שיתוף

המירוץ לעמידה בתקני ה-GDPR נמצא עדיין בחיתוליו, ולמרות זאת, יש חשיבות קריטית לכך שמנהלי משאבי אנוש ילמדו כבר עתה מהי מהותן של תקנות ה-GDPR החדשות (General Data Protection Regulation).

כניסתן לתוקף של תקנות אלה מאלצת כל ארגון, בלי קשר למיקומו הפיזי ולמדינה בה הוא רשום כחברה, המעסיק עובדים בעלי אזרחות באחת ממדינות האיחוד האירופי או שיש לו מועמדים שהם אזרחי אחת המדינות הללו, להקפיד על עמידה בכל תקנות ה-GDPR.

הקפדה על עמידה בכל תג ותו בתקנות אלה הינה קריטית, שכן ארגונים שלא עומדים בתקנות הללו עלולים למצוא עצמם מול תביעות בסכומי עתק. כדי לעמוד בכל כללי התקנות החדשות, ארגונים חייבים לוודא שהנתונים האישיים של העובדים והמועמדים שנאספו על ידם ונאגרים במאגרי המידע שלהם, נאספו למען מטרות מוגדרות היטב.

יתרה מכך, ברגע שהמטרה שלשמה נאספו הנתונים הושגה, והנתונים כבר לא נדרשים לארגון, על מנהלי משאבי האנוש מוטל לוודא שהנתונים נמחקו מהמאגרים.

זאת ועוד, על מנהלי משאבי אנוש מוטל לוודא שהפעולות הבאות בוצעו בהקשר לנתונים של עובדי הארגון וכל אחד מהאנשים שהינם או שהיו מועמדים לגיוס לארגון:

1 יש לוודא שהנתונים עובדו בצורה חוקית, הוגנת ושקופה.

2 יש לוודא כי הנתונים נאספו למען מטרה ספציפית, לגיטימית ושהוצגה בפירוט בפני המועמד או העובד שהנתונים שייכים לו.

3 אסור בשום פנים ואופן לעבד את הנתונים או לעשות בהם כל שימוש, באופן המנוגד למטרות אלה.

4 על מנהל משאבי האנוש לוודא שהנתונים שנאספים הינם תואמים את המטרות שלשמן נאספו, ורלוונטים למטרות אלה.

5יש להגביל את איסוף הנתונים לנתונים שהינם הנחוצים והחיוניים בלבד, למען השגת המטרות שלשמן נאספו הנתונים.

6 על הנתונים להיות מדוייקים וחובה לשמור אותם מעודכנים בכל עת.

7 יש לנקוט כל צעד כדי להבטיח שנתונים אישיים שאינם מדוייקים, ימחקו או יתוקנו ללא דיחוי.

8 יש לשמור על הנתונים בפורמט שמאפשר זיהוי העובדים או המועמדים, למשך תקופה שאינה עולה על התקופה שבמהלכה נדרש לזהות אותם, ואינה נמשכת מעבר לתקופה שהמטרה שלשמה נאספו הנתונים הינה רלוונטית.

9  יש לעבד את הנתונים באופן שמבטיח אבטחה נאותה של נתוני העובד או המועמד שהנתונים שייכים לו. בד בד יש להגן על הנתונים מפני תהליכים שלא אושרו, להגן מפני אבדן נתונים בטעות, להגן מפני הרס הנתונים ולהגן על הנתונים מפני גרימת נזק.

תקנות ה-GDPR מסווגות, בין השאר, כחלק מאבטחת המידע. מכיוון שכך, במקביל למירוץ להטמעת ההקפדה על התקנות,  מתקיים בימים אלה גם מירוץ של חברות טכנולוגיה לפיתוח פתרונות המאפשרים להתקין במערכות הארגון מנוע GDPR.

מדובר בפתרון הבנוי מראש בצורה מכוונת ליישום תקנות ה-GDPR. פתרון טכנולוגי כזה יכול, בין השאר, לזהות דפוסי שימוש בנתונים, להתריע על נקודות תורפה, לסרוק את הנתונים השמורים במערכות ולזהות נתונים שאגירתם, אופן העיבוד שלהם וצורות שימוש אחרות בהם, עלולים להכשיל את הארגון ולהעמידו בפני סכנת תביעות.

אין תגובות

השאר תגובה