خرید vpn خوب

سوالات متداول (سؤالات متداول): GDPR و داده های HR / کارمندان

همانطور که در پست دیگری نوشتم ، پرونده های HR به عنوان داده های شخصی در نظر گرفته می شوند و تحت مقررات عمومی حفاظت از داده ها (GDPR) تحت پوشش قرار می گیرند. از آنجا که من از افرادی که باید بهتر بدانند که نیست است ، دلیل خوبی دارم که دوباره این موضوع را بپذیرم و به جزئیات بیشتری بپردازم.

نکته اصلی این است که داده های HR / کارمند – حقوق و دستمزد ، بررسی ، شماره شناسایی ، هزینه سفر و موارد دیگر – تحت شرایط GDPR برای امنیت داده ها و حریم خصوصی.

کارفرمایان توجه داشته باشند: نه تنها باید از داده های کارمندان محافظت کنید انگار داده های مشتری هستید. ، بلکه همچنین به درخواست های دسترسی به داده های مبتنی بر کارمند (DSAR) پاسخ می دهد ، برای بررسی سوابق و حتی حذف برخی از این داده ها!

از آنجا که این موضوع تا حدودی پیچیده و دارای یک زیر مجموعه پیچیده است. بهترین راه برای پوشش دادن آن از طریق پست پرسش و پاسخ به سبک مکالمه است.

تحت GDPR ، شرکت ها باید برای جمع آوری داده های خود رضایت مصرف کنندگان را بدست آورند. آیا یک کارفرما باید از کارمندان هم رضایت خود را بپرسد؟

سؤال عالی! و این جایی است که مشکل می شود. بله ، کارفرما مجبور است رضایت کارمندان را برای داده های HR بدست آورد. با این حال ، در بیشتر موارد ، کارمند به دلیل رابطه نابرابر بین این دو ، آزادانه را به کارفرما رضایت نمی دهد. بله ، GDPR موافقت زیادی را برای موافقت تعیین می کند به مقاله 7 ("شرایط رضایت" مراجعه کنید).

برای رفع این مشکل ، GDPR گزینه های دیگری برای به دست آوردن داده ها می دهد. لیست کامل در ماده 6 ("قانونی بودن پردازش") است ، اما دو گزینه ای که بیشتر کارفرمایان روی آن تمرکز می کنند عبارتند از: (6b) پردازش برای انجام یک قرارداد ضروری است ، یا (6f) پردازش برای "منافع قانونی" ضروری است.

روزی بار ، سارا جودکا ، وکیل کار دیکینسون رایت ، در مصاحبه ای به ما یادآوری کرد که کارمندان ، خارج از اتحادیه های کارگری ، معمولاً "بدون خواست" کار می کنند "بدون خواست". "به عنوان معقول ترین پایه برای شرکت ها برای جمع آوری داده های کارکنان تحت GDPR.

این معنا دارد. کارفرمایان به داده های کارمندان نیاز دارند زیرا این کار برای اداره یک تجارت ضروری است و GDPR اجازه این معافیت را برای رضایت می دهد. به نظر می رسد آسان است.

نه خیلی سریع. کار بیشتری وجود دارد.

از آنجا که کارفرما داده ها را بدون رضایت ، تحت معافیت مشروعیت مشروعیت ، می گیرد ، کارفرما مجبور است موارد زیر را نشان دهد: داده ها به یک هدف خدمت می کنند ، هر پردازش درگیر برای رسیدن به هدف ضروری است و تعادل استفاده از داده ها در برابر حقوق حریم خصوصی کارمند. ICO ، مركز محافظت از داده ها (DPA) براي انگلستان ، كارايي خوبي در مورد فرآيندهايي دارد كه كارفرمايان براي نشان دادن علاقه مشروع خود به آن مي روند.

اما هنوز هم موارد زيادي وجود دارد.

به علت ماهيت حساس داده هاي كارمندان. ، ارزیابی تأثیر حفاظت از داده ها (DPIA) آغاز می شود. این می تواند یک فرآیند دشوار باشد (مگر اینکه شما نرم افزار مناسبی داشته باشید).

فکر می کردم DPIA ها با داده های حساس مانند فیلم و بیومتریک و DNA ارتباط دارند. فکر نمی کردم سوابق کارمندان به حساب بیاید.

خوب ، سوابق کارمندان دارای داده های حساس هستند که توسط GDPR تعریف شده است. اما این هنوز کافی نیست! تنظیم کننده ها یک آزمایش را به دست آوردند: اگر پردازش حداقل شامل دو عنصر از فهرست نه عنصر معیارها باشد (در زیر) ، DPIA لازم است.

کارفرمایان می توانند هر دو داده حساس و را بررسی کنند. موضوع داده آسیب پذیر ، به دلیل عدم تعادل قدرت. این بدان معنی است که بیشتر شرکت هایی که تحت تولید GDPR قرار دارند مجبورند a DPIA را برای داده های کارمندان انجام دهند! دسته بندی ها. (منبع: دیکینسون رایت)

ممکن است آنها براساس داده های مصرف کننده مصرف کننده که جمع آوری می کنند ، مجبور شوند DPIA را انجام دهند ، اما حداقل آنها باید آن را برای کارمندان خود پیاده کنند. شما می توانید اطلاعات بیشتری در مورد نیاز DPIA در این سند راهنمایی وینکی از تنظیم کننده های GDPR کسب کنید.

