Αναστασοπούλου Κανέλλα

Προστασία Δεδομένων και HR

Home // Article Writings // Προστασία Δεδομένων και HR

Η προστασία των προσωπικών δεδομένων είναι θεμελιώδης δικαίωμα για την Ευρωπαϊκή Ένωση. Οι πολίτες μοιράζονται όλο και περισσότερα προσωπικά δεδομένα λόγω της αλματώδης ανάπτυξης του online banking, online shopping, social media (Publication office of EU, χ.η.), υποβολής φορολογικής δήλωσης, τηλεργασία, ΕΡΓΑΝΗ, e-EFKA, e-AADE, μεγάλα δεδομένα, cloud computing κλπ. Η προστασία λοιπόν ενάντια στην κλοπή των προσωπικών δεδομένων θεωρείται απαραίτητη.

Για τον λόγο αυτό στις 25 Μαΐου 2018 τέθηκε σε ισχύ ο κανονισμός για την προστασία δεδομένων GDPR 2016/679 της Ευρωπαϊκής Ένωσης (Επίσημη Εφημερίδα της ΕΕ, 2016), που εισήγαγε αυξημένες υποχρεώσεις και περιορισμούς για τις εταιρείες που διατηρούν, διαχειρίζονται και επεξεργάζονται προσωπικά δεδομένα. Στόχος του είναι η διευκόλυνση των προσωπικών δεδομένων σε όλα τα κράτη μέλη της Ε.Ε.

Στην Ελλάδα, με τον Ν. 4624/2019 (e-nomothesia, 2019) ενσωματώθηκαν οι οδηγίες 2016/679 και 2016/680 σχετικά με τα προσωπικά δεδομένα. Η ευρωπαϊκή νομοθεσία για την προστασία των προσωπικών δεδομένων περιλαμβάνει το άρθρο ΣΤ της Συνθήκης για την Ευρωπαϊκή Ένωση, το άρθρο 8 του Χάρτη των Θεμελιωδών Δικαιωμάτων της ΕΕ, το άρθρο 8 της Ευρωπαϊκής Σύμβασης για τα Ανθρώπινα Δικαιώματα, τη Σύμβαση 108 του Συμβουλίου της Ευρώπης και την επικαιροποίησή της (Αρχή Προστασίας Δεδομένων, χ.η.).
Ο νέος κανονισμός εξουσιοδοτεί τις Αρχές Προστασίας Δεδομένων στην Ευρώπη να επιβάλλουν πρόστιμα για σοβαρές παραβιάσεις προσωπικών δεδομένων είτε έως 4% του ετήσιου παγκόσμιου κύκλου εργασιών τους, είτε 20 εκατ. ευρώ, όποιο είναι υψηλότερο (GDPR.EU, χ.η.).

Τα πρόστιμα GDPR αυξήθηκαν από τον Ιούλιο του 2020 έως τον Ιούλιο του 2021 κατά 113% και εξακολουθούν να αυξάνονται. Ενδεικτικά παραδείγματα εταιρειών που δέχθηκαν τεράστια πρόστιμα τον Ιούλιο του 2021 είναι η Google με πρόστιμα 60 εκατ. ευρώ και η H&M OnlineShop, από τη Γερμανία, με 35 εκατ. ευρώ (Κωνσταντίνος Καραπαππάς, 2021).

Ο κανονισμός GDPR παρέχει στους πολίτες δικαιώματα όπως να γνωρίζουν ποιος επεξεργάζεται τα δικαιώματα και για ποιο λόγο, να έχουν πρόσβαση στα δεδομένα τους, να μπορούν να τα διορθώνουν, να ζητούν τη διαγραφή τους υπό ορισμένες προϋποθέσεις, να ζητούν τον περιορισμό της επεξεργασίας των δεδομένων τους υπό όρους, να ζητούν να μεταφερθούν τα δεδομένα τους σε άλλον ελεγκτή υπό την προϋπόθεση του δημοσίου συμφέροντος, καθώς επίσης να έχουν δικαίωμα στην μη αυτοματοποιημένη λήψη αποφάσεων και δικαίωμα στο να μην δημιουργείται προφίλ (Αρχή Προστασίας Δεδομένων , χ.η.).

Οι εταιρείες/οργανισμοί είναι υπεύθυνοι για τη διασφάλιση και προστασία των δεδομένων, την ασφάλεια επεξεργασίας, την ειδοποίηση παραβίασης δεδομένων και την εκτίμηση επιπτώσεων. Επιπλέον, προβλέφθηκε σε ποιες περιπτώσεις είναι υποχρεωτική η ύπαρξη του Υπεύθυνου Προστασίας Δεδομένων (DPO). Ενθαρρύνεται η ανάπτυξη κώδικα δεοντολογίας και η έγκρισή τους από την Εποπτική Αρχή (TAXHEAVEN, 2017).

Οι δραστηριότητες που θα επηρεαστούν περισσότερο από τον εν λόγω κανονισμό είναι οι υπηρεσίες υγείας, οι χρηματοοικονομικές υπηρεσίες, οι υπηρεσίες ανθρώπινων πόρων, οι διαδικτυακές υπηρεσίες πωλήσεων, οι τηλεπικοινωνιακές υπηρεσίες, οι ενεργειακές υπηρεσίες και ο δημόσιος τομέας (Privacy Advocate, χ.η).

Ο GDPR είναι πρόκληση για τους ηγέτες ανθρώπινου δυναμικού, καθώς ο όγκος των προσωπικών δεδομένων που διαθέτουν είναι τεράστιος και διάσπαρτος. Η ευθύνη του HR είναι να βρει τη σωστή ισορροπία μεταξύ της προστασίας των προσωπικών δεδομένων των εργαζομένων της εταιρείας (νυν και πρώην) και της προστασίας της ίδιας της επιχείρησης θέτοντας τις σωστές πολιτικές για την περίοδο διατήρησης δεδομένων, το HR πρέπει να ενημερώνει για παραβιάσεις προσωπικών δεδομένων χωρίς καθυστέρηση, καθώς επίσης και για τις ενέργειες που θα κάνει για αυτό και να λαμβάνει μέτρα ασφαλείας, όπως κρυπτογράφηση δεδομένων κ.λπ.

Είναι απαραίτητη η ενημέρωση/εκπαίδευση του προσωπικού για το περιεχόμενο, τα δικαιώματα, τις υποχρεώσεις, αλλά και τις συνέπειες της παραβίασης του GDPR. Το HR πρέπει να έχει φωνή στην ομάδα έργου GDPR του οργανισμού, να επιλέγει τον κατάλληλο υπεύθυνο προστασίας δεδομένων, να έχει τη συναίνεση των εργαζομένων στην επεξεργασία των δεδομένων τους, να εντοπίζει νόμιμους λόγους επεξεργασίας δεδομένων εργαζομένων, να ελέγχει και να ενημερώνει δεδομένα, να κοινοποιεί τους νέους κανόνες χρησιμοποιώντας δήλωση δεδομένων απορρήτου, να περιγράψει τις υποχρεώσεις προστασίας δεδομένων σε εργοδότη και εργαζόμενο, να ενημερώσει τις υπάρχουσες πολιτικές προστασίας δεδομένων, να δημιουργήσει νέες διαδικασίες αντιμετώπισης προβλημάτων, να ελέγχει ότι το προφίλ πρόσληψης και οι ρυθμίσεις ελέγχου πληρούν τους νέους κανόνες και να συνεργαστεί με όλα τα τμήματα.

Για πλήρη συμμόρφωση με τον GDPR, το HR πρέπει να εκπαιδεύει και να ενημερώνει το προσωπικό για την κατανόηση των διαδικασιών. Σε αυτές τις διαδικασίες πρέπει να υπάρχει ευθύνη και διαφάνεια. Ο GDPR απαιτεί μια αλλαγή κουλτούρας σε ολόκληρο τον οργανισμό για να είναι αποτελεσματικός. Ο GDPR και οι απαιτήσεις του πρέπει να ενσωματωθούν πλήρως στον οργανισμό, όλοι πρέπει να αποδεχτούν την ευθύνη για τη διαχείριση προσωπικών δεδομένων σε όλα τα επίπεδα.

Η τεχνολογία μπορεί να βοηθήσει τους διευθυντές ανθρώπινου δυναμικού. Ένα καλό λογισμικό μπορεί να βοηθήσει την ομάδα ανθρώπινου δυναμικού να αναβαθμίσει την εμπειρία των εργαζομένων, να βελτιώσει την ευελιξία του ανθρώπινου δυναμικού, να διευκολύνει τη διαχείριση συμμόρφωσης, να παρέχει διαχείριση υποθέσεων εργαζομένων, βάση γνώσεων, αυτοματοποίηση διαδικασιών και διαχείριση αρχείων εργαζομένων, βοήθεια στον συντονισμό του προσωπικού κλπ. Αρχεία που αποστέλλονται ηλεκτρονικά στις φορολογικές και ασφαλιστικές αρχές, Τα email, τα προγράμματα μισθοδοσίας και οτιδήποτε υπάρχει στο cloud πρέπει να είναι κρυπτογραφημένα. Τα προγράμματα και τα email διαθέτουν πλέον μηχανισμούς κρυπτογράφησης των δεδομένων τους.
Το HR και το DPO πρέπει να καταρτίσουν έναν κανονισμό GDPR και να τον κοινοποιήσουν εντός του οργανισμού.

Το τμήμα HR βοηθά στην ανάπτυξη ενός συστήματος συμμόρφωσης GDPR κάνοντας τα εξής:
Αξιολόγηση δεδομένων εργαζομένων, απόφαση για το ποιος θα έχει πρόσβαση και σε ποια δεδομένα, εκπαίδευση στελεχών, τεκμηρίωση πολιτικών και διαδικασιών με καταγραφή εισροών και εκροών σε κάθε διαδικασία και με τη βοήθεια συστημάτων πληροφορικής, τεκμηρίωση και αξιολόγηση του νομικού πλαισίου, δημιουργία χάρτη προσωπικών δεδομένων, νομική βάση για επεξεργασία και τεκμηρίωση, εκτίμηση επιπτώσεων στο απόρρητο δεδομένων, ανάλυση κενών που αξιολογεί το επίπεδο συμμόρφωσης του οργανισμού με τις απαιτήσεις του κανονισμού GDPR, διαδικασίες πολιτικής και ελέγχου, εκπαίδευση προσωπικού, νομικά μέτρα, μέτρα πληροφορικής και εφαρμογή διαδικασιών, μέτρα πολιτικής, αναθεώρηση και ενημέρωση για όλες τις διαδικασίες απορρήτου και ανθρώπινου δυναμικού, προετοιμασία για την πιθανότητα παραβίασης δεδομένων.

Τέλος, ο GDPR αναγκάζει τα τμήματα HR να αναθεωρήσουν όλες τις διαδικασίες τους.

Βιβλιογραφία

  • Αρχή Προστασίας Δεδομένων (χ.η.). ΤΑ ΔΙΚΑΙΏΜΑΤΑ ΜΟΥ ΣΤΟ ΠΛΑΙΣΙΟ ΤΟΥ ΓΚΠΔ. ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ. Διαθέσιμο στο: https://www.dpa.gr/el/polites/gkpd (Πρόσβαση: 17/09/2022)
  • Αρχή Προστασίας Δεδομένων (χ.η.). ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ. ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ. Διαθέσιμο στο:https://www.dpa.gr/el/enimerwtiko/nomothesia/proswpikon_dedomenon (Πρόσβαση: 17/09/2022)
  • e-nomothesia (2019). Νόμος 4624/2019 – ΦΕΚ 137/A/29-8-2019 (ΚΩΔΙΚΟΠΟΙΗΣΗ). E-NOMOTHESIA.GR. Διαθέσιμο στο: https://www.e-nomothesia.gr/kat-dedomena-prosopikou-kharaktera/nomos-4624-2019-phek-137a-29-8-2019.html (Πρόσβαση: 17/09/2022)
  • GDPR.EU. (n.d.). WHAT ARE THE GDPR FINES? GDPR.EU. Διαθέσιμο στο: https://gdpr.eu/fines/ (Πρόσβαση: 17/09/2022)
  • Κωνσταντινος Καραπαππας (2021). GDPR: Αυξήθηκαν κατά 113% τα πρόστιμα – Google και H&M Hennes & Mauritz στις πρώτες θέσεις. Dnews. Διαθέσιμο στο:https://www.dikaiologitika.gr/eidhseis/kosmos/350785/gdpr-afksithikan-kata-113-ta-prostima-google-kai-h-m-hennes-mauritz-stis-protes-theseis (Πρόσβαση: 17/09/2022)
  • Επίσημη Εφημερίδα της EΕ (2016). REGULATIONS. OFFICIAL JOURNAL OF THE EUROPEAN UNION. Διαθέσιμο στο: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679 (Πρόσβαση: 17/09/2022)
  • Privacy Advocate (χ.η.). GDPR: Οι 10 ΠΙΟ ΣΥΧΝΕΣ ΕΡΩΤΗΣΕΙΣ. PRIVACY ADVOCATE. Διαθέσιμο στο: https://privacyadvocate.gr/gdpr-%CE%BF%CE%B9-10-%CF%80%CE%B9%CE%BF-%CF%83%CF%85%CF%87%CE%BD%CE%B5%CF%83-%CE%B5%CF%81%CF%89%CF%84%CE%B7%CF%83%CE%B5%CE%B9%CF%83/ (Πρόσβαση: 17/09/2022)
  • Publications office of EU (χ.η.). EU DATA PROTECTION REFORM. PUBLICATION OFFICE OF EU. Διαθέσιμο στο: https://op.europa.eu/en/publication-detail/-/publication/69760de9-4ceb-11e8-be1d-01aa75ed71a1 (Πρόσβαση: 17/09/2022)
  • TAXHEAVEN (2017). Τι είναι ο “GDPR” και ποιες οι υποχρεώσεις των επιχειρήσεων. TAXHEAVEN. Διαθέσιμο στο:https://www.taxheaven.gr/circulars/27607/arora-ti-einai-o-gdpr-kai-poies-oi-ypoxrewseis-twn-epixeirhsewn (Πρόσβαση: 17/09/2022)
M Masters D Diplomas B Bachelors