GDPR למשאבי אנוש HR

מה המשמעות של כללי ה-GDPR עבור אנשי HR?

ה-GDPR  הנו סט של עשרות כללים שנחקק על ידי האיחוד האירופי, ומטרתו להגן על זכות הפרטיות של תושבי מדינות האיחוד. הGDPR בר אכיפה החל מ-28.5.2018.

בהתאם לכללי ה-GDPR, עיבוד המידע אודות אנשים פרטיים – ובמקרה של HR – עובדים, עובדים לשעבר, ומועמדים - חייב להיעשות בהתאם לעקרונות קפדניים השומרים על פרטיות העובדים. ברור שעבור צוותי HR, האוספים ומעבדים מידע, יש לכך השלכות רבות.

בהסברים שלהלן נתייחס באופן שווה לעובדים, עובדים לשעבר, ומועמדים גם אם מבחינת HR יש הבדל מהותי במידע הנאסף אודות כל קבוצה.

​לפני הכל, כדאי להכיר את העקרונות: ה-GDPR מקנה לאנשים פרטיים (שימו לב, להבדיל מחברות), שליטה על המידע אודותיהם: את הזכות שהמידע ישמר בפרטיות, את הזכות לדעת מהו המידע שנשמר אודותיהם ואף הזכות לבקש למחקו. המידע הזה צריך להגיע אל אותם אנשים בדרך ברורה, מיודעת, ונגישה – אם ביקשו.

האמנם כה רחבה ההגנה? האמנם כל עובד רשאי לדעת מה המידע ששמרתי אודותיו, לרבות התכתבויות בין מנהלים, ניתוחי יכולות וכדומה? ומה קורה אם המידע אודות מועמד הגיע אלי בכלל מצדדים שלישיים כגון חברות השמה? ובכן, חשוב לזכור: ה-GDPR  מצהיר על חשיבות השמירה על הפרטיות לצד קידום התפתחות כלכלית. לכן במקרה של ספק, תמיד מומלץ למצוא את האיזון בין שמירה על הפרטיות לבין התקדמות והתפתחות של העסק.

 

בואו ננסה לעשות סדר בדברים - מידע רגיש שמצטבר ב-HR:

קודם כל, זכרו שאנשי ונשות ה-HR מצויים בנקודת תצפית מאד מרכזית וחשובה בארגון: אתם העיניים והאוזניים של החברה ואוספים מידע נרחב מאד: החל מתנאי שכר של עובד, תנאי הפנסיה, פרטי חשבון הבנק ומקום מגורים, וכלה בהערכות לגבי תפקודו, הפרות משמעתיות, או היעדרויות בגין מחלה. המידע הזה מאד – מאד – רגיש.

לעיתים אתם עורכים עיבוד של המידע. למשל, סיווג עובדים כבעלי פוטנציאל ניהולי או להפך, כצפויים לפיטורין. הפרטים הללו, בהתאם לסעיף מיוחד ב-GDPR הם מותרים לאיסוף ולעיבוד.

נבחן להלן מה נדרש מכם ביחס לעובדים ולמועמדים. זכרו שאתם בעלי תפקיד חשוב ומרכזי, ובעלי השפעה משמעותית על הארגון.

 

על מי חלים כללי ה-GDPR?

חשוב שתזכרו: ה-GDPR מגן על תושבי אירופה – וליתר דיוק – על כל מי שממקום באחת מ-28 המדינות החברות באיחוד האירופי. המדינות הללו כוללות גם את מזרח אירופה, שם נערכים לעיתים גיוסי כוח אדם משמעותיים בהי-טק, כגון סלובניה, לטביה, בולגריה, קרואטיה ופולין. וגם כמובן מדינות חזקות ודומיננטיות כמו צרפת וגרמניה.

לכן, אם אתם בקשר עם תושבי ישראל בלבד, הרי שאינכם כפופים לכללי ה-GDPR. אם מדובר בישראלים בעלי אזרחות אירופאית – הרי שרק אם הם ממוקמים במדינות האיחוד, הם מוגנים על ידי ה-GDPR וגם אז באופן מוגבל.

