• נועה פרבר

GDPR-what are we talking about?



החל ממאי 2018, ארגונים המנהלים עסקים או מספקים שירותים באיחוד האירופאי – ומחזיקים במידע לגביי תושבי האיחוד האירופאי, גם אם החברה אינה יושבת בתחומי האיחוד, יהיו מחויבים לפעול על פי סט חוקים אחיד. לתקנות החדשות יש השפעה על האופן שבו ארגונים שומרים, מעבדים, ומעבירים מידע, ועל תהליכי העבודה הקשורים להעברת מידע.

הנושא עולה שוב ושוב בכל הכנסים בהם יצא לי להשתתף בזמן האחרון, בליוויי גלגולי עיניים ונשימה מואצת.

אכן , החוקים החדשים הולכים להשפיע על תעשיית הגיוס, ובשל הקנסות הגבוהים, מעלים חשש בקרב מי שעוסקים בסורסינג, גיוס והשמה. זה אכן נושא מורכב, המצריך חשיבה והכנה. חשוב להגיד שהתקנות כבר נמצאות בתוקף מאפריל 2016- אבל האכיפה אליהן תתחיל רק במאי 2018.

נתחיל אבל באחת מסדרות הטלווזיה שמככבות כרגע בסלון המשפחתי שלנו- HUNTED

הסדרה מציבה אתגר בפני 12 משתתפים להצליח "להעלם" מרשויות החוק באנגליה, מבלי שיצליחו לאתר אותם במשך 28 יום. זה נשמע אולי פשוט, אבל מכיוון שצוות "הציידים" מצויד באישור להשתמש בכל אמצעי המידע והאיתור הקיימים, כולל מצלמות אבטחה, תכתובות אימייל, מאגרי מידע, רשתות חברתיות, פעולות בנקאיות, תקשורת במובייל ועוד. מסתבר שה"בריחה" לא פשוטה כמו שנידמה. בעונה ששודרה באנגליה, רק 3 מתוך 12 המשתתפים הצליחו לא להיתפס. האחרים אותרו יחסית במהירות בזכות כל אותם כלי מעקב טכנולוגיים. אלו שהצליחו, הסתתרו באזורים לא מיושבים, לנו בקמפינג, תפסו טרמפים, לא יצרו קשר עם קרובי משפחה וכמעט לא השתמשו ברשתות חברתיות או פלאפונים. אחד ממשתתפי התוכנית (מנהל מערכות מידע) הצליח כן לתקשר עם בני משפחה בזכות שימוש בחשבון טוויטר פיקטיבי על שם הכלב שלו, ושימוש בהודעות מוצפנות. גם על החשבון הזה ה"ציידים" עלו אחרי שראו שהחברה שלו נכנסת לעקוב אחריו. התוכנית ביקשה להראות עד כמה אנחנו כפרטים "חשופים" וכמה קל לעקוב ולחשוף פרטים אישיים וכוונות, בעזרת האמצעים הטכנולוגיים הקיימים היום.

ה- GDPR, בא להגן על תושבי האיחוד, להעניק להם יותר זכויות ושליטה בנוגע למידע שקיים עליהם בחברות שונות, כולל הזכות- לנגישות למידע, למחיקת המידע והזכות לידיעה שהמידע קיים. צריך לציין שגם בעבר הייתה קיימת חקיקה בנוגע ל- "הגנת מידע" באירופה. השוני בתקנות החדשות הם דבר ראשון בקנסות הגבוהים ( עד 20 מיליון דולר או 4% מה- business turnover globally), ושנית, בדרישות המחמירות יותר להשגת הסכמה לשמירת המידע והצורך לתעד ולהראות את ההיערכות של החברה לתקנות החדשות.

כל הקריקטורות הן מהאתר - www.gdprtoons.com

GDPRtoons is a collection of informative and thought-inspiring cartoons focused on the pending General Data Protection Regulation (GDPR)


לפני שנמשיך שתי הבהרות-

  1. GDRP- הוא נושא מורכב של תקנות משפטיות ולכן מומלץ להתייעץ עם עורך דין או חברה מתמחה. הדברים שיובאו בבלוג, מסתמכים על סמינרים/ וובינרים שהשתתפתי בהם, קריאה באתרים שונים ואין לקחת אותם כיעוץ משפטי מקצועי. הפרשנות לנושאים שונים שקשורים לגיוס יכולים להשתנות מיועץ ליועץ (בסמינר שהשתתפתי בו הוצגו 3 דעות שונות לגביי שימוש בלינקדאין). הבלוג אינו מחליף עצה משפטית מקצועית ואין להסתמך עליו לצורך קבלת החלטות הנוגע לתהליכים הספציפיים שלכם.בקיצור מגייסים באירופה- קחו עזרה משפטית/ מקצועית.

