Incepand cu 25 mai, in toate tarile din UE, fara nicio exceptie, se aplica noul regulament GDPR (general data protection regulation), care aduce modificari importante legate de prelucrarea datelor cu caracter personal. Pentru multi operatori de date, obligativitatea implementarii GDPR a venit ca un trasnet. Fara sa inteleaga, de fapt, ce prevede regulamentul si tentati sa-l interpreteze in mod rigid si excesiv, acestia s-au speriat de amenzile mari, cu toate ca nu acesta este scopul GDPR. Despre cum schimba GDPR procesul de recrutare si care sunt noile drepturi ale candidatilor, wall-street.ro a stat de vorba cu Adrian Stanciu, CEO Smartree si Marcela Dorin, Data Protection Officer (DPO) Smartree.
"Este o apocalipsa a datelor. A fost ca un Vest Salbatic, nu se stia ce date circula, despre cine. Atunci a aparut acest regulament european, GDPR, al carui obiectiv principal a fost sa gestioneze si sa protejeze persoanele fizice impotriva abuzurilor de orice fel", a declarat, pentru wall-street.ro, Adrian Stanciu, CEO Smartree.
Acesta a identificat trei zone in care s-au produs abuzuri: zona de business, zona de marketing online si zona de servicii publice de tip Facebook, LinkedIn. "In zona de business, lucrurile erau mult mai clare. Exista un contract comercial, iar relatiile sunt mult mai directe si reglementate. Cred ca aparitia GDPR are mai multa legatura cu zona de marketing online. Obiectivul principal era cel al spam-urilor trimise catre persoane fizice care nu isi dadusera acordul pentru a primi informatii", a completat Adrian Stanciu.
Citeste si:
In vreme ce unii operatori inca se tem de consecintele GDPR asupra business-urilor lor, altii sunt de parere ca regulamentul a aparut cam tarziu, intr-un moment in care se manipuleaza foarte multe date, astfel ca nu se stie cat si cum mai poate fi controlat acest proces, in ciuda noilor norme foarte stricte.
"GDPR a fost binevenit, aveam nevoie de o reglementare pe partea de protectie a datelor. Datele sunt noua moneda de schimb. Nu mai vorbim de petrol, vorbim de date personale", a precizat Marcela Dorin, DPO Smartree, ale carei servicii au fost contractate prin intermediul firmei de consultanta fiscala, contabila si juridica, Brexton.
Foto: Smartree
Cui i se adreseaza GDPR?
Tuturor persoanelor care proceseaza date cu caracter personal. Potrivit regulamentului GDPR, acestea se numesc "operatori de date" sau "persoane imputernite de operator". "Spre exemplu, orice persoana care pune o poza pe Facebook in care apar mai multe persoane este operator de date", a explicat Marcela Dorin.
Citeste si:
Regulamentul nu interzice prelucrarea de date, ci spune sa o faci asumat si sa respecti niste prevederi legale, sa ai un temei, sa stabilesti un scop, sa stabilesti o durata, sa iei niste masuri de securitate ca sa protejezi datele. Regulamentul nu spune sa nu le mai prelucrezi, ci doar spune in ce conditii poti sa o faci. Trebuie sa identifici, sa vezi daca ai nevoie sa le prelucrezi sau nu si de asemenea sa vezi in ce temei faci aceasta prelucrare.
Marcela Dorin, DPO Smartree
Prea putini operatori au inteles ce presupune cu adevarat GDPR. Nefiind suficient de bine informati, unii dintre ei nu l-au inteles deloc, in vreme ce altii i-au dat o interpretare (usor) exagerata.
"Din punctul meu de vedere, regulamentul a fost inteles la extreme. Persoanele fizice, angajatii au inteles ca pot avea un nou instrument de a fi uitati, de a controla relatia lor cu toate entitatile, iar unele entitati au inteles intr-un mod ultra strict, incercand sa obtina consimtamantul si pentru contractele lor. De exemplu, intr-un contract cu angajatii, e clar ca in temeiul acelei relatii, ai voie sa procesezi datele. Angajatul nu poate sa ceara sa fie uitat, pentru ca angajatorul nu ii mai poate da salariul. Si atunci, cumva s-a dus catre extreme: cei care au inteles ca pot sa il foloseasca in orice fel si cei care au inteles mult prea mult din el si au incercat sa fie atat de stricti, incat au ajuns intr-o zona de interpretare rigida si excesiva", a explicat Adrian Stanciu.
Citeste si:
Aproape toate discutiile legate de GDPR s-au invartit in jurul amenzilor. Potrivit regulamentului, companiile care incalca noile reguli privitoare la protectia datelor personale risca amenzi de pana la 20 de milioane de euro sau 4% din cifra de afaceri pe anul anterior.
