hirdetés
hirdetés
hirdetés

Változások

2018 legnagyobb adatvédelmi kihívása

Ahogy évről évre egyre gyorsul az adatok áramlása, hajlamosak vagyunk elfelejteni, hogy életünknek és munkánknak ezen aspektusát is törvények határozzák meg. CV-ket mentünk le, küldünk tovább, értékeljük a jelölteket az interjúkon. Ha valami vicceset találunk munkánk során, még talán el is küldjük barátainknak vagy megosztjuk valamelyik recruiter Facebook csoportban. Elképzelhető, hogy mindeközben megszegjük a szabályokat, törvényeket? Biztosan tisztában vagyunk ezeknek a dolgoknak a súlyával és tudjuk, hogy hogyan kell eljárni az adott helyzetekben?

Ezek a kérdések azért különösen fontosak az emberi erőforrással foglalkozó szervezetek és emberek számára, mert ők a személyes adatok és információk igen széles körét kezelik. A folyamatok működését természetesnek vesszük, nem gondolunk bele abba, hogy milyen következményeik lehetnek. Ahogy az az életben általában lenni szokott, a következményekkel előbb-utóbb szembesülni kell. A 2018-ban általánosan bevezetésre kerülő GDPR jelentős hatással lesz a HR és munkaerőközvetítő cégek működésére.

Hogyan érinti a GDPR a munkaerő-közvetítésben érintett szervezeteket?

Mivel a szolgáltatás tárgya munkaerő-közvetítés és minden természetes személy rendelkezik különféle személyes adattal, így a bűvös 2018.05.25. dátumot minden HR és közvetítő tevékenységgel is foglalkozó szervezetnek komolyan kell vennie – kezdve a toborzási szakasztól az interjúkon át egészen a munkába állásig, beleértve a saját munkatársainkkal kapcsolatos bárminemű adatkezelést is!

Mi fog történni 2018. május 25-én?

Két éves felkészülési időszak után, 2018. május 25-én az Európai Unió általános adatvédelmi rendelete (General Data Protection Regulation – GDPR) hatályba lép, mely minden uniós tagállamban kötelezően alkalmazandó és aminek értelmében drasztikus mértékű bírságokra lehet számítani adatvédelmi incidens esetén.

A szervezetektől tudatosabb és átláthatóbb adatkezelési tevékenységet vár el, míg a felhasználók számára magasabb szintű jogi védelmi lehetőséget biztosít. Szeretném felhívni ezúton is minden érintett szervezet vezetőjének a figyelmét, legyen tisztában azzal, hogy a felkészülésre jelentős szervezeti erőforrásokat kellett volna már eddig is szánnia és a fennmaradó időben elsődleges prioritásnak kell ezt tekintenie.

Milyen újdonságokat hoz az EU új adatvédelmi rendelete a HR és a toborzási folyamatok kapcsán?

A GDPR keretbe és egységbe foglalja az adatvédelem és az információbiztonság legsarkallatos pontjait, de oly mértékű új keletű pontokat nem tartalmaz, mint amikkel a legtöbb szakmai konferencián próbálják megrémíteni a kollégákat. Példának okáért amennyiben a munkaerő-közvetítéssel és HR tanácsadással foglalkozó szervezet az adatvagyonát, a jelentkezők és a munkatársak személyes adatait már eddig is tudatosan, megfelelő védelmi mechanizmusokkal védte, úgy nincs semmi félnivalója, hiszen csupán az érintett területek működését kell tovább biztosítani, például kockázat- és sérülékenység menedzsment, jogosultságkezelés, naplózás, üzletmenet-folytonosság és katasztrófa-elhárítás menedzsment, adatosztályozás.

A GDPR előnye, hogy szigorúbban tudunk fellépni olyan munkatársaink ellen, akik az adatvédelmi incidens bekövetkezéséhez hozzájárultak, például amikor egy munkavállaló kilép, akkor – sok esetben – számos bizalmas, szervezeti tudást tartalmazó dokumentumot is magával visz, amit versenytársnál kíván hasznosítani.

Mit változtasson egy munkaerő-közvetítéssel foglalkozó szervezet?

Az eredeti, GDPR-t nevesítő szabályozói dokumentum közel száz oldalon keresztül taglalja, hogy az érintett szervezet bizonyos feltételek megléte esetén milyen szigorító intézkedést, fejlesztést kell megvalósítania.

Először is legyünk tisztában azzal, hogy a toborzás kapcsán pontosan milyen személyes adatkörök és milyen jogalappal(!) kerülnek hozzánk, tehát pontosan meg kell tudnunk mondani, hogy milyen törvényi, jogi céllal kérjük be, elemezzük és tároljuk a jelentkezők személyes adatait, gondoljunk a következőkre például: teszteredmények, név, e-mail cím, lakcím, IP cím, cookie, GPS adatok, jogosítvány adatai, személyi szám, jövedelmi és egészségügyi adatok, érdeklődési kör, munkaköri adatok és a sort még folytathatnám… Törekedjünk az adatminimalizációra, vagyis valóban csak azon adatokat gyűjtsük, ami elengedhetetlenül fontos az üzletmenetünk szempontjából.

A GDPR – többek között – megköveteli, hogy értsük, lássuk a szervezetünknél teljes mértékben, melyik személyes adatkör, milyen üzleti folyamat során, milyen informatikai rendszereken keresztül áramlik és tárolódik. Úgy gondolom, hogy ez elég súlyos kijelentés, ami mögött rengeteg munkája lesz minden szervezetnek.

A tárolás kapcsán fel kell hívnom a figyelmet, hogy az elmúlt időszakban drasztikus mértékben nőtt a kiszivárogtatott adatbázis állományok mennyisége, így a rendszeres sérülékenység és patch kezelésre a megfelelő erőforrásokat rendelkezésre kell állítania a cégnek, nem beszélve a biztonsági mentésekről, melyek a zsarolóvírusok ellen is biztonságot jelenthetnek.

Egy toborzással foglalkozó cégnek talán az egyik legnagyobb IT biztonsági kockázata, hogy rengeteg e-mailt kap, melyek közül számos adathalász szándékkal került elküldésre. Ezek kivédésére elsőrkörben a munkatársainkat kéne minél rendszeresebben biztonságtudatossági képzésre küldeni – akár – házon belül, ahol a leggyakoribb veszélyekre próbáljuk felhívni a figyelmüket, konkrét, megvalósult támadásokat mutatunk be nekik érhető és élvezhető stílusban, amit ők – tapasztalatom alapján – még haza is visznek és a családnak is elmesélik. Emellett pedig a spam-szűrés, behatolásvédelmi megoldások, vírusírtás és minden korábban említett szakterületi védelmi alkalmazása szükséges.

A munkatársainknak és a jelentkezőknek, ügyfeleinknek biztosítanunk kell a következő alapelveket: helyesbítéshez és törléshez való jog (“az elfeledtetéshez való jog”), korlátozásához való jog, adathordozhatósághoz való jog, tiltakozáshoz való jog. Például egy jelentkező rendelkezhet úgy, hogy minden róla meglévő papír és elektronikus formában tárolt adatot haladéktalanul töröljünk minden rendszerünkből, irattárból, felhőből, és minden külső alvállalkozótól, még az archivált állományokból is.  Ezzel biztosítva, hogy örökké ,,elfelejtjük” őt.

Továbbá technikailag képesnek kell lennünk, hogy ha a jelentkező vagy munkatársunk azt mondja, hogy ő szeretné elhordozni az adatait más céghez (hasonlóan, mint a telekommnikációs mobil számhordozhatóság esetén), akkor nekünk egy közismert állományban át kell tudnunk neki adni ezeket az adatokat, mely sajnos komoly informatikai fejlesztésekkel is járhat.

Tudnunk kell azt is,, ha egy munkatársunk vagy bármely más érintett kéri, hogy bizonyos személyes adatait ne tároljuk, kezeljük, akkor nemes egyszerűséggel azokat ő nem adja meg, tiltakozik és korlátozást kér jogosan, tehát kötelező jelleggel nem tudjuk kikényszeríteni ezt tőle, például nyelvvizsga és végzettségre vonatkozó dokumentumokat, így e mentén újra kell gondolni a teljes jelentkezés feltételi rendszerét.