  2. הנושא הזה מקיף את כל בעלי התפקידים בארגון שעוסקים במידע- גיוס הוא רק חלק מכך. מידע על עובדים, על עוזבים, מידע שמועבר לצד שלישי בתהליכי הדרכה/ הכנת משכורות/ ייעוץ/ מבחנים, מידע על לקוחות, לידים של אנשים מכירות וכו', כל אלו מושפעים, ולכן ייתכן שמישהו בארגון כבר התחיל לעבוד על הנושא ואתם רק צריכים לחבור אליו. ואם לא, זה הזמן להקים צוות פעולה.

החקיקה עצמה היא מסמך ארוך-

מוזמנים לקרוא בקישור - כאן.

גזרתי ממנו את הקטע המרכזי בו דנו בסמינר המרכזי בו השתתפתי-

Any processing of personal data should be lawful and fair… The principle of transparency requires that any information and communication relating to the processing of those personal data be easily accessible and easy to understand, and that clear and plain language be used… Natural persons should be made aware of risks, rules, safeguards and rights in relation to the processing of personal data and how to exercise their rights in relation to such processing. In particular, the specific purposes for which personal data are processed should be explicit and legitimate and determined at the time of the collection of the personal data. The personal data should be adequate, relevant and limited to what is necessary for the purposes for which they are processed. This requires, in particular, ensuring that the period for which the personal data are stored is limited to a strict minimum. Personal data should be processed only if the purpose of the processing could not reasonably be fulfilled by other means. In order to ensure that the personal data are not kept longer than necessary, time limits should be established by the controller for erasure or for a periodic review. Every reasonable step should be taken to ensure that personal data which are inaccurate are rectified or deleted. Personal data should be processed in a manner that ensures appropriate security and confidentiality of the personal data, including for preventing unauthorised access to or use of personal data and the equipment used for the processing.

כל עיבוד המידע שנאסף על הפרט צריך להיות חוקי והוגן, השימוש במידע צריך להיות שקוף, המטרה שלשמה נאסף המידע צריך להיות לגיטימית, הכרחית ורלוונטית. המידע שנאסף צריך להיות רלוונטי ומוגבל למה שהכרחי לצורך התהליך ולהישמר לא יותר מהזמן הנדרש לתהליך. המידע צריך להיאסף למטרה מסוימת. מידע אישי צריך להישמר באופן חסוי ותחת אמצעי ביטחון מתאימים.

החקיקה מתייחסת גם ל- data controller, הארגון שאוסף את המידע, וגם ל- data processor- , הארגון שמעבד את המידע "בשם" הקונטרלור- לדוגמה, מערכת גיוס חיצונית, ספקי מבחנים וכו'.

נקודות מרכזיות שעלו בדיון:

  1. לאיסוף המידע צריך להיות בסיס חוקי- הסכמת הפרט Consent , לאיסוף המידע היא רק בסיס חוקי אחד- וניתן גם להשתמש בבסיס החוקי של – legitimate interest. כלומר, בעולם הגיוס, אם אנחנו חושבים שלמועמד יהיה עניין לגיטימי בתהליך שאנחנו עורכים ( לדוגמה כי נציע לו עבודה חדשה ואטרקטיבית), אנחנו יכולים להשתמש בבסיס הזה לאיסוף המידע בתהליכי סורסינג למשל. אבל גם לזה יש מגבלה- כי תחת הזכות לידיעה צריך ליידע פרט תוך זמן סביר לגבי מידע שנאסף עליו- זמן סביר בהרצאה בה הייתי הוגדר כחודש. בכל מיקרה שבחרתם בבסיס חוקי מסוים עבור תהליך הגיוס והסורסינג עליכם לתעד את התהליך.

  2. הסכמה Consent - הסכמה היא אחת האפשרויות לבסיס החוקי לשמירת מידע, התקנות החדשות "מעלות את הרף" בנוגע להסכמה. בקשה ממועמד להעביר קורות חיים שלו , או לשלוח אותו למבחנים, תיחשב כמתן אישור ולא כהסכמה. הסכמה תחת ה- GDPR, היא מונח ספציפי שכולל התייחסות לכמה מרכיבים, וחשוב לבדוק שאתם משיגים את ההסכמה תחת ההנחיות של התקנות. מרגע שבחרתם בהסכמה כבסיס חוקי, לא ניתן לחזור אחורה ל- legitimate interest, במידה והמועמד סירב לתת את הסכמתו או לא הצלחתם להשיג אותה. בסמינר שהשתתפתי בו חזרו שוב ושוב על נושא ההסכמה- ועל איך הסכמה מוגדרת תחת ההנחיות החדשות ולכן כדאי לשים לכך לב.