במקרה שאתם עובדים עם מספר מצומצם של עובדים ממדינות האיחוד האירופי, כדאי לכם לשקול התייחסות נפרדת אליהם. יחד עם זאת, ישנן חברות ישראליות שהחליטו להחיל את כללי ה-GDPR על כל העובדים, בין אם הם תושבי מדינות האיחוד ובין אם לאו, מתוך מטרה לצמצם חשיפה לסיכונים עתידיים, ותוך התאמה גם לדין הישראלי.

 

מה הקף המידע שיש למסור לעובד או מועמד?

עובד ומועמד רשאים לדרוש מכם בכל רגע לדעת מה רשום במאגרים אודותיהם. בעיה!הרי גם למעסיק יש אינטרסים ולעיתים אינו מעוניין למסור פרטים דיסקרטיים אודות עובדים או מועמדים כגון הערכתו האישית לגבי תפקודם.

אז האם מחלקת HR חייבת למסור לעובד ולמועמד כל פרט אודותיו המצוי בארגון?

התשובה היא כן ולא. כן, כי כל פרט עובדתי שאספתם אודותיו צריך להימסר לו. ו-לא, כי יש מידע שהוא אמנם אודות העובד או המועמד, אבל שייך לארגון.

אתם בהחלט חייבים למסור פרטים עובדתיים אישיים שנאספו, וגם פרטים כלליים אודות הארגון כגון מי האחראי על הפרטיות, לאיזה גורמים אתם מעבירים את המידע אודותיו (למשל, לגורמים שמעבדים את המידע כגון חברות להפקת תלושי שכר) ומה נעשה במידע הזה. בנוסף, עליכם לציין מהו המקור החוקי לפעולות אלו, או לחילופין מהו האינטרס העסקי הלגיטימי לכך.

אבל – וזה חשוב: מידע שעיבדתם והפך לנכס של הארגון, אינו חייב להימסר לעובד.

כך למשל, עובד שמצוי ברשימת פיטורין עתידית, או עובד שמועמד להעלאה בשכר לאור תפקוד גבוה וכדומה. אנו ממליצים גם את העובדה הזו לעגן בחוזה העבודה על מנת שלא ייווצר ספק. ולגבי מיילים בין מנהלים בנוגע לעובד או מועמד, או הערכות פנימיות שלכם: כאן ה-GDPR  שותק. ולכן קיימים לעיתים חילוקי דעות בין המומחים. יש הסבורים כי זהו מידע אשר יש למסרו לעובד או למועמד משום שהמידע הוא אודותיו. מומחים רבים ואף אנחנו סבורים שממש לא: מדובר במידע ששייך למעסיק, ומסירתו עלולה לפגוע בעובד, במועמד ובמעסיק. אין במסירת המידע משום הגנה על הפרטיות. מסירת המידע תגרום לתקלה עסקית וכלכלית משמעותית וה-GDPR לא נועד להגן על מקרים מעין אלו.

ה-GDPR אם כן, מציע איזון בין שני אינטרסים: שמירה על פרטיות של המועמד או העובד, אל מול האינטרס העסקי הלגיטימי של המעסיק, עם יתרון קל לזכויות של הראשונים.  

 

מה לעשות עם מידע ישן?

והנה עוד שאלה שמתעוררת פעמים רבות: האם הכללים של ה-GDPR חלים על כל המידע שכבר נאסף וקיים בחברה? ובכן, כן! וזה אומר שמומלץ לערוך סדר וארגון בכל המידע שנצבר עד כה כדי שיתאים לכללי ה-GDRP: לבדוק את כל הרישומים, למחוק את המיותרים, ולצמצם את המידע ככל האפשר בהתאם לעיקרון המינימליזם. זוכרים שהייתם שואלים בעבר מועמד לגבי גילו ומצבו המשפחתי? אז אם אין לכך רלוונטיות – מומלץ למחוק.

 

האם כדאי למחוק מידע?

ואם מועמד מבקש שהמידע אודותיו ימחק לחלוטין? או אף יותר מכך: עובד שעזב מבקש זאת. ובכן, כאן נחלק את התשובה לשתיים:

לגבי מועמד שביקש למחוק: אתם יכולים לבחור בין מחיקה מוחלטת לבין הפיכת המידע אודותיו לבלתי מזוהה, ואז לשמור את הפרטים לצרכי דיווחים וסטטיסטיקות.

