Info

Ce trebuie să ştie un director de resurse umane despre Regulamentul General Privind Protecţia Datelor (GDPR)

Ce trebuie să ştie un director de resurse umane despre...

Puţine acte normative la nivel european sau naţional au un efect atât de extins asupra activităţilor oricăror organizaţii precum Regulamentul General privind Protecţia Datelor (nr. 679/2016), ce va deveni aplicabil în data de 25 mai 2018. Nu există vreun departament sau vreo echipă care să poată spune că nu intră în contact cu date cu caracter personal şi că, prin urmare, prevederile privind protecţia datelor nu le privesc. La nivel organizatoric, acest lucru este acut resimţit de către directorii de resurse umane, care trebuie să gestioneze implementarea Regulamentului din două perspective: formală şi operaţională.

La nivel formal, directorul de resurse umane trebuie să se asigure că noile concepte introduse de Regulament sunt corect reflectate raportat la documentele interne care guvernează atribuţiile şi responsabilităţile angajaţilor. Iar cea mai mare provocare din acest punct de vedere este definirea rolului responsabilului cu protecţia datelor la nivelul organizaţiei sau al unui grup local. Acolo unde responsabilul cu protecţia datelor trebuie desemnat, de regulă revine directorului de resurse umane sarcina reflectării corecte a acestui rol în cadrul organizaţiei. Din acest punct de vedere, directorul de resurse umane trebuie să stabilească, împreună cu echipa juridică şi organele de conducere, diverse aspecte, cum ar fi:

›                        cum se stabilesc atribuţiile concrete ce vor reveni persoanei care îşi va asuma rolul de responsabil (de ex., dacă se modifică contractul de muncă existent sau se încheie un nou contract, part-time, pentru acest rol),

›                        dacă şi cum se reflectă rolul şi structura de suport a responsabilului în organigrama societăţii şi în eventuale regulamente de funcţionare sau politici interne,

›                        dacă şi cum se asigură linia de raportare corectă având în vedere cerinţa din Regulament ca responsabilul să poată raporta conducerii organizaţiei,

›                        care sunt mecanismele interne ce trebuie definite pentru a asigura protecţia responsabilului cu protecţia datelor, având în vedere că Regulamentul prevede o protecţie specială a acestui rol tocmai pentru a-i asigura independenţa, etc.  

În măsura în care responsabilul va deservi un întreg grup local, aspectele de clarificat se diversifică. În mod particular, trebuie stabilit modul în care un responsabil, angajat la nivelul uneia dintre societăţi, poate acţiona ca responsabil şi pentru afiliaţi. Iar în determinarea acestei structuri (fie că vorbim de contracte de muncă part-time sau de contracte de prestări servicii) trebuie urmărite nu numai aspectele operaţionale, ci şi eventuale riscuri din perspectiva legislaţiei fiscale (privind riscul recalificării unor relaţii stabilite între o anumită persoană şi afiliaţi) şi a regulilor privind preţurile de transfer (dacă se optează pentru un contract de prestări servicii).

Separat de definirea rolului responsabilului cu protecţia datelor, directorul de resurse umane trebuie să se asigure că este alocată o responsabilitate clară în legătură cu respectarea cerinţelor privind protecţia datelor cu caracter personal fiecărei echipe ce stabileşte scopurile şi mijloacele unei prelucrări de date cu caracter personal. Şi aici alternativele sunt multiple, de la stabilirea unor politici interne stabilind obligaţiile generale în domeniu la modificarea fişelor de post pentru a reflecta atribuţiile privind protecţia datelor specifice fiecărui rol din organizaţie. În analizarea acestor alternative trebuie avute în vedere şi eventualele cerinţe de informare şi consultare cu organele reprezentative ale angajaţilor, de exemplu sindicate sau reprezentanţi aleşi, aplicabile mai ales acolo unde anumite aspecte se vor reglementa prin politici interne.

Echipa de resurse umane va juca un rol semnificativ şi în organizarea formării profesionale a angajaţilor privind cerinţele în domeniul protecţiei datelor cu caracter personal. Dacă până acum acest subiect era de multe ori opţional sau, cel mult, restrâns la un număr limitat de roluri, în viitor este probabil ca această formare profesională să fie cascadată în întreaga organizaţie. Directorul de resurse umane va contribui, în acest caz, cu identificarea canalelor de training, că vorbim de prezentări sau sesiuni de eLearing, conferinţe sau studii de caz dezbătute în cadrul unor întâlniri periodice. 

Modul în care sunt adresate aceste nevoi formale poate face diferenţa între o gestionare adecvată a cerinţelor Regulamentului, cu luarea în considerare a încărcării adiţionale a forţei de muncă, acolo unde este cazul, şi lipsa unui mecanism real de asigurare a conformării cu rigorile impuse de legislaţia privind protecţia datelor cu caracter personal. Iar acest din urmă scenariu poate avea consecinţe nefaste asupra întregii organizaţii, nu numai dacă ne raportăm la sancţiunile pecuniare ce pot fi impuse (până la 20 de milioane de euro sau 4% din cifra de afaceri globală a companiei), ci şi dacă luăm în considerare că Autoritatea de Supraveghere poate dispune suspendarea sau chiar încetarea prelucrării datelor cu caracter personal. Dacă aplicarea nivelului maxim al sancţiunilor pecuniare nu ar trebui să fie regula (fiind rezervată încălcărilor foarte grave prin raportare la modul prelucrării şi impactul asupra persoanelor afectate), impunerea unor măsuri de conformare, inclusiv încetarea unor prelucrări, pot fi dispuse mult mai des. Această probabilitate poate fi estimată şi pe baza practicii de până acum a Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal. În trecut autoritatea a intervenit în multe cazuri prin măsuri de limitare sau chiar încetare a prelucrării, fie că vorbim de utilizarea codului numeric personal ca tip de date colectat extensiv în campanii de marketing, sau de sisteme de pontaj utilizând date biometrice.

 

La nivel operaţional, este foarte probabil că rolul directorului de resurse umane în procesul de apreciere a modului de aplicare a Regulamentului va creşte exponenţial. Această creştere are două cauze.

Pe de o parte, directorul de resurse umane trebuie să se asigure că orice acţiuni avute în vedere cu privire la datele angajaţilor sunt conforme cu cerinţele impuse de Regulament. Acest lucru este valabil pentru toate procesele gestionate de echipa de resurse umane, de la procesul de recrutare, la încheierea şi punerea în executare a contractului de muncă şi până la încetarea acestuia.

O atenţie deosebită trebuie acordată procesului de recrutare, unde cerinţa minimizării datelor ia o formă specifică. Astfel, orice date solicitate în procesul de recrutare trebuie să se încadreze în limitele stabilite de Codul muncii privind verificarea aptitudinilor profesionale şi personale ale persoanei care solicită angajarea. Această verificare nu poate avea un alt scop decât acela de a aprecia capacitatea de a ocupa postul avut în vedere, precum şi aptitudinile profesionale. De asemenea, eventuala consultare a foştilor angajatori sau a informaţiilor de pe reţelele de socializare trebuie făcută cu măsură, numai acolo unde se poate justifica în mod rezonabil accesarea datelor şi cu informarea persoanelor vizate.

De asemenea, gestionarea eventualelor accesări ale echipamentelor puse la dispoziţie angajatului, de ex. în cadrul unui proces intern de verificare a conformării cu cerinţele legale aplicabile într-un domeniu, trebuie făcută astfel încât eventuale ingerinţe asupra vieţii private a angajaţilor să fie limitată. Din această perspectivă sunt relevante atât procedurile stabilite la nivelul societăţii, dar şi măsurile tehnice luate pentru a evita o abordare prea intruzivă asupra datelor angajaţilor. De ex., protejarea angajaţilor în contextul unor investigaţii se poate asigura prin regulile stabilite pentru declanşarea şi gestionarea unei analize interne, cât şi prin mijloacele tehnice menite să asigure un acces restrâns, controlat, la datele generate în cadrul acestei analize. 

Pe de altă parte, creşterea rolului directorului de resurse umane în efortul de conformare cu cerinţele în domeniul protecţiei datelor este dat de nevoia de a analiza impactul măsurilor luate de alte echipe cu privire la angajaţi. De ex., atunci când departamentul de securitate stabileşte o nouă soluţie de protejare a datelor stocate în sistemele şi aplicaţiile societăţii (de ex., soluţie de tip data loss prevention - DLP), directorul de resurse umane trebuie să fie implicat în analiza privind soluţiile disponibile şi modul de configurare, pentru a se asigura că impactul asupra dreptului la viaţă privată al angajaţilor este adresat în mod corespunzător.

O implicare similară este necesară atunci când departamentul de securitate stabileşte modul în care defineşte sistemul de securitate utilizând camere video, având în vedere că supravegherea angajaţilor este supusă unor limitări suplimentare conform legislaţiei aplicabile în domeniu. De ex., este interzisă monitorizarea video a angajaţilor la locul de muncă.

Un alt exemplu din ce în ce mai relevant este utilizarea sistemelor de monitorizare a localizării echipamentelor (inclusiv prin sisteme GPS), ce trebuie analizate pentru a avea siguranţa că permit activarea şi dezactivarea în funcţie de modul în care echipamentele respective sunt folosite de angajaţi, mai ales acolo unde este permisă folosirea în scop personal.

În toate aceste cazuri, directorul de resurse umane trebuie să fie implicat în procesul decizional şi, mai ales, în evaluarea impactului eventualelor proiecte asupra protecţiei datelor angajaţilor, pentru a se asigura că soluţiile avute în vedere asigură un echilibru corect între interesele societăţii şi dreptul angajaţilor la viaţă privată.


Implicarea unui director de resurse umane în gestiunea proceselor interne ale unei organizaţii cu privire la conformitatea cu Regulamentul GDPR vizează date colectate atât în procesul de recrutare a potenţialilor angajaţi, date procesate ale angajaţilor curenţi, cât şi date reţinute în scopuri legale ale foştilor angajaţi. Prin urmare, el trebuie sa devină un jucător cheie în acest spaţiu care începe sa fie din ce în ce mai riguros reglementat.

Campaniile de recrutare, campaniile interne de loializare şi activităţile asociate acestora sunt cele care implică gestiunea unor volume semnificative de date cu caracter personal. Acestea determină câteva etape adiţionale, care ţin de domeniul tehnologiei şi care precedă procesele de business.

În consecinţă, persoana care în cadrul organizaţiei gestionează domeniul resurselor umane, trebuie sa lucreze îndeaproape cu colegii din domeniul de IT şi securitate, pentru a le oferi sprijin în:

1.       Identificarea tipurilor de date personale şi documentarea locaţiilor fizice şi virtuale în care acestea sunt stocate, fie că vorbim de suport fizic sau că evaluăm suportul electronic drept mediu de stocare. În acest sens, există câteva tehnologii care sprijină acest demers: EMS Scanner, acea componentă din soluţia Microsoft Enterprise Mobility & Security, care sprijină efortul de inventariere şi documentare a datelor cu caracter personal, dar şi funcţiile de căutare avansată din sistemele ce rulează Windows/ Windows server şi bazele de date SQL.

2.       Clasificarea datelor cu caracter personal identificate în etapa anterioară, cu definirea unui ciclu de viaţă al informaţiei, înrolarea acestui nou atribut şi monitorizarea permanentă de către un sistem care să poată automatiza într-o măsură cât mai mare acest proces. O soluţie care deja îşi aduce contribuţia în acest caz este Azure Information Protection (componentă a Microsoft EMS), care susţine iniţiativa de guvernanţă a datelor şi care gestionează securitatea informaţiei şi din perspectiva securităţii identităţii, clasificând-o şi din punctul de vedere al celor care, într-un orizont de timp definit şi într-un spaţiu de acţiune controlat, au acces la informaţia respectivă.

3.       Securitatea datelor cu caracter personal – prin implementarea măsurilor de securitate proactivă şi reactivă, care să permită atât protecţia infrastructurii fizice şi virtuale, cât şi posibilitatea raportării unui incident de securitate care a avut impact asupra datelor cu caracter personal, în mai puţin de 72 de ore.

Aceste acţiuni nu pot fi posibile fără instrumente de urmărire a jurnalelor de audit. Plecând de la banala autentificare în AD, există instrumente de monitorizare a tentativelor de autentificare, a locaţiilor de autentificare şi a politicilor de acces. ATA sau Advanced Threat Analytics determină imediat  şi alertează asupra unei breşe de securitate, monitorizând atât traficul cu exteriorul organizaţiei, cât şi pe cel din interiorul reţelei. Auditarea înregistrărilor se întâmplă atât la nivelul suitei de productivitate Office 365, cât şi la nivel de SQL Database şi SQL Server, deoarece se monitorizează atât activităţile curente, cât şi cele din istoric, pentru a identifica ameninţările potenţiale şi încălcările regulilor de securitate. În plus, SQL Server Threat Detection foloseşte un set de algoritmi inteligenţi prin care învaţă comportamentul standard şi detectează imediat orice abatere în fluxurile de date.

4.       Raportarea – toate acţiunile trebuie documentate pentru buna funcţionare a organizaţiei şi pentru a păstra abilitatea de a răspunde diverselor solicitări care pot veni atât din partea subiecţilor, cât şi din partea Autorităţii de Supraveghere. Sistemele de audit intern şi raportare din EMS – Azure Information protection, bazele de date Microsoft SQL şi, evident, soluţiile de log-reporting din Office 365 contribuie la construcţia unui sistem consistent la nivelul organizaţiei, sistem care să ofere deopotrivă claritate şi uşurinţă în utilizare.

În lumina celor de mai sus, resursele umane sunt cel mai important capital al unei organizaţii, iar datele cu caracter personal care însoţesc acest capital impun un nivel de protecţie care să limiteze riscul expunerii acestor date în afara organizaţiei în alte scopuri de prelucrare sau acces decât cele prevăzute de lege. În consecinţă, implementarea măsurilor tehnice şi operaţionale adecvate nu vor adresa doar această provocare, ci vor contribui şi la asigurarea conformităţii cu Regulamentul GDPR.

Mai multe informaţii în legătură cu reglementările GDPR şi modul în care tehnologia poate veni în sprijinul îndeplinirii cerinţelor se regăsesc aici: https://www.microsoft.com/ro-ro/rethink-IT-security/GDPR/default.aspx   


În final, toate măsurile de conformare cu cerinţele Regulamentului trebuie să contribuie la schimbarea culturii organizaţionale prin analizarea în avans şi explicit a eventualelor aspecte relevante din perspectiva protecţiei datelor. Iar în acest proces, rolul directorului de resurse umane va fi cheie.

Acest material editorial face parte dintr-o campanie pe tema Regulamentului General privind Protecţia Datelor realizată de Microsoft cu sprijinul Ziarului Financiar.

 

*****

Pentru alte știri, analize, articole și informații din business în timp real urmărește Ziarul Financiar pe WhatsApp Channels

AFACERI DE LA ZERO