מועמדים שולחים לכם קורות חיים, אתם שומרים את הפרטים האישיים של העובדים שלכם – כל זה משתנה בימים אלה מהקצה אל הקצה. בחודש מאי האחרון נכנסו לתוקפן תקנות הגנת המידע האירופאיות החדשות GDPR (General data protection regulation). רבים טועים לחשוב שהתקנות רלוונטיות רק לנושאי שיווק ומכירות. כמו כן, רבים סבורים כי הן מתייחסות רק לתושבי אירופה. כלומר, בארגונים רבים טועים לחשוב כי התקנות מתייחסות רק לאנשים שמתגוררים באחת ממדינות האיחוד האירופי.
אלא שבפועל, תקנות ה-GDPR מתייחסות לכל אדם המחזיק באזרחות אירופית, והן רלוונטיות מאוד עבור משאבי אנוש. מדוע? משום שמחלקת משאבי האנוש של כל ארגון מאחסנת במאגרי המידע שלה, מידע אישי רב על עובדים ומועמדים. לדוגמה, דפי קורות החיים של העובד, מידע על תאריך הלידה של העובד, מצבו המשפחתי, מספר ילדיו, וכדומה, כל סוגי המידע הללו נחשבים למידע אישי.
עובדים ומועמדים ישראלים בעלי אזרחות אירופית
כל עוד המידע הזה שייך לאזרח של מדינה אירופאית, הארגון נדרש לטפל בו בהתאם לתקנות ה-GDPR. לאור העובדה שבישראל לרבים יש אזרחות אירופאית, הרי שבמאגרי המידע של כמעט כל ארגון בארץ נמצא מידע אישי רב על עובדים ומועמדים שהם בעלי אזרחות באחת ממדינות האיחוד האירופי.
חשוב להדגיש, כי תקנות ה-GDPR מהוות מהפיכה של ממש בכל נושא שמירת מידע אישי על כל אדם שהוא אזרח של אחת ממדינות האיחוד האירופי ודרכי השימוש בו. הן מגדירות באופן מאוד מפורט את הדרך בה מוטל על ארגונים לשמור את המידע האישי על העובדים והמועמדים שלהם וקבלת אישורים מהם בנוגע לשמירה על הפרטים האישיים שלהם.
התביעות שבדרך
יתרה מכך, שמירת פרטיהם האישיים של העובדים והמועמדים שלכם – שהם בעלי אזרחות אירופאית – בצורה לא נכונה, עלולה לסבך את הארגון בתביעות שעלולות להסתיים בתשלום פיצויים בסכומים גבוהים ביותר. במילים אחרות, התקנות החדשות מגדירות שינויים מרחיקי לכת בכל הנוגע לדרך בה מוטל על ארגונים לשמור את המידע האישי של העובדים והמועמדים שלהם, שיש להם אזרחות באחת ממדינות האיחוד האירופי.
תקנות ה-GDPR מעניקות לאזרחי מדינות אלה זכויות חדשות, שמאפשרות להם לתבוע כל ארגון ששמר את הפרטים שלהם בצורה שאינה תואמת את רוח התקנות. מכיוון שכך, מוטל על ארגונים ליישם את התקנות ולנקוט באמצעים שיאפשרו הגנה על הפרטים של אותם אזרחי מדינות האיחוד האירופי.
קנסות עתק למי שמפר את התקנות
האם מדובר בארגונים בעלי נוכחות אירופאית בלבד? לא בהכרח. תקנות ה-GDPR תקפות לגבי כל ארגון, בין אם יש לו נוכחות באירופה ובין אם הוא ארגון ישראלי לכל דבר ועניין ואין לו כל סניף, חברה בת או כל צורה אחרת של נוכחות באירופה, שמחזיק במידע אישי שעלול לזהות באופן חד משמעי, כל אזרח של מדינות האיחוד האירופי, וששומר מידע זה במאגרי המידע שלו.
פרט לאפשרות שהארגון ייתבע על ידי אזרחי האיחוד האירופי (כאמור, עובדים ומועמדים), ארגון שלא מיישר קו עם התקנות החדשות ולמעשה מפר אותן, עלול להידרש לשלם גם קנס. מדובר בקנסות בסכומי עתק המגיעים לכארבעה אחוזים מההיקף המחזור השנתי הגלובלי של הארגון, או 20 מיליון אירו.
כאמור, חברות וגופים שאינם חברים באיחוד האירופי, כמו למשל חברות או עמותות ישראליות, כפופים לתקנות אלה. על אחת כמה וכמה חברות שמציעות מוצרים או שירותים לתושבי האיחוד האירופי. חברות שיש להן פעילות עסקית באחת ממדינות האיחוד האירופי אף עלולות להידרש למנות נציג מיוחד לנושא זה השוהה בטריטוריה של האיחוד האירופי.
בשורה התחתונה, כל ארגון ששומר מידע במאגריו, או אף מעבד מידע בלבד, או מעביר לגוף אחר מידע אישי שקשור לאזרחי האיחוד האירופי, הינו כפוף לתקנות ה-GDPR ולכן מחוייב לאמץ את דפוסי העבודה החדשים הנובעים מתקנות אלה, בכל הקשור לעיבוד מידע ושימוש בו.
כתבות נוספות בנושא ה-GDPR:
איך משפיעות תקנות ה-GDPR על הקשרים שלכם עם עובדים ומועמדים
האם צפוי תפקיד חדש במשאבי אנוש: אחראי על יישום GDPR
7 זכויות המוקנות לעובדים ומועמדים שהם אזרחי אירופה, מתוקף תקנות ה-GDPR
