فهم الناتج المحلي الإجمالي: رئيس لأرباب العمل العالميين

(ج) النظام العام لحماية البيانات هو إطار تاريخي لخصوصية البيانات، سنه الاتحاد الأوروبي في أيار/مايو 2018، ويمتد نطاقه إلى أبعد من أوروبا(#8217)؛ أي منظمة تُعالج البيانات الشخصية للأفراد المقيمين في الاتحاد الأوروبي، بغض النظر عن المكان الذي توجد فيه الشركة، ويجب أن تمتثل له؛ وبالنسبة لأرباب العمل الذين يوظفون موظفين دوليين في الحياة، سواء كانوا يعملون عن بعد من بلدان الاتحاد الأوروبي أو هم مواطنون في مرحلة حماية قانونية من مكان آخر(ب)(8212)؛

وفي إطار الناتج المحلي الإجمالي، تتضمن البيانات الشخصية أي معلومات تتعلق بشخص طبيعي محدد أو محدد الهوية، ويشمل ذلك بنودا واضحة مثل الأسماء والعناوين وتفاصيل كشوف المرتبات، ولكن أيضا بيانات أقل وضوحا مثل عناوين شركاء التنفيذ، واستعراضات الأداء، والسجلات الصحية، وحتى الأصل الإثني أو الآراء السياسية (التي تندرج في إطار بيانات الفئة الخاصة تخضع لحمايتها الشديدة)، ويتصرف أرباب العمل بوصفهم متحكمين في البيانات، ويقررون أهداف ووسائل تجهيز بيانات الموظفين، ويجب أن يكون لكل منهم أساس قانوني.

ويتمتع الموظفون أيضا بمجموعة من الحقوق بموجب الناتج المحلي الإجمالي، بما في ذلك الحق في الحصول على المعلومات، والحق في الحصول على العلاج، والحق في التصحيح، والحق في الحق في الحق في التصحيح (الرقم 8220؛ والحق في أن يُنسى(8221)؛ والحق في تقييد التجهيز، والحق في نقل البيانات، والحق في الاعتراض، والحقوق المتصلة باتخاذ القرارات بصورة آلية وبوصفها، وهذه الحقوق غير مطلقة.

والعقوبات المفروضة على عدم الامتثال شديدة، ويمكن للسلطات الإشرافية (مثل المملكة المتحدة لبريطانيا العظمى وأيرلندا الشمالية، 8217؛ والمفوض الإعلامي رقم 9817؛ والمكتب الفرنسي أو المجلس الوطني الفرنسي لليب) أن تفرض غرامات تصل إلى 20 مليون يورو أو 4 في المائة من إجمالي الدوران السنوي، أيهما أعلى، وبخلاف المخاطر المالية، فإن عدم الامتثال يضعف الثقة، ويضر بعلامة صاحب العمل، ويمكن أن يؤدي إلى رفع دعاوى من الموظفين أو مطالبات من النوع.

لماذا يجب أن تتناول كتيبات الموظفين الناتج المحلي الإجمالي

والكتيب الخاص بالموظف هو أكثر من مجرد مستودع للسياسات رقم 8212؛ وهو وثيقة أساسية تبلغ صاحب العمل رقم 8217؛ والتوقعات والحقوق والواجبات لقوة العمل التابعة له؛ وقبل الناتج المحلي الإجمالي، كان العديد من الكتيبات تتضمن بيانات سرية أو تقتصر على الإشارة إلى القوانين المحلية لحماية البيانات؛ واليوم، يجب أن يضاعف الدليل كإشعار شفاف بشأن خصوصية البيانات يفي بالتزامات المعلومات بموجب المادتين 13 و 14 من الناتج المحلي الإجمالي، عندما ينضم الموظفون إلى شركة

  • (ب) تفاصيل هوية وملامسة متحكم البيانات (صاحب العمل) وضابط حماية البيانات إذا تم تعيين شخص واحد.
  • الأغراض والأساس القانوني لتجهيز بياناتهم الشخصية.
  • فئات البيانات الشخصية التي يتم جمعها (إذا لم يتم الحصول عليها مباشرة من الموظف).
  • المتلقين أو الفئات المتلقية للبيانات (مثل مقدمي الرواتب، ومديري الاستحقاقات، والمؤمنين).
  • تفاصيل أي نقل للبيانات إلى بلدان ثالثة والضمانات القائمة.
  • فترة الاحتفاظ بكل فئة من فئات البيانات أو المعايير المستخدمة لتحديدها.
  • وجود كل موضوع بيانات صحيح وكيفية ممارسته.
  • الحق في تقديم شكوى إلى هيئة إشرافية.
  • وسواء كان تقديم البيانات الشخصية شرطاً قانونياً أو تعاقدياً وعواقب عدم تقديمها.
  • وجود عملية اتخاذ قرارات آلية، بما في ذلك التنميط، ومعلومات مفيدة عن المنطق المعني.

ولا يكفي نشر هذه المعلومات إلا في دليل يُستَلم الموظفون عند تعيينهم، ويشترط الناتج المحلي الإجمالي توفير المعلومات وقت جمع البيانات، ويعني ذلك بالنسبة للبيانات التي يُجمع فيها الموظفون أثناء التعيين، إخطاراً بالخصوصية في مرحلة التطبيق، وبالنسبة للبيانات التي يتم جمعها أثناء العمل، فإن الدليل يمثل مورداً معيشياً ينبغي أن يكون متاحاً ومستكملاً بسهولة كلما تغيرت عملية التجهيز.

أهم أقسام الدليل التي تتطلب إعادة تنشيط الناتج المحلي الإجمالي

الموافقة على كلوز (ولماذا تجنبهم)

وكتيبات عديدة سابقة على استعراض أداء النقابات تشمل بيانات الموافقة الشاملة: " 8220؛ تقبل العمالة، وتوافق على جمع وتجهيز بياناتكم الشخصية(ز) 8220؛ وفي إطار الناتج المحلي الإجمالي، تكون هذه الموافقة غير صحيحة تقريبا، وتقول إن الموافقة غير موثقة إذا كان هناك اختلال واضح بين موضوع البيانات والإدارة الخاصة(82)(12)؛ وتفسر الحالة في مجال التجهيز التعاقدي (بدلا من ذلك الاعتماد على كشوف المرتبات).

جمع البيانات وإصدار الإشعارات

ويجب أن يكون الدليل بمثابة إشعار شامل، وأن تدرج كل فئة من فئات بيانات الموظفين التي تجمعها الشركة رقم 8212؛ ومن تفاصيل الاتصال الأساسية إلى مقاييس الأداء، ومقاطعات كاميرات المراقبة، وسجلات استخدام الأجهزة، وساعة الاستدلال البيولوجي، وأن تحدد الغرض من كل فئة (مثلاً، كاميرات المراقبة لأغراض السلامة والأمن؛ ورصد الأجهزة لأغراض تكنولوجيا المعلومات) وأن تكون محددة: تجنب لغة غامضة مثل " 8220 " ، وأن نستخدم بياناتكم لأغراض الموارد البشرية(21).

حقوق الموظفين في البيانات وكيفية ممارسة هذه الحقوق

صف كل منتج من الناتج المحلي الإجمالي باللغة البسيطه، على سبيل المثال:

  • الحق في الوصول ]: يمكنك أن تطلب نسخة من البيانات الشخصية التي نحتفظ بها عنك.
  • الحق في التصحيح : إذا كانت بياناتك الشخصية غير دقيقة أو غير كاملة، يمكنك أن تطلب منا تصحيحها.
  • الحق في التكتم : في حالات معينة، يمكنك أن تطلب منا حذف بياناتك الشخصية.
  • الحق في تقييد التجهيز ]: يمكنك أن تطلب أن نحد من كيفية استخدام بياناتك.
  • Right to data portability : يمكنك أن تطلبي الحصول على بياناتك في شكل منظم شائع الاستخدام، قابل للقراءة الآلية.
  • الحق في الاعتراض ]: يمكنك الاعتراض على التجهيز استنادا إلى المصالح المشروعة أو التسويق المباشر.

Provide a clear procedure: who to contact (DPO or HR), how to submit a request (preferably in writing or via a dedicated gate), and expected response times. Include the contact information of the lead supervisory authority so employees know they can lodge a complaint externally.

بروتوكول الاستجابة لاختراق البيانات

ويقضي الناتج المحلي الإجمالي بأن يخطر المتحكمون السلطة الإشرافية في غضون 72 ساعة بأنهم على علم بخرق البيانات الشخصية، ما لم يكن من المحتمل أن يؤدي الخرق إلى خطر على الأفراد، وإذا كان الإخلال يشكل خطرا كبيرا، يجب إبلاغ الموظفين المتضررين دون تأخير لا مبرر له، وينبغي أن يحدد الدليل سلسلة الإبلاغ عن الإخلال الداخلي: الذين يتعين عليهم أن يخطروا (مثل أمن تكنولوجيا المعلومات، مكتب المدعي العام)، بالمعلومات التي ينبغي أن تتضمنها، والخطوات التي ستتخذها الشركة لاحتواء الموظفين وتقييمهم وإخطارهم.

