درک GDPR: یک نخست وزیر برای کارفرمایان جهانی

مقررات حفاظت از داده عمومی (GDPR) یک چارچوب حریم خصوصی داده های برجسته است که توسط اتحادیه اروپا در ماه مه 2018 تصویب شده است، دسترسی آن بسیار فراتر از اروپا و #8217 است؛ مرزهای: هر سازمانی که داده های شخصی افراد ساکن در اتحادیه اروپا را پردازش می کند، صرف نظر از اینکه شرکت مستقر است، باید رعایت کند.

در GDPR، داده های شخصی شامل هر گونه اطلاعات مربوط به یک فرد طبیعی شناسایی شده یا قابل شناسایی است.این موارد واضح مانند نام، آدرس ها و جزئیات حقوق و دستمزد را شامل می شود، اما داده های کمتر آشکار مانند آدرس های IP، بررسی عملکرد، سوابق بهداشتی و حتی عقاید قومی و سیاسی (که تحت موضوعات خاص برای حفاظت از کارفرمایان قرار می گیرند) به عنوان کنترل کننده داده ها عمل می کنند، تعیین اهداف و الزامات پردازش اطلاعات ضروری، و الزامات قانونی برای اطمینان از هر یک پایگاه های قانونی و یا پایگاه های قانونی برای اطمینان از هر یک از اطلاعات مربوط به منظور اطمینان از هر یک کار قانونی و یا پایگاه های قانونی و قانونی است.

کارکنان همچنین از مجموعه ای از حقوق تحت GDPR، از جمله حق اطلاع رسانی، حق دسترسی، حق اصلاح، حق بیمه (“؛ حق فراموش و #8221؛ حق محدود کردن پردازش، حق محدود کردن پورتینگ داده ها، حق اعتراض و حقوق مربوط به تصمیم گیری خودکار و پروفایل این موارد باید به سرعت دو ماه را محدود کنند (با وجود داشتن یک شرایط لازم برای رسیدگی به درخواست های خاص، و غیر قابل قبول نیست).

مجازات های عدم انطباق شدید است.مقامات نظارتی (مانند انگلستان و #8217؛ کمیسیون اطلاعات و #8217؛ دفتر یا CNIL فرانسه) می توانند جریمه هایی را تا 20 میلیون یورو یا 4 درصد از گردش مالی سالانه جهانی اعمال کنند که هر کدام بالاتر از ریسک مالی، عدم اعتماد، آسیب، کارفرمایان و کارکنان می توانند به شکایت های کلاس یا حقوق کارکنان منجر شوند.

چرا کتابچه های کارمند باید به GDPR مراجعه کنند

کتابچه دستی کارکنان بیش از یک مخزن سیاست و #8212 است؛ این یک سند بنیادی است که کارفرمایان و #8217 را به اشتراک می گذارد؛ انتظارات، حقوق و وظایف به نیروی کار خود را قبل از GDPR، بسیاری از کتاب های دست حاوی بیانیه های حریم خصوصی نمادین یا فقط به قوانین حفاظت از داده های محلی اشاره می کنند. امروز، کتابچه دستی باید به عنوان یک اطلاع رسانی حریم خصوصی شفاف که تعهدات اطلاعات در مورد 13 کارمند را برآورده می کند، و در دسترس است، هنگامی که آنها به راحتی به آنها ملحق می شوند.

  • جزئیات هویت و تماس کنترل کننده داده ها ( کارفرما) و افسر حفاظت از داده ها (DPO) اگر یکی منصوب شود.
  • اهداف و مبنای قانونی پردازش اطلاعات شخصی آنها
  • دسته های داده های شخصی جمع آوری شده (اگر به طور مستقیم از کارمند به دست نیامده باشد).
  • دریافت کنندگان یا دسته های دریافت کنندگان داده ها (به عنوان مثال، ارائه دهندگان حقوق و دستمزد، مدیران مزایا، بیمه گران)
  • جزئیات هر انتقال داده به کشورهای ثالث و حفاظت در محل.
  • دوره حفظ برای هر دسته از داده ها یا معیارهای مورد استفاده برای تعیین آن.
  • وجود هر موضوع داده ها درست و چگونگی ورزش کردن آن
  • حق شکایت با یک مقام نظارتی
  • چه ارائه اطلاعات شخصی یک الزام قانونی یا قراردادی و عواقب عدم ارائه آن است.
  • وجود تصمیم گیری خودکار، از جمله پروفایل و اطلاعات معنی دار در مورد منطق درگیر.

