارکنان. به طور خلاصه، برای کارفرمایان مهم است که بدانند چه انتظاری داشته باشند و چگونه با این مقررات برخورد کنند.

تشکیل GDPR

کمیسیون اروپا از ژانویه 2012 بر روی اصلاح مقررات حفظ حریم خصوصی کار می کند تا آن را برای عصر دیجیتال مناسب کند. GDPR قوانین مختلف حریم خصوصی را در سراسر اتحادیه هماهنگ می کند. نتیجه سطح بالایی از حفاظت در سراسر اتحادیه اروپا است که تأثیر مستقیم خواهد داشت.

این روند قانونی چند سال طول کشید و تا پایان سال 2015 بود که کشورهای عضو بر سر اصول اصلی به توافق رسیدند. در آوریل 2016، نسخه نهایی GDPR منتشر شد که از 25 می 2018 (از جمله در بریتانیا) قابل اجرا خواهد بود.

پیامدهای GDPR در محیط کار

GDPR شامل تعداد قابل توجهی از استانداردها و قوانین “جدید” است که مهم ترین تغییرات عبارتند از:

  1. حقوق اضافی برای کارکنان
  2. ارزیابی تاثیر حفاظت از داده ها
  3. افسر حفاظت از داده ها

در زیر به طور خلاصه به این سه موضوع می پردازیم.

1. حقوق اضافی برای کارکنان

کارمندان تعدادی حقوق اضافی برای تقویت کنترل بر داده های شخصی خود به دست خواهند آورد. به عنوان مثال، حق دسترسی تمدید شده است. این به کارمند این حق را می دهد که از موارد زیر مطلع شود:

  1. مدت زمانی که کارفرما قصد دارد داده ها را حفظ کند؛
  2. آیا داده ها برای تصمیم گیری خودکار استفاده خواهند شد،
  3. آیا کارفرما قصد دارد داده ها را به خارج از کشور منتقل کند و اگر چنین است،
  4. چه تدابیری در آن زمینه ارائه خواهد شد.

این مسئولیت بیشتری را بر دوش هر کسی که با داده‌های پرسنل کار می‌کند، می‌گذارد.

علاوه بر این، کارفرما باید کارمند را در مورد حق اصلاح و حق شکایت به یک مرجع نظارتی آگاه کند.

یک کارمند انفرادی نیز حق پاک کردن دارد. این امر، تحت شرایط خاص، حق فراموش شدن را فراهم می کند. کاربرد عملی این است که کارفرمایان باید در مورد هدفی که داده ها برای آن استفاده می شوند شفافیت ارائه دهند (نکته 9 زیر را ببینید).

2. ارزیابی تاثیر حفاظت از داده ها

ارزیابی تاثیر حفاظت از داده ها (DPIA) راهی برای تجزیه و تحلیل خطرات بالقوه حریم خصوصی است.

DPIA باید زمانی انجام شود که پردازش داده های شخصی به احتمال زیاد منجر به خطر بالایی برای حقوق و آزادی کارمند شود. بنابراین DPIA همیشه اجباری نیست!

پس از ارزیابی خطرات، یک سازمان باید اقداماتی را برای کاهش این خطرات انجام دهد.

DPIA در شرایط زیر اجباری است:

  1. پروفایل سازی: زمانی که یک ارزیابی سیستماتیک و گسترده از جنبه های شخصی مربوط به اشخاص حقیقی انجام می شود که بر اساس آن باید تصمیماتی اتخاذ شود که می تواند عواقب قانونی برای آن اشخاص حقیقی داشته باشد.
  2. پردازش داده ها: هنگامی که پردازش در مقیاس بزرگ داده های شخصی خاص انجام می شود.
  3. تلاش های نظارتی: زمانی که فضاهای در دسترس عموم به طور سیستماتیک و در مقیاس بزرگ نظارت می شوند.

علاوه بر موقعیت‌های ذکر شده در بالا، هیچ نمونه‌ای در GDPR از پردازش وجود ندارد که احتمالاً خطرات حریم خصوصی بالایی را به دنبال داشته باشد و بنابراین نیاز به DPIA دارد.

برای جزئیات بیشتر، جزئیات بیشتر در مورد زمان انجام DPIA، اینجا را کلیک کنید.

کارگروه ماده 29 (WP 29)، نهاد مستقل مشورتی و مشورتی مقامات نظارت بر حریم خصوصی اروپا، دستورالعمل هایی را منتشر کرده است، از جمله، برای مشخص کردن بیشتر پدیده DPIA و نقش مهمی در شکل گیری سیاست اروپا در مورد حفاظت ایفا می کند. از داده های شخصی

دستورالعمل ها شامل توصیه هایی مانند زمان انجام DPIA است. معیارهایی ارائه شده است که بر اساس آنها می توان افزایش خطرات پردازش حریم خصوصی را تعیین کرد.

