GDPR 來了。
有沒有發現,近來你的電郵郵箱充斥著大量關於Data Policy Update的訊息?
你可能沒有打開那些郵件。即使有,我們估計,你只會想起原來曾經subscribe過個別網站或討論區,並對他們主動提升安全標準感到欣慰。
然而,如果你是HR人力資源人員,上述Email其實也在提醒你,工作上你可能有新的跟進事項了!
GDPR 已經在2018年5月開始執行!
什麼意思?歐盟制定關於個人資料保護的最新規則,GDPR,已經在2018年5月開始執行,並對手握大量員工資料的你有重大影響!
GDPR 有什麼要求?
你可以閱讀GDPR全文。概念上,在GDPR的世界,以下情況不會發生:
- 你在不知情的情況下,被收集可以辨識你身分的個人資料
- 收集你個人資料的網站或公司,以font size 2的型式,告訴你收集了什麼資料及用途
- 你的資料被送到第三世界處理
- 資料庫不幸被黑客入侵,但沒有人向你披露你的資料可能已被盜用
- 你完全不知道有任何法律權利,要求資料擁有者刪除你的資料,或確保資料準確等
GDPR雖然是歐盟的規例,但適用於所有國家。實際操作上,如果你的客戶或員工是歐盟人員,即使你只是香港公司,你的客戶或員工依然可以針對你違反GDPR的行為或政策,在歐盟國家作出投訴。
違反規例的,最高罰款為全球營業額的4%,或2000萬歐元的較高者!
跟Human Resource 人力資源的關係
我們不是歐盟法律專家,但以下幾點有助你避免違反GDPR:
1. 收窄搜集員工資料的範圍
按一般人的理解,收集個人資料前取得對方同意,是非常安全的做法。
然而,作為員工,特別是已入職的員工,他們與僱主的關係,因為你懂的原因,並不完全對等。因此,現職員工的所謂「同意」聲明,在法律上仍有機會不被認可。
因此,最安全的做法是確保收集的資料屬僱傭關係中必不可少的,例如姓名、身分證號碼、專業資格等。
如果是私人電郵地址、instagram戶口資料、體重、伴侶資料等與工作不太相關的資料,即使員工「同意」提供,僱主在未來仍然有被投訴的風險。
你應該重新檢視對新入職員工及應徵者的資料收集範圍,並僅收集與僱傭及工作關係有關的資料。
同時,針對現職員工已收集的資料,如發現並無收集必要的,應當刪除及通知員工。
2. 讓員工了解自身權益
另一方面,按照GDPR的要求,我們必須讓員工了解他們的權利。例如:
- 要求僱主披露收集了哪些資料?用途是什麼?儲存在哪裡?
- 要求僱主修改錯誤資料。
- 在僱傭關係終結後刪除資料。
當然,在香港,僱主可以根據香港法例,例如<<僱傭條例>>第49A條關於備存工資及僱傭紀錄的規定,適當合法地保留前員工資料。
在收到員工要求後,僱主必須盡快處理。若要符合GDPR要求,我們更須要確保員工關於個人資料的合理要求必須在一個月內處理。
3. 選擇可靠的資料處理系統
說來容易。要滿足上述要求,HR 可以做什麼?
把員工資料、支薪計算、稅務資料等用Excel型式,儲存在公司的某部電腦中,恐怕不是最佳方案。
更惡劣的情況是,上述資料零碎地放在不同的Files、不同的Directories、不同的電腦裡。即使想刪除資料,亦不知道從哪裡入手。
如果電腦可以接駁互聯網,資料亦有機會被不法盜取。
我們的建議是:把員工資料及支薪等運算工作,統一地在一個HR SYSTEM 裡處理。即使員工要求核對資料,HR 同事亦可快速地在HR SYSTEM導出資料,無須花時間尋找四散各方的Excel files。
更重要的是,HR SYSTEM 必須放在安全的地方。如果我們對公司的電腦或SERVER有信心,可以把HR SYSTEM 存放於公司。
然而,對中小企來說,如果對自己公司的電腦沒有信心,你可以在採購HR SYSTEM 時,同時要求提供可靠安全的雲端寄存服務。
現實上,坊間有不少取得多重認證(例如ISO27001、SOC 2 Report等)的雲端寄存服務(例如Microsoft網頁中所述)。
與其要求公司IT同事提升電腦保安標準至國際水平,倒不如揀選合適的HR SYSTEM 並寄存於知名品牌的雲端。
利用自動化HR SYSTEM,更快、更有效地管理員工的年假安排!
你可能對此有興趣:大數據年代的員工資料及私隱保障
上述資料有用嗎?歡迎跟您的朋友分享!
E-Appraisal是最新自動化績效評核系統,先從整合公司、小隊以及個人目標入手,追縱同事們的考評進度,並提供各種統計數據,從而讓你更有效調配人力資源,同時免去大家對 Excel 和紙張的厭煩。
