איך להתמודד עם אתגרי ה-GDPR בחברות?

איך להתמודד עם אתגרי ה-GDPR בחברות?
או: הזדמנות לסדר וארגון בסוגיית הזכות לפרטיות

מה המשמעות של ה- GDPR עבור HR?

ה- GDPR הינו סט של עשרות כללים שנחקק על ידי האיחוד האירופי, ומטרתו להגן על זכות הפרטיות של תושבי מדינות האיחוד. הGDPR יהיה בר אכיפה החל מ 25 במאי 2018.

מדוע הכללים הללו רלוונטיים לאנשי HR ?
ובכן, בהתאם לכללי ה-GDPR ,עיבוד המידע אודות אנשים פרטיים – ובמקרה של HR – עובדים, עובדים לשעבר, ומועמדים – חייב להיעשות בהתאם לעקרונות קפדניים. ברור שעבור צוותי HR, האוספים ומעבדים מידע, יש לכך השלכות רבות.
* במאמר זה נתייחס באופן שווה לעובדים, עובדים לשעבר, ומועמדים גם אם מבחינת HR יש הבדל מהותי במידע הנאסף אודות כל קבוצה.
לפני הכל, כדאי להכיר את העקרונות: ה-GDPR מקנה לאנשים פרטיים (שימו לב, להבדיל מחברות), שליטה על המידע אודותיהם: את הזכות שהמידע ישמר בפרטיות, את הזכות לדעת מהו המידע שנשמר אודותיהם ואף הזכות לבקש למחקו. המידע הזה צריך להגיע אל אותם אנשים בדרך ברורה, מיודעת, ונגישה – אם ביקשו.
בוודאי חלק מכם כבר נזעקים: מה? כל עובד רשאי לדעת מה המידע ששמרתי אודותיו, לרבות התכתבויות בין מנהלים, ניתוחי יכולות וכדומה? ומה קורה אם המידע אודות מועמד הגיע אלי בכלל מצדדים שלישיים כגון חברות השמה? ובכן, חשוב לזכור: ה- GDPR מצהיר על חשיבות השמירה על הפרטיות לצד קידום התפתחות כלכלית. לכן במקרה של ספק, תמיד מומלץ למצוא את האיזון בין שמירה על הפרטיות לבין התקדמות והתפתחות של העסק.
לאחר מספר רב של שאלות שהופנו אלינו בנושא יישומי GDPR בתחום משאבי האנוש (HR) מצאנו לנכון להביא לידיעתכם מספר נקודות משפטיות חשובות אשר יהוו בסיס ראוי להתנהלותכם בארגון. בהצלחה ואנו כאן להמשך שאלות.
* האמור להלן אינו מהווה יעוץ משפטי המתחשב בנתונים ספציפיים של כל חברה. טרם פעולה, מומלץ להתייעץ עם איש מקצוע המכיר את הארגון ומטרותיו, ואשר מומחה בתחום יישום ה-GDPR .

בואו ננסה לעשות סדר בדברים – מידע רגיש שמצטבר ב-HR :
קודם כל, זכרו שאנשי ונשות ה-HR מצויים בנקודת תצפית מאד מרכזית וחשובה בארגון: אתם העיניים והאוזניים של החברה ואוספים מידע נרחב מאד: החל מתנאי שכר של עובד, תנאי הפנסיה, פרטי חשבון הבנק ומקום מגורים, וכלה בהערכות לגבי תפקודו, הפרות משמעתיות, או היעדרויות בגין מחלה. המידע הזה מאד – מאד – רגיש. לעיתים אתם עורכים עיבוד של המידע. למשל, סיווג עובדים כבעלי פוטנציאל ניהולי או להפך, כצפויים לפיטורין. הפרטים הללו, בהתאם לסעיף מיוחד ב-GDPR הם מותרים לאיסוף ולעיבוד.
נבחן להלן מה נדרש מכם ביחס לעובדים ולמועמדים. זכרו שאתם בעלי תפקיד חשוב ומרכזי, ובעלי השפעה משמעותית על הארגון.

על מי חל ה-GDPR?

