משאבי אנוש תחת עינה של הרגולציה

לעתים קרובות קשה לאזן בין הפרטיות של הפרט, לבין המשימות שהמעסיקים צריכים לבצע. להלן כמה תחומי מפתח, שבהם ישפיעו התקנות החדשות להגנת הנתונים – שיכנסו לתוקפן בעוד פחות מחצי שנה – באופן ישיר על האופן שבו מחלקת משאבי האנוש מחזיקה בנתוני הפרט:

תחום אחד הוא שימור נתונים – על ארגונים לשמור נתונים אישיים של עובדים רק כל עוד יש צורך בכך, ולמטרה שלשמה הם התקבלו. על כן, יש להסיר את הפרטים של מועמדים אשר לא צלחו את תהליך הגיוס, אלא אם מועמד נתן את הסכמתו המפורשת לארגון להחזיק בפרטיו. כמו כן, על המעסיקים לשמור נתונים מוגבלים בלבד לגבי עובדים שעוזבים. בשל כך יש להתאים את נהלי גיוס העובדים בארגון, כך שיכללו גם נהלים אשר מתייחסים לתהליך עזיבת עובדים מהארגון בהיבט של שמירת נתונים.

תחום שני הוא מידע ממוקד בלבד – מעסיקים יוכלו לבקש נתונים, במידת הצורך, רק מעובדים פוטנציאליים. אם יבקשו לקבל נתונים אחרים, הם יצטרכו לקבל את אישורו המפורש של הפרט. מחלקת משאבי האנוש תצטרך לבחון בעין ביקורתית מאד את המידע שהם מחזיקים על מנת לבצע הערכה נכונה של המידע שאותו הם מבקשים.

התחום השלישי נוגע לצורך להפגין שקיפות ואחריות – מעסיקים יהיו חייבים לספק פרטים הנוגעים לאחסון ולעיבוד נתוני העובדים – מה הם מאחסנים, איפה, לאיזה צורך וכיצד מתבצע העיבוד. הם צריכים להבטיח שהעובדים שלהם יידעו כי הם יכולים לגשת לנתונים שלהם על ידי יצירת תהליך מסודר של "בקשת גישה למידע", בלא כל תשלום – אלא אם כמות הנתונים המבוקשת היא גדולה באופן בלתי סביר.

תחום רביעי נוגע לכך שהנתונים ישמשו רק למטרות שיועדו להם – מעסיקים רשאים להשתמש במידע של עובדים, או מועמדים, לצורך הספציפי שעליו הצהירו כאשר ביקשו אותו במקור. אין לאחסן מידע אישי לשימוש עתידי בלא אישור. אם נעשה אחסון מידע בלא אישור, הדבר עלול להשפיע על תהליכי גיוס עתידיים.

התחום החמישי הוא אבטחת מידע – אחת המטרות העיקריות של רגולציית הפרטיות היא להבטיח כי נתונים אישיים ישמרו ויאובטחו כראוי. ניתן להבטיח את הנושא על ידי תשומת לב לשני היבטים: האחד, גישה מתוך הארגון שמשמעה גישה למידע סודי של העובד צריכה להיות על בסיס "Need to know". עבודה צמודה עם חטיבת התשתיות תהפוך קריטית למציאת האיזון הנכון בין אחסון נתונים והגנה עליו מפני איומים חיצוניים.

ההיבט השני נוגע לגישה מחוץ לארגון. כאשר מעסיקים עתידים לשנות את תהליך עיבוד הנתונים ולהופכו לעיבוד על ידי מקור חיצוני, הם חייבים לבחור ספק המציע ערובה מספקת של אבטחת מידע.

מה היא הזכות להישכח?

"הזכות להישכח" קיימת כיום תחת החוק של האיחוד האירופי, וכאשר רוב האנשים חושבים על הזכות, הם חושבים על הסרת קישורים ממנוע החיפוש של גוגל (Google), או ממאגר הנתונים של פייסבוק (Facebook). אבל הזכות להישכח עלולה להשפיע גם על המידע המוחזק בקובץ על עובדים. הצורך להתמודד עם זכות זו מעלה את החובה בניטור המידע המוחזק במחלקות משאבי האנוש. הזכות הזו עשויה להיות רלוונטית אם העובדים יגלו שמחלקות ה-HR מחזיקות במידע יותר מהנדרש, אפילו אם היה הדבר מתבקש, על מנת לבצע מטרה לגיטימית במקור.

לרגולציית הפרטיות תהיה השפעה עצומה כמעט על כל היבטי העבודה וההתנהלות של הארגון. את צוותי משאבי אנוש הרגולציה תחייב לבצע סקירה מקיפה של המדיניות והנהלים, בכל הנוגע לגיוס וניהול עובדים.

עם כל תזוזה של מחוגי השעון, עד לכניסת התקנות לתוקף, חיוני כי ההכנות ייצאו לדרך. כישלון עלול לגרום לעונשים כספיים משמעותיים על הארגון.

* אתי ברגר, דוקטורנטית, מומחית לתחום הסייבר והפרטיות בהיבט המשפטי והטכנולוגי; עו"ד לאה מילר פורשטט, ממשרד עורכות הדין SGFD, מומחיות בתחום המשפט המסחרי, תאגידים והיי-טק.