לגבי עובד שעזב וביקש למחוק: כאן עומדות לרשותכם שלוש אפשרויות: האחת, מחיקה מוחלטת; השנייה, הפיכת המידע לבלתי מזוהה; השלישית, שמירת המידע בנימוק שהוא נדרש לכם לצרכים משפטיים עתידיים. בשלב הזה נמליץ לכם לגבות את עמדתכם בחוות דעת של המחלקה המשפטית.

 

מה מעמדו של מידע שנאסף מהרשת?

לעיתים אנשי HR אוספים מידע מרשתות חברתיות, מבלוגים, או מפורומים שונים. האם מותר לעשות שימוש במידע הזה?

התשובה היא בעיקרה כן: אם אדם שיתף בפומבי מידע אודותיו, הרי שבכך יש משום היתר לעשות בו שימוש ("סיכון נמוך"). אם מדובר במידע שמיועד לגורמים מסוימים והגיע לידיכם על ידי חקירה או ברור מעמיק יותר, על אף שלא היה פומבי ("סיכון בינוני"), הרי שגם כאן, הדרך הטובה ביותר לפעול היא ליצור קשר עם המועמד, ולבדוק הסכמתו.

 

האם כדאי לשנות את חוזי ההעסקה?

כן, בהחלט מומלץ. ולא רק של העובדים האירופאים. של כולם.

אנו ממליצים להוסיף לכל חוזי ההעסקה סעיף המתייחס להסכמות העובד: הסכמה לעיבוד המידע אודותיו, הסכמה לאסוף מידע רגיש אודותיו, הסכמה לעשות שימוש למטרות סטטיסטיות, וכדומה. כך תכשירו את הקרקע באופן חוקי לעיבוד מידע שנחוץ להגשמת מטרות הארגון וגם כדי לממש את חוזה ההעסקה ביניכם.

לגבי מועמדים, העניין קצת שונה: אם קיבלתם מידע מגורמים שלישיים כגון חברות השמה, עליכם לוודא שחברות ההשמה עצמן מצייתות לכללי ה-GDPR!כלומר, שהן קיבלו הסכמה מכל מועמד להעביר את פרטיו אל גורם אחר שזה אתם למעשה. אם המועמד לא הסכים לכך, הרי שגם חברת ההשמה חשופה לסנקציה וגם החברה שלכם, משום שעשיתם שימוש במידע הפרטי ללא הסכמה.  

ועוד הערה חשובה: לעיתים במדינות אירופאיות מסוימות יחולו מגבלות נוספות על גיוס או העסקת עובדים. כך למשל, יכולה מדינה מסוימת לקבוע שאם מועמד מסוים לא התקבל ואין לכם צורך בפרטיו יותר, עליכם למחוק לחלוטין את פרטיו, או שיש לכלול סעיפים מסוימים בחוזה ההעסקה. אם מדובר במספר רב של עובדים ממדינה מסוימת, נמליץ לכם להיעזר בעורך דין מקומי כדי לעמוד על דיוקים.

 

חבר מביא חבר?

או ליתר דיוק: עובד מביא חבר. או מנהל מכיר חבר. מה עושים במקרה כזה – איך תשמרו על הפרטיות כשמישהו מניח על שולחנכם תפוח אדמה לוהט... קורות חיים חדשים ומוסיף: גייסו אותו, אני מכיר אותו. קורות החיים האלו מסתובבים לעיתים בין המנהלים כדי לבחון התאמה ראשונית של המועמד.

אותם עקרונות ינחו אתכם גם פה: שמרו על הפרטיות של המועמד, העבירו את קורות החיים שלו רק בקרב הגורמים הרלוונטיים, קבלו הסכמתו המפורשת, ואז תוכלו להתקדם.

הנה דוגמא ממשית: עובד המליץ על חבר אירופאי כמועמד לתפקיד בארגון. קיבלתם מהעובד את קורות החיים של החבר במייל. עד כאן, אין כל פגם. שאלו את העובד: החבר הסכים? אם לא הסכים, צרו עם המועמד קשר ראשוני, ובדקו עמו אם מעוניין בהמשך התהליך. אם אינו מעוניין – עדכנו אותו שאתם שומרים את שמו ומספר הטלפון שלו ואם הוא מסכים, גם את קורות החיים שלו, על מנת לפנות אליו בעתיד או על מנת שלא להטרידו יותר. אם המועמד מעוניין בהמשך התהליך – בקשו ממנו קורות חיים כדי שהוא יהיה מקור המידע.