"Primul lucru pe care toata lumea l-a vazut au fost amenzile, infernal de mari. Trebuie sa ne speriem cu totii! De fapt, fiecare a vazut in regulament ce si-a dorit sa vada", a completat CEO-ul Smartree.
Cand, de fapt, scopul regulamentului nu este ca autoritatile sa inceapa sa aplice amenzi. "Nici nu se doreste la nivel de UE sa se vina direct cu amenzi. Sunt tari din UE, care la 25 mai au spus ca nu sunt inca gata cu implementarea regulamentului. Mesajul din partea autoritatilor a fost ca nu vor veni cu amenzi din prima, ci vor veni cu recomandari", a completat Marcela Dorin.
Citeste si:
Ce schimbari produce regulamentul in relatia angajat-angajator
Fata de perioada de dinainte de GDPR, acum angajatorii trebuie sa ii informeze pe angajati intr-un mod mai detaliat despre ce urmeaza sa faca cu datele lor personale. "Si inainte il informai despre datele pe care le prelucrai, dar acum vii si ii spui exact categoriile de date prelucrate, temeiul in baza caruia se prelucreaza, scopul, catre cine trimiti datele, de ce sunt trimise, ce drepturi are", a precizat Marcela Dorin.
In relatia angajat-angajator, prelucrarea se face fie in temeiul legii, fie in baza executarii contractului, mai rar in interesul legitim si consimtamant.
"In ecuatia angajat-angajator, in principiu, nu sunt mari schimbari, insa trebuie sa tinem minte ca aceasta ecuatie nu mai este atat de simpla in ziua de astazi. In relatia angajat-angajator poate sa intervina si un imputernicit, cum este Smartree. Noi suntem imputerniciti sa facem calcul salarial pentru un operator, ceea ce inseamna ca procesul nu mai este bilateral, este trilateral. Smartree proceseaza date personale pentru clientii sai in virtutea unui contract comercial si in virtutea misiunii pe care o are de indeplinit pentru o companie", a mai spus Adrian Stanciu.
Citeste si:
Cum schimba GDPR procesul de recrutare
Pe zona de recrutare, schimbarile aduse de GDPR sunt importante. Modificari apar in prima parte a procesului de recrutare, inainte ca un candidat sa fie angajat, pentru ca in acel punct nu exista o relatie contractuala. Este un interes legitim pentru firma de recrutare. Din momentul angajarii, lucrurile merg pe acelasi principiu ca si pana acum.
Citeste si:
Prima schimbare adusa de GDPR in recrutare este aceea ca procesul este mult mai fragmentat. O persoana candideaza pentru un anumit post si apoi trebuie sa stergi datele, iar persoana respectiva trebuie sa aplice din nou, pentru ca nu poti sa mai retii acele date si sa le folosesti. A doua schimbare se refera la faptul ca nu poti sa faci anumite categorisiri, ca urmare a acelor interviuri in care recrutorul isi orienteaza viitoarele recrutari in functie de acel interviu. Lucru care este si bine, este si rau pentru candidat. De fiecare data va trebui sa o ia de la capat, cumva se ingreuneaza procesul de recrutare/plasare a persoanei respective si atunci aceasta pierde din oportunitati doar pentru ca vrea sa fie uitata (nu vrea sa ii mai fie retinute datele), dar si pentru recrutori, pentru ca de fiecare data trebuie sa o ia de la capat cu persoana respectiva si procesul se ingreuneaza. In concluzie, candidatul are mai putine oportunitati de a se angaja, iar recrutorul are mai putine oportunitati de a recruta pe cineva pentru compania pentru care lucreaza.
Adrian Stanciu, CEO Smartree
Consimtamantul si interesul legitim sunt, in general, singurele temeiuri pe care isi pot intemeia prelucrarea companiile de recrutare. Parerile sunt, insa impartite. "Sunt voci care spun ca pentru firma de recrutare ai putea sa justifici un interes legitim prin aceea ca trebuie sa documentezi de ce aduni mii de CV-uri, alte pareri spun ca trebuie sa obtii consimtamantul", a adaugat Marcela Dorin.
Cat de repede se sterg datele din arhiva unui operator
Regulamentul GDPR nu mentioneaza niciun termen. Fiecare operator de date isi stabileste termenul la care pot fi sterse datele din arhiva. "Trebuie sa ai o motivatie in spate pentru care vrei sa pastrezi datele o perioada de timp. Pe de alta parte, daca candidatul vine si cere sa ii fie sterse datele, regulamentul spune ca in termen de 30 de zile trebuie sa faci acest lucru. Si de aici, ingreunarea procesului de recrutare", a mai spus DPO-ul Smartree.