חשוב שתזכרו: ה-GDPR מגן על תושבי אירופה – וליתר דיוק – על כל מי שממוקם באחת מ-28 מדינות האיחוד האירופי. המדינות הללו כוללות גם את מזרח אירופה, שם נערכים לעיתים גיוסי כוח אדם משמעותיים בהי-טק, כגון סלובניה, לטביה, בולגריה, קרואטיה ופולין. וגם כמובן מדינות חזקות ודומיננטיות כמו צרפת וגרמניה.
לכן, אם אתם בקשר עם תושבי ישראל בלבד, הרי שאינכם כפופים לכללי ה-GDPR .אם מדובר בישראלים בעלי אזרחות אירופאית – הרי שרק אם הם ממוקמים במדינות האיחוד, הם מוגנים על ידי ה-GDPR וגם אז באופן מוגבל. במקרה שאתם עובדים עם מספר מצומצם של עובדים ממדינות האיחוד האירופי, כדאי לכם לשקול התייחסות נפרדת אליהם. יחד עם זאת, ישנן חברות ישראליות שהחליטו להחיל את כללי ה-GDPR על כל העובדים, בין אם הם תושבי מדינות האיחוד ובין אם לאו, מתוך מטרה לצמצם חשיפה לסיכונים עתידיים, ותוך התאמה גם לדין הישראלי.

איך להתמודד עם אתגרי ה-GDPR בחברות? אז מה היקף המידע שעלי למסור?

עובד ומועמד רשאים לדרוש מכם בכל רגע לדעת מה רשום במאגרים אודותיהם. בעיה! הרי גם למעסיק יש אינטרסים ולעיתים אינו מעוניין למסור פרטים דיסקרטיים אודות עובדים או מועמדים כגון הערכתו האישית לגבי תפקודם. אז האם מחלקת HR חייבת למסור לעובד ולמועמד כל פרט אודותיו המצוי בארגון?
התשובה היא כן ולא. כן, כי כל פרט עובדתי שאספתם אודותיו צריך להימסר לו. ו-לא, כי יש מידע שהוא אמנם אודות העובד או המועמד, אבל שייך לארגון. אתם בהחלט חייבים למסור פרטים עובדתיים אישיים שנאספו, וגם פרטים כלליים אודות הארגון כגון מי האחראי על הפרטיות, לאיזה גורמים אתם מעבירים את המידע אודותיו (למשל, לגורמים שמעבדים את המידע כגון חברות להפקת תלושי שכר) ומה נעשה במידע הזה. בנוסף, עליכם לציין מהו המקור החוקי לפעולות אלו, או לחילופין מהו האינטרס העסקי הלגיטימי לכך.
אבל – וזה חשוב: מידע שעיבדתם והפך לנכס של הארגון, אינו חייב להימסר לעובד. כך למשל, עובד שמצוי ברשימת פיטורין עתידית, או עובד שמועמד להעלאה בשכר לאור תפקוד גבוה וכדומה. אנו ממליצים גם את העובדה הזו לעגן בחוזה העבודה על מנת שלא ייווצר ספק. ולגבי מיילים בין מנהלים בנוגע לעובד או מועמד, או הערכות פנימיות שלכם: כאן ה-GDPR שותק. ולכן קיימים לעיתים חילוקי דעות בין המומחים. יש הסבורים כי זהו מידע אשר יש למסרו לעובד או למועמד משום שהמידע הוא אודותיו. מומחים רבים ואף אנחנו סבורים שממש לא: מדובר במידע ששייך למעסיק, ומסירתו עלולה לפגוע בעובד, במועמד ובמעסיק. אין במסירת המידע משום הגנה על הפרטיות. מסירת המידע תגרום לתקלה עסקית וכלכלית משמעותית וה-GDPR לא נועד להגן על מקרים מעין אלו.
ה-GDPR אם כן, מציע איזון בין שני אינטרסים: שמירה על פרטיות של המועמד או העובד, אל מול האינטרס העסקי הלגיטימי של המעסיק, עם יתרון קל לזכויות של הראשונים.

