GDPR: праймер для глобальных работодателей

Общий регламент по защите данных (GDPR) является важной основой конфиденциальности данных, принятой Европейским союзом в мае 2018 года. Его охват выходит далеко за пределы Европы и #8217; границы: любая организация, которая обрабатывает персональные данные лиц, проживающих в ЕС, независимо от того, где находится компания, должна соблюдать. Для работодателей, нанимающих международных сотрудников & #8212; работают ли они удаленно из стран ЕС или являются гражданами ЕС, работающими в других странах & #8212; GDPR создает юридическое обязательство защищать личную информацию на каждом этапе жизненного цикла занятости.

В соответствии с GDPR, персональные данные включают любую информацию, касающуюся идентифицированного или идентифицируемого физического лица. Это охватывает очевидные элементы, такие как имена, адреса и данные о заработной плате, но также менее очевидные данные, такие как IP-адреса, обзоры производительности, медицинские записи и даже этнические данные и политические мнения (которые подпадают под специальную категорию данных, подлежащих усиленной защите). Работодатели действуют как контролеры данных, определяя цели и средства обработки данных сотрудников и должны обеспечить, чтобы они имели законную основу для каждой деятельности по обработке. Шесть законных оснований являются согласием, договорной необходимостью, юридическим обязательством, жизненно важными интересами, общественными задачами и законными интересами. В контексте занятости согласие редко является действительной основой из-за присущего дисбаланса власти между работодателем и работником; большинство обработки зависит от договорной необходимости или законных интересов.

Сотрудники также пользуются набором прав в соответствии с GDPR, включая право на получение информации, право на доступ, право на исправление, право на удаление (“ право быть забытым”); право на ограничение обработки, право на переносимость данных, право на возражение и права, связанные с автоматизированным принятием решений и профилированием. Эти права не являются абсолютными. Работодатели должны обрабатывать запросы быстро (в течение одного месяца, продлевается на два дополнительных месяца при определенных обстоятельствах) и быть готовыми оправдать любые отказы.

Надзорные органы (такие как Управление комиссара по информации Великобритании и Великобритании 8217 и 8217 или Французский CNIL) могут налагать штрафы в размере до 20 миллионов евро или 4% от годового глобального оборота, в зависимости от того, что выше. Помимо финансового риска, несоблюдение подрывает доверие, наносит ущерб бренду работодателя и может привести к судебным разбирательствам со стороны сотрудников или претензий в стиле группового действия.

Почему руководство для сотрудников должно учитывать GDPR

Руководство для сотрудников - это больше, чем хранилище политики & #8212; это основополагающий документ, который сообщает ожиданиям работодателя & #8217; права и обязанности его рабочей силы. До GDPR многие руководства содержали краткие заявления о конфиденциальности или ссылались только на местные законы о защите данных. Сегодня руководство должно удвоиться в качестве прозрачного уведомления о конфиденциальности данных, которое удовлетворяет обязательствам по информации в соответствии со статьями 13 и 14 GDPR. Когда сотрудники присоединяются к компании, они должны быть проинформированы, в краткой, прозрачной и легкодоступной форме, о:

  • Идентификацию и контактные данные контроллера данных (работодателя) и сотрудника по защите данных (DPO), если он назначен.
  • Цели и законные основания для обработки их персональных данных.
  • Категории собираемых персональных данных (если они не получены непосредственно от работника).
  • Получатели или категории получателей данных (например, поставщики заработной платы, администраторы пособий, страховщики).
  • Подробная информация о любой передаче данных в третьи страны и существующие гарантии.
  • Период хранения для каждой категории данных или критерии, используемые для его определения.
  • Наличие права каждого субъекта данных и способы его реализации.
  • Право подать жалобу в надзорный орган.
  • Является ли предоставление персональных данных законным или договорным требованием и последствиями непредоставления.
  • Наличие автоматизированного принятия решений, включая профилирование, и содержательная информация о соответствующей логике.

Публикация этой информации исключительно в справочнике, который сотрудники получают по найму, недостаточна. GDPR требует, чтобы информация предоставлялась в момент сбора данных. Для данных сотрудников, собранных во время набора, это означает уведомление о конфиденциальности на этапе подачи заявки. Для данных, собранных во время работы, справочник служит живым ресурсом, который должен быть легко доступен и обновляться при изменении обработки.

Ключевые разделы справочника, требующие обновления GDPR

Поговорки (и почему их следует избегать)

Многие руководства до ГДПР включали полные заявления о согласии: & #8220; Принимая работу, вы соглашаетесь на сбор и обработку ваших персональных данных. & #8220; В соответствии с GDPR такое согласие почти наверняка недействительно. В ответе 43 GDPR говорится, что согласие не предоставляется свободно, если есть явный дисбаланс между субъектом данных и контролером & #8212; именно ситуация в трудовых отношениях. Вместо этого, полагайтесь на договорную необходимость (обработка, необходимая для выполнения трудового договора, например, заработная плата) или законные интересы (обработка для управления персоналом, безопасность или управление эффективностью, сбалансированная по отношению к сотрудникам & #8217; права). Где используется законный интерес, руководство должно объяснить интерес и балансирующий тест. Для данных специальной категории (например, здоровье, биометрия, членство в профсоюзе) требуется более ограничительный подход: явное согласие, обязательства по трудовому законодательству или существенные общественные интересы могут быть применимы, но они должны быть тщательно документированы.

Уведомление о сборе и обработке данных

Руководство должно действовать как всеобъемлющее уведомление. Перечислите каждую категорию данных о сотрудниках, которые компания собирает & #8212; от основных контактных данных до показателей производительности, видеозаписей видеонаблюдения, журналов использования устройств и биометрических часов времени. Укажите цель для каждой категории (например, CCTV для безопасности и безопасности; мониторинг устройств для соответствия ИТ). Будьте конкретны: избегайте расплывчатых языков, таких как & #8220; мы используем ваши данные для целей HR. & #8221; Сотрудники должны точно понимать, как будут использоваться их данные и какие законные основания поддерживают каждое использование.

Права сотрудников на данные и как их использовать

Опишите каждое право GDPR простым языком. Например:

  • Право на доступ к : Вы можете запросить копию персональных данных, которые мы храним о вас.
  • Право на исправление : Если ваши личные данные неточны или неполны, вы можете попросить нас исправить их.
  • Право на удаление : В определенных ситуациях вы можете попросить нас удалить ваши личные данные.
  • Право на ограничение обработки : Вы можете попросить нас ограничить использование ваших данных.
  • Право на переносимость данных : Вы можете запросить получение ваших данных в структурированном, обычно используемом, машиночитаемом формате.
  • Право на возражение: Вы можете возражать против обработки на основе законных интересов или прямого маркетинга.

Предоставьте четкую процедуру: с кем связаться (DPO или HR), как подать запрос (желательно в письменной форме или через специальный портал) и ожидаемое время ответа. Включите контактную информацию ведущего надзорного органа, чтобы сотрудники знали, что они могут подать жалобу извне.

Протокол реагирования на нарушение данных

GDPR предписывает, чтобы контролеры уведомляли надзорный орган в течение 72 часов после того, как стало известно о нарушении персональных данных, если нарушение вряд ли приведет к риску для физических лиц. Если нарушение представляет высокий риск, затронутые сотрудники должны быть проинформированы без неоправданной задержки. В руководстве следует очертить внутреннюю цепочку отчетности о нарушении: кого уведомлять (например, ИТ-безопасность, DPO), какую информацию включать, и шаги, которые компания предпримет, чтобы содержать, оценивать и уведомлять. Уточните, что сотрудники, которые подозревают нарушение, должны немедленно сообщить об этом, не опасаясь репрессий.

