În fiecare lună, ajung la mine întrebări de genul: “Putem păstra CV-urile mai mult, în caz că ne mai trebuie?”, “Trebuie să mai cerem consimțământul angajaților pentru pontaj?” sau „Putem să punem camere video la birou dacă îi anunțăm că le protejăm datele?” Întrebări simple cu răspunsuri la fel de simple, dar care arată cât de mult am transformat protecția datelor într-o povară birocratică, când de fapt e vorba de ceva mult mai simplu: încredere.
GDPR-ul, cu tot aerul lui de reglementare greoaie, nu e o sperietoare pentru companii. Este, în esență, un cod de bun-simț modern. Ne spune să nu colectăm date „pentru orice eventualitate”, să nu cerem acorduri doar de dragul formalității și să nu presupunem că oamenii nu au niciun cuvânt de spus în legătură cu datele lor. În HR, asta se traduce clar: respect față de angajat, nu neapărat hârtii semnate la dosar.
Consimțământul? De cele mai multe ori, nu este valid
Poate părea paradoxal, știu, dar în majoritatea cazurilor, consimțământul angajatului nu este o bază legală valabilă pentru prelucrarea datelor. De ce? Pentru că relația dintre angajat și angajator nu e una de egalitate. Dacă alegerea e între „semnează” și „riști jobul”, nu putem vorbi despre un consimțământ liber exprimat. Legea ne spune clar: pentru majoritatea activităților de HR, temeiul legal nu este consimțământul, ci executarea contractului, obligația legală sau interesul legitim.
Pe scurt, ce ar trebui să facă, concret, HR-ul?
Să știe ce date are, de unde vin și ce face cu ele. Adică, dacă folosești cartele de acces pentru pontaj, explică de ce. Dacă există camere video, clarifică cine are acces la înregistrări și pentru ce scop.
Să fie transparent. Regulamentele nu sunt suficiente. Angajatul trebuie să înțeleagă, în termeni simpli, ce date colectezi, de ce și cine mai are acces la ele (furnizori, autorități, contabili).
Să își pregătească echipa. Fiecare persoană care lucrează cu datele angajaților trebuie să știe ce face, ce are voie și ce nu. Un incident de confidențialitate nu e doar o greșeală tehnică. E un risc reputațional.
Să respecte drepturile angajatului. Dreptul la acces, rectificare sau ștergere nu sunt opționale. Dacă un angajat cere acces la evaluările sale sau la imagini CCTV, trebuie să poți răspunde legal, rapid și corect.
Și foarte important, să aibă mindsetul potrivit. Protecția datelor nu ține de un dosar bine făcut, ci de cultura organizațională pe care o construiești zi de zi. Un angajat care simte că datele lui sunt tratate cu respect e mai loial, mai implicat și mai deschis. În schimb, un angajat care descoperă că se colectează informații fără o explicație clară devine rezervat. Sau chiar neîncrezător.
Companiile care tratează GDPR-ul ca pe o simplă obligație legală riscă să-l aplice formal, dar greșit. În schimb, cele care îl privesc ca pe o formă de leadership câștigă pe termen lung: încredere, transparență, retenție.
O concluzie scurtă? Cred că totul ține de echilibru și de felul în care te raportezi la ceilalți. Poți avea toate politicile din lume, dacă oamenii nu simt că sunt tratați cu grijă, nu contează. În schimb, când există respect real, transparență și un pic de bun-simț aplicat consecvent, lucrurile se așază corect. GDPR-ul devine, în cele din urmă, o extensie firească a unei relații bazate pe încredere. Și acolo, lucrurile chiar funcționează.
