由于人们非常重视客户个人数据的隐私和保护,因此人们很容易认为员工和求职者的信息不那么重要。
然而,GDPR 对这些类别的监管规定
并不比对受监管企业重要客户个人数据的监管规定更为宽松。员工往往是直接向公司以及监管机构提出问题的根源。
对于被发现在处理员 菲律宾数据 工数据方面违反 GDPR 的公司来说,面临经济处罚的风险同样是现实。
然而,尽管《GDPR》自 2018 年 5 月起生效,但许多企业仍然不确定该法律如何影响人力资源活动。
在本文中,我们将探讨处理员工数据的合法性、透明度、数据泄露和问责制,以及个人权利和数据保护。
1)个人权利
人力资源人员必须熟悉 GDPR 赋予员工、求职者和承包商的合法权利。人力资源团队应接受培训,以便在 GDPR 法律规定的严格时间范围内识别和处理个人请求。应采取以下步骤:
- 提供有关如何识别和响应个人数 后续:如何做一做一的提示 + 4 个免费示例 据保护请求的程序指导和培训。
- 与 IT 人员合作进行系统测试,并确保流程到位,在实际和技术层面上适当地响应个人权利。
- 为特定类别的人力资源数据设置官方数据保留时间框架,并根据这些时间框架安排数据归档/删除流程。
2)透明度
公司聘用的个人,无论是员工、求职者、承包商还是实习生,都必须获得详细、详细且易于理解的信息,说明其个人信息的使用方式。通常,这些信息将包含在隐私声明中,该声明应在关系开始时提供给个人。
GDPR 合规步骤应包括:
- 审查并在必要时更新与员工 bo 目录 和申请人相关的隐私声明,以满足详细的信息要求。
- 实施程序以确保在适当的时间提供隐私通知、及时了解新的处理活动并维护版本控制记录。
3) 处理的合法依据
必须根据 GDPR 中严格规定的法律依据中的至少一个,为每个确定的人力资源目的建立“合法处理基础”。不能依赖员工同意,因为此类同意 a) 难以证明,并且 b) 不具吸引力,因为在终止雇佣关系的情况下,必须尊重员工撤回同意的权利。
可能需要其他合法依据,例如公司的合法利益,或为了促进合同的履行。企业至少应该:
- 进行审计,并为每个人力资源数据处理活动和目的分配特定的合法处理基础。这应包括涉及特殊类别个人信息(如敏感数据)的流程。
- 确保隐私声明中记录了符合 GDPR 的法律依据。
- 更新所有政策和合同文件,特别是雇佣合同,确保删除所有提及“员工同意”的内容,作为处理的合法依据。
4)设计数据保护
受保企业必须在其内部系统中证明“设计和默认的数据保护”,即在最短的时间内保留最少量的数据,这是所有人力资源职能的固有因素。
以下技术、组织和实践相结合的措施有助于实现这一目标:
- 提供明确的指导以及报告结构来评估所有人力资源数据流程的必要性和范围。
- 建立严格的人力资源数据保留限制,并与 IT 人员联络,以确保在技术层面实施。(这也应适用于与供应商共享的数据)。
- 考虑公司是否需要任命正式的数据隐私官 (DPO)。GDPR 规定,必须允许任命的 DPO 独立行事,并且不得因履行其数据隐私/保护职责而被解雇或受到处罚。DPO 可以是现有员工,只要其现有角色不与其 DPO 职责相冲突。
5)共享和转移个人信息
在某些情况下,员工数据需要与外部服务提供商共享,例如提供云计算平台、人力资源数据库应用程序、员工福利管理或工资单处理的公司。
在这种情况下,企业需要与每个供应商实施新的合同安排,以确保遵守符合 GDPR 的数据处理实践。
需要遵循以下基本步骤:
- 定期审计公司与外部服务提供商之间的个人数据流,无论这些接收者是数据控制者还是数据处理者,并实施加强的数据共享协议。
- 将人力资源个人数据流映射到外部供应商并更新服务合同以反映任何新要求。
- 加强供应商的正式入职流程,包括隐私分类和审查评估,以确保他们能够在实践中遵守数据隐私和保护义务。应安排定期审查。