איך להתמודד עם אתגרי ה-GDPR בחברות? מה לגבי מידע ישן?

והנה עוד שאלה שמתעוררת פעמים רבות: האם הכללים של ה-GDPR חלים על כל המידע שכבר נאסף וקיים בחברה? ובכן, היכונו: כן! וזה אומר שעליכם לערוך סדר וארגון בכל המידע שנצבר עד כה כדי שיתאים לכללי ה-GDRP :לבדוק את כל הרישומים, למחוק את המיותרים, ולצמצם את המידע ככל האפשר בהתאם לעיקרון המינימליזם. זוכרים שהייתם שואלים בעבר מועמד לגבי גילו ומצבו המשפחתי? אז אם אין לכך רלוונטיות – אנא מחקו.

איך להתמודד עם אתגרי ה-GDPR בחברות? האם לשנות את חוזי ההעסקה?

כן, בהחלט מומלץ. ולא רק של העובדים האירופאים. של כולם. אנו ממליצים להוסיף לכל חוזי ההעסקה סעיף המתייחס להסכמות העובד: הסכמה לעיבוד המידע אודותיו, הסכמה לאסוף מידע רגיש אודותיו, הסכמה לעשות שימוש למטרות סטטיסטיות, וכדומה. כך תכשירו את הקרקע באופן חוקי לעיבוד מידע שנחוץ להגשמת מטרות הארגון וגם כדי לממש את חוזה ההעסקה ביניכם. לגבי מועמדים, העניין קצת שונה: אם קיבלתם מידע מגורמים שלישיים כגון חברות השמה, עליכם לוודא שחברות ההשמה עצמן מצייתות לכללי ה-GDPR !כלומר, שהן קיבלו הסכמה מכל מועמד להעביר את פרטיו אל גורם אחר שזה אתם למעשה. אם המועמד לא הסכים לכך, הרי שגם חברת ההשמה חשופה לסנקציה וגם החברה שלכם, משום שעשיתם שימוש במידע הפרטי ללא הסכמה. ועוד הערה חשובה: לעיתים במדינות אירופאיות מסוימות יחולו מגבלות נוספות על גיוס או העסקת עובדים. כך למשל, יכולה מדינה מסוימת לקבוע שאם מועמד מסוים לא התקבל ואין לכם צורך בפרטיו יותר, עליכם למחוק לחלוטין את פרטיו, או שיש לכלול סעיפים מסוימים בחוזה ההעסקה. אם מדובר במספר רב של עובדים ממדינה מסוימת, נמליץ לכם להיעזר בעורך דין מקומי כדי לעמוד על דיוקים.

כדאי למחוק מידע?

ואם מועמד מבקש שהמידע אודותיו ימחק לחלוטין? או אף יותר מכך: עובד שעזב מבקש זאת. ובכן, כאן נחלק את התשובה
לשתיים: לגבי מועמד שביקש למחוק: אתם יכולים לבחור בין מחיקה מוחלטת לבין הפיכת המידע אודותיו לבלתי מזוהה, ואז לשמור את הפרטים לצרכי דיווחים וסטטיסטיקות. לגבי עובד שעזב וביקש למחוק: כאן עומדות לרשותכם שלוש אפשרויות: האחת, מחיקה מוחלטת; השנייה, הפיכת המידע לבלתי מזוהה; השלישית, שמירת המידע בנימוק שהוא נדרש לכם לצרכים משפטיים עתידיים. בשלב הזה נמליץ לכם לגבות את עמדתכם בחוות דעת של המחלקה המשפטית.

איך להתמודד עם אתגרי ה-GDPR בחברות? מה לגבי מידע מהרשת?

לעיתים אנשי HR אוספים מידע מרשתות חברתיות, מבלוגים, או מפורומים שונים. האם מותר לעשות שימוש במידע הזה? התשובה היא בעיקרה כן: אם אדם שיתף בפומבי מידע אודותיו, הרי שבכך יש משום היתר לעשות בו שימוש ("סיכון נמוך"). אם מדובר במידע שמיועד לגורמים מסוימים והגיע לידיכם על ידי חקירה או ברור מעמיק יותר, על אף שלא היה פומבי ("סיכון בינוני"), הרי שגם כאן, הדרך הטובה ביותר לפעול היא ליצור קשר עם המועמד, ולבדוק הסכמתו.

