employment-law
国際従業員の従業員ハンドブックに対するGdprの影響
Table of Contents
GDPRの理解:グローバル雇用主のプライマー
一般データ保護規則(GDPR)は、欧州連合が2018年5月に制定した、欧州連合が制定したランドマークデータプライバシーの枠組みです。その到達は、欧州の’s 枠を超えて、EUに居住する個人のデータを処理する組織、会社が拠点を置いている場所に関係なく、準拠しなければなりません。 雇用主は、EU諸国やEU市民が他の場所で採用しているかどうかにかかわらず、EUの雇用主が、EUに居住するすべての個人情報を保護する法的義務を負います。
GDPRの下で, 個人情報は、識別または識別可能な自然人に関連する情報を含みます. これは、名前などの明らかな項目をスパン, アドレス, そして、給与の詳細, だけでなく、IPアドレスなどの明らかなデータ, パフォーマンスレビュー, 健康記録, そして、さらには、民族的な起源や政治的意見 (これは、高度化保護対象の特別なカテゴリデータの下に落ちる). 雇用主は、データ管理者として行動します, 目的を決定し、従業員のデータを処理する手段, そして、彼らは、各法的義務を負うために、法律上の義務を負う, 重要な仕事, 重要な仕事, 法的義務, 重要な仕事, 重要な仕事, 重要な仕事, 重要な仕事, 重要な仕事, 重要な仕事, 重要な仕事, 重要な仕事, 重要な仕事, 重要な仕事, 重要な仕事, 重要な仕事, 重要な仕事, 重要な仕事, 重要な仕事, 重要な仕事, 重要な仕事, 重要な仕事, 重要な仕事, 重要な仕事, 問題, 問題, 問題, 問題, 問題, 問題, 問題, 問題, 問題, 問題, 問題, 問題, 問題,
従業員はまた、GDPRに基づく権利のスイートを楽しむ, 通知する権利を含みます, アクセスの権利, 再考の権利, 消去する権利 (“右忘れ”), 処理を制限する権利, データポータビリティの権利, オブジェクトへの権利, および自動意思決定とプロファイリングに関連する権利. これらの権利は絶対ではありません. 雇用主は、要求を処理する必要があります (一ヶ月以内に, 少なくとも2ヶ月以内に、特定の状況下で拡張可能) 準備が整形.
コンプライアンス違反は厳しいです。監督当局(UK’s Information Commissioners OfficeまたはFrench CNILなど)は、最大20万ユーロの罰金や、毎年のグローバル売上高の4%を課すことができる。財務リスクを超えて、非コンプライアンスの侵食は、雇用主の信頼、損傷雇用主のブランドを信頼し、従業員やクラスアクションスタイルのクレームから訴訟につながることができます。
なぜ従業員のハンドブックはGDPRに取り組むべきか
従業員のハンドブックは、ポリシーリポジトリ—以上です。雇用主の’sの期待、権利、およびその労働力に対する義務を伝達する基礎文書です。GDPRの前に、多くのハンドブックは、カーソルのプライバシーステートメントを含んでおり、または唯一の参照されたローカルデータ保護法です。今日、ハンドブックは、記事13とGDPRの14の下で情報義務を満足させる透明なデータプライバシー通知として倍増しなければなりません。従業員が会社に参加するとき、彼らは、簡単に、アクセス可能な言語、そして、理解する必要があります。
- 本人確認とデータ管理者(雇用主)の連絡先情報と、その人が任命された場合のデータ保護責任者(DPO)の連絡先情報。
- 個人情報の処理に関する目的と適法な根拠
- 収集した個人データのカテゴリ(従業員から直接入手しない場合)。
- データの受信者または受信者のカテゴリ(例、給与プロバイダー、利点管理者、保険会社)。
- データの転送は、第三者に、および所定の場所にある保護措置に必要です。
- それぞれのデータカテゴリの保持期間、またはその決定に用いられる基準。
- 各データ主体の存在と、その運動方法。
- 監督当局に苦情を申し立てる権利。
- 個人データを提供するかどうかは、法的なまたは契約上の要件であり、それを提供する失敗の結果です。