WP29 معیارهای زیر را مشخص می کند:

  1. ارزیابی و ارزیابی داده ها، از جمله پروفایل؛
  2. پردازش با هدف اتخاذ تصمیمات خودکار با تأثیر مهم قانونی یا مشابه انجام می شود.
  3. نظارت سیستماتیک افراد؛
  4. پردازش داده های شخصی خاص؛
  5. پردازش در مقیاس بزرگ؛
  6. مجموعه داده های ترکیبی یا تطبیقی، به عنوان مثال برای پردازش داده هایی که برای اهداف مختلف جمع آوری شده اند.
  7. داده های مربوط به افراد آسیب پذیر؛
  8. استفاده نوآورانه یا به کارگیری راه حل های فنی یا سازمانی، مانند استفاده از اثر انگشت یا تشخیص چهره برای دسترسی فیزیکی به ساختمان؛
  9. انتقال داده از مرزهای خارج از اتحادیه اروپا (تبادل اطلاعات با کشوری خارج از اتحادیه اروپا)؛
  10. موضوع داده ها از اعمال حق یا استفاده از یک سرویس یا قرارداد جلوگیری می شود. به عنوان مثال، هنگامی که یک بانک مشتریان خود را در برابر پایگاه داده مرجع اعتباری بررسی می کند تا ارزیابی کند که آیا مشتری واجد شرایط دریافت وام است یا خیر.

هرچه معیارهای بیشتری اعمال شود، احتمال اینکه پردازش مستلزم افزایش خطر حفظ حریم خصوصی برای موضوع داده باشد و نیاز به DPIA بیشتر است. با توجه به WP29 به عنوان یک قانون سرانگشتی، می توان فرض کرد که اگر دو یا چند مورد از این معیارهای فوق الذکر رخ دهد، خطر حفظ حریم خصوصی افزایش می یابد و بنابراین یک DPIA مورد نیاز است.

در برخی موارد، اگر پردازش آنقدر گسترده باشد که خطر حفظ حریم خصوصی را افزایش دهد، ممکن است فقط یک معیار رعایت شود. اگر دو یا چند معیار رخ دهد و شرکتی تصمیم بگیرد که DPIA را انجام ندهد، طبق WP29، باید دلایل دقیق این امر را بیان کند.

3. افسر حفاظت از داده ها

بر اساس GDPR، تعیین یک افسر حفاظت از داده ها (DPO) برای کنترلرها و پردازشگرهای خاص الزامی است. کنترل کننده مالک داده ها است و تعیین می کند که چه کسی می تواند آن را پردازش کند. پردازنده بدنی است که داده های شخصی را از طرف کنترل کننده پردازش می کند. این شامل اشخاص ثالثی می شود که تجزیه و تحلیل داده ها را روی داده های منابع انسانی شما انجام می دهند.

GDPR نیاز به تعیین یک DPO در سه مورد خاص دارد:

  1. جایی که پردازش توسط یک مقام یا نهاد عمومی انجام می شود.
  2. جایی که فعالیت‌های اصلی کنترل‌کننده یا پردازشگر شامل عملیات پردازشی است که مستلزم نظارت منظم و سیستماتیک از افراد داده در مقیاس بزرگ است.
  3. جایی که فعالیت های اصلی کنترل کننده یا پردازشگر شامل پردازش در مقیاس وسیعی از دسته های خاص داده ها یا داده های شخصی مربوط به محکومیت ها و جرایم جنایی است.

در عمل، این بدان معنی است که تقریباً همه سازمان های بزرگ دارای یک افسر حفاظت از داده ها هستند. هر زمان که روی یک پروژه تجزیه و تحلیل منابع انسانی کار می کنید، مطمئن شوید که DPO خود را درگیر می کنید!

این نیز مهم است، زیرا مشارکت بخشی از کار DPO است. وظایف او به ویژه عبارتند از:

  • جمع آوری اطلاعات برای شناسایی فعالیت های پردازشی؛
  • تجزیه و تحلیل و بررسی انطباق فعالیت های پردازش؛ و
  • به کنترل کننده یا پردازشگر اطلاع دهید، توصیه و توصیه کنید.

حتی زمانی که GDPR به طور خاص به انتصاب یک DPO نیاز ندارد، سازمان ها ممکن است گاهی اوقات تعیین یک DPO به صورت داوطلبانه مفید بدانند.

GDPRGDPR

برای خواندن جزئیات بیشتر در مورد DPO و استقلال او، اینجا را کلیک کنید

تا آنجا که به DPIA مربوط می شود، کنترل کننده یا پردازشگر باید در مورد مسائل زیر از جمله موارد زیر از مشاوره DPO استفاده کند:

  • آیا باید DPIA را انجام داد یا خیر.
  • هنگام انجام DPIA چه روشی را باید دنبال کرد.
  • آیا برای انجام DPIA در داخل یا اینکه آیا آن را برون سپاری کنیم.
  • چه تدابیر حفاظتی (از جمله اقدامات فنی و سازمانی) برای کاهش خطرات مربوط به حقوق و منافع موضوع داده ها اعمال شود. و
  • آیا DPIA به درستی اجرا شده است یا خیر و آیا نتیجه‌گیری‌های آن (این که پردازش را پیش ببریم یا نه و چه تدابیری را اعمال کنیم) با الزامات حفاظت از داده‌ها مطابقت دارد.

DPO باید به شیوه ای مستقل عمل کند. WP29 با توجه به این معیار راهنمایی می کند:

  • هیچ دستورالعملی از سوی کنترل کننده ها یا پردازشگرها نباید در رابطه با انجام وظایف DPO داده شود.
  • برای انجام وظایف DPO نباید اخراج یا مجازاتی در نظر گرفته شود. و
  • با هیچ یک از وظایف و وظایف دیگر DPO نباید تضاد منافع وجود داشته باشد.

پادمان هایی که در بالا ذکر شد، DPO را قادر می سازد تا به شیوه ای مستقل عمل کند. واضح است که DPO نمی تواند در سازمان سمتی داشته باشد که او را به تعیین اهداف و ابزار پردازش داده های شخصی هدایت کند. با توجه به ساختار سازمانی خاص در هر سازمان، این امر باید مورد به مورد در نظر گرفته شود. همچنین می توان بر اساس قرارداد خدماتی که با یک فرد یا سازمان منعقد شده است، یک DPO خارجی استخدام کرد.

9 روشی که چگونه GDPR اتحادیه اروپا بر تجزیه و تحلیل منابع انسانی تأثیر می گذارد

بنابراین چگونه GDPR در تجزیه و تحلیل منابع انسانی اعمال می شود؟ ما 9 نکته را در زیر فهرست کرده ایم:

1. آگاهی
GDPR تأثیر ملموسی بر تجزیه و تحلیل داده های منابع انسانی دارد، بنابراین مطمئن شوید که همه اعضای تیم تجزیه و تحلیل منابع انسانی با آخرین قوانین حفظ حریم خصوصی به روز هستند.

2. افسر حفاظت از داده ها را درگیر کنید
افسر حفاظت از داده شما یک سهامدار کلیدی در هر پروژه تحلیلی است. او باید تأثیر GDPR را بر فرآیندهای جاری سازمان برآورد کند. هنگامی که پروژه ها با GDPR یا سایر قوانین حفاظت از داده ها مطابقت نداشته باشند، DPO دخالت خواهد کرد. مطمئن شوید که او را زود درگیر کنید تا از اشتباهات پرهزینه جلوگیری کنید.

3. حقوق موضوع داده ها
افرادی که داده های شخصی آنها پردازش می شود، حقوق حریم خصوصی بیشتری را تحت GDPR به دست خواهند آورد. برای این کار آماده باشید تا بتوانید به درخواست ها به درستی و به موقع پاسخ دهید. این حقوق شامل حقوق موجود، مانند حق دسترسی و حق تصحیح و محو می شود.

همچنین حقوق جدید مانند حق انتقال داده ها را در نظر بگیرید. برای این حق، باید اطمینان حاصل کنید که افراد سوژه داده به راحتی به داده های خود دسترسی دارند و در صورت تمایل می توانند آنها را به سازمان دیگری منتقل کنند.

4. پردازش لیست ها
تحت GDPR، شما مشمول پاسخگویی هستید، که به این معنی است که باید بتوانید نشان دهید که سازمان شما مطابق با GDPR عمل می کند. به عنوان مثال، هنگامی که کارمندان از شما می خواهند که داده های آنها را اصلاح یا پاک کنید، باید این موضوع را به سازمان های خارجی که داده های آنها را با آنها به اشتراک گذاشته اید، در میان بگذارید. این ممکن است بر برخی – اگر نه همه – ارائه دهندگان نرم افزار منابع انسانی شما تأثیر بگذارد

بنابراین مهم است که فهرستی از

  • کدام داده ها را پردازش می کنید،
  • برای این منظور داده ها پردازش می شوند،
  • از کجا داده ها را گرفتید و
  • با کسانی که داده ها را به اشتراک گذاشته اید.

5. امنیت درمان داده برای شرکت های شخص ثالث
هنگامی که سایر سازمان ها داده های منابع انسانی شما را پردازش می کنند، الزامات امنیتی بیشتری اعمال می شود.