Egy munkaerő-közvetítéssel foglalkozó szervezet a legtöbb esetben harmadik félnek és rengeteg alvállalkozóval dolgozik, így erről könnyen, érhetően és hozzáférhető formában kell tájékoztatni a jelentkezőt, hogy bitre pontosan tudja ki, mikor, hol érheti el az adatait, emiatt is jelent kihívást, hogy 72 órán belül kötelező tájékoztatni az érintett személyeket és a Nemzeti Adatvédelmi és Információszabadság Hatóságot, amennyiben adatszivárgás történik a szervezetnél. Adatszivárgás alatt érthetjük azt is, ha egy kinyomtatott bérjegyzék, interjúátirat vagy csak egy e-mail illetéketelen kezekbe kerül vagy a számítógépünket felügyelet nélkül hagyjuk és úgy jut valaki olyan információhoz, mely minket hátrányosan érint.

A legtöbb szervezetnél jogi értelembe vett adatkezelői és adatfeldolgozói tevékenység történik, így e szerepköröket gyakorló munkatársakat és alvállalkozókat is igen komolyan és szigorú be kell mostantól vonnunk a védelmi vonalunk mögé és ellenőriznünk kell, tudatosabbá kell tennie a tevékenységüket.

A fentieken kívül adatkezelési nyilvántartást kell vezetnie a szervezetnek és adatvédelmi hatásvizsgálatot is szükséges készítenie. Különös figyelemmel kell lennünk, amennyiben külföldi, EU-n kívüli adattovábbítást is folytat az érintett szervezet.

Milyen kihívásokat látsz a GDPR-ban?

Személy szerint én azt látom jelentős problémának, hogy a legtöbb szervezetnek az az elsődleges célja, hogy megfeleljen a GDPR-nak, ki tudja pipálni a listán és utána nem igazán kívánják ezt elővenni, hiszen közvetlenül szinte csak elvon a szervezet jövedelmezőségőbél. Azonban javaslom, hogy ezt a kérdést inkább úgy nézzék, hogy az emberiség az elődeitől rengeteg tudást örökölt – többek között –  az infokommunikációs eszközök terén és a jelenlegi állapotok szerint az emberiség általában nem érett meg olyan szinten, hogy a minket körbevevő technológiát megfelelően használjuk. Tehát mondhatni, hogy nem nőttünk még fel ahhoz a felelősséghez, melyet kaptunk és emiatt sajnos szabályozói oldalról, a GDPR-hoz hasonló kemény jogi előírásokat kell alkalmazni mindnyájunk érdekében. Amennyiben nem történne ilyen a – már most is – óriási mennyiségű adatszivárgási esetek végeláthatatlan számban következnének be.

A másik fontos szemléletmódbeli észrevételem, hogy ennek egy élő mechanizmusnak kell lennie és dinamikusan kell működni, tehát 2018.05.25-től szervezeti képesség szintjén kell jelen lennie a ,,GDPR compliance” módnak és nem egy statikus, magára hagyott fényképnek, mely lóg a falon, hanem egy élő adásnak, mely 0-24-ben minden előírt tevékenységet rögzít és közvetít.


Forrás: http://hrpowerboard.com/

Balogh Turul
a szerző cikkei

hirdetés
IRATKOZZON FEL
HÍRLEVELÜNKRE!

KÖVESSEN MINKET A FACEBOOKON!

hirdetés
ÉRDEKES HÍRE VAN? KÜLDJE EL NEKÜNK!
hirdetés

Célja, hogy díjazza a Magyarországon futó, munkáltatói tevékenységhez kötődő különféle kampányokat, kommunikációs aktivitásokat. Pontszerzés a Pr Toplistán! Nevezési határidő: augusztus 31.

Ismét HR konferencia: ez alkalommal a kékgalléros kihívásokat vesszük górcső alá. Save the date: szeptember 20.

Tervezzük meg együtt a munkavállalód élményét! Időpont: szeptember 28.

Coaching eszközök a gyakorlatban hr-eseknek, coaching szemléletű vezetőknek és coachoknak. Időpont: október 11., 09.00 - 16.00

Részletes program hamarosan! 2018. november 15.

hirdetés