Расписание хранения и удаления данных

Принцип ограничения хранения GDPR’ требует, чтобы личные данные хранились только до тех пор, пока это необходимо для целей, для которых они обрабатываются. В руководстве должна содержаться ссылка на политику хранения данных компании’, с указанием стандартных сроков (например, записи заработной платы в течение 6 лет после прекращения; данные о найме на 6 месяцев, если это не удается; данные об оценке эффективности на период занятости плюс 2 года). Включите процесс для сотрудников, чтобы запросить удаление после истечения срока хранения, и опишите, как компания безопасно распоряжается данными (шреддинг, электронное протирание и т. Д.).

Проблемы многонациональных работодателей

Для компаний, работающих в нескольких юрисдикциях, гармонизация руководств для сотрудников с GDPR при соблюдении местных законов является сложной задачей. Сам Европейский союз состоит из 27 государств-членов, каждое из которых имеет свои собственные законы о внедрении и надзорный орган. Кроме того, Великобритания теперь управляет своей собственной версией GDPR (UK GDPR), которая в значительной степени идентична, но отличается незначительными способами и применяется ICO. Страны, не входящие в ЕС, такие как Бразилия (LGPD), Калифорния (CCPA / CPRA) и Китай (PIPL) имеют свои собственные всеобъемлющие режимы защиты данных. Руководство, которое работает для сотрудника в Берлине, может не удовлетворять требованиям для работника в Мумбаи или Сан-Франциско.

Юрисдикционный перекрыт: Когда американская компания нанимает резидента ЕС в качестве удаленного работника, могут применяться как GDPR, так и применимые законы штата США (например, CCPA). Руководство должно согласовывать противоречивые требования. Например, CCPA предоставляет сотрудникам право отказаться от продажи персональных данных— концепция отсутствует в GDPR. Право GDPR на удаление является более широким в некоторых отношениях, чем права на удаление CCPA. Работодатели должны создать глобальную базовую политику, которая отвечает наивысшему общему знаменателю (обычно GDPR), а затем добавить дополнения для конкретной страны. Юридический обзор незаменим.

Языковые и культурные барьеры: GDPR требует, чтобы информация предоставлялась на языке, который сотрудник может понять. Для многонациональных сотрудников это означает перевод руководства на соответствующие местные языки. Но одного перевода недостаточно; содержание также должно быть культурно соответствующим и соответствовать местной юридической терминологии. Плохо переведенное уведомление о конфиденциальности может привести к путанице и несоответствию. Работодатели должны работать с носителями языка юристами и рассмотреть возможность использования простых, визуальных объяснений (иконки, блок-схемы) для дополнения текста.

Риски правоприменения: Надзорные органы все чаще координируют трансграничные дела через GDPR’s“one-stop-shop” механизм, означающий, что многонациональная компания может столкнуться с одним ведущим органом (тот, где находится ее основное учреждение в ЕС), но все равно быть предметом жалоб от субъектов данных по всему блоку. Штрафы могут быть кумулятивными. Только в 2023 году Facebook (Meta) был оштрафован на 1,2 млрд евро Ирландским DPC за передачу данных пользователей ЕС в США. В то время как случаи данных сотрудников редко достигают этих сумм, риск остается значительным. Упреждающее соблюдение, включая хорошо составленное руководство, снижает, но не устраняет воздействие.

Лучшие практики для руководств сотрудников, соответствующих GDPR

Провести аудит данных перед составлением

Перед обновлением справочника сопоставьте все действия по обработке данных сотрудников на протяжении всего жизненного цикла сотрудника: набор, включение, начисление заработной платы, пособия, управление эффективностью, поездки, возмещение расходов, ИТ-мониторинг, оффбординг и архив после трудоустройства. Документируйте каждую цель обработки, законную основу, категории данных, период хранения и то, передаются ли данные третьим лицам или через границы. Этот аудит становится основой уведомления о конфиденциальности руководства & #8217 и может быть указан в других разделах.

Вовлекайте юристов и HR с самого начала

Специалисты по персоналу понимают практические аспекты процессов трудоустройства, но закон о защите данных является специализированной областью. Соберите межфункциональную команду, которая включает в себя внутреннего или внешнего консультанта по защите данных, DPO (если назначен), руководство по персоналу и ИТ-безопасность. Юридические команды обеспечивают соблюдение нормативных требований; HR обеспечивает работоспособность политики; IT обеспечивает технический контроль (шифрование, журналы доступа, обнаружение нарушений) соответствуют политикам, описанным в руководстве.

Реализация программ обучения сотрудников

Руководство эффективно только в том случае, если сотрудники понимают и следуют ему. Обеспечить обязательную подготовку по вопросам конфиденциальности для всех сотрудников при входе на борт и ежегодных обновлениях. Обучение должно охватывать: распознавание личных данных, знание того, кому сообщать о нарушениях, понимание прав (чтобы сотрудники могли уверенно их осуществлять) и понимание деятельности по обработке данных компании. & #8217. посещаемость документов и понимание тестов.

Регулярные обзоры и контроль версий

GDPR не является статическим; Европейский совет по защите данных выдает руководящие принципы, а судебные решения (например, решение Schrems II о признании недействительным Privacy Shield) меняют ландшафт. Запланируйте официальный обзор разделов руководства по защите данных сотрудника & #8217; или когда происходит значительное нормативное развитие. Сохраняйте историю версий и сообщайте об изменениях всем сотрудникам. Если изменение влияет на обработку (например, введение нового HR-программного обеспечения, которое обрабатывает конфиденциальные данные), обновите уведомление о конфиденциальности и руководство перед внедрением.

Используйте чистый, нелегальный язык

GDPR требует, чтобы информация была “ краткая, прозрачная, понятной и легкодоступной.” Избегайте пересказа статей GDPR дословно. Вместо этого объясните обязательства на простом английском (или местном языке). Например, вместо “ Мы обрабатываем ваши личные данные на основе законных интересов,” пишем “ Мы используем ваши данные о производительности для определения рекламных акций и бонусов, потому что это помогает нам справедливо вести наш бизнес.” Используйте пункты, таблицы и короткие абзацы. Предоставьте глоссарий ключевых терминов (например, “ Что такое личные данные?”);

Действительный контрольный список для работодателей

Используйте этот контрольный список, чтобы убедиться, что ваш справочник сотрудников соответствует стандартам GDPR:

  • Включите специальный раздел конфиденциальности данных в начале руководства.
  • Укажите личность компании & #8217, контактную информацию и DPO (если назначено).
  • Перечислите все категории собранных данных о сотрудниках и цель для каждого.
  • Укажите законную основу для каждой деятельности по обработке (избегайте полного согласия).
  • Опишите права сотрудников на GDPR и порядок их реализации.
  • Включите график хранения данных или ссылку, где его найти.
  • Объясните трансграничную передачу данных и существующие гарантии.
  • Предоставить процедуру уведомления о нарушении для сотрудников.
  • Добавить пункт об автоматизированном принятии решений и профилировании (если применимо).
  • Получите юридическую оценку от специалиста по GDPR в каждой соответствующей юрисдикции.
  • Переведите справочник на языки, на которых говорят сотрудники.
  • Обучите всех сотрудников политике конфиденциальности.
  • Создайте цикл обзора (по крайней мере, ежегодно) с контролем версий.
  • Сделайте справочник легко доступным (внутрисети, общий диск, печатная копия).

Интеграция требований GDPR в руководства для сотрудников — это не одноразовый проект, а постоянное обязательство. Внедряя защиту данных в повседневное управление рабочим местом, работодатели не только соблюдают закон, но и создают культуру прозрачности, доверия и уважения к личным границам. Международные сотрудники требуют международных стандартов; GDPR обеспечивает основу, а руководство для сотрудников является средством для ее реализации.

Для получения дальнейших указаний обратитесь к официальным ресурсам: полный текст GDPR доступен на EUR-Lex, UK ICO публикует практические руководства для работодателей , а Европейский совет по защите данных предоставляет обязательные руководящие принципы по таким темам, как законный интерес и уведомление о нарушении данных. Для многонациональных проблем руководство по занятости CNIL предлагает полезные перспективы, которые могут быть адаптированы в разных юрисдикциях.