Этот материал был впервые опубликован порталом Pro HR
Общий регламент по защите данных (англ. General Data Protection Regulation, GDPR) был принят еще 27 апреля 2016 года. Волна интереса к регламенту, однако, поднялась именно в 2018 году, так как с 25 мая этого года GDPR стал применяться в обязательном порядке.
Почему все боятся GDPR?
Главная причина, заставляющая бизнес волноваться из-за GDPR, заключается в серьезных санкциях, предусмотренных регламентом. Многие знают, что штрафы за несоблюдение GDPR достигают космических сумм в размере 20 миллионов евро или 4% годового глобального дохода компании.
Второй важной причиной является экстерриториальный характер GDPR, то есть, возможность его применения к компаниям вне территории ЕС. Иными словами, даже украинская компания, зарегистрированная и ведущая бизнес в Украине, в определенных случаях будет вынуждена выполнять требования GDPR.
Может ли GDPR иметь отношение к работе HR специалистов?
Так как регламент касается вопросов защиты персональных данных, с которыми HR также приходится работать, то ответ будет утвердительным. В работе HR-отдела компании, как правило, фигурируют персональные данные, связанные с трудоустройством (потенциальные кандидаты, сотрудники и экс-сотрудники).
При этом специалистам кадровых служб важно понимать, что несмотря на то, что в Украине уже давно существует законодательство о защите персональных данных, требования GDPR являются гораздо более строгими, чем отечественное законодательство. Например, в GDPR более жесткие правила относительно предоставления согласия на обработку, объема обрабатываемых данных, необходимости реагировать на случаи несанкционированного доступа к данным.
Также стоит учитывать, что, в отличие от коммерческих отношений, сотрудники (особенно экс-сотрудники) более склонны подать жалобы и предпринимать другие активные действия при нарушениях их прав. То есть, риск вскрытия нарушения GDPR в сфере человеческих ресурсов можно считать более высоким.
Что такое экстерриториальное действие GDPR?
Комментируя обязательность GDPR вне территории ЕС, можно констатировать, что слухи и страхи сильно преувеличены. Так, регламент применяется только к следующим категориям субъектов, находящимся вне ЕС:
- если у компании имеется филиал или представительство на территории ЕС, даже если обработка персональных данных происходит вне ЕС;
- если компания предлагает товары и услуги лицам, находящимся в ЕС. При этом регламент содержит некоторые положения, сужающие данные правила об экстерриториальном действии. Например, предложение услуг или работ означает, что сайт по продажу работ или услуг в ЕС должен быть профилирован под ту или иную страну ЕС (например, возможность ознакомится с предложением на языке страны ЕС и заплатить в своей валюте). То есть, например, если интернет-магазин просто доступен в ЕС, этого может быть недостаточно для применения GDPR;
- если компания осуществляет деятельность по мониторингу поведения лиц, находящих в ЕС. Например, речь идет о маркетинговых исследованиях в отношении резидентов ЕС.
Когда HR нечего бояться GDPR?
Так как HR-отдел компании, как правило, обрабатывает только персональные данные, связанные с трудоустройством, точек соприкосновения HR специалистов и GDPR не так уж много.
Самым простым вариантом, который можно рассмотреть, является украинская компания, ведущая бизнес внутри страны, возможно, с партнерами из СНГ или других стран вне ЕС. Вполне очевидно, что регламент не применяется в таких случаях, и кадровым службам можно не менять привычные подходи по работе с персональными данными.
Другим примером является украинский бизнес, ориентирован на работу с ЕС и имеющий соответствующие коммерческие связи со странами ЕС. Или же бизнес, который проводит исследования, например, по поведению покупателей какого-то продукта на территории ЕС. В данном случае деятельность бизнеса может подпадать под GDPR в части персональных данных потребителей или клиентов из ЕС. Однако в отношении HR-данных такая деятельность сама по себе не повлечет обязательного применения GDPR.
Распространенным заблуждением является мнение о том, что GDPR применяется во всех случаях, если компания располагает данными гражданина или резидента ЕС. Тем не менее, если украинская компания просто трудоустроит в Украине гражданина ЕС (или даже нескольких граждан), только этого факта недостаточно для применения регламента. GDPR может применятся лишь в более сложных случаях, например, если при этом в компании представительство в ЕС. Или же если компания ведет активный поиск кандидатов на должность в Украине в ЕС, если при этом можно говорить о мониторинге поведения резидентов ЕС.
В каких случаях GDPR применим к украинским HR?
Классическим примером применения GDPR к персональным данным, включая HR-данные, является украинская компания с отделением в ЕС. При этом регламент будет применятся, даже если обработка данных проводится в Украине. Для HR вопрос становиться актуальным в контексте работников такого отделения.
Также регламент стоит изучить компаниям, которые активно занимаются поиском кадров в ЕС, либо же проводят НR-исследования в ЕС, даже если у них нету формального или фактического отделения в ЕС.
Кроме того, соблюдение регламента может стать актуальным для украинских офисов глобальных компаний. Обязательным GDPR может стать в случаях, например, когда HR-данные хранятся в централизованной системе, однако украинский офис получает доступ к таким данным. Дополнительно стоит учесть, что в случае мультинациональных корпораций часто ставится цель внедрить одинаковые стандарты во всех странах, где такая компания работает, даже если украинский офис сам по себе не попадает под GDPR.
Напоследок, вполне распространенный случай – это сотрудничество с компанией, которая обязана соблюдать GDPR (например, партнер из ЕС). Часто для подобного сотрудничества такая компания, соблюдающая регламент, будет вынуждена в той или иной мере требовать у контрагентов того же. Для кадровой службы данный вопрос становится особенно важным, если сотрудничество осуществляется также в кадровой сфере, например, если работники или специалисты из ЕС будут направлены в Украину.
