Зачем вам нужна политика обработки данных сотрудников

Сегодня у организаций больше данных об их работниках, чем когда-либо раньше, при этом объем и разнообразие доступной информации продолжает увеличиваться. Существует две главные причины подобного роста.
Во-первых, доступность информации значительно расширилась за последние несколько лет. Когда компании быстро перешли на удаленную или смешанную работу, они создали новые цифровые рабочие каналы, которые можно отслеживать и контролировать. Например, вместо обычных разговоров в коридоре теперь сообщения в корпоративных мессенджерах, таких как Slack. В ходе одного исследования в 2022 году было обнаружено, что сейчас 51% организаций может собрать такие данные, которые они не могли до пандемии. За последние три года 26% начали регистрировать работу с электронной почтой, 21% обрабатывают данные о том, с кем работники чаще всего общаются и работают, а 15% начали анализировать информацию по виртуальным встречам.
Во-вторых, в 2023 компании несут бОльшую ответственность  за здоровье и благополучие своих сотрудников. Например, в 2019 году данные по здоровью работника могли считаться крайне конфиденциальными, а уже к 2021 для персонала стало обязательным требованием сообщать информацию по наличию контактов с больными Covid и получении вакцины.
Другое исследование показывает, что 82% работников хотят, чтобы их организация относилась к ним, как живым людям, а не просто к исполнителям каких-то заданий. Эффективный личностный подход требует анализа всевозможной информации, касающейся разных тем, от семьи и заботы о близких до нужд эмоционального здоровья, и подобные данные могут вызвать серьезные беспокойства по поводу конфиденциальности.
Так как сейчас у компаний в арсенале больше методов получения личной информации и больше мотивации её использовать, им не помешают ориентиры, как выполнить это с ответственностью, особенно из-за привлечения большего внимания со стороны регулирующих органов.
Честное и прозрачное использование личной информации о сотрудниках — это не просто нормативное предписание, это также и первый шаг к созданию доверительного взаимодействия, которое понадобится и работникам, и работодателям для успеха в этой сложной информационной среде. По данным анализа опросников 2021 года, те сотрудники, которые доверяют личную информацию своей организации, трудятся на 20% лучше и значительно чаще остаются в ней работать, чем те, кто испытывает к ней очень мало доверия. Когда персонал — это партнеры, а не только объекты получения данных и их использования, они даже работают лучше.

Какие права, относящиеся к личной информации, должны быть у сотрудников?

Закон о защите прав сотрудников относительно их личной информации дает организациям ряд фундаментальных принципов по вопросу, как собирать и использовать данные, даже при необходимости изменения технологий или бизнеса.  Даже при том, что условия работы и правила организации могут быть разными, четыре фундаментальных принципа должны помогать работодателям корректно использовать информацию о своих сотрудниках.

1. Правило цели: у организации должна быть законная и специфическая для данного бизнеса цель сбора всей необходимой им информации.

Правило цели означает, что компания четко определяет причину, по которой они будут запрашивать данные сотрудников, до того, как они начнут это делать. Работодателям следует задать себе вопрос, для чего они собирают какую-то новую информацию, как они будут её обрабатывать, и как долго они будут её хранить для достижения своей основной цели.
Это правило и формирует доверие персонала, и помогает командам аналитиков избежать сбора и хранения информации, которая им не пригодится. Оно также помогает предотвратить потенциальное появление случаев неэтичного использования данных. Например, если компания исследует вопрос передвижения сотрудников в здании для более эффективного использования офисного пространства, нарушением правила цели будет передача полученной информации начальникам, которые будут оценивать работу подчиненных на основе времени, проведенного вне рабочего места. Однако, это не означает, что организация не может повторно использовать имеющиеся данные. Просто новая цель их дополнительного использования должна быть четко и ясно донесена до самих сотрудников. К примеру, компания первоначально собирает информацию по рабочему графику персонала для определения того, когда должны быть открыты офисы. Также эти самые данные могут быть полезны руководителям, чтобы предотвратить внутреннее выгорание членов их команд из-за чрезмерного количества встреч.  

2. Правило минимизации: организация не может собирать больше данных, чем им нужно для эффективного достижения их законной бизнес цели.

Как только будет определена бизнес цель, правило минимизации требует от компании ограничить собираемую информацию до того количества, которое действительно необходимо. Это значит, что нужно критически оценить, сколько именно данных нужно собрать, и на сколько они чувствительны. Если организация собирается отследить продуктивность сотрудника, работающего удаленно, например, он могут использовать сведения из основных рабочих приложений, но не могут использовать такие инвазивные методы, как контроль за веб камерами сотрудников.
Для правильного применения этого принципа необходима рассудительность, к какому разряду относится эта информация: её неплохо бы получить, или без неё успех вообще невозможен. Этот вопрос особенно касается инструментов с применением искусственного интеллекта, которые используют бОльшие объемы высококачественных данных и которые все чаще используются и улучшаются. Правило минимизации означает, что следует понять, сделает ли дополнительная информация вашу компанию более эффективной и перевесит ли её применение риск потери доверия сотрудников.