انتشار این اطلاعات تنها در یک کتاب دستی که کارکنان پس از استخدام دریافت می کنند کافی نیست. GDPR نیاز دارد که اطلاعات در زمان جمع آوری داده ها ارائه شود.برای داده های کارمند جمع آوری شده در طول استخدام، این به معنی یک اطلاع حریم خصوصی در مرحله درخواست جمع آوری شده در طول استخدام، کتاب دستی به عنوان یک منبع زنده است که باید به راحتی قابل دسترسی و به روز رسانی هر زمان تغییرات پردازش.

بخش های کلیدی کتابچه راهنمای که نیاز به GDPR Refresh دارند

فت های احتمالی (و چرا از آن اجتناب کنیم)

بسیاری از کتابهای دست از پیش GDPR شامل بیانیه های رضایت پتو: و #8220؛ با پذیرش اشتغال، شما موافقت به جمع آوری و پردازش اطلاعات شخصی خود را. & #8220؛ تحت GDPR، چنین رضایت تقریبا قطعا بی اعتبار است کتاب 43 از GDPR که رضایت به صورت آزادانه داده می شود اگر عدم تعادل روشنی بین موضوع داده ها و کنترل کننده #82 پیش از آن وجود دارد؛ به جای آن، نیاز به کار قانونی (به عنوان مثال، به عنوان مثال، مجوز کار).

جمع آوری داده ها و پردازش اعلان

کتابچه دستی باید به عنوان یک اطلاع جامع عمل کند. لیست هر دسته از داده های کارمند جمع آوری و #8212؛ از جزئیات تماس پایه به معیارهای عملکردی، فیلم های CCTV، log های استفاده از دستگاه و ساعت های زمان بیومتریک، هدف برای هر دسته از کارکنان (به عنوان مثال، دوربین مداربسته برای ایمنی و امنیت؛ نظارت دستگاه برای انطباق IT خاص: اجتناب از زبان مبهم مانند #8 و دقیقا استفاده از داده های خود را.

حقوق داده های کارکنان و چگونگی تمرین

هر GDPR را به زبان ساده توصیف کنید:

  • حق دسترسی : شما ممکن است یک کپی از اطلاعات شخصی که ما در مورد شما نگه دارید درخواست کنید.
  • حق اصلاح : اگر اطلاعات شخصی شما نادرست یا ناقص باشد، می توانید از ما بخواهید که آن را اصلاح کنیم.
  • حق بیمه ؛ در شرایط خاص، شما می توانید از ما بخواهید که اطلاعات شخصی خود را حذف کنید.
  • حق محدود کردن پردازش : شما می توانید درخواست کنید که ما چگونه از داده های شما استفاده می کنیم.
  • حق دسترسی به داده ها : شما ممکن است درخواست برای دریافت اطلاعات خود را در یک فرمت ساختاری، که معمولا استفاده می شود، فرمت قابل خواندن ماشین.
  • حق اعتراض : شما می توانید بر اساس منافع مشروع یا بازاریابی مستقیم، به پردازش نیاز داشته باشید.

یک روش روشن ارائه دهید: چه کسی باید با (DPO یا HR) تماس بگیرد، چگونه درخواست (ترجیحا در نوشتن یا از طریق یک پورتال اختصاصی) ارسال کند و زمان پاسخ انتظار می رود که اطلاعات تماس از مقامات ارشد را شامل شود تا کارکنان بدانند که می توانند شکایت خارجی داشته باشند.

پروتکل پاسخگویی داده ها

دستورالعمل های GDPR که کنترل کنندگان در عرض 72 ساعت از اطلاع رسانی از نقض اطلاعات شخصی اطلاع رسانی می کنند، مگر اینکه این نقض به احتمال زیاد منجر به خطر ابتلا به افراد شود.اگر این نقض خطر بالایی را ایجاد کند، کارکنان تحت تاثیر باید بدون تأخیر غیر سر و صدا مطلع شوند.کتاب دستی باید زنجیره گزارش نفوذ داخلی را مشخص کند: که (به عنوان مثال امنیت IT، امنیت اطلاعات، D)، اطلاعات و اطلاعاتی که باید بلافاصله گزارش کنند و گزارش کنند، باید مراحل را در اختیار داشته باشند.