DPIA به چه معنی است؟

صرفاً برداشتن ماده 35 ("ارزیابی تأثیر محافظت از داده") ، منطقی است. سپس من این معنی را به زبان انگلیسی توضیح خواهم داد:

DPIA برای داده های HR نیاز به ارزیابی رسمی خطرات و اقدامات کاهش ریسک را دارد.

این چاپ خوب برای ارزیابی و مدیریت ریسک GDPR است. به طور خلاصه: در پردازش این داده ها به خطرات امنیتی و حریم خصوصی نگاه کنید و سپس ریسک را مدیریت و کاهش دهید. و برای کمک به شما در کنار هم ، تنظیم کننده ها با این گرافیک شگفت انگیز آشنا شده اند:

چرخه بی پایان DPIA. (منبع: ماده 29 کارگروه)

اگر توجه کرده اید ، این باید کلاه بسیار قدیمی باشد. نمودار نشان می دهد که ارزیابی ها یک روند مداوم برای شناسایی و مدیریت ریسک است. و در حالی که شرکت ها باید برای همه داده های مهم کاری نزدیک به این کار انجام دهند ، GDPR می گوید شرکت ها به طور مؤثر باید DPIA ها را برای داده های کارمندان پیاده سازی کنند.

فقط این واقعیت که شما کارمند دارید ، بدان معنی است که شما باید رفتار کنید DPIA! O از آنجا که داده های HR جمع آوری می شود ، تحت قوانین محافظت از داده های GDPR قرار می گیرند ، درست ؟

آنها مطمئناً این کار را می کنند! ماده آشکار – و موردی که معمولاً توسط DPA در اقدامات اجرای آنها ذکر شده است – ماده 32 ("امنیت پردازش") است. این موردی است که با "انجام اقدامات فنی و سازمانی مناسب برای اطمینان از سطح امنیت" به کار می رود.

درست همانطور که شرکت های تحت تولید GDPR باید کنترل های امنیتی را برای داده های مصرف کننده برقرار کنند ، آنها نیز باید این موارد را انجام دهند. برای داده های HR مشابه است – از جمله احراز هویت ، محدود کردن دسترسی ، ممیزی از فعالیت های کاربر و سیستم ، نظارت بر تهدیدات ، پاسخ به حادثه ، و اعلان نقض. در صورت وجود هرگونه سؤال ، شرکت ها باید نقض داده های شخصی کارمندان را طبق ماده 33 و 34 گزارش دهند.

آیا داده های HR ، مانند داده های شخصی مصرف کننده ، دارای محدودیت های نگهداری هستند؟

در ماده 5 مورد بحث قرار گرفته است ("اصول مربوط به پردازش داده های شخصی") ، داده های شخصی را نمی توان طولانی تر نگه داشت "از آنچه لازم است برای اهدافی که پردازش داده های شخصی لازم است" نگهداری می شود. "این به همان اندازه نزدیک است که GDPR به صحبت در مورد محدود کردن ذخیره و یا ذخیره اطلاعات شخصی. بيشتر شركتها سياست هاي نگهداري اطلاعات خود را بر اساس نيازهاي كسب و كار دارند.

از آنجا كه سوابق HR شامل اطلاعات شخصي هستند ، زبان "لازم براي اهداف" نيز اعمال مي شود. به ویژه برای داده های HR ، قوانین محلی می توانند در تعیین محدودیت ها نقش داشته باشند ، و احتمالاً دوره های مختلف نگهداری برای سوابق دستمزد ، مالیات ، مرخصی مادر یا پدر و اقدامات حقوق و دستمزد نیز وجود خواهد داشت.

تحت GDPR ، مصرف کنندگان از حقوق حریم خصوصی برخوردار هستند. همچنین. آیا این بدان معناست که یک کارمند می تواند داده های HR خود را درخواست کند؟

در واقع. یک کارمند می تواند درخواست دسترسی به موضوع داده (DSAR) کند. کارفرما موظف است مانند هر درخواست دسترسی "بدون تأخیر بی دلیل" و در طی یک ماه پاسخ دهد. کارفرمایان می توانند درخواست را رد کنند اگر "آشکارا بی اساس" یا "بیش از حد" باشد.

همانطور که وکلا توجه کرده اند ، اتاق wiggle به این زبان وجود دارد ، و ما باید منتظر راهنمایی های بیشتری از تنظیم کننده ها باشیم. به عنوان مثال ، وقتی اطلاعات زیادی برای جمع آوری و تجزیه و تحلیل وجود دارد ، می توانید خلاصه ای از داده های HR را برآورده سازد؟ شاید!