  • توافق با پردازشگر داده در مورد توافقنامه پردازش داده، که مطابق با الزامات تعیین شده در GDPR است، با پردازشگرهای داده الزامی است.
  • اگر پردازنده ای خارج از منطقه اقتصادی اروپا تاسیس شود، ممکن است شرایط سخت گیرانه تری اعمال شود.
  • یک پردازنده همیشه باید بتواند اقدامات امنیتی پیشرفته را اعمال کند.
  • پردازشگر داده باید مطابق با استانداردهای ISO27001/2 یا سایر استانداردهای مشابه تأیید شود. اینها باید در قرارداد پردازش داده تعریف شوند.

6. حریم خصوصی با طراحی
سازمان خود را با اصول اولیه اجباری GDPR یعنی “حریم خصوصی بر اساس طراحی و حریم خصوصی به طور پیش فرض” آشنا کنید و بررسی کنید که چگونه می توانید این اصول را در سازمان خود معرفی کنید. “حریم خصوصی با طراحی” به معنای تضمین حفاظت از داده های شخصی از شروع طراحی محصولات و خدمات شما است.

Privacy by DesignPrivacy by Design

تصویر از Termsfeed. آنها را برای اطلاعات بیشتر در مورد Privacy by Design بررسی کنید.

7. حریم خصوصی به طور پیش فرض
«حریم خصوصی به‌طور پیش‌فرض» به این معنی است که باید اقدامات فنی و سازمانی را انجام دهید تا اطمینان حاصل شود که به‌طور پیش‌فرض، فقط داده‌های شخصی را پردازش می‌کنید که برای هدف خاصی که می‌خواهید انجام دهید ضروری است.

8. مرجع نظارتی رهبری کنید
آیا سازمان شما چندین مکان تجاری در کشورهای مختلف عضو اتحادیه اروپا دارد؟ یا آیا پردازش داده های شما در چندین کشور عضو تأثیر دارد؟ سپس، تحت GDPR شما فقط باید با یک مرجع نظارت بر حریم خصوصی همکاری کنید. این به عنوان مرجع نظارتی اصلی نامیده می شود. اگر این امر در مورد سازمان شما صدق می کند، تعیین کنید که تحت کدام مرجع نظارتی حریم خصوصی قرار خواهید داشت.

9. رضایت
اگر هیچ رابطه کاری وجود ندارد، برای پردازش داده های آن به رضایت آزاد و صریح موضوع داده نیاز دارید. علاوه بر این، داده ها تنها زمانی قابل پردازش هستند که با دلیل جمع آوری داده ها مطابقت داشته باشند. اطمینان حاصل کنید که استفاده از پردازش داده های کارکنان به وضوح در قرارداد کار تعریف شده است.

GDPR الزامات رضایت را تقویت کرده است. بنابراین، باید نحوه درخواست، اخذ و ثبت رضایت را ارزیابی کنید و در صورت لزوم رویکرد خود را تنظیم کنید.

یک قانون جدید این است که شما باید بتوانید ثابت کنید که سوژه‌های داده برای پردازش داده‌های شخصی‌شان رضایت معتبری به شما داده‌اند و پس گرفتن رضایت برای آن‌ها باید آسان باشد.

توجه به این نکته حائز اهمیت است که رضایت کارمند، با توجه به موقعیت زیردست او نسبت به کارفرما، به طور خودکار آزاد و بی چون و چرا تلقی نمی شود. برای برخی از پردازش داده ها، مانند نظارت بر سلامت کارکنان از طریق پوشیدنی ها، رضایت رایگان حتی امکان پذیر نیست! هنگامی که چنین فناوری هایی را اجرا می کنید، یک بار دیگر، با DPO خود مشورت کنید.

نتیجه گیری

اجرای GDPR در حال انجام است. دستورالعمل WP29، مانند آنچه که اکنون منتشر شده است، همچنان می تواند توسط کشورهای عضو تکمیل شود تا مقررات تا حد امکان مطابق با بازار باشد. بنابراین ضروری است که پیشرفت ها را از نزدیک دنبال کنید و – زمانی که در مورد اجرا مطمئن نیستید – دریافت مشاوره حرفه ای.

برای مروری کامل بر مقررات GDPR، اینجا را بررسی کنید.

آرنولد بیرخوف شریک در Kneppelhout & Korthals Lawyers، یک شرکت حقوقی بزرگ هلندی است که مقر آن در روتردام است. او در زمینه حریم خصوصی متخصص است و سرپرست تیم قانون کار Kneppelhout & Korthals است.

منبع

منتشر شده

در

توسط

admin

برچسب‌ها:

دیدگاه‌ها

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *