employment-law
Wacana Gdpr atas Buku Buku Karyawan untuk Karyawan Internasional
Table of Contents
Pengertian GDPR: Seorang Primer bagi Karyawan Global
Regulator Perlindungan Data Umum (GDPR) adalah kerangka kerja privasi data landmark yang diberlakukan oleh Uni Eropa pada Mei 2018. Jangkauannya meluas jauh melampaui Eropa’s perbatasan: organisasi apapun yang memproses data pribadi individu yang berekreasi di Uni Eropa, terlepas dari di mana perusahaan tersebut berbasis, harus mematuhi. Untuk majikan mempekerjakan staf internasional—whetherther mereka bekerja jauh dari negara UE atau warga UE dipekerjakan di tempat lain—GDPR menciptakan kewajiban hukum untuk menjaga informasi pribadi di setiap tahap daur kerja.
Di bawah GDPR, data pribadi mencakup informasi apapun yang berkaitan dengan pribadi yang diidentifikasi atau dapat diidentifikasi. Ini mencakup barang-barang yang jelas seperti nama, alamat, dan rincian gaji, tetapi juga data yang kurang jelas seperti alamat IP, tinjauan kinerja, catatan kesehatan, dan bahkan asal etnis atau opini politik (yang jatuh di bawah data kategori khusus tunduk pada perlindungan yang dipertinggi). Para karyawan bertindak sebagai pengendali data, menentukan tujuan dan sarana pemrosesan data karyawan, dan harus memastikan mereka memiliki dasar yang sah untuk setiap kegiatan pengolahan. Enam basis yang sah adalah persetujuan, kontraktual, kewajiban hukum, kepentingan hukum, tugas publik, dan kepentingan umum yang sah. Dalam konteks pekerjaan, persetujuan yang sah adalah karena karena kekuasaan karyawan dan karyawan bergantung pada kebutuhan yang sah; dan bergantung pada kebutuhan kontrak yang sah.
Karyawan worizing employeers juga menikmati suite hak di bawah GDPR, termasuk hak untuk diberitahu, hak akses, hak untuk rectification, hak untuk menghapus (“ hak untuk dilupakan”), hak untuk membatasi pemrosesan, hak untuk portabilitas data, hak untuk objek, dan hak yang berkaitan dengan pengambilan keputusan dan profil otomatis. Hak-hak ini tidak mutlak. Karyawan harus menangani permintaan secara segera (dengan satu bulan, diperpanjang dengan dua bulan tambahan di bawah keadaan tertentu) dan siap untuk membenarkan penyangkalan apapun.
Kerugian yang dilakukan oleh pihak yang tidak memenuhi syarat adalah parah. Otoritas supervisi (seperti UK’s Information Commissioner’s Office atau CNIL Prancis) dapat memberlakukan denda hingga € 20 juta atau 4% dari lover global tahunan, yang mana lebih tinggi.Di luar risiko keuangan, non-komplansi erode kepercayaan, kerusakan merek majikan, dan dapat menyebabkan litigasi dari karyawan atau klaim gaya class-action.
Mengapa Karyawan Karyawan Buku Panduan Harus Alamat GDPR
Buku pegangan karyawan adalah lebih dari sebuah repositori kebijakan— ini adalah dokumen dasar yang mengkomunikasikan majikan’ harapan, hak, dan tugas ketenagakerjaannya. Sebelum GDPR, banyak buku panduan berisi pernyataan privasi yang bersifat kursor atau hanya mengacu pada hukum perlindungan data lokal. Hari ini, buku panduan harus berlipat ganda sebagai data privasi transparan pemberitahuan bahwa memenuhi kewajiban informasi di bawah Pasal 13 dan 14 GDPR. Ketika karyawan bergabung dengan sebuah perusahaan, mereka harus diberitahu, dalam konsi, transparansi, dan mudah diakses bahasa, tentang:
- Identiti dan rincian kontak dari pengendali data (si majikan) dan Petugas Perlindungan Data (DPO) jika seseorang ditunjuk.
- Tujuan dan dasar yang sah untuk memproses data pribadi mereka.
- Kategori-kategori data pribadi yang dikumpulkan (jika tidak diperoleh langsung dari karyawan).
- Penghapusan atau pengekodan penerima dari data (misalnya, penyedia gaji, administrator tunjangan, pemohon).
- Detail transfer data ke negara ketiga dan perlindungan di tempat.
- Periode retensi stenten untuk setiap kategori data atau kriteria yang digunakan untuk menentukannya.
- Keberadaan setiap data tunduk dengan benar dan bagaimana untuk menjalankannya.
- Hak untuk mengajukan keluhan dengan pengawas.
- Apakah menyediakan data pribadi adalah syarat status atau kontraktual dan konsekuensi dari gagal menyediakannya.
- Keberadaan pembuatan keputusan otomatis, termasuk profiling, dan informasi yang bermakna tentang logika yang terlibat.
Ogos menerbitkan informasi ini semata-mata dalam buku pedoman yang diterima karyawan atas upah tidak cukup. GDPR mengharuskan informasi tersebut disediakan pada saat data dikumpulkan.Untuk data karyawan yang dikumpulkan selama perekrutan, ini berarti pemberitahuan privasi pada tahap aplikasi.Untuk data yang dikumpulkan selama bekerja, buku panduan berfungsi sebagai sumber daya hidup yang harus mudah diakses dan diperbarui setiap kali proses perubahan.
Bagian Panduan Kunci yang Memerlukan Pemugaran GDPR
Sindrom Konsent Clauses (Dan Mengapa Menghindari Mereka)
Banyak buku panduan yang dibuat oleh Werner Koch mencakup pernyataan persetujuan selimut: “Dengan menerima pekerjaan, Anda menyetujui pengumpulan dan pemrosesan data pribadi Anda.“ Di bawah GDPR, persetujuan tersebut hampir pasti tidak sah. Rektif 43 dari GDPR menyatakan bahwa persetujuan tidak diberikan secara bebas jika ada ketidakseimbangan yang jelas antara subjek data dan kontrolir—precisely situasi dalam hubungan kerja. Sebaliknya, bergantung pada keharusan kontraktual (memproses perlu untuk kinerja kontrak kerja, e.g., gaji, atau kepentingan yang sah (memproses administrasi, atau kinerja yang seimbang terhadap karyawan#17; hak pakai, hak-hak yang sah, dan syarat-hak yang sah, harus dijelaskan oleh undang-undang, kategori yang diberikan, dan peraturan-undang yang berlaku.
Notis Koleksi dan Pemrosesan Data
Buku pegangan harus bertindak sebagai pemberitahuan yang komprehensif. Daftar setiap kategori data karyawan perusahaan mengumpulkan— dari rincian kontak dasar ke metrik kinerja, rekaman CCTV, log penggunaan perangkat, dan jam waktu biometrik. Menyatakan tujuan untuk setiap kategori (misalnya, CCTV untuk keselamatan dan keamanan; pemantauan perangkat untuk kepatuhan IT). Be specific: hindari bahasa samar seperti “we menggunakan data Anda untuk tujuan HR.” Karyawan perlu memahami persis bagaimana data mereka akan digunakan dan dasar yang sah mendukung setiap penggunaan.
Hak Data Karyawan dan Cara Melaksanakan Mereka
Misalnya:
- Kanan untuk mengakses: Anda dapat meminta salinan data pribadi yang kami pegang tentang Anda.
- [[CUALT:0]]Berhak untuk rectifikasi: Jika data pribadi Anda tidak akurat atau tidak lengkap, Anda dapat meminta kami untuk memperbaikinya.
- [[CANDAFLT:0]] Kanan untuk endsures[: Dalam situasi tertentu, Anda dapat meminta kami untuk menghapus data pribadi Anda.
- Kanan untuk membatasi pemrosesan: Anda dapat meminta agar kami membatasi bagaimana kami menggunakan data Anda.
- [[OperasiFLT:0]] Kanan ke portabilitas data: Anda dapat meminta untuk menerima data Anda dalam format yang terstruktur, umum digunakan, mudah dibaca mesin.
- Kanan ke objek: Anda dapat berkeberatan untuk memproses berdasarkan kepentingan yang sah atau pemasaran langsung.
Diaquine Menyediakan prosedur yang jelas: siapa yang akan menghubungi (DPO atau HR), bagaimana mengajukan permintaan (diutamakan secara tertulis atau melalui portal yang didedikasikan), dan mengharapkan waktu respon. Termasuk informasi kontak dari otoritas pengawas utama sehingga karyawan tahu mereka dapat mengajukan keluhan secara eksternal.
Protokol Respon Penderitaan Data
Diawali oleh GDPR yang mengawasi pemberitahuan otoritas pengawas dalam waktu 72 jam untuk menjadi sadar akan pelanggaran data pribadi, kecuali pelanggaran tersebut tidak mungkin mengakibatkan risiko kepada individu.Jika pelanggaran tersebut menimbulkan risiko yang tinggi, karyawan yang terkena dampak harus diberitahu tanpa penundaan yang tidak semestinya. Buku pegangan harus menguraikan rantai pelaporan pelanggaran internal: yang harus diberitahu (mis., keamanan IT, DPO), informasi apa yang harus dimasukkan, dan langkah-langkah yang akan diambil perusahaan untuk memuat, menilai, dan memberitahukan. Clarify bahwa karyawan yang menduga pelanggaran harus segera melaporkannya tanpa takut repris.
Jadwal Pemulihan dan Penghapusan Data
GDPR’ Prinsip pembatasan penyimpanan mengharuskan bahwa data pribadi hanya disimpan selama yang diperlukan untuk tujuan yang telah diproses. Buku pegangan seharusnya merujuk perusahaan’s kebijakan retensi data, menyatakan garis waktu standar (misalnya, catatan gaji selama 6 tahun setelah penghentian; perekrutan data selama 6 bulan jika tidak berhasil; data peninjauan kinerja untuk durasi pekerjaan ditambah 2 tahun). Sertakan proses bagi karyawan untuk meminta penghapusan setelah periode retensi berakhir, dan menggambarkan bagaimana perusahaan secara aman membuang data (menghapus, menggodam, menggodam, menyeka, dan sebagainya).
Tantangan bagi Karyawan Berguna Berguna
Untuk perusahaan yang beroperasi di seluruh yurisdiksi multi-ragam, selaras dengan buku pegangan karyawan dengan GDPR saat menghormati hukum lokal merupakan tugas yang kompleks. Uni Eropa sendiri terdiri dari 27 negara anggota, masing-masing dengan kewenangan melaksanakan sendiri dan supervisor.Selain itu, Inggris sekarang mengoperasikan versi GDPR (UK GDPR), yang sebagian besar identik tetapi penyelaman dengan cara-cara minor dan ditegakkan oleh ICO. Negara-negara non-EU seperti Brasil (LGPD), California (CCPA/CPRA), dan Tiongkok (PIPL) memiliki rezim perlindungan data komprehensif mereka sendiri. Abook yang bekerja untuk karyawan Berlin mungkin tidak memenuhi persyaratan pekerja di Mumbai atau di San Francisco.
[ZOZT:0]]Jurisdictional Overlap: Ketika perusahaan berbasis AS mempekerjakan seorang warga UE sebagai pekerja jauh, baik hukum negara AS yang GDPR maupun dapat diterapkan (seperti CCPA) mungkin berlaku. Buku tangan harus mendamaikan persyaratan. Sebagai contoh, CCPA menyediakan karyawan dengan hak untuk memilih keluar dari penjualan data pribadi—a konsep absen dalam GDPR. Hak GDPR untuk menghapus lebih luas dalam beberapa hal daripada hak penghapusan CCPA. Employers harus membuat kebijakan global yang memenuhi dengan ketentuan umum (biasanya GDPR) dan menambahkan negara tertentu yang dapat ditinjau secara hukum.
Parameter [[ZOZT:0]]Language and Cultural Barriers: GDPR mengharuskan informasi tersebut disediakan dalam bahasa yang dapat dimengerti karyawan. Untuk tenaga kerja multinasional, ini berarti menerjemahkan buku panduan ke dalam bahasa lokal yang relevan. Namun terjemahan saja tidak mencukupi; konten tersebut juga harus sesuai secara budaya dan sesuai dengan terminologi hukum lokal. Pemberitahuan privasi yang diterjemahkan secara buruk dapat mengarah pada kebingungan dan non-komploitasi. Karyawan harus bekerja dengan ahli hukum berbahasa asli dan mempertimbangkan penggunaan penjelasan visual sederhana (icons, stream) ke suplemen.
Otoritas supervisi semakin mengkoordinasikan kasus lintas-border melalui GDPR’s “one-stop-shop” mekanisme, artinya sebuah perusahaan multinasional mungkin menghadapi otoritas timbal tunggal (yang mana pendirian utamanya di UE berada) tetapi masih menjadi subjek keluhan dari subjek data di seluruh bloc. Fines dapat bersifat kumulatif. Pada tahun 2023, Facebook (Meta) didenda denda €31,0 miliar oleh Irlandia untuk data DPC mentransfer ke pengguna UE. Sementara data karyawan jarang mencapai jumlah risiko yang signifikan. Termasuk proflik, tidak mengurangi paparan tangan, tetapi tidak mengurangi paparan yang baik.
Praktek Terbaik untuk Buku Panduan Karyawan GDPR-Komplliant
Mengkonduksi Audit Data Sebelum Draf
Sebelum memperbarui buku pedoman, peta semua kegiatan pengolahan data karyawan di seluruh daur hidup karyawan: perekrutan, onboarding, gaji, tunjangan, manajemen kinerja, perjalanan, pembiakan biaya, pembiakan biaya, pemantauan IT, offboarding, dan arsip pasca-pekerjaan. Dokumen setiap tujuan pemrosesan, dasar yang sah, kategori data, periode retensi, dan apakah data dipindahkan ke pihak ketiga atau lintas perbatasan.audit ini menjadi dasar dari buku panduan’ pemberitahuan privasi dan dapat direferensikan dalam bagian lain.
Terlibat Hukum dan HR dari Mulanya
Profesionalis HR . Mengerti kepraktisan proses kerja, tetapi hukum perlindungan data adalah bidang yang terspesialisasi. Mengalokasikan tim lintas fungsi yang termasuk dalam rumah atau penasihat perlindungan data eksternal, DPO (jika ditunjuk), kepemimpinan HR, dan keamanan IT. Tim hukum memastikan kepatuhan regulatoran; HR memastikan kebijakan bersifat operable; IT memastikan kontrol teknis (enkripsi, log akses, deteksi pelanggaran) sesuai dengan kebijakan yang dijelaskan dalam buku panduan.
Program Pelatihan Karyawan yang Berlaksana
Sebuah buku panduan hanya efektif jika karyawan memahami dan mengikutinya. Menyediakan pelatihan privasi wajib bagi semua staf di onboarding dan penyegar tahunan. Pelatihan harus meliputi: mengenali data pribadi, mengetahui siapa yang harus melaporkan pelanggaran, memahami hak (sehingga karyawan dapat menjalankannya dengan yakin), dan memahami perusahaan’s kegiatan pengolahan data. Kehadiran dokumen dan pemahaman tes.
Tinjauan Regular dan Pengendalian Versi
GDPR tidak statis; pedoman sengketa Dewan Perlindungan Data Eropa, dan putusan pengadilan (seperti keputusan Schrems II yang tidak sah Privacy Shield) mengubah lanskap. Jadwal tinjauan formal buku panduan karyawan’s bagian perlindungan data setidaknya tahunan, atau setiap kali terjadi pengembangan regulasi yang signifikan. Pertahankan sejarah versi dan komunikasi perubahan ke semua karyawan. Jika perubahan mempengaruhi pemrosesan (misalnya, memperkenalkan perangkat lunak HR baru yang memproses data sensitif), perbarui pemberitahuan privasi dan buku panduan sebelum implementasi.
Bahasa yang Tidak Legalistik
GDPR mengharuskan informasi tersebut “concise, transparan, intelligeable dan mudah diakses.” Hindari membaca artikel GDPR verbatim. Sebaliknya, jelaskan kewajiban dalam bahasa Inggris biasa (atau bahasa lokal). Sebagai contoh, alih-alih “Kami memproses data pribadi Anda berdasarkan kepentingan yang sah,” tulis “Kami menggunakan data kinerja Anda untuk menentukan promosi dan bonus karena ini membantu kami menjalankan bisnis kami dengan adil. Anda dapat keberatan untuk penggunaan ini.#8221; Gunakan titik peluru, tabel, dan paragraf pendek. Menyediakan istilah kunci glos (e.#20; apa data pribadi?#822; #21; #21;).
Daftar Cek yang Dapat Diaksikan bagi Karyawan
Gunakan daftar cek ini untuk memastikan buku panduan karyawan Anda memenuhi standar GDPR:
- Disertakan sebuah bagian privasi data yang telah didedikasikan di awal buku panduan.
- Diagodiakan perusahaan’s identitas, informasi kontak, dan DPO (jika ditunjuk).
- Æzüzin Daftar semua kategori data karyawan yang dikumpulkan dan tujuan untuk masing-masing.
- Memaknai dasar yang sah untuk setiap kegiatan pengolahan (avoid selimut persetujuan).
- Diagnosiskan hak karyawan GDPR dan prosedur untuk melatih mereka.
- Termasuk jadwal retensi data atau referensi di mana menemukannya.
- Jelaskan transfer data lintas-pembatasan dan keamanan di tempat.
- Dia menyediakan prosedur pemberitahuan pelanggaran untuk karyawan.
- klausa tambahan pada pengambilan keputusan otomatis dan pemprofilan (jika dapat diterapkan).
- review hukum dari spesialis GDPR di masing-masing yurisdiksi yang relevan.
- Terjemahan faldon buku pedoman ke dalam bahasa yang digunakan oleh karyawan.
- Mereka melatih semua karyawan dalam kebijakan privasi.
- Keendirikan siklus ulasan (setidaknya setiap tahun) dengan kontrol versi.
- Kebijaksanakan buku panduan mudah diakses (intranet, shared drive, cetakan salinan).
Keteraturan GDPR Integrasi Ke dalam buku pegangan karyawan bukanlah proyek satu kali melainkan komitmen yang terus berlangsung.Dengan membenamkan perlindungan data ke dalam pemerintahan sehari-hari tempat kerja, majikan tidak hanya mematuhi hukum, tetapi juga membangun budaya transparansi, kepercayaan, dan penghormatan terhadap batasan pribadi.Ketenagakerjaan internasional menuntut standar internasional; GDPR menyediakan kerangka kerja, dan buku pegangan karyawan adalah kendaraan untuk mengantarkannya.
Untuk panduan lebih lanjut, konsultasi sumber daya resmi: teks lengkap GDPR tersedia pada EUR-Lex[, UK ICO menerbitkan Panduan praktis untuk majikan, dan Dewan Perlindungan Data Eropa menyediakan , panduan ICO yang mengikat pada topik seperti bunga sah dan pemberitahuan pelanggaran data. Untuk tantangan multinasional, Panduan kerja] menawarkan perspektif yang berguna yang dapat diadaptasi di seluruh yurisdiksi.