איך להתמודד עם אתגרי ה-GDPR בחברות? חבר מביא חבר

או ליתר דיוק: עובד מביא חבר. או מנהל מכיר חבר. מה עושים במקרה כזה – איך תשמרו על הפרטיות כשמישהו מניח על שולחנכם תפוח אדמה לוהט… קורות חיים חדשים ומוסיף: גייסו אותו, אני מכיר אותו. קורות החיים האלו מסתובבים לעיתים בין המנהלים כדי לבחון התאמה ראשונית של המועמד. אותם עקרונות ינחו אתכם גם פה: שמרו על הפרטיות של המועמד, העבירו את קורות החיים שלו רק בקרב הגורמים הרלוונטיים, קבלו הסכמתו המפורשת, ואז תוכלו להתקדם.
הנה דוגמא ממשית: עובד המליץ על חבר אירופאי כמועמד לתפקיד בארגון. קיבלתם מהעובד את קורות החיים של החבר במייל. עד כאן, אין כל פגם. שאלו את העובד: החבר הסכים? אם לא הסכים, צרו עם המועמד קשר ראשוני, ובדקו עמו אם מעוניין בהמשך התהליך. אם אינו מעוניין – עדכנו אותו שאתם שומרים את שמו ומספר הטלפון שלו ואם הוא מסכים, גם את קורות החיים שלו, על מנת לפנות אליו בעתיד או על מנת שלא להטרידו יותר. אם המועמד מעוניין בהמשך התהליך – בקשו ממנו קורות חיים כדי שהוא יהיה מקור המידע.
תעדו הסכמה זו גם אם ניתנה לכם בשיחה טלפוני, במייל או במסרון. המשיכו בהליך הגיוס כרגיל. דרך מדורגת זו תאפשר לכם לשמור על פרטיות המועמד וגם לקבל הסכמתו לעיבוד עתידי. פשוט, קל, מכבד.

איך להתמודד עם אתגרי ה-GDPR בחברות? מה לגבי ממליצים שתקנים?

כאן מדובר באחד הנושאים הרגישים שהתעוררו לאחרונה: מספר מנהלי ומנהלות HR ציינו בפנינו כי כאשר הם יוצרים קשר עם ממליצים, אלו מסרבים למסור פרטים בטענה שה-GDPR אינו מאפשר להם חשיפה של מידע אישי אודות מועמד. לעיתים הממליצים טוענים שהם רשאים למסור רק פרטים עובדתיים כגון תאריכי העסקה ותפקיד, ולא מעבר לכך.
איך מתמודדים עם עמדה מעניינת זו? ובכן הטענה נכונה בחלקה, משום שאכן, מידע אישי על מועמד שייך לו ולכן הממליץ אינו רשאי למסור פרטים לגבי מועמד כגון אמונות אישיות, עמדות פוליטיות, מצבו הרפואי וכדומה. אבל הוא בהחלט יכול ורשאי למסור את עמדתו האישית על הכישורים האישיים של המועמד.
והאמת? אם ממליץ מסוים כל כך מסתייג, זה קודם כל מפתיע. ושנית, זה לא הגיוני שיחסום מועמד טוב. אנו ממליצים לכם לנסות לבקש מהממליץ למסור לכם בכל זאת את חוות דעתו הכללית על המועמד מבלי לפרט. גם זה מידע מסייע עבורכם, ואז, עברו לממליץ הבא.

איך להתמודד עם אתגרי ה-GDPR בחברות? ומה לגבי אבטחת המידע?

הנה לכם נקודה רגישה: מנהלי ומנהלות HR רבים מציינים כי כל תהליך הערכת ופיתוח עובדים נערך בחברה, וחומר רב ומשמעותי נשמר במערכת ומעובד לצרכי החברה. אף יותר מכך: לעיתים נשמר מידע רגיש כגון אודות מחלת העובד או ילדיו, מגבלה פיזית או נפשית, או עבר בעייתי. האם ה-GDPR מתייחס לשמירת הפרטיות של מאגרי המידע? בהחלט כן ובקפדנות יתרה. בנקודה זו קיימים מספר כללים חשובים: עליכם לשמור על המידע באופן מאובטח, לבצע בדיקות חדירה ופריצה, וכל זאת כמובן בתיאום עם אנשי ה-IT. הרשאות לגשת למידע הזה יינתנו במשורה, במינון הנדרש, ורק למי שבאמת צריך. שוב זכרו, מדובר במידע פרטי ולעיתים רגיש עד מאד.

אנחנו עדין חברה קטנה. האם ה-GDPR חל גם עלינו?

מעניין לציין שה- GDPR מאפשר פטורים מסוימים מכפיפות להוראותיו במקרה של חברות המנהלות פחות מ-250 עובדים. אלא, שהפטור הזה לא חל אם נשמר מידע רגיש. סביר להניח שכל חברה שמעסיקה עובדים, גם אם הם פחות מ-250 ,שומרת גם מידע רגיש כגון פרטי חשבון בנק ומצב רפואי, ולכן הפטור הזה כמעט לא חל ואין לחברות קטנות יתרון מיוחד. עם זאת, אין ספק שהאכיפה של האיחוד האירופי תהיה מצומצמת במקרים של חברות קטנות, משום שההפרות מצומצמות, והפגיעה הפוטנציאלית בפרטיות אינה רחבה כמו בחברות ענק המעסיקות עשרות אלפי עובדים. במקרים כאלו בהחלט יש יתרון יחסי לחברות קטנות.

עשרת הדברות לצוותי HR :היכונו ל-GDPR!

1.אם אתם עובדים עם מועמדים או מועסקים שהם תושבי מדינות האיחוד האירופי – ה- GDPR חל. אם אתם עובדים עם גורמים ישראלים בלבד – ה-GDPR לא חל עליכם. הקלה.
2.הגדירו מהו הבסיס החוקי או ה"אינטרס העסקי הלגיטימי" אשר בשמו תוכלו לבצע עיבוד מידע אודות העובדים.
3.עשו סדר בכל הרישומים – החדשים והישנים. צמצמו מידע שאינו נדרש ואם צריך – מחקו לחלוטין.
4.קבלו הסכמות עובדים ותיקים וחדשים בחוזה העבודה לעיבוד הנתונים אודותיהם ולהעברתו לגורמים שלישיים. עשו זאת כמובן בסיוע המחלקה המשפטית.
5.שמרו על המידע מאובטח וסננו היטב את בעלי ההרשאות למידע זה.
6.קיבלתם מידע מגורם שלישי כגון חברת השמה? ודאו שהם עומדים בכללי ה-GDPR או לפחות קיבלו הסכמת המועמד למסור את פרטיו.
7.קיבלתם מידע מהאינטרנט, מעובד או ממנהל? צמצמו את חשיפתו בהתאם למטרה הנדרשת ובדקו עם המועמד הסכמתו.
8.החליטו מהו המידע אשר שייך לעובד או למועמד ומהו המידע השייך לארגון.
9.זכרו שה-GDPR בא להגן על הפרטיות אך לא במחיר חסימה עסקית והתקדמות כלכלית.
10 .אם אתם לא בטוחים – בקשו עזרה! מהמחלקה המשפטית, מהציות, מהתכנות, מהאבטחה. אל תפעלו לבד. יש המון עצות טובות לאנשי המקצוע ומעבר לכך: ה-GDPR מחייב את הארגון להקצות לכך משאבים מיוחדים.

ולבסוף: שמרו על הפרטיות מתוך הבנה עמוקה שזהו נכס אישי של אדם. ממש כמו שהייתם רוצים שישמרו על הפרטיות שלכם.
——————————————————————————————————————————————
מאת: כנרת רצון פיקובסקי, עורכת דין, שוק ההון, מסחרי והי טק

גלי תמצא לי