Inainte de a sterge datele unei persoane, operatorul ar trebui sa se asigure ca aceasta a inteles cum functioneaza GDPR si ca stie cum sa il foloseasca in avantajul sau. "Pentru ca daca le-ai sters, dupa care persoana vine si candideaza din nou pentru un loc de munca, inseamna ca omul nu a inteles principiul GDPR. Se foloseste de un instrument inutil. Este un obstacol pe care singur si-l pune in fata, nu obtine din asta un avantaj", a precizat Adrian Stanciu.
Care sunt drepturile candidatilor
Pe langa dispozitiile generale si particulare ale prelucrarii datelor cu caracter personal si libera circulatie a acestora, GDPR aduce si o serie de drepturi pentru persoanele vizate.
"Acum, dreptul de stergere sau dreptul de a fi uitat este mai bine reglementat, dar nu neaparat si bine inteles. Noutatea o reprezinta dreptul de portabilitate a datelor. In anumite conditii, persoana respectiva poate sa ceara portarea datelor, fie sa i le dea ei, fie sa le trimita unui alt operator. Vom vedea in practica cum o sa functioneze si in ce conditii. S-ar putea sa puna putine probleme", a declarat Marcela Dorin.
Marele avantaj este ca poti sa limitezi, prin dreptul de a fi uitat si dreptul de portabilitate, accesul anumitor entitati/operatori de a-ti utiliza datele. De exemplu, eu nu vreau sa cumpar un anumit produs si primesc mailuri de vanzare a acelui produs. Nu doream sa fac asta, e clar ca undeva s-au incalcat niste reguli. Ca persoana fizica poti sa limitezi accesul acolo unde operatorii nu au dreptul sa te proceseze.
Adrian Stanciu, CEO Smartree
GDPR, beneficii pentru angajatori
Beneficiile pentru angajatori tin de o mai buna organizare, dar si de o mai buna incredere in relatiile intre companii. "Orice companie ar trebui sa isi revizuiasca o mare parte din proceduri, sa realizeze noi proceduri, sa vada care este fluxul datelor in companie. Asta este un avantaj, pentru ca din cand in cand este bine sa revizuiesti ce se intampla pe anumite zone in companie, astfel incat sa faci un refresh si sa pornesti mai structurat", a spus Adrian Stanciu.
Un alt avantaj pentru angajatori este legat de imagine. "Tinerii, in mod deosebit, pun pret pe bunul comportament al companiilor. Poate sa fie un avantaj, dar numai atunci cand se vor vedea si dezavantajele pentru cei care nu fac asta", a completat acesta.
"Si B2B ofera mai multa incredere, in relatiile comerciale intre companii. Atunci cand respecti anumite conditionari legate de GDPR, oferi mai multa incredere", a adaugat Adrian Stanciu.
Cum se prelucreaza datele medicale
Si datele sensibile (datele medicale, opiniile politice) sunt reglementate de GDPR. Opiniile politice, in mod normal, nu ar trebui sa faca parte dintr-o procesare de date.
"Pentru datele medicale ai nevoie de consimtamantul persoanei. Este un usor paradox: vii sa te angajezi, eu, angajator, am nevoie sa te trimit la medicina muncii ca sa stiu daca esti apt de munca, vreau sa iti prelucrez datele in temeiul contractului si al legii, dar, pe de alta parte, tot am nevoie de consimtamant pentru datele medicale. Fata de celelalte temeiuri de prelucrare, consimtamantul este cel mai usor de retras. Daca ti-as prelucra datele de angajare pe consimtamant si tu vii sa il retragi, eu ar trebui sa te am in continuare angajat, dar sa nu iti mai prelucrez datele", a explicat Marcela Dorin.
In cadrul Smartree, companie de externalizare a proceselor de HR, procedurile de conformitate cu normele GDPR au fost initiate inca din noiembrie 2017, astfel ca la 25 mai, unele zone erau deja reglementate (cum ar fi zona de securitate), iar focusul s-a mutat pe zonele offline.
"S-au luat masuri care sa ofere protectie pe toate fluxurile de date personale. Smartree este si dezvoltator software si atunci ne-am concentrat pe zona de offline, modalitatea in care se misca datele in interiorul companiei. Harta fluxului de date in cadrul companiei a fost identificata, analizata pe fiecare departament, cu fiecare manager si s-au reglementat aceste fluxuri pe proceduri. De exemplu, daca un anumit departament nu avea nevoie de date, accesul a fost restrictionat", a conchis Adrian Stanciu.
Citeste si: GDPR: Ce fel de date personale colecteaza magazinele online si ce masuri trebuie sa ia
Sursa foto: Smartree
Calculator Salariu: Află câți bani primești în mână în funcție de salariul brut »
Te-ar putea interesa și:
