employment-law
Ang Epekto ng Gdpr sa Empleye Handbooks Para sa Internasyonal na mga Empleado
Table of Contents
Pag - unawa sa GDPR: Isang Primer para sa mga Empleado sa Daigdig
Ang General Data Protection Regulation (GDPR) ay isang communicial data privacy frame na isinabatas ng European Union noong Mayo 2018. Ang abot nito ay umaabot sa malayong lugar sa labas ng Europa’ ang mga hangganan: anumang organisasyon na nagpoproseso sa personal na impormasyon ng mga indibiduwal na nakatira sa EU, anuman ang lugar na pinagbatayan ng kompanya, ay dapat sumunod. Para sa mga amo na kumukuha ng internasyonal na mga tauhan na— kung sila ay nagtatrabaho nang malayo mula sa EU bansa o ang mga mamamayan ng EU na nagtatrabaho sa ibang lugar ng#8212; angGDPR ay lumilikha ng legal na obligasyon na ingatan ang bawat personal na impormasyon sa bawat yugto ng trabaho.
Sa ilalim ng GDPR, ang mga personal na datos ay kinabibilangan ng anumang impormasyong may kaugnayan sa isang nakikilala o nakikilalang likas na tao.Ang mga ito ay nagpapaabot ng mga halatang bagay tulad ng mga pangalan, direksiyon, at detalyeng peyrol, ngunit ang mga administrative data na katulad ng IP addresss, mga review sa pagganap, mga rekord ng kalusugan, at maging ang etnikong pinagmulan o mga opinyong pampolitika (na bumabagsak sa ilalim ng pantanging kategorya na paksa sa mas mahigpit na mga proteksiyon). Ang mga adyers ay gumaganap bilang mga tagakontrol ng data, tagapag-ayos ng mga layunin at paraan ng mga empleyado sa pagpoproseso, at kinakailangang pangangailangan ng publiko, hindi ayon sa mga gawaing pangkarapatang makapag-dapat na makatrabaho.
Ang mga admpleado ay nagtatamasa rin ng isang superto ng mga karapatan sa ilalim ng GDPR, kabilang ang karapatang malaman, karapatang ma-akses, karapatan sa muling pag-iinkorporasyon, karapatan sa episodyo (“ karapatang makalimutan”), karapatang mag-ambag sa pagpoproseso, karapatan sa pag-aaalsa ng datos, karapatan sa pag-aalsa, at mga karapatang may kaugnayan sa independiyenteng desisyon-paggawa at pagsasaporâ. Ang mga karapatang ito ay hindi absoluto. Ang mga entryero ay dapat humawak agad (may isang buwan, na pinalawig ng dalawang mga karagdagang mga kalagayan sa ilalim ng ilang mga pagkakataon) at bigyang-katwiran sa anumang mga kondisyong maita.
Ang mga parusa para sa mga hindi-kompyuter ay matindi. Ang mga awtoridad ng Supervisory (tulad ng UK’s Information Commissioner’s Office o ang French CNIL) ay maaaring magpataw ng mga multa ng hanggang 20 milyong euro o 4% ng taunang pandaigdigang returnover, na kahit sino ay mas mataas. Walang pinansiyal na panganib, non-comp perstitubility ang sumisira ng tiwala, pumipinsala sa tatak ng amo, at maaaring humantong sa pag-aklas mula sa mga empleyado o istilong-action.
Kung Bakit ang mga