- 実行するロジックに関する重要な情報や、プロファイリング、意味のある情報を含む自動意思決定の存在。
従業員が雇用時に受け取るハンドブックにのみこの情報を公開することは十分ではありません。GDPRは、データが収集された時点で情報を提供する必要があります。採用時に収集した従業員のデータについては、これはアプリケーションステージでプライバシー通知を意味します。雇用中に収集されたデータについては、ハンドブックは、変更を処理するたびに、容易にアクセス可能で更新されるべき生きたリソースとして機能します。
GDPRがリフレッシュする必要があるキーハンドブックセクション
一貫性のあるクローゼ(そしてなぜザムを避けるべきか)
多くの事前GDPRハンドブックには、ブランケット同意書が含まれています:“採用を受け入れることによって、あなたの個人データの収集と処理に同意します。“GDPRの下で、そのような同意は、ほとんど確かに無効です。 GDPRの状態の43を引用することは、データ主体と管理者の差異がないこと、および雇用関係の状況を事前に説明する必要があります。 代わりに、契約の必要性(管理者、または正当な権利)を要求する権利、または権利の所有者は、正当な権利を放棄する権利を放棄します。
データ収集・加工に関するお知らせ
ハンドブックは包括的な通知として機能しなければなりません。 従業員のデータのすべてのカテゴリをリストして、同社は—を収集します。 基本的な連絡先の詳細からパフォーマンスメトリック、CCTVの映像、デバイス使用ログ、および生体測定時間クロックまで。 各カテゴリ(例えば、安全とセキュリティのためのCCTV、ITコンプライアンスのためのデバイス監視)の目的を状態にしてください。 具体的に: “のようなvague言語を避けてください。 HR目的のためにあなたのデータを使用します。” 従業員は、各データがどのような法律および使用方法を理解し、各法律がどのような使用し、どのような使用しているかを正確に理解する必要があります。
従業員データの権利とテーマの練習方法
それぞれのGDPRをプレーン言語で記述します。例えば:
- []にアクセスする権利: 保有する個人データのコピーを要求することができます。
- :訂正する権利:あなたの個人データが不正確であるか、不完全である場合、あなたはそれを修正するために私達に尋ねることができます。
- : 消去する権利]: 特定の状況では、個人データを削除するために私達に尋ねることができます。
- []処理を制限する権利:データを使用する方法を制限するように要求することができます。
- データポータビリティへの権利[: 構造化された、一般的に使用される、機械で読みやすい形式でデータを受信するように要求することができます。
- オブジェクトへの方向:正当な利益または直接マーケティングに基づいて処理するオブジェクトをすることができます。
明確な手順:誰に連絡するか(DPOまたはHR)、要求を送信する方法(書面または専用ポータルを介して)、および期待される応答時間。 リード監督当局に連絡先情報を含めるため、従業員は、外部に苦情を申し立てることができることを知っています。
データ ブリーチの応答の議定書
GDPRは、管理者が、個人へのリスクを及ぼすことができない場合を除き、個人データ侵害を認識する72時間以内に監督当局に通知する義務を負います。 違反が高いリスクを抱える場合、影響を受けた従業員は、過度の遅延なしに通知しなければなりません。 ハンドブックは、内部違反報告チェーンを概説する必要があります。 侵害通知(例えば、ITセキュリティ、DPO)、情報を含む、および会社が関与する手順は、従業員に、不当な遅延を伴わずに関与し、通知し、直ちに通知しなければなりません。 疑わしい従業員に報告する。
データ保持と削除スケジュール
GDPR’sストレージの制限原則は、処理される目的のために必要な限り、個人データが保持されるように要求されます。ハンドブックは、会社’sデータ保持ポリシーを参照し、標準のタイムライン(例えば、期限後6年間のペイロール記録; 過度に6ヶ月間の採用データ; 雇用期間のパフォーマンスレビューデータと2年)。 従業員が退職期間が期限切れた後に削除を要求するプロセスを含め、電子データを保護します。
