בין אם אתם מודעים לכך או לא, תקנות ה-GDPR החדשות (Protection Regulation) משפיעות כבר עתה על מנהלי משאבי אנוש בצורה חסרת תקדים.
התקנות הללו חלות על כל ארגון המעסיק עובדים או נמצא בקשר עם מועמדים, שהם אזרחים של אחת ממדינות האיחוד האירופי. בין אם עובדים ומועמדים אלה מתגוררים במדינות אלה בפועל, או במדינות אחרות (למשל ישראל) אבל יש להם אזרחות אירופית.
אחת הצרות היותר גדולות שעומדות לנחות על רבים מבין מנהלי משאבי האנוש שלא מכינים את הארגון שלהם בצורה קפדנית בהתאם לכללי ה-GDPR, היא קורות החיים שמגיעים אליכם מכמה מקורות כמו גם מהמועמדים עצמם.
כאשר אתם מבקשים ממועמדים לשלוח קורות חיים, אתם למעשה מבקשים מהם מידע אישי. בין אם אתם מקבלים את המידע הזה (קורות החיים) ישירות לאימייל מהמועמד עצמו, אן דרך אתרי דרושים, חברות השמה וכו, אתם חייבים לנהוג בהם על פי כללי ה-GDPR.
המשמעות היא שעליכם לספק לבעליו החוקי של הנתונים (המועמד ולאחר גיוסו העובד) מידע מפורט לגבי הדרך שבה הנתונים האישיים שלו יעובדו, איך ישתמשו בהם, מול אילו מקורות אתם מצליבים אותם, כמה זמן הם ישמרו במאגרים שלכם, האם הנתונים הללו ישותפו עם גורמים מחוץ לארגון או עם סניפים אחרים של החברה, בארץ או בחו"ל וכו'.
הגוף שאוסף האחראי על הטיפול
אחד המרכיבים המרכזיים בתקנות ה-GDPR טמון בכך שהארגון שאוסף את הנתונים על המועמדים והעובדים, הוא זה שאחראי על אופן הטיפול בנתונים אלה, לא רק במערכות שלו עצמו אלא גם במערכות של כל הארגונים האחרים שהוא מסר להם את הנתונים הללו.
כאשר מנהל משאבי אנוש מקבל קורות חיים מחברות השמה, או שואב אותם מאתרי דרושים, לוחות דרושים וכדומה, הם חייבים לוודא שאיסוף הנתונים שהם קיבלו, שמירתם, אחסונם, עיבודם וכל טיפול שנעשה בהם, הכול בוצע באופן קפדני על פי תקנות ה-GDPR.
חתימה על הסכמה לתנאים וההגבלות
יתרה מכך, החברות שמעבירות לכם את הנתונים, גם אמורות לדרוש מכם לחתום על הסכמתכם לכל התנאים וההגבלות החדשים הנובעים מתוקף תקנות ה-GDPR, כמו למשל למחוק את הנתונים לאחר תקופה שנקבעה מראש, לוודא שאתם מבינים את כל התקנות החשות וכל הניואנסים ועוד.
השאלה הגדולה היא מה אתם אמורים לעשות לגבי קורות החיים שמגיעים אליכם וששמורים אצלכם במאגרי המידע. כדי לעמוד בתקנות, ברגע שאתם מקבלים את קורות החיים, יש כמה דברים שצריך לקחת בחשבון, מבחינת המועמדים והטכנולוגיה כאחד:
1 באחריות מנהל משאבי האנוש לבקש ממחלקת ה-IT שתוודא שכל תהליכי אבטחת המידע כוללים את האחסון של מסמכים דיגיטליים שיש בהם מידע אישי. כל מסמך שקשור לגיוס מועמדים (כולל קורות החיים), כל תוכנה שקשורה למשאבי האנוש, כל הקבצים המוגנים בסיסמאות ועוד.
2 בקשו ממחלקת ה-IT שתאפשר לכם לסקור את רשימת האנשים שמורשים לגשת לנתונים אלה ובמשך כמה זמן נשמרים הנתונים במערכת שלכם.
3 היערכו לכך שכל עובד ומועמד (שהם אזרחי האיחוד האירופי) יוכלו, על פי דרישתם, לקבל מידע על האופן שבו הם יכולים לקבוע אם הם מרשים לכם להמשיך להחזיק בנתונים האישיים שלהם, לקבל מידע לגבי הדרכים בהן הם יכולים לבדוק איך הנתונים האישיים שלהם נשמרים אצלכם ומה נעשה בהם, לקבל מידע לגבי האופן שבו הם יכולים לתקן את הנתונים אם הם לא מדוייקים או לא שלמים, או שגויים, ומידע לגבי האופן שבו הם יכולים לממש את זכותם להימחק מהמאגרים שלכם.
4 בדקו את מערכות ניהול המסמכים שלכם. חברות ההשמה עשויות לדרוש מכם להסכים למחוק לצמיתות עותקים של קורות חיים ושל נתונים אישיים אחרים של המועמד.
5 המועמד עצמו, זה שמלכתחילה שלח את קורות החיים שלו, יכול גם לבקש מכם שורה ארוכה של בקשות כדי להבין אילו נתונים ששייכים לו שמורים אצלכם: הוא יכול לבקש מכם לתקן (לשנות) נתונים מסויימים והוא גם יכול לדרוש מכם למחוק את הנתונים שלו מהמערכת ולהוכיח לו שאכן מחקתם אותם. ואתם חייבים להיעתר לכל הבקשות הללו, משום שלא אם לא תעתרו, הוא יוכל לתבוע אתכם. לכן, כדי למנוע תביעות עתידיות, חשוב מאוד להתמקד בתהליך ולהשלים את כל הדרוש.
6 במקביל יש לבחון מחדש את מדיניות העברת המידע שלכם. אחת התקנות המרכזיות של ה-GDPR היא בנושא העברת הנתונים אל המועמדים ואל הרגולטור. העברת הנתונים חייבת להתבצע בתוך 72 שעות. קחו בחשבון שכל סוג של פיקוח רגולטורי על התנהלות הארגון בנושא של אבטחת הנתונים האישיים של העובדים והמועמדים, עלול להשפיע לרעה על איך שהחברה שלכם נתפסת בעיני אנשים מחוץ לארגון, בהם מועמדים פוטנציאלים, מתחרים וכד.
7 ולבסוף, יש לטפל בנושא של עובדים שעוזבים ויש להם מידע אישי על שאר העובדים. אחד החששות הגדולים עבור כל ארגון הוא עובד שעוזב את החברה ויש לו עדיין גישה לנתונים של החברה. מצב זה חל מעתה גם על נתוני העובדים (בנוסף לנתוני הלקוחות).