برنامه های داده Retention and Deletion

GDPR & #8217؛ اصل محدودیت ذخیره سازی نیاز به این دارد که داده های شخصی تنها تا زمانی که لازم است برای اهدافی که پردازش می شود، نگهداری می شود.کتاب دستی باید به شرکت و #8217 ارجاع دهد؛ سیاست حفظ داده ها، مشخص کردن جدول زمانی استاندارد (به عنوان مثال، سوابق حقوق و دستمزد برای 6 سال پس از خاتمه؛ داده های استخدام برای 6 ماه اگر ناموفق؛ بررسی عملکرد به طور ایمن برای مدت زمان حذف و غیره)

چالش های کارفرمایان چند ملیتی

برای شرکت هایی که در حوزه های قضایی مختلف فعالیت می کنند، آسیب رساندن به کتاب های دست کارمند با GDPR در حالی که احترام به قوانین محلی یک کار پیچیده است. اتحادیه اروپا خود شامل 27 کشور عضو است که هر کدام با قوانین اجرایی و اختیارات نظارتی خود، علاوه بر این، انگلستان در حال حاضر نسخه خود از GDPR (UK GDPR) را اجرا می کند، که عمدتا یکسان است اما به روش های جزئی و مومبای توسط ICO-N.

[FLT: 1 ]: هنگامی که یک شرکت مستقر در ایالات متحده یک ساکن اتحادیه اروپا را به عنوان یک کارگر از راه دور استخدام می کند، هر دو GDPR و قوانین دولتی قابل اجرا (مانند CCPA) ممکن است اعمال شود.کتاب دستی باید با الزامات متناقض مطابقت دهد. CCPA کارکنان با حق انتخاب از اطلاعات شخصی حذف شده است.

موانع زبان و فرهنگی : GDPR نیاز به این اطلاعات را در یک زبان ارائه می دهد که کارمند می تواند درک کند.برای نیروی کار چند ملیتی، این بدان معنی است که ترجمه کتاب دستی به زبان های محلی مربوطه، اما ترجمه به تنهایی کافی نیست؛ محتوا باید از نظر فرهنگی مناسب و سازگار با اصطلاحات حقوقی محلی است. A اطلاع ضعیف ترجمه شده می تواند منجر به سردرگمی و عدم انطباق با کارشناسان متن ساده (به سادگی باید به سادگی تفسیر های ساده و ساده).

ریسک های تقویت : مقامات نظارتی به طور فزاینده ای هماهنگ کردن موارد مرزی از طریق GDPR & #8217؛s & #8220؛ یک توقف-فروشگاه و ##8221؛ مکانیسم، به این معنی که یک شرکت چند ملیتی ممکن است با یک مرجع واحد (که در آن ایجاد اصلی آن در اتحادیه اروپا واقع شده است) اما هنوز هم به اطلاعات کاربر در سراسر بلوک های خوب (223) انتقال داده های پیگیری می تواند به تنهایی به اطلاعات کاربر باشد.

بهترین تمرین برای کتابچه های کارمند GDPR-Compliant

انجام یک حساب داده قبل از پیش نویس

قبل از به روز رسانی کتاب، تمام فعالیت های پردازش داده های کارکنان را در سراسر چرخه عمر کارمند: استخدام، استخدام، پرداخت، مزایا، مدیریت عملکرد، سفر، بازپرداخت هزینه، نظارت IT، خارج کردن و آرشیو پس از اشتغال سند هر هدف پردازش، اساس قانونی، دسته بندی داده ها، و اینکه آیا داده ها به اشخاص ثالث منتقل می شود یا در سراسر مرزها این حسابرسی تبدیل به پایه و اساس کتاب مرجع می شود؛ و می تواند بخش های مرجع دیگر را در بخش های مرجع.

مشارکت قانونی و HR از آغاز

متخصصان HR درک عملی از فرآیندهای اشتغال، اما قانون حفاظت از داده ها یک زمینه تخصصی است.ارائه یک تیم متقابل عملکردی که شامل مشاوره حفاظت از داده های داخلی یا خارجی، DPO (در صورت منصوب)، رهبری HR و امنیت IT تضمین انطباق قانونی؛ تضمین سیاست های HR قابل اجرا هستند؛ IT تضمین کنترل های فنی (cryption، دسترسی به نفوذ، شناسایی نقض) در سیاست های دست.

برنامه های آموزش کارکنان پیاده سازی

یک کتاب دستی تنها در صورتی موثر است که کارکنان آن را درک و دنبال کنند.ارائه آموزش حریم خصوصی اجباری برای همه کارکنان در زمینه آموزش و پرورش سالانه باید پوشش: شناخت اطلاعات شخصی، دانستن که به گزارش نقض حقوق، درک حقوق (بنابراین کارکنان می توانند با اطمینان ورزش کنند)، و درک شرکت و #82؛ فعالیت پردازش داده ها و درک.

بررسی های منظم و کنترل نسخه

GDPR ثابت نیست؛ دستورالعمل های شورای حفاظت از داده های اروپا و حکم دادگاه (مانند تصمیم Schrems II که به طور قابل توجهی از امنیت حریم خصوصی را نامعتبر می کند) چشم انداز را تغییر می دهد.برنامه ریزی بررسی رسمی از کتابچه راهنمای کارکنان و #8217؛ بخش های حفاظت از داده ها حداقل سالانه، یا هر زمان که یک توسعه نظارتی قابل توجه رخ می دهد. حفظ نسخه و تغییرات به همه کارکنان اگر تغییر در پردازش داده های حساس (به روز رسانی داده های حساس).

استفاده از زبان شفاف و غیر قانونی

GDPR نیاز به این اطلاعات و #8220؛ نگرانی، شفاف، قابل دسترس و به راحتی قابل دسترس است.”؛ اجتناب از خواندن مقالات GDPR Verbatim، توضیح تعهدات در زبان انگلیسی ساده (یا زبان محلی) به جای و #8220؛ ما داده های شخصی خود را بر اساس علاقه قانونی، & #221 پردازش می کنیم؛ نوشتن و #8؛ ما به طور خلاصه از کلمات کلیدی استفاده می کنیم، و به عنوان مثال: به شما کمک می کند.

چک لیست عملیاتی برای کارفرمایان

از این چک لیست برای اطمینان از اینکه دفترچه راهنمای کارکنان شما مطابق با استانداردهای GDPR است استفاده کنید:

  • شامل بخش حریم خصوصی داده های اختصاصی در ابتدای کتاب دستی است.
  • شرکت و #8217 را به عنوان هویت، اطلاعات تماس و DPO (در صورت منصوب) اعلام کنید.
  • فهرست تمام دسته های داده های کارمند جمع آوری شده و هدف برای هر کدام.
  • • تعیین پایه قانونی برای هر فعالیت پردازش (از رضایت پتو اجتناب کنید).
  • حقوق GDPR کارمند و روش ورزش کردن آنها را توصیف کنید.
  • شامل یک برنامه حفظ داده یا مرجع که در آن پیدا کنید.
  • انتقال داده های مرزی و حفاظت ها را در محل توضیح دهید.
  • یک روش اطلاع رسانی برای کارکنان فراهم کنید.
  • یک بند را در تصمیم گیری خودکار و پروفایل اضافه کنید (در صورت امکان).
  • دریافت بررسی قانونی از یک متخصص GDPR در هر حوزه قضایی مربوطه.
  • کتابچه دستی را به زبان های صحبت شده توسط کارکنان ترجمه کنید.
  • آموزش همه کارکنان در سیاست های حفظ حریم خصوصی
  • یک چرخه بازبینی (حداقل سالانه) با کنترل نسخه ایجاد کنید.
  • کتاب دستی را به راحتی در دسترس قرار دهید (intranet، درایو مشترک، کپی چاپی).

ادغام الزامات GDPR به کتاب های دست کارمند یک پروژه یک بار نیست بلکه یک تعهد مداوم است که با جاسازی حفاظت از داده ها در حاکمیت روزمره محل کار، کارفرمایان نه تنها با قانون مطابقت دارند بلکه فرهنگ شفافیت، اعتماد و احترام به مرزهای بین المللی نیروی کار را ایجاد می کنند.

برای راهنمایی بیشتر، منابع رسمی را در نظر بگیرید: متن کامل GDPR در دسترس کارفرمایان قرار دارد EUR-LEx ، ICO بریتانیا راهنمای عملی برای کارفرمایان و هیئت حفاظت از داده های اروپا bin Guidelines : ] [F5:5] موضوعات مشروع مانند اطلاعات چند ملیتی را به کار می دهد.