Про Budni
Наші продукти
Общий регламент по защите данных (англ. General Data Protection Regulation, GDPR) был принят еще 27 апреля 2016 года. Волна интереса к регламенту, однако, поднялась именно в 2018 году, так как с 25 мая этого года GDPR стал применяться в обязательном порядке. Что необходимо знать HR-службам, в своей статье объясняет Инесса Летич, советник юридической фирмы «Астерс».
Почему все боятся GDPR?
Главная причина, заставляющая бизнес волноваться из-за GDPR, заключается в серьезных санкциях, предусмотренных регламентом. Многие знают, что штрафы за несоблюдение GDPR достигают космических сумм в размере 20 миллионов евро или 4% годового глобального дохода компании.
Второй важной причиной является экстерриториальный характер GDPR, то есть, возможность его применения к компаниям вне территории ЕС. Иными словами, даже украинская компания, зарегистрированная и ведущая бизнес в Украине, в определенных случаях будет вынуждена выполнять требования GDPR.
Читайте ще: Как развивать сотрудников, не инвестируя в воздух: советы юриста
Может ли GDPR иметь отношение к работе HR-специалистов?
Так как регламент касается вопросов защиты персональных данных, с которыми HR также приходится работать, то ответ будет утвердительным. В работе HR-отдела компании, как правило, фигурируют персональные данные, связанные с трудоустройством (потенциальные кандидаты, сотрудники и экс-сотрудники).
При этом специалистам кадровых служб важно понимать, что несмотря на то, что в Украине уже давно существует законодательство о защите персональных данных, требования GDPR являются гораздо более строгими, чем отечественное законодательство. Например, в GDPR более жесткие правила относительно предоставления согласия на обработку, объема обрабатываемых данных, необходимости реагировать на случаи несанкционированного доступа к данным.
Также стоит учитывать, что, в отличие от коммерческих отношений, сотрудники (особенно экс-сотрудники) более склонны подавать жалобы и предпринимать другие активные действия при нарушениях их прав. То есть риск вскрытия нарушения GDPR в сфере человеческих ресурсов можно считать более высоким.
Что такое экстерриториальное действие GDPR?
Комментируя обязательность GDPR вне территории ЕС, можно констатировать, что слухи и страхи сильно преувеличены. Так, регламент применяется только к следующим категориям субъектов, находящимся вне ЕС:
Читайте ще: Использование средств мониторинга работы персонала: 9 важных нюансов
Так как HR-отдел компании, как правило, обрабатывает только персональные данные, связанные с трудоустройством, точек соприкосновения HR-специалистов и GDPR не так уж много.
Самым простым вариантом, который можно рассмотреть, является украинская компания, ведущая бизнес внутри страны, возможно, с партнерами из СНГ или других стран вне ЕС. Вполне очевидно, что регламент не применяется в таких случаях, и кадровым службам можно не менять привычные подходы по работе с персональными данными.
Другим примером является украинский бизнес, ориентированный на работу с ЕС и имеющий соответствующие коммерческие связи со странами ЕС. Или же бизнес, который проводит исследования, например, по поведению покупателей какого-то продукта на территории ЕС. В данном случае деятельность бизнеса может подпадать под GDPR в части персональных данных потребителей или клиентов из ЕС. Однако в отношении HR-данных такая деятельность сама по себе не повлечет обязательного применения GDPR.
Распространенным заблуждением является мнение о том, что GDPR применяется во всех случаях, если компания располагает данными гражданина или резидента ЕС. Тем не менее, если украинская компания просто трудоустроит в Украине гражданина ЕС (или даже нескольких граждан), только этого факта недостаточно для применения регламента. GDPR может применятся лишь в более сложных случаях, например, если при этом в компании есть представительство в ЕС. Или же если компания ведет активный поиск кандидатов на должность в Украине в ЕС, если при этом можно говорить о мониторинге поведения резидентов ЕС.
Классическим примером применения GDPR к персональным данным, включая HR-данные, является украинская компания с отделением в ЕС. При этом регламент будет применятся, даже если обработка данных проводится в Украине. Для HR вопрос становится актуальным в контексте работников такого отделения.
Также регламент стоит изучить компаниям, которые активно занимаются поиском кадров в ЕС, либо же проводят НR-исследования в ЕС, даже если у них нет формального или фактического отделения в ЕС.
Кроме того, соблюдение регламента может стать актуальным для украинских офисов глобальных компаний. Обязательным GDPR может стать в случаях, например, когда HR-данные хранятся в централизованной системе, однако украинский офис получает доступ к таким данным. Дополнительно стоит учесть, что в случае мультинациональных корпораций часто ставится цель внедрить одинаковые стандарты во всех странах, где такая компания работает, даже если украинский офис сам по себе не попадает под GDPR.
Напоследок, вполне распространенный случай – это сотрудничество с компанией, которая обязана соблюдать GDPR (например, партнер из ЕС). Часто для подобного сотрудничества такая компания, соблюдающая регламент, будет вынуждена в той или иной мере требовать у контрагентов того же. Для кадровой службы данный вопрос становится особенно важным, если сотрудничество осуществляется также в кадровой сфере, например, если работники или специалисты из ЕС будут направлены в Украину.
Читайте більше за тегами: