Οι HR έρευνες που διεξάγονται σωστά παίζουν έναν κρίσιμο ρόλο στη δημιουργία ασφαλούς χώρου εργασίας. Αλλά το παράδοξο: εάν θέλετε να κατανοήσετε ποιος αναφέρει συγκεκριμένα προβλήματα εργασίας, πρέπει να γνωρίζετε την ταυτότητα του απαντώντος.
Αυτό δημιουργεί ένα GDPR και ηθικό δίλημμα.
Το Δίλημμα Ανώνυμου Ανατροφοδότησης
Άλλοθεν:
- Πλήρως ανώνυμες απαντήσεις: Ο πελάτης δεν γνωρίζει ποιος αναφέρθηκε. Δεν μπορεί να διερευνήσει περαιτέρω.
- **Προσδιορίζοντας δεδομένα:**Η HR γνωρίζει ποιος ανταποκρίθηκε και μπορεί να διερευνήσει.
Το δίλημμα: Το GDPR Άρθρο 9 (Ειδικές Κατηγορίες Δεδομένων) απαιτεί συναίνεση ή νόμιμη βάση για να αποθηκεύσετε δεδομένα που αφορούν υγεία ή εργασιακές συνθήκες. Εάν ένας μηχανικός αναφέρει σεξουαλική παρενόχληση, αυτά τα δεδομένα είναι "ειδικές κατηγορίες"
Εάν η HR καταχωρεί ποιος εξέθεσε, και ότι άτομο δεν δίνει συναίνεση, η HR παραβιάζει το Άρθρο 9.
Αναστρέψιμη Ανωνυμοποίηση: Η Λύση
Η αναστρέψιμη ανωνυμοποίηση (έως τώρα δεν ταξινομούνται αυστηρά ως "ανωνυμοποίηση" αλλά ως ψευδωνυμίασης + κρυπτογράφηση) δυνάμει:
Στάδιο 1: Κρυπτογράφηση Συνδέσμου Ταυτότητας Για κάθε απάντηση, η HR:
- Συλλέγει απάντηση + τον αναγνωριστικό κωδικό εργαζομένου (ή email)
- Κρυπτογραφεί αμφίδρομα (π.χ., AES-256) τον αναγνωριστικό κωδικό με ένα κύριο κλειδί που θησαυρόν
- Αποθηκεύει την απάντηση + το κρυπτογραφημένο αναγνωριστικό
Στάδιο 2: Ανάλυση Ανώνυμης Έρευνας Για ανάλυση:
- Διαγραφή του κρυπτογραφημένου αναγνωριστικού
- Ανάλυση απαντήσεων ως εντελώς ανώνυμη
- Δημοσίευση αποτελεσμάτων χωρίς σύνδεσμο ταυτότητας
Στάδιο 3: Αποδεκτό Διερεύνηση (αν χρειάζεται) Εάν μια απάντηση υποδεικνύει σοβαρό προβλημα (π.χ., παραβίαση), η HR:
- Τροποποίηση της αποφάσεως του θησαυρού κλειδιού (ρητή συναίνεση)
- Αποκρυπτογραφία ενός συγκεκριμένου αναγνωριστικού για διερεύνηση
- Ενημέρωση εργαζομένου: "Ανιχνεύσαμε αυτό το θέμα σας και θέλουμε να διερευνήσουμε"
GDPR Συμμόρφωση
Αυτή η προσέγγιση πληρονοεί ότι:
Άρθρο 9 Συμμόρφωση: Δεδομένα αποθηκεύονται με αναστρέψιμη μέθοδο (κρυπτογραφημένος σύνδεσμος). Ανάλυση γίνεται χωρίς τον σύνδεσμο ταυτότητας.
Άρθρο 6 Συμμόρφωση: Για ανάλυση, δεν χρειάζεται ονοματιστική συναίνεση. Για αποκρυπτογραφία διερεύνησης, χρειάζεται ρητή.
Άρθρο 5 Συμμόρφωση: Δεδομένα αποθηκεύονται ελάχιστα (μόνο όσο χρειάζεται για ανάλυση + προσφυγή) και ασφαλώς (κρυπτογράφηση).
Εφαρμογή HR
Πριν από έρευνα:
- Ενημέρωση εργαζομένων: "Οι απαντήσεις σας θα αποθηκευθούν κρυπτογραφημένα. Ανάλυση θα γίνει ανώνυμα. Εάν ανακαλύψουμε σοβαρό ζήτημα, ενδέχεται να σας ρωτήσουμε περισσότερες λεπτομέρειες."
- Δημιουργία HR πολιτικής για ποιες καταστάσεις κινούνται διερεύνηση.
Κατά την ανάλυση:
- Διαγραφή κρυπτογραφημένων αναγνωριστικών πριν από την ανάλυση
- Δημοσίευση αποτελεσμάτων σε όλη την εταιρεία
Για διερεύνηση:
- Αποκρυπτογραφία μόνο εάν παραβίαση ή σοβαρό ζήτημα
- Επικοινωνία με τον εργαζόμενο γιατί ενεργοποιήθηκε η διερεύνηση
Πηγές: