HR में पेरोल और कॉन्ट्रैक्ट: GDPR क्या अपेक्षा करता है
HR सैलरी स्लिप, कॉन्ट्रैक्ट, बीमारी की पर्चियाँ और बैंक विवरण संभालता है। यहाँ बताया गया है कि इन्हें प्रोसेस करने वाले से GDPR क्या माँगता है, और यह काम अपने ही डिवाइस पर करना क्यों मददगार है।
किसी भी कंपनी में HR की मेज़ डेटा से सबसे भरी जगहों में से एक होती है। एक आम मंगलवार को, एक ही व्यक्ति शायद एक सैलरी स्लिप, एक साइन किया हुआ कॉन्ट्रैक्ट, एक बीमारी की पर्ची, एक बैंक प्रमाणपत्र और किसी के पहचान-पत्र की प्रति खोले। इनमें से हर एक PDF है, और इनमें से हर PDF किसी असली व्यक्ति के बारे में है जिसे यह देखने तक नहीं मिलता कि इसे कैसे संभाला जाता है।
यही काम है। सवाल यह है कि GDPR आपसे इस सबके साथ क्या करने की अपेक्षा करता है, और रोज़मर्रा का PDF काम नियमों में कहाँ बैठता है।
HR जिस डेटा को छूता है वह संवेदनशील क़िस्म का है
GDPR के तहत सारा निजी डेटा बराबर नहीं होता। एक दफ़्तरी ईमेल पता निजी डेटा है। सैलरी का आँकड़ा भी है, पर उसका वज़न ज़्यादा है, और HR तो उसके ढेर पर बैठा होता है।
सैलरी स्लिप दिखाती हैं कि लोग कितना कमाते हैं। कॉन्ट्रैक्ट शर्तें दिखाते हैं, कभी-कभी स्वास्थ्य या पारिवारिक स्थिति से जुड़े उपबंध। बीमारी की पर्चियाँ किसी चिकित्सीय स्थिति को उजागर कर सकती हैं, जो एक विशेष श्रेणी का डेटा है और जिसे अतिरिक्त सुरक्षा मिलती है। बैंक विवरण धोखाधड़ी का दरवाज़ा खोल देते हैं। राष्ट्रीय पहचान और सामाजिक सुरक्षा नंबर ठीक वही हैं जो पहचान-चोर चाहते हैं। यह सब एक ही विभाग में रख दीजिए और आपके पास एक निशाना तैयार है।
GDPR को इस सामग्री की ज़्यादा परवाह है क्योंकि किसी लीक से होने वाला नुक़सान बड़ा होता है। एक लीक हुई मार्केटिंग सूची झल्लाहट भरी होती है। पर सैलरी स्लिप और पहचान-पत्र के स्कैन का एक लीक हुआ ढेर किसी की वित्तीय हालत और उसके मन की शांति, दोनों को तबाह कर सकता है।
नियम असल में आपसे क्या माँगते हैं
इसका पालन करने के लिए आपको पूरा क़ानून रटने की ज़रूरत नहीं। कुछ कर्तव्य ही उस अधिकांश को समेट लेते हैं जो HR इन फ़ाइलों के साथ करता है।
डेटा को सुरक्षित रखें। अनुच्छेद 32 उचित तकनीकी और संगठनात्मक उपायों की माँग करता है। सीधे शब्दों में, फ़ाइलों को इस तरह सुरक्षित किया जाना चाहिए जो उनकी संवेदनशीलता से मेल खाए। एक सैलरी स्लिप किसी लंच मेन्यू से ज़्यादा देखभाल की हक़दार है।
सिर्फ़ उतना ही उपयोग करें जितनी ज़रूरत हो, और उतने ही समय तक जितनी ज़रूरत हो। आप किसी कॉन्ट्रैक्ट को रोज़गार संभालने के लिए इकट्ठा करते हैं, न कि उसे हमेशा के लिए किसी ऐसी साझा ड्राइव पर रखने के लिए जिसे आधा दफ़्तर पढ़ सके। जब कारण ख़त्म हो जाए, तो फ़ाइल भी जानी चाहिए।
जानें कि डेटा कहाँ-कहाँ जाता है। हर बार जब कोई फ़ाइल आपके नियंत्रण से बाहर जाती है, तो आपको पता होना चाहिए कि उसे कौन प्राप्त करता है और क्यों। अगर आप किसी बाहरी सेवा को निजी डेटा सौंपते हैं जो आपके लिए उसे प्रोसेस करती है, तो वह सेवा एक प्रोसेसर है, और इसे लेकर एक अनुबंध होना चाहिए जो तय करे कि वे उस डेटा के साथ क्या कर सकते हैं।
जवाब देने के लिए तैयार रहें। अगर कुछ ग़लत होता है, तो आपको यह दिखाना होगा कि आपने उचित क़दम उठाए थे। “मैंने इसे सर्च नतीजों में मिली एक मुफ़्त वेबसाइट पर अपलोड कर दिया” कोई ऐसा क़दम नहीं है जिसका आप बचाव करना चाहेंगे।
फ़ाइल कहाँ जाती है, यह भी काम का हिस्सा है
यहीं वह कमी है जो अच्छे लोगों को भी फँसा लेती है। HR स्टाफ़ इस पर ख़ूब सोचता है कि साझा फ़ोल्डर कौन खोल सकता है, और फिर जो पहली PDF वेबसाइट मिले उसी पर दो सैलरी स्लिप मर्ज कर देता है। फ़ोल्डर पर लगा सावधान एक्सेस कंट्रोल बेमानी हो जाता है अगर तीस सेकंड बाद फ़ाइल कहीं और अपलोड हो जाए।