多国籍雇用主の課題
複数の管轄区域を横断する企業にとって、従業員の手帳をGDPRと調和させ、地方の法律を尊重しながら複雑な作業です。EUは27の加盟国で構成され、それぞれが独自の実行法と監督当局に構成されています。さらに、英国はGDPR(英国GDPR)独自のバージョンを運営しており、これは極めて同じであり、ICOによって施行されています。ブラジル(LG)、カリフォルニア(LG)、または中国(LG)、および欧州(LG)、および欧州(EU)、および欧州(EU)、または欧州(EU)、欧州(EU)、欧州)、および欧州(EU)、欧州(EU)、欧州)、または欧州(EU)、または欧州(EU)、EU)、欧州(EU)、EU)、または欧州(EU)、EU)、EU)、EU)、EU(EU)、EU)、またはEU(EU)、またはEU(EU)、EU(EU)、EU)、EU(EU)、EU(EU)、EU)、EU(EU)、EU(EU)、EU)、EU(EU(EU(EU)、EU)、EU(EU)、EU(EU)、EU(EU)
管轄区域のオーバーラップ:米国に拠点を置く会社がEU居住者をリモートワーカーとして雇用する場合、GDPRと適用可能な米国州の法律(CCPAのような)が適用される場合があります。ハンドブックは、競合要件を緩和する必要があります。例えば、CCPAは、GDPRで包括的コンセプトの売却をオプトアウトする権利を従業員に提供します。GDPRは、通常、規制当局が規制基準を満たしているか否かを判断する権利を擁する権利があります。
[]言語と文化的障壁:GDPRは、従業員が理解できる言語で情報提供する必要がある。多国籍の労働力のために、これは、関連するローカル言語にハンドブックを翻訳することを意味します。しかし、翻訳だけでは不十分です。コンテンツは、文化的に適切で、地域の法的用語に匹敵する必要もあります。不適切に翻訳されたプライバシー通知は、混乱や非準拠につながる可能性があります。雇用者は、ネイティブなテキストを補う必要があります(視覚的)、視覚的説明をする必要があります。
強化リスク: スーパーバイザー当局は、GDPR’s “ワンストップショップ”メカニズム、つまり、多国籍は単一のリード権限に直面している(EUの主要な確立が位置している1)が、まだ空白のデータを対象としている。罰金は、従事者のみが、GDPR に相当する可能性があります。 欧州は、EUのデータを転送する際立たない。 GDPRは、EUは、GDPR’s に相当するリスクは、EU が、EU が、GDPR&82212121 に相当するリスクは、EU が、EU GDPR&Dは、EU GDPR&Dは、EUは、EUは、EUは、EUは、EUは、EUは、EUは、EUが有意気まらない。
GDPR準拠の従業員ハンドブックのベストプラクティス
ドラフトする前にデータ監査を実施する
ハンドブックを更新する前に、従業員のライフサイクル全体ですべての従業員のデータ処理活動のマッピング:採用、オンボーディング、給与、利点、パフォーマンス管理、旅行、経費払い戻し、IT監視、オフボード、およびポスト雇用のアーカイブ。各処理目的、適法に基づいて文書化、データカテゴリ、保持期間、およびデータが第三者に転送されるか、または国境を越えて転送されるかどうか。この監査は、ハンドブックの創設者となる’sのプライバシー通知と他のセクションで参照することができます。
スタートから法的および人事を関与
HRの専門家は雇用プロセスの実用性を理解していますが、データ保護法は専門分野です。社内外データ保護の弁護士、DPO(任命される場合)、人事リーダーシップ、ITセキュリティを含むクロス機能チームを組み立てます。法的チームは規制遵守を確実にします。HRはポリシーが実行可能であることを保証します。ITは、テクニカルコントロール(暗号化、アクセスログ、侵害検出)がハンドブックに記載されているポリシーに一致します。
従業員のトレーニングプログラムの実施
従業員が理解し、それに従う場合にのみ、ハンドブックが有効です。 オンボーディングと年間リフレッシュャーのすべてのスタッフに必須のプライバシートレーニングを提供します。 トレーニングは、個人データを認識し、侵害を報告する人を知って、権利を理解します(従業員は自信をもってそれらを練習することができます)、および会社を補完する’s データの処理活動。 文書の出席と試験の理解。
定期的なレビューとバージョン管理
GDPRは静的ではありません。欧州データ保護委員会はガイドラインを発行し、裁判所の判決(Schrems IIの決定がプライバシーシールドを無効にするような)が風景を変えます。従業員のハンドブックの正式なレビューをスケジュールします’sのデータ保護セクションは、少なくとも毎年、または重要な規制開発が起こるとき。バージョンの履歴を維持し、すべての従業員に変更を伝達します。変更が処理に影響を及ぼす場合(例えば、機密データを処理する新しいHRソフトウェアを導入)、通知書および実装前にプライバシー通知を更新してください。
クリアで非合法的な言語を使用
GDPRは、情報が“である必要があります。簡潔で透明で、無知で簡単にアクセス可能である必要があります。” GDPRの記事の動詞のリサイティングを避けてください。代わりに、明白な英語(またはローカル言語)の義務を説明してください。例えば、“ではなく、正当な利益に基づいて個人データを処理する””“ ” を記述して、プロモーションとビジネスのボーナスデータを決定します。これは、私たちのビジネスオブジェクトを公正に実行するのに役立ちます。あなたは、この用語は、この用語は、または、次の点で使用できます。
従業員のための実用的なチェックリスト
従業員のハンドブックがGDPR基準を満たしていることを確認するために、このチェックリストを使用します。
- 専用データプライバシーセクションをハンドブックの先頭に含める。
- 会社の’s のアイデンティティ、連絡先情報、および DPO (任命される場合) を状態にして下さい。
- 収集した従業員の全てのカテゴリと、各目的の一覧をご覧いただけます。
- 各処理活動(空白の同意がない場合)の適法な基準を指定します。
- 従業員のGDPRの権利とそれらを訓練するための手順について説明します。
- データの保持スケジュールや、その場所を参考にしてください。
- 国境を超えたデータ転送と所定の場所にある保護を記述します。
- 従業員に侵害通知手続きを提供
- 自動意思決定とプロファイリング(該当する場合)に句を追加してください。
- 各関連管轄区域におけるGDPRスペシャリストから法的審査を得る。
- 従業員が話す言語にハンドブックを翻訳します。
- 従業員をプライバシー ポリシーに訓練します。
- バージョン制御でレビューサイクル(少なくとも毎年)を確立します。
- ハンドブックを手軽にアクセス可能(イントラネット、共有ドライブ、プリントコピー)
GDPRの要件を従業員のハンドブックに統合することは、一回限りのプロジェクトではなく、継続的なコミットメントではありません。職場の日常的なガバナンスにデータ保護を組み込むことで、雇用主は法律を遵守するだけでなく、透明性、信頼、および個人的境界に対する尊重の文化を構築します。国際労働力は国際規格を要求します。GDPRはフレームワークを提供し、従業員のハンドブックはそれを配信する車両です。
さらなるガイダンスについては、公式リソースを参照してください。GDPRのテキストは]で利用可能です。EUR-Lex]]、英国ICOは、雇用主のための「実践的なガイドを公開]、および欧州データ保護委員会は]]をバインドするガイドライン]]を正当な利益とデータ通知などのトピックに提供します。 多国籍の課題については、 [FLT:を適応させる[FLT]を参照してください。 [FLT:[FLT:]は、このガイドを有効活用することができます。 [FLT:[FLT:]は、または[FLT:[FLT:]は、または[FLT:[FLT:]は、または[FLT:]は、または[FLT:]は、または[FLT:]は、または[FLT:[FLT:[FLT:]は、]は、]は、または[FLT:[FLT:]は、]は、FLT:[FLT:]は、