תעדו הסכמה זו גם אם ניתנה לכם בשיחה טלפוני, במייל או במסרון. המשיכו בהליך הגיוס כרגיל. דרך מדורגת זו תאפשר לכם לשמור על פרטיות המועמד וגם לקבל הסכמתו לעיבוד עתידי.

פשוט, קל, מכבד.

 

מה לגבי ממליצים שתקנים?

כאן מדובר באחד הנושאים הרגישים שהתעוררו לאחרונה: מספר מנהלי ומנהלות HR ציינו בפנינו כי כאשר הם יוצרים קשר עם ממליצים, אלו מסרבים למסור פרטים בטענה שה-GDPR אינו מאפשר להם חשיפה של מידע אישי אודות מועמד.

לעיתים הממליצים טוענים שהם רשאים למסור רק פרטים עובדתיים כגון תאריכי העסקה ותפקיד, ולא מעבר לכך.

איך מתמודדים עם עמדה מעניינת זו? ובכן הטענה נכונה בחלקה, משום שאכן, מידע אישי על מועמד שייך לו ולכן הממליץ אינו רשאי למסור פרטים לגבי מועמד כגון אמונות אישיות, עמדות פוליטיות, מצבו הרפואי וכדומה. אבל הוא בהחלט יכול ורשאי למסור את עמדתו האישית על הכישורים האישיים של המועמד.

והאמת? אם ממליץ מסוים כל כך מסתייג, זה קודם כל מפתיע. ושנית, זה לא הגיוני שיחסום מועמד טוב. אנו ממליצים לכם לנסות לבקש מהממליץ למסור לכם בכל זאת את חוות דעתו הכללית על המועמד מבלי לפרט. גם זה מידע מסייע עבורכם, ואז, עברו לממליץ הבא.

 

מהן ההוראות לגבי אבטחת המידע?

הנה לכם נקודה רגישה: מנהלי ומנהלות HR רבים מציינים כי כל תהליך הערכת ופיתוח עובדים נערך בחברה, וחומר רב ומשמעותי נשמר במערכת ומעובד לצרכי החברה. אף יותר מכך: לעיתים נשמר מידע רגיש כגון אודות מחלת העובד או ילדיו, מגבלה פיזית או נפשית, או עבר בעייתי.

האם ה-GDPR מתייחס לשמירת הפרטיות של מאגרי המידע? בהחלט כן ובקפדנות יתרה.

בנקודה זו קיימים מספר כללים חשובים: עליכם לשמור על המידע באופן מאובטח, לבצע בדיקות חדירה ופריצה, וכל זאת כמובן בתיאום עם אנשי ה-IT.

הרשאות לגשת למידע הזה יינתנו במשורה, במינון הנדרש, ורק למי שבאמת צריך. שוב זכרו, מדובר במידע פרטי ולעיתים רגיש עד מאד. 

 

אנחנו עדין חברה קטנה. האם ה-GDPR חל גם עלינו? 

מעניין לציין שה-GDPR  מאפשר פטורים מסוימים מכפיפות להוראותיו במקרה של חברות המנהלות פחות מ-250 עובדים. אלא, שהפטור הזה לא חל אם נשמר מידע רגיש. סביר להניח שכל חברה שמעסיקה עובדים, גם אם הם פחות מ-250, שומרת גם מידע רגיש כגון פרטי חשבון בנק ומצב רפואי, ולכן הפטור הזה כמעט לא חל ואין לחברות קטנות יתרון מיוחד.

עם זאת, אין ספק שהאכיפה של האיחוד האירופי תהיה מצומצמת במקרים של חברות קטנות, משום שההפרות מצומצמות, והפגיעה הפוטנציאלית בפרטיות אינה רחבה כמו בחברות ענק המעסיקות עשרות אלפי עובדים. במקרים כאלו בהחלט יש יתרון יחסי לחברות קטנות.

 

בהצלחה! 

 

 

 

 

BasketBasket

   אם ברשותכם קופון, אנא הזינו אותו כאן:    טען קופון

לא נבחרו מוצרים להזמנה