3. Правило справедливости: организация может использовать данные только такими способами, которые улучшают равенство среди сотрудников.

Ключевой принцип применения собранной информации заключается в её полезности как для работодателей, так и для самих работников. Так как компании используют все больше деликатных данных (таких как информация о здоровье, семье, месте жительства, расовой и половой принадлежности) для лучшей поддержки сотрудников и достижения целей разнообразия и инклюзивности (DEI), растет риск осознанной или неосознанной предвзятости при принятии решений. Новое обилие информации, доступной организации, должно улучшать, а не ограничивать равенство в возможностях и отношении к сотрудникам.
Самым эффективным способом прийти к справедливости в этом вопросе — встроить этот принцип в процесс принятия решений с самого начала. В одной международной корпорации рекрутеры не дожидаются момента, когда сотрудников уже наняли, для оценки разнообразия работников. Они используют надежный анализ данных, чтобы получить инклюзивный набор кандидатов, а затем по ходу последующих стадий отбора проводят повторный анализ и переоценку. Эта организация также учит своих лидеров определять, где полученная информация указывает на предвзятость, и дает им аналитические ориентиры для контроля текущих тенденций в найме и удержании сотрудников.

4. Правило осведомленности: организация должна четко доносить до сотрудников, какая их информация используется и с какой целью.

Это правило — ключ к успешному применению остальных. Оно предполагает понимание сотрудниками того, какие именно данные, касающиеся их, собирают, как их используют, и если возможно, где можно посмотреть эту информацию. Без подобной осведомленности уровень доверия работников и восприятие справедливости не изменятся.
При этом, персоналу не нужно становиться специалистом по обработке данных, чтобы понять, что их права уважают. Должен работать четкий план взаимодействия включающий выверенные коммуникации, что быть уверенным что сообщения компании соответствуют ролям и опыту сотрудников. Например, собирая потенциально деликатную информацию по самоидентификации для решения вопросов разнообразия, равенства и инклюзивности (DEI = Diversity, Equity and Inclusion), компания может применить два «послания»: одно от главы организации для всех сотрудников, где объясняется следование принципу DEI и то, как будет использоваться полученная информация, второе — во время целенаправленного общения внутри рабочих ресурс групп, где персонал получит пояснение, какую выгоду они получают от решений, принятых на основе подобной информации при соблюдении DEI. Все такие сообщения относительно данных работников должны быть простыми, своевременными и предаваться через канал коммуникации, который всегда доступен и легок в использовании.
Обратная связь тоже является неотъемлемым компонентом этого правила. У сотрудников должна быть возможность задать вопросы и выразить своё беспокойство. Естественно, взаимоотношения между работником и работодателем предполагают наличие некоторой информации, которую просто нельзя разглашать (например, данные по оценке деятельности или по здоровью). В остальных случаях прозрачность должна быть стандартом.

Кодекс правил, касающихся информации сотрудников, на практике

Кодекс правил, касающихся информации сотрудников, существует не в форме абстрактных принципов. Организациям следует систематизировать и обнародовать свой собственный список правил по использованию данных сотрудников в добавок к четырем вышеперечисленным в зависимости от их специфики. Город Утрехт в Нидерландах можно привести в пример этого процесса. Они опубликовали в общем доступе свои цифровые ценности (digital values) и внедрили следование им в свою политику.
Руководители также должны нести ответственность за соблюдение этих правил. Одна организация, предоставляющая финансовые услуги, даже учредила специальную внутреннюю целевую группу для соблюдения надлежащего баланса между пользой для компании и соблюдением вышеупомянутых правил. Другие организации создали совет по этике данных, включающий и представителей сотрудников, и специалистов по работе с персоналом, который регулярно консультирует внутренних специалистов для проверки их подхода к информации по работникам.
Граница между личными и рабочими данными сотрудников будет все более и более размытой из-за развития технологий и смены ожиданий работников. Кодекс правил, касающихся информации сотрудников, постоянно улучшающийся и прозрачно транслируемый, поможет компаниям раскрыть полный потенциал их информационных ресурсов как для поддержки сотрудников, так и для достижения их деловых целей.

Перевод статьи Why Your Organization Needs a Bill of Rights for Employee Data в Harvard Business Review от 20.04.2023, Авторы: Kaelyn Lowmaster and Jonah Shepp