GlobalSign. Έξι τρόποι που ο GDPR θα επηρεάσει το Τμήμα Ανθρώπινου Δυναμικού

Τον Μάϊο του 2018, στην Ευρωπαϊκή Ένωση θα τεθεί σε ισχύ ένα νέο σύνολο κανονισμών που είναι γνωστό ως Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR).
Οι νέοι κανονισμοί θα ισχύουν για όλες τις επιχειρήσεις που διαχειρίζονται δεδομένα Ευρωπαίων πολιτών (συμπεριλαμβανομένου του προσωπικού τους) και σε όσες ανακαλυφθεί ότι παραβιάζουν οποιονδήποτε από τους κανονισμούς, ενδέχεται να τους επιβληθούν κυρώσεις που αγγίζουν τα €20 εκατομμύρια ή το 4% του παγκόσμιου κύκλου εργασιών τους (όποιο είναι μεγαλύτερο). Οπότε είναι ξεκάθαρο, πως η επιχείρησή σας είναι απαραίτητο να συμμορφωθεί μία ώρα αρχύτερα.

Ο GDPR θα έχει σοβαρές επιπτώσεις για τα τμήματα ανθρώπινου δυναμικού και τη διαχείριση του προσωπικού, καθώς οι εταιρείες θα πρέπει να έχουν πιο ευέλικτα συστήματα για τα δεδομένα τους. Ας ρίξουμε μια ματιά σε έξι βασικούς τρόπους με τους οποίους ο Γενικός Ευρωπαϊκός Κανονισμός Προστασίας Δεδομένων (GDPR) θα επηρεάσει το τμήμα ανθρωπίνων πόρων σας καθώς και στις αλλαγές που πρέπει να κάνετε για να συμμορφωθείτε.
1. Η συγκατάθεση είναι υποχρεωτική

Παρόλο που απαιτείται συγκατάθεση για να έχετε στη κατοχή σας δεδομένα του προσωπικού σας εδώ και αρκετά χρόνια, οι κανόνες GDPR θα εισαγάγουν την ανάγκη για “συγκεκριμένη, ενημερωμένη και αδιαμφισβήτητη συγκατάθεση”, επομένως είναι πιθανό οποιαδήποτε συγκατάθεση που έχετε αποκτήσει έως σήμερα από το προσωπικό σας για να έχετε στην κατοχή σας δεδομένα του θα πρέπει να αναδιατυπωθεί έτσι ώστε να μην υπάρχει η παραμικρή περίπτωση αβεβαιότητας ή ασάφειας για τα δεδομένα που συλλέγονται.

Επιπλέον, το προσωπικό σας θα πρέπει να έχει δυνατότητα απόσυρσης της συγκατάθεσής η της συναίνεσης του ανά πάσα στιγμή. Επομένως το σύστημά σας θα πρέπει να επιτρέπει την εύκολη επεξεργασία. Θεωρείται απίθανο σύμφωνα με τους νέους κανονισμούς να γίνει αποδεκτή η τυποποιημένη συγκατάθεση που δίνεται συνήθως στις εργασιακές συμβάσεις, οπότε το πιθανότερο είναι να χρειαστεί η δημιουργία νέων συμβάσεων για όλους.

2. Τα δεδομένα δεν γίνεται να αποθηκεύονται για απεριόριστο χρονικό διάστημα

Ο νέος Γενικός Ευρωπαϊκός Κανονισμός Προστασίας των Δεδομένων ορίζει ότι οι οργανισμοί επιτρέπεται να διατηρούν δεδομένα μόνο για όσο διάστημα είναι απαραίτητα για την λειτουργία τους. Ένα καλό παράδειγμα είναι τα δεδομένα των προσωρινά απασχολουμένων – μπορεί να χρειαστεί να κρατήσετε τέτοιου είδους λεπτομέρειες μόνο για πολύ σύντομες περιόδους, μετά την παρέλευση των οποίων δεν επιτρέπεται πλέον να διατηρείτε τα δεδομένα. Εκτός και αν έχετε σχετική συναίνεση, όπως αναφέρθηκε προηγουμένως.

Μπορεί να είναι απαραίτητο για την επιχείρησή σας να μεταβεί σε ένα νέο σύστημα διαχείρισης ανθρώπινου δυναμικού. Για παράδειγμα, εάν το τρέχον σύστημα δεν σας δίνει τη δυνατότητα να ανακαλέσετε και να διαγράψετε οριστικά δεδομένα που δεν είναι πλέον απαραίτητα ή χρήσιμα, ίσως χρειαστεί να μεταβείτε σε ένα σύστημα που είναι συμβατό με τον GDPR, όπως το λογισμικό της Planday, το οποίο σχεδιάστηκε ειδικά για την διαχείριση και την διατήρηση όλων των δεδομένων του προσωπικού σας από ένα σημείο.

3. Τα δεδομένα μπορούν να χρησιμοποιηθούν μόνο για τον επιδιωκόμενο σκοπό

Θα πρέπει επίσης να σημειωθεί ότι τα τμήματα HR θα περιορίζονται από τον GDPR αναφορικά με τους τρόπους που μπορούν να χρησιμοποιήσουν τα προσωπικά δεδομένα των εργαζομένων της εταιρείας. Πιο συγκεκριμένα, θα πρέπει οι εργαζόμενοι να είναι ενήμεροι για τους τρόπους που θα χρησιμοποιηθούν τα δεδομένα και η εταιρεία δεν θα επιτρέπεται να τα χρησιμοποιήσει για οποιονδήποτε άλλο σκοπό πέρα από τον επιδιωκόμενο. Υπάρχουν πάντως εικασίες ότι αυτό μπορεί να δημιουργήσει πρόβλημα σε επιχειρήσεις που χρησιμοποιούν freelance προσωπικό, καθώς οι κανόνες ενδέχεται να εμποδίσουν την αποθήκευση προσωπικών δεδομένων χωρίς άδεια ή συγκατάθεση.

Μπορεί επίσης να κριθεί απαραίτητο για τις επιχειρήσεις να έρθουν σε επαφή με μεγάλο αριθμό ατόμων με τους οποίους έχουν συνεργαστεί στο παρελθόν προκειμένου να αποκτήσουν τη συγκατάθεσή τους για τη χρήση των δεδομένων τους μελλοντικά.

4. Οι παραβιάσεις δεδομένων πρέπει να κοινοποιούνται

Αναμφισβήτητα, ένας από τους βασικούς λόγους για τους οποίους θα εφαρμοστεί ο GDPR είναι η αντιμετώπιση της τεράστιας αύξησης της πειρατείας και των κυβερνοεπιθέσεων. Υπάρχει μία ολοένα και μεγαλύτερη ανησυχία μεταξύ των νομοθετών, ότι οι εταιρείες δεν κάνουν αρκετά –και δεν επενδύουν αρκετά- για να προστατεύσουν τόσο την ίδια την επιχείρηση όσο και τα δεδομένα που κατέχουν από εγκληματίες χάκερ. Πιο συγκεκριμένα, με τον GDPR και σύμφωνα με την νομοθεσία που θα ισχύσει, οι επιχειρήσεις θα πρέπει να ειδοποιούν οποιονδήποτε επηρεάζεται από τέτοιες παραβιάσεις δεδομένων εντός 72 ωρών από τη στιγμή που θα ανακαλυφθεί η όποια παραβίαση.

Αυτό ισχύει και για τα δεδομένα προσωπικού χαρακτήρα, οπότε οι εργοδότες πρέπει να ενημερώνουν τους υπαλλήλους εάν τα προσωπικά τους δεδομένα εκλάπησαν και μάλιστα “χωρίς αδικαιολόγητη καθυστέρηση”.

5. Έλεγχοι ποινικού μητρώου

Το GDPR δεν έχει το παραμικρό πρόβλημα με την συνέχιση της πρότυπης ή βελτιστοποιημένης Disclosure and Barring Service (DBS), με τους νέους κανόνες να υπάρχει περίπτωση να μην επιτρέπουν πλέον την εκτέλεση βασικών ελέγχων DBS σε όλους τους υπαλλήλους. Ακόμη και αν έχετε τη συγκατάθεσή τους για να το πράξετε, είναι απίθανο να είναι νομικά ευθυγραμμισμένη με τους νέους κανονισμούς.

6. Τα δεδομένα πρέπει να είναι κρυπτογραφημένα

Θα πρέπει να έχουν ληφθεί μέτρα ασφαλείας για όλα τα δεδομένα που συλλέγονται από το τμήμα ανθρώπινων πόρων για λόγους συμμόρφωσης βεβαίως με το νέο Γενικό Ευρωπαϊκό Κανονισμό Προστασίας των Προσωπικών Δεδομένων (GDPR). Όλα τα ευαίσθητα προσωπικά δεδομένα πρέπει να αντιμετωπίζονται με την απαραίτητη προσοχή και ένας από τους πιο αποτελεσματικούς τρόπους για την προστασία τους είναι η κρυπτογράφηση τους. Αλλά μην περιορίζετε την κρυπτογράφηση μόνο στα δεδομένα που αποθηκεύονται στο τμήμα Ανθρώπινου Δυναμικού. Για να παραμείνετε εντελώς συμβατοί με τους κανονισμούς, είναι σημαντικό να είναι κρυπτογραφημένες και οι εκπομπές/ μεταφορές δεδομένων όπως και τα μηνύματα ηλεκτρονικού ταχυδρομείου, ώστε να διασφαλιστεί ότι προστατεύονται από πιθανές επιθέσεις στον κυβερνοχώρο.

Ένας άλλος τρόπος για να προσθέσετε ένα ακόμη επίπεδο ασφαλείας είναι η εφαρμογή ισχυρών λύσεων ελέγχου ταυτότητας και ελέγχου πρόσβασης. Με τον περιορισμό του αριθμού των ατόμων που έχουν πρόσβαση σε συγκεκριμένα δεδομένα (παρέχοντας πρόσβαση μόνο σε άτομα που είναι απαραίτητο να έχουν για να κάνουν σωστά τη δουλειά τους), μπορείτε να μετριάσετε τον κίνδυνο που σχετίζεται με την απώλεια δεδομένων ή το hacking.

Είναι μια έξυπνη ιδέα για να διεξάγετε μια ολοκληρωμένη έρευνα για όλες τις τρέχουσες διαδικασίες αποθήκευσης δεδομένων στο τμήμα HR της εταιρείας σας για να διασφαλίσετε ότι η επιχείρησή είναι απολύτως συμβατή με τον GDPR προτού τεθεί σε ισχύ στις 25 Μαΐου 2018.

Μπορείτε να διαβάσετε το πρωτότυπο άρθρο, εδώ.

Η σημαντική επίδραση των Ευρωπαϊκών οδηγιών NIS2 και DORA

H εμπειρία συναντά την καινοτομία στην PeS Cybersecurity

Η ενίσχυση της εταιρικής κουλτούρας κυβερνοασφάλειας είναι μείζονος σημασίας

Επιχειρηματικές αποφάσεις και προστασία προσωπικών δεδομένων

Η σημασία των λύσεων Managed Detection and Response (MDR)

SIEM, SOC, MDR an evolving journey

Αντιμετώπιση Σύνθετων Κυβερνοαπειλών με την υπηρεσία AI-Driven XDR της ADACOM

Sophos MDR – Προσέχει για εσάς, ακόμα και χωρίς εσάς

Ενίσχυση κυβερνοασφάλειας με Υπηρεσίες Διαχειριζόμενης Ανίχνευσης & Απόκρισης της ESET

Bitdefender MDR: Όλα όσα θέλετε να ξέρετε για το νέο Cyber Security Trend

Ενίσχυση κυβερνοασφάλειας με αξιοποίηση ολοκληρωμένων MDR λύσεων

Trend Micro Worry-Free with CO-Managed XDR

Νέες ευκαιρίες ασφάλειας για τις ελληνικές επιχειρήσεις, με το Security Manager MDR της Alphabit

Το μέλλον της ασφάλειας: Η αυξανόμενη ανάγκη για επενδύσεις IGA

HybridSIEM – Η επόμενη γενιά υπηρεσιών SIEM από την BeSecure

ΣΧΕΤΙΚΑ ΑΡΘΡΑ

Ο αριθμός των προστίμων για τον GDPR αυξήθηκε κατά 113% σε έναν χρόνο

Κίνδυνοι Κυβερνοεπιθέσεων και ο Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων

GDPR και η νέα πιστοποίηση ISO/IEC 27701:2019 – Γέφυρα Ιδιωτικότητας και Ασφάλειας