שיתוף

תקנות ה-GDPR – General Data Protection Regulation שנכנסו לתוקף במאי האחרון, מגדירות את הזכויות של אזרחי האיחוד האירופי בכל הנוגע לשמירת הנתונים הפרטיים שלהם, אחסונם, עיבודם, העברתם לאחרים ועוד. אף שנהוג להתייחס אל תקנות ה-GDRP רק בהקשר המכירות והשיווק, הרי שהן רלוונטיות ביותר גם עבור משאבי האנוש.

כל ארגון שבין עובדיו והמועמדים שלו נמנים ישראלים בעלי אזרחות אירופאית (מאחת ממדינות האיחוד האירופי) חייב לנהוג במידע האישי של עובדים ומועמדים אלה תוך הקפדה על כל תקנות ה-GDPR.

זאת ועוד, כל ארגון שיש לו סניפים או חברות בנות, הנמצאים מחוץ לישראל ומחוץ לאירופה, והוא מעסיק בסניפים אלה ובחברות הבנות הללו עובדים שיש להם אזרחות באחת ממדינות אירופה, לא כל שכן ארגון כזה שמאתר מועמדים בעלי אזרחות אירופית ואוגר עליהם מידע, מעבד אותו, משתף אותו עם גורמים חיצוניים ועוד, חייב לנהוג במידע הקשור לאזרחי מדינות האיחוד האירופי תוך הקפדה על תקנות ה-GDPR.

לדוגמה, ארגון ישראלי שיש לו סניפים או חברות בנות באפריקה, או בדרום מזרח אסיה, או בארה"ב או באוסטרליה וכדומה, והוא מעסיק בסניפים הללו ובחברות הבנות הללו תושבים מקומיים שיש להם אזרחות באחת ממדינות אירופה (למשל, אזרחים צרפתיים שהיגרו לאוסטרליה או לארה"ב, והם תושבי מדינות אלה, חיים ועובדים בהן), חייב לנהוג בנתונים האישיים שלהם על פי תקנות ה-GDRP.

אותו דבר אמור לגבי נתונים על מועמדים בעלי אזרחות אירופית המתגוררים באחד מאיזורים אלה.

להלן 7 זכויות הנובעות מתקנות ה-GDPR בנוגע לעובדים ומועמדים שהם אזרחי האיחוד האירופי:

1 זכות הגישה החופשית:

יש לאפשר לכל עובד ומועמד זכות לגשת לכל מידע שהחברה מחזיקה בנוגע אליהם וכמה זמן הוא מאוחסן (ויאוחסן) אצלם ומי רואה ויראה אותם. כמו כן יש לאפשר לכל עובד ומועמד לקבל מידע מלא ומפורט לגבי נתונים שלו (ששמורים במחשבי החברה) שמעובדים, ולמה הם מעובדים (לאיזו מטרה).

על הארגונים לספק מידע זה לעובדים ולמועמדים בתוך חודש אחד ללא תשלום. יודגש כי אסור להם לבקש על כך תשלום.

2 הזכות להישכח (הזכות למחיקת הנתונים האישיים):

לעובדים ולמועמדים למקום העבודה צריכים לקבל את הזכות לדרוש כי הנתונים שלהם ימחקו, כאשר המטרה שלשמה הם נאספו כבר אינה רלוונטית.

כלומר, הארגון חייב להשמע לדרשתם של עובדים ומועמדים למחוק את המידע עליהם כאשר הוא כבר לא נחוץ למטרה הספציפית שלשמה הוא נשמר.

במילים אחרות, גם אם העובדים והמועמדים נתנו את הסכמתם לשמירת המידע הספציפי עליהם, הם יכולים לדרוש שהנתונים שלהם יימחקו, או להתנגד לאופן עיבודו של המידע.

3 הזכות למחיקת הנתונים ששותפו עם גורמים אחרים:

אם הארגון חשף את הנתונים על המועמד או העובד בפני גופים אחרים, עליו ליצור קשר עם הגופים שאליהם הועברו הנתונים שלהם ולהודיע לכל אחד מהם שעליו למחוק את הנתונים האישיים של אותם עובדים ומועמדים.

4 הזכות להעברת מידע בקלות ע"י בעליו:

ארגונים חייבים לאחסן מידע של אנשים בפורמטים הניתנים להפצה.

מטרת התקנה הזאת היא שהארגון יוכל להעביר באופן מיידי את הנתונים על אותו עובד או מועמד, ללא כל תשלום מצדם של העובדים והמועמדים שבהם מדובר, לכל גוף אחר שהמועמד או העובד מבקשים להעביר אליהם את הנתונים הללו.

ארגונים חייבים להעביר את הנתונים בתוך חודש. כדאי ורצוי מאוד לבדוק, האם זכות זו כוללת את זכותו של מועמד שעשה בחינות במסגרת מועמדותו, לדרוש להעביר את התוצאות לארגון אחר.

5 הזכות לתיקון הנתונים:

עובדים ומועמדים זכאים לקבל לידיהם את הנתונים האישיים שלהם שאוחסנו במחשבי הארגון, ולתקן כל נתון שאינו מדויק או שאינו שלם. הארגון חייב להגיב לתיקונים והשלמות אלה בתוך חודש ימים. במקרים בהם מדובר בבקשה מורכבת, ניתן לקבל ארכה לחודשיים.

ארגון שחשף את הנתונים בפני גורמים אחרים (בהסכמת המועמד והעובד) חייב ליצור ביוזמתו קשר עם הגורם שכלפיו הוא חשף את הנתונים ולהודיע לו על כל התיקונים וההשלמות.

6 הזכות להגביל את מידת עיבוד הנתונים:

ארגונים נדרשים להגביל את עיבוד הנתונים של העובדים והמועמדים שלהם בנסיבות הבאות:

  • כאשר העובד או המועמד מערער על מידת הדיוק של הנתונים האישיים שלו שנשמרו, על הארגון מוטל להגביל את עיבוד עד הנתונים עד לרגע שבו ניתן לאמת את דיוק הנתונים האישיים.
  • כאשר העובד או המועמד מתנגד לעיבוד הנתונים האישיים שלו, והארגון מתלבט האם הסיבה הלגיטימית שלו לעיבוד הנתונים גוברת על לגיטימיותה של הדרישה של העובד או המועמד.
  • כאשר העיבוד אינו חוקי, אבל העובד או המועמד מתנגד למחיקת הנתונים ומבקש במקום זאת להגביל אותם.
  • כאשר הארגון למעשה כבר לא זקוק לנתונים האישיים של העובד או המועמד, אבל אלה האחרונים דורשים לקיים את הנתונים, או לממש אותם או לשמש אותם לצורך הגנה בתביעה משפטית.

נציין, כי אלו הם רק חלק מכלול המצבים שלגביהם נדרשים הארגונים להגביל את העיבוד של נתונים אישיים.

7 זכותו של בעל הנתונים להתנגד לעיבודם:

לכל מועמד ועובד יש זכות להתנגד לעיבוד הנתונים האישיים שלו בהתבסס על אינטרסים לגיטימיים, כמו למשל, עיבוד הנתונים שלו כדי להשתמש בהם למטרות של שיווק (למשל עובד לשעבר של חברה, שמתנגד שהחברה אותה עזב, תשתמש בנתונים שלו השמורים אצלה כדי לשווק לו את מוצריה). אותו דבר אמור לגבי נתונים המיועדים למטרות של סטטיסטיקה, מחקרים מדעיים ומחקרים אחרים.

על הארגון מוטל להודיע לעובדיו ולמועמדים שלו על זכותם להתנגד למטרות אלה, כבר בעת הפנייה הראשונה שנעשית אליהם, וכן בהודעת מדיניות הפרטיות של הארגון.

כתבות נוספות בנושא GDPR:

איך צפויות תקנות ה-GDPR להשפיע על מנהלי משאבי אנוש

איך משפיעות תקנות ה-GDPR על הקשרים שלכם עם עובדים ומועמדים

האם צפוי תפקיד חדש במשאבי אנוש: אחראי על יישום GDPR

כנס משאבי אנוש במגזר הציבורי

כנס פיתוח ארגוני

כנס AI למשאבי אנוש

כנס דיני עבודה

אין תגובות

השאר תגובה