ज़्यादातर ऑनलाइन PDF टूल इस तरह काम करते हैं कि आपकी फ़ाइल उनके सर्वर पर भेजते हैं, ऑपरेशन वहीं चलाते हैं, और नतीजा वापस भेज देते हैं। फ़ाइल एक ऐसी मशीन पर उतरती है जो आपकी नहीं, जिसे एक ऐसी कंपनी चलाती है जिसकी आपने कभी जाँच नहीं की, और एक ऐसी जगह पर जिसका नाम आप नहीं बता सकते। शायद वे उसे तय समय पर मिटा दें। शायद कोई बैकअप एक प्रति रख ले। शायद पूरी चीज़ किराए के बुनियादी ढाँचे पर चलती हो जो आपकी फ़ाइल को ऐसे स्टोरेज से गुज़ारे जिसके बारे में आप कभी सुनेंगे ही नहीं। आप जाँच नहीं सकते, और न ही वह व्यक्ति जिसकी बीमारी की पर्ची आपने अभी-अभी इंटरनेट के पार भेज दी।
किसी बीमारी की पर्ची या बैंक प्रमाणपत्र के लिए, वह अपलोड की गई प्रति ही कमज़ोर कड़ी है। एक फ़ाइल जो HR के लैपटॉप से कभी बाहर नहीं जाती, उसे किसी और के सर्वर पर हुई सेंधमारी में उजागर नहीं किया जा सकता।
काम अपने ही डिवाइस पर करना
एक क़िस्म का PDF टूल ऐसा भी है जो कभी कुछ अपलोड नहीं करता। पूरा ऑपरेशन ब्राउज़र के भीतर, उसी कंप्यूटर पर चलता है जिसे आप पहले से इस्तेमाल कर रहे हैं। कोड एक बार लोड होता है, आपकी PDF ब्राउज़र की मेमोरी में खुलती है, आप काम करते हैं, और तैयार फ़ाइल सीधे आपकी मशीन पर वापस सेव हो जाती है। कुछ भी बाहर नहीं भेजा जाता, क्योंकि भेजने के लिए कोई सर्वर वाला चरण है ही नहीं।
reader.me इसी तरह काम करता है, और यही वजह है कि यह HR दस्तावेज़ों के लिए उपयुक्त है। सैलरी स्लिप का एक सेट जोड़ना, किसी कॉन्ट्रैक्ट से कुछ पन्ने निकालना, किसी स्कैन को इतना छोटा करना कि वह ईमेल में आ जाए, यह सब आपके कंप्यूटर पर ही होता है। टैब बंद करें और काम करने वाली मेमोरी उसी के साथ ग़ायब हो जाती है।
इसके लिए आपको मुझ पर भरोसा करने की ज़रूरत नहीं। ब्राउज़र के DevTools खोलें, Network टैब पर जाएँ, कोई ऑपरेशन चलाएँ, और देखें। कोई भी रिक्वेस्ट आपकी फ़ाइल को बाहर नहीं ले जाती। अगर फ़ाइल किसी भी रिक्वेस्ट बॉडी में नहीं है, तो वह कहीं भेजी ही नहीं गई। यही वह जाँच है जो अनुच्छेद 32 को पसंद है, क्योंकि आप इसे सचमुच साबित कर सकते हैं।
आज करने लायक़ दो चीज़ें
इमारत से बाहर जाने वाली फ़ाइलों की सुरक्षा करें। जब आप किसी सैलरी स्लिप या कॉन्ट्रैक्ट को ईमेल से भेजते हैं, तो ईमेल ख़ुद शायद ही कभी अंत-से-अंत तक सुरक्षित होती है। पहले PDF पर एक पासवर्ड लगाएँ, ताकि दस्तावेज़ उस किसी के लिए बेकार रहे जो उसे बीच में रोक ले या जो ग़लत प्राप्तकर्ता हो। आप यह अपने ही डिवाइस पर protect PDF से कर सकते हैं, बिना किसी अपलोड के, और पासवर्ड को किसी अलग चैनल जैसे फ़ोन कॉल के ज़रिए साझा कर सकते हैं।
बिना प्रिंट और दोबारा स्कैन किए साइन करें। कॉन्ट्रैक्ट और मंज़ूरियों के लिए हस्ताक्षर चाहिए, और प्रिंट करो, साइन करो, स्कैन करो, काग़ज़ फेंक दो वाली पुरानी दिनचर्या हर तरफ़ बिखरी हुई प्रतियाँ छोड़ जाती है। हस्ताक्षर को सीधे PDF में जोड़ने से एक साफ़-सुथरी फ़ाइल बनी रहती है और काग़ज़ी निशान से बचा जाता है। sign PDF टूल यह काम ब्राउज़र में करता है, इसलिए कॉन्ट्रैक्ट साइन होने के लिए कभी आपके कंप्यूटर से बाहर नहीं जाता।
HR में रोज़मर्रा का PDF काम नीरस लगता है, और यही जाल है। दो फ़ाइलें मर्ज करने या एक कॉन्ट्रैक्ट साइन करने में सेकंड लगते हैं, और वही सेकंड हैं जहाँ संवेदनशील डेटा या तो अपनी जगह टिका रहता है या चुपके से निकल जाता है। अगर आप इसका लंबा संस्करण चाहते हैं कि किसी पेरोल दफ़्तर या अकाउंटेंट से दस्तावेज़ गुज़रने पर यह कैसे सामने आता है, तो सैलरी स्लिप और निजता पर यह लेख इसे समेटता है। काम को डिवाइस पर ही रखिए और GDPR वाला पक्ष काफ़ी आसान हो जाता है।