Oznacza to, że firma niezależnie od miejsca, w którym są przetwarzane dane, jeśli są to dane obywateli UE, ma obowiązek działania zgodnie z wymaganiami rozporządzenia. Co więcej, niedostosowanie się do wymagań do maja 2018 roku może spowodować nałożenie na firmę kary finansowej. Kary mogą sięgać rzędu 20 milionów euro, bądź 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego firmy.
Co zrobić, żeby spełnić wymagania GDPR?
W wielu firmach to właśnie HR jest jednym z działów, który przetwarza największą liczbę danych osobowych. Są to dane pracowników, kandydatów, czasem również dane zebrane w ramach kampanii employer brandingowych.Tak naprawdę każdy pracownik firmy mający styczność z danymi osobowymi, powinien być poinformowany w jaki sposób nimi zarządzać. GDPR wymaga od firmy zabezpieczeń organizacyjnych, jak i technicznych. Co to właściwie znaczy? Musimy wdrożyć procedury, które zabezpieczą dane osoby (np. poprzez powołanie inspektora danych osobowych, opracowanie regulacji wewnętrznych w tym zakresie, upoważnienie pracowników przetwarzających dane czy analizę ryzyka utraty bezpieczeństwa danych osobowych), jak i korzystać z narzędzi, które odpowiednio zabezpieczają nasze dane (np. poprzez szyfrowanie danych, ich anonimizację czy przygotowanie kopii zapasowych danych).
Żeby wdrożyć wymagane zmiany, firma powinna podjąć kilka kluczowych kroków:
- Warto zacząć od rachunku sumienia, czyli tzw. audytu. Ma on na celu między innymi zidentyfikowanie danych osobowych przetwarzanych przez firmę, opracowanie opisu kategorii danych osobowych przetwarzanych w firmie, określenie miejsc ich przetwarzania oraz wykorzystywanych systemów. Należy zastanowić się również jakie firma posiada zobowiązania, jeśli chodzi o przechowanie danych osobowych. Co ciekawe, w przypadku ogłoszeń o pracę standardowa formuła wyrażenia przez kandydata zgody na przetwarzanie przez firmę jego danych osobowych jest jednym z elementów wspierających prawidłowe przetwarzanie danych osobowych. Jednak nie jedynym. Zmiany w przepisach nakładają na pracodawców obowiązki informacyjne, których dotychczas wiele firm nie realizowało.
- Po przeprowadzeniu audytu należy przygotować plan dostosowania organizacji do GDPR.
- Kolejny krok to przeprowadzenie implementacji oraz przygotowanie dokumentacji wymaganej przepisami. Jest to możliwe dzięki wcześniej przeprowadzonemu audytowi. Taka implementacja powinna uwzględniać również wdrożenie praktycznych rozwiązań, które będą mogły być stosowane przez pracowników w przyszłości.
- Ostatnim etapem, ale kluczowym w całym procesie, jest przeszkolenie pracowników w taki sposób, żeby byli w stanie zarządzać danymi osobowymi zgodnie z rozporządzeniem.
Należy pamiętać, że im więcej wymagań GDRP wdrożymy tym ewentualna wysokość kary nałożonych na organizację będzie niższa. Dlatego też warto podjąć wszelkie wysiłki, żeby zniwelować ryzyko niespełnienia poszczególnych elementów rozporządzenia. Szczególnie, że wymaga ono od firm postawy proaktywnej i wprowadzenia licznych rozwiązań mających zniwelować ryzyko wypłynięcia czy niewłaściwego zarządzania danymi osobowymi.
Jeśli stoisz przed wyzwaniem wdrożenia w firmie General Data Protection Regulations, chętnie pomożemy. Zapraszamy do kontaktu, a nasi eksperci odpowiedzą na Twoje pytania i pomogą we wdrożeniu zmian.
Prosimy o kontakt na adres: redakcja@markapracodawcy.pl
Sabina Borejsza-Wysocka
Na co dzień pracuje dla ludzi, z ludźmi. Sprawdza stan aktualny, bada możliwości, eksperymentuje, wprowadza zmiany, promuje – wszystko po to, żeby pracowało się coraz lepiej. Swoje pasje realizuje na stanowisku HR Manager w firmie Setapp, poznańskim software house. Z wykształcenia jest psychologiem. W wolnych chwilach swoją wiedzą i obserwacjami dzieli się z czytelnikami na portalach GoldenLine oraz HRstandard. Co jakiś czas realizuje również szkolenia dotyczące tematów związanych z psychologią w biznesie.