در هر صورت ، کارکنان می توانند درخواست کنند تا بررسی های سالانه ، اقدامات حقوق و دستمزد ، تاریخ تبلیغات ، تبادل ایمیل با HR ، دسترسی به رایانه را به همراه داده های شخصی اولیه مانند شماره تلفن ها مشاهده کنند. [نامگذاری ها ، آدرس ها و آدرس ها]

کارفرما حق دارد اگر [در پرونده های درخواست شده] اطلاعات [شخص ثالث] را برای [شخص ثالث] رد کند . به طور خلاصه: یک کارمند نمی تواند هرگونه ارتباط الکترونیکی را ببیند ، مثلاً نام او را در کجا قرار دهید.

و آیا کارمندان می توانند از حق خود برای فراموش شدن استفاده کنند؟

این ممکن است کارفرمایان را شگفت زده کند ، اما جواب یک بله واجد شرایط است.

طبق ماده 17 ("حق پاک کردن / حق فراموش شدن") ، چندین شرط وجود دارد که تحت آن می توان درخواست های پاک کردن را انجام داد. کارمندان می توانند داده های خاص را هنگام رضایت از کار حذف کنند یا پردازش "در رابطه با اهدافی که برای آنها جمع آوری شده است" دیگر لازم نیست. "همانطور که به طور کلی DSAR ها ، پاک کردن داده های HR باید به پایان برسد. یک ماه.

بدیهی است ، کارفرمایان قدرت انکار این درخواست ها را دارند زیرا می توانند ادعا کنند که داده ها به طور گسترده می توانند اهداف تجاری فعلی را داشته باشند. وکلا نشان داده اند که نمونه هایی از دنیای واقعی وجود دارد که باید یک درخواست پاک کردن GDPR را انجام دهند. در اینجا چند سناریو واضح وجود دارد:

  • یک کارمند در یک برنامه مزایایی که نیاز به جمع آوری داده ها دارد ، ثبت نام می کند ، اما متعاقباً خارج می شود.
  • در طی مراحل استخدام ، کارفرمای ممکن است درخواست چک های اعتباری یا تاریخ مالی دیگری را داشته باشد که فقط
  • بعنوان بخشی از فرآیند ارتقاء ، داده ها در مورد یک کارمند جمع آوری شد – دستاوردها ، نظرات سایر مدیران – اما متعاقباً ارتقاء به کارمند دیگری رفت
  • بدون رضایت ، یک کارمند در یک کارفرما ثبت نام کرد. برنامه بهداشتی که در آن داده ها جمع آوری و پردازش شده مربوط به روزهای بیمار ، تاخیر و سایر روزهای PTO انجام شده است.

در تمام این شرایط ، کارفرما مجبور می شود به درخواست های حذف اقدام کند. نکته مهم این است که GDPR نسبت به گذشته کارمندان کنترل بیشتری روی داده های خود می کند و کارفرمایان باید در شرایطی باشند که با درخواست های قانونی داده های کارکنان مطابقت داشته باشند.

آه! من فقط شرایطی را تصور کردم که کارفرما به DSAR احترام نمی گذارد و یک کارمند پس از آن شکایتی را با DPA ارائه می دهد. آیا این ممکن است؟

اکنون شما فکر می کنید. بله ، کارمند می تواند شکایات خود را مستقیماً به تنظیم کننده های محلی ارائه دهد.

وکلای GDPR می دانند که احتمال وجود شکایات ناشی از کارمندان وجود دارد. اگر پست اخیر ما را در مورد جریمه های GDPR بخوانید ، این شکایات در زیر جریمه های بالاتر 4٪ قرار می گیرند. و برای شرکت هایی که سابقاً نقض GDPR داشته اند ، ممکن است این شکایات کارمندان با نوری متفاوت بررسی شود و به جریمه های قابل توجهی منجر شود.

این نکته بسیار مهمی را به وجود می آورد ، و یک راه خوب برای خاتمه این سؤالات متداول است. کارمندان نه تنها می توانند در مورد نقض حریم شخصی خود شکایتی کنند ، اما اگر متوجه محدودیت های امنیتی در شرکت شوند ، می توانند شکایتی در مورد محافظت از داده ها با DPA ارائه دهند!

من نمی خواهم به طور گسترده نقاشی کنم. کارمندان به عنوان "تهدیدهای خودی" با قدرت گزارش دهی درمورد محدودیت های امنیت IT. اما در زیر GDPR ، هر دو کارمند و مشتری بیشتر مانند حسابرسان غیر رسمی فناوری اطلاعات عمل می کنند.

اگر یک کارمند رویه های امنیتی پرونده بد را نشان می دهد ، بگویید صد هزار پرونده مشتری در یک پوشه با "همه" اجازه می دهد ، یا مشتری متوجه یک جستجوی وب می شود که به وی اجازه می دهد سوابق بانکی مشتری دیگر را مشاهده کند ، سپس هر دو می توانند تخلفات احتمالی را با DPA گزارش دهند.

خط پایین: شرکتهایی که تحت GDPR قرار دارند با واقعیت جدیدی روبرو هستند. که در آن امنیت داده ها و نقض حریم خصوصی آنها توسط هر دو شخص ناشناس و افراد خارجی با چشم تیز گزارش می شود!