  3. הזכות לנגישות למידע - Right of access- הפרט יכול לבקש מהארגון לראות את המידע עליו, ועל הארגון לספק את המידע וגם את הפרטים לגביי עיבוד המידע. מסירת המידע צריכה להיעשות תוך זמן סביר וללא עלות. מבחינת גיוס, מועמד יכול לראות את המידע ששמור במערכת הגיוס, תוצאות מבחנים, דוחו"ת או כל קובץ שנישמר עליו.

  4. הזכות להסרה- Right to erasure- פרט יכול לבקש בכל שלב למחוק את המידע שנישמר עליו, מכל סיבה. בנוגע למועמדים- מועמדים יכולים לבקש להימחק ממערכת הגיוס שלכם, ממערכת המבחנים וכו'.

  5. הזכות להיות מיודע- right to be informed- הפרט צריך להיות מיודע לגביי איסוף המידע עליו, או במידה והאיסוף נעשה ממקורות אחרים יש ליידע אותו בפרק זמן סביר, ההמלצה הייתה חודש. דוגמה- מועמד שהגעתם אליו דרך רשתות חברתיות.

  6. שמירת מידע- המידע שנאסף צריך להיות רלוונטי ועדכני, ולכן קורות חיים מלפני מספר חודשים/ שנים יכולים להיחשב כבעייתיים ובאחריותכם לבדוק שהמידע על המועמד הוא עדיין עדכני. ההמלצה של אחת ממשתתפות הפאנל הייתה במקרה של סורסינג לעבוד עם לינק לפרופיל בלינקדאין לדוגמה, ולא להוריד מסמך למחשב.

  7. סוגי מידע ורמת הסיכון- בדיון שנערך אחת מהחברות המציגות חילקה את סוגי המידע האישי בו אנחנו עוסקים ל- 3 רמות סיכון.

  • רמת סיכון מועטה: מידע שחשוף ציבורית וקיים ברשתות מידע חברתיות כמו שם, אימייל, היסטורית עבודה.

  • רמת סיכון בינונית: מידע אישי וחסוי כמו תאריך לידה, פרטי בנק, פרטי דרכון, משכורת.

  • רמת סיכון שלישית גבוהה: מידע ביומטרי, מידע רפואי, מידע על נטייה מינית או שיוך לקבוצה אתנית.

חשוב להבין מה אופי המידע שאנחנו עוסקים בו– לדוגמה סורסינג - מכיל רק היסטוריה תעסוקתית ואימייל, לעומת נתוני שכר של עובדים שיכולים להכיל גם פרטי בנק.

8. שוני בין מדינות- ישנן מדינות שהחליטו להקשיח חלק מהחוקים, לדוגמה, בגרמניה אסור לשמור מידע על מועמד יותר מ- 4 חודשים. באנגליה הולך להיכנס חוק שאסור לשנות פרטי מידע לפני שליחה למועמד. רצוי לעקוב גם אחרי החקיקה המקומית במדינה שאתם מגייסים אליה.

9. ספקים חיצוניים- יש צורך לבדוק שהספקים שאתם עובדים איתם עומדים בתקנות החדשות. במיוחד כאלו להם אתם מעבירים מידע אישי על מועמדים ועובדים.

10. Compliance- אחד מהנושאים שהודגשו, הוא שחלק מהאכיפה נועדה לראות איך ארגונים התארגנו כדי לעמוד בתקנות החדשות. לדוגמה, שנכתבו תהליכים מסודרים, שניתנה הדרכה וננקטו צעדים מתאימים לגביי מידע אישי. לוקחים בחשבון שיכולות להיות טעויות של פרטים בתוך הארגון ( מזכירה שמעבירה קורות חיים של מועמד ללא הסכמה, מנהל ששומר קבצי קורות חיים מודפסים בתיקייה). אבל במקרה של תלונה יבחנו גם מה הארגון עשה כדי להתארגן להתכונן לעמידה בתקנות .

#GDPR

124 views

CONTACT ME

  • LinkedIn - Black Circle
  • Twitter - Black Circle

copyrights @Noaferber 2018-2019, ALL RIGHTS RESERVED