جداول الاحتفاظ بالبيانات وحذفها

(ب) أن يُحتفظ بالبيانات الشخصية فقط لما هو ضروري للأغراض التي يتم تجهيزها، وينبغي أن يشير الدليل إلى سياسة الاحتفاظ بالبيانات، مع تحديد الجداول الزمنية الموحدة (مثل سجلات المرتبات لمدة 6 سنوات بعد انتهاء الخدمة؛ وبيانات التوظيف لمدة 6 أشهر إذا لم تنجح؛ وبيانات استعراض الأداء عن مدة الاستخدام زائد سنتين).

التحديات التي تواجه أرباب العمل المتعددي الجنسيات

وبالنسبة للشركات العاملة عبر ولايات قضائية متعددة، فإن مواءمة كتيبات الموظفين مع الناتج المحلي الإجمالي مع احترام القوانين المحلية مهمة معقدة، ويتألف الاتحاد الأوروبي نفسه من 27 دولة عضوا، لكل منها قوانين تنفيذية وسلطة إشرافية خاصة بها، وبالإضافة إلى ذلك، فإن المملكة المتحدة تعمل الآن على إصدارها الخاص من الناتج المحلي الإجمالي، وهو ما يتطابق إلى حد كبير مع متطلباته، ولكنه يفي بشروط طفيفة، وتطبقه البلدان غير الأعضاء في الاتحاد الأوروبي مثل نظم الحماية في البرازيل، كاليفورنيا.

(أ) عندما تستأجر شركة مقرها الولايات المتحدة مقيماً في الاتحاد الأوروبي كعامل نائي، يمكن تطبيق كل من الناتج المحلي الإجمالي وقوانين الولايات المتحدة السارية (مثل قانون العمل الجنائي) ويجب أن يتوافق الدليل مع متطلبات النزاع، فعلى سبيل المثال، تمنح الوكالة للموظفين الحق في اختيار بيع البيانات الشخصية المحددة(ب)(22)؛ ويضاف مفهوم غير مضاف في الناتج المحلي الإجمالي.

Language and Cultural Barriers: يتطلب الناتج المحلي الإجمالي توفير المعلومات بلغة يفهمها الموظف، ويعني ذلك بالنسبة للقوة العاملة المتعددة الجنسيات ترجمة الدليل إلى اللغات المحلية ذات الصلة، ولكن الترجمة التحريرية وحدها غير كافية؛ ويجب أن يكون المحتوى ملائما ثقافيا وممتثلا للمصطلحات القانونية المحلية، كما أن سوء ترجمة إشعار الخصوصية يمكن أن يؤدي إلى الخلط وعدم الامتثال البصري ينبغي أن ينظر أرباب العمل في الزهرة.

Inforcement Risks: Supervisory authorities are increasingly coordinating cross-border cases through the GDPR#8217;s "8220; one-stop-shop#8221; mechanism, meaning a multinational may face a single lead authority (the one where its main EU is located) but still be subject to complaints from data subjects across the bloc.

أفضل الممارسات في دليل الموظفين ذوي الدخل القومي الإجمالي والمعامل

إجراء مراجعة البيانات قبل صياغة مشروع القرار

وقبل استكمال الدليل، وضع خريطة لجميع أنشطة تجهيز بيانات الموظفين على امتداد دورة حياة الموظفين: التوظيف، والالتحاق، وكشوف المرتبات، والاستحقاقات، وإدارة الأداء، والسفر، وسداد التكاليف، ورصد تكنولوجيا المعلومات، والشحن، والمحفوظات بعد انتهاء الخدمة، وتوثيق كل غرض من أغراض التجهيز، والأساس القانوني، وفئات البيانات، وفترة الاحتفاظ بها، وما إذا كانت البيانات تُنقل إلى أطراف ثالثة أو عبر الحدود، وتصبح هذه المراجعة الأساس للدليل رقم 817، وتُخطر على الخصوصية، ويمكن الرجوع إليها في أقسام أخرى.

مشاركة قانونية وموارد بشرية من البداية

ويفهم المهنيون في مجال الموارد البشرية الجوانب العملية لعمليات التوظيف، ولكن قانون حماية البيانات هو مجال متخصص، إذ يجمع فريقاً متعدد الوظائف يضم مستشارين داخليين أو خارجيين لحماية البيانات، ومسؤولي إدارة الشؤون السياسية (إذا تم تعيينهم)، وقيادة الموارد البشرية، وأمن تكنولوجيا المعلومات، وتكفل الأفرقة القانونية الامتثال التنظيمي، وتكفل الموارد البشرية تنفيذ السياسات، وتحرص تكنولوجيا المعلومات على أن تكون الضوابط التقنية (العمليات، وسجلات الدخول، وكشف المخالفات) مطابقة للسياسات المبينة في الدليل.

تنفيذ برامج تدريب الموظفين

ولا يكون هناك دليل فعال إلا إذا فهم الموظفون وتبعوه، وتوفير التدريب الإلزامي على الخصوصية لجميع الموظفين في المسافرين والمنعشين سنويا، وينبغي أن يشمل التدريب ما يلي: الاعتراف بالبيانات الشخصية، مع معرفة من سيبلغون عن انتهاكات، وفهم الحقوق (حتى يتمكن الموظفون من ممارسة هذه الحقوق بثقة)، وفهم أنشطة تجهيز البيانات.

الاستعراضات المنتظمة ومراقبة الفرز

ولا يُعد الناتج المحلي الإجمالي ثابتاً؛ ويصدر المجلس الأوروبي مبادئ توجيهية، ويصدر أحكاماً قضائية (مثل قرار شرايمز الثاني بإبطال مفعول حرائق الخصوصية) ويغير المشهد العام، ويُدرج في الجدول استعراضاً رسمياً لدليل الموظفين(6217)؛ ويُقسم قسماً لحماية البيانات سنوياً على الأقل، أو كلما حدث تطور تنظيمي هام. ويحتفظ بتاريخ النسخ ويُبلغ جميع الموظفين بالتغييرات.

استخدام لغة واضحة وغير قانونية

ويقتضي الناتج المحلي الإجمالي أن تكون المعلومات " 8220؛ وأن تكون شفافة وغير قابلة للاستهلاك ويسهل الوصول إليها، وأن تكون محررة من المواد المتعلقة بالناتج المحلي الإجمالي " حرفيا؛ وأن تتجنبا إعادة النظر في المواد المتعلقة بالناتج المحلي الإجمالي " ، وأن تشرحا الالتزامات باللغة الانكليزية السهلة (أو اللغة المحلية) مثلا بدلا من " 8220؛ وأن تجهزا بياناتكم الشخصية استنادا إلى الفوائد المشروعة " 82؟

القائمة المرجعية القابلة للتصرف لأرباب العمل

استخدام هذه القائمة المرجعية لضمان استيفاء دليل موظفيك لمعايير الناتج المحلي الإجمالي:

  • إدراج قسم مخصص لخصوصية البيانات في بداية الكتيب.
  • State the company#8217;s identity, contact information, and DPO (if appointed).
  • إدراج جميع فئات بيانات الموظفين التي جمعت والغرض من كل منها.
  • تحديد الأساس القانوني لكل نشاط من أنشطة التجهيز (تجنب الموافقة الشاملة).
  • Describe employee GDPR rights and the procedure to exercise them.
  • إدراج جدول زمني أو إشارة لاستبقاء البيانات حيثما تجدها.
  • Explain cross-border data transfers and the safeguards in place.
  • Provide a breach notification procedure for employees.
  • يضاف بند بشأن صنع القرار الآلي وتحديد السمات (إذا كان ذلك منطبقا).
  • الحصول على مراجعة قانونية من أخصائي في مجال الناتج المحلي الإجمالي في كل ولاية قضائية ذات صلة.
  • ترجمة الدليل إلى اللغات التي يتحدث بها الموظفون.
  • تدريب جميع الموظفين على سياسات الخصوصية
  • إنشاء دورة استعراض (على الأقل سنويا) مع مراقبة النسخ.
  • (ج) تيسير الوصول إلى الكتيب (الإنترانت، القرص المشترك، النسخة المطبوعة).

ولا يشكل إدماج متطلبات الناتج المحلي الإجمالي في كتيبات الموظفين مشروعاً غير متكرر وإنما التزاماً مستمراً، إذ إن أصحاب العمل، من خلال إدماج حماية البيانات في الإدارة اليومية لأماكن العمل، لا يمتثلون للقانون فحسب، بل يبنون أيضاً ثقافة الشفافية والثقة واحترام الحدود الشخصية، إذ تتطلب القوى العاملة الدولية معايير دولية؛ ويوفر الناتج المحلي الإجمالي إطاراً، كما أن دليل الموظفين هو الوسيلة اللازمة لإنجازه.

For further guidance, consult official resources: the full text of GDPR is available on EUR-Lex, the UK ICO publishes practical guides for employers, and the European Data Protection Board provides ]binding guidelines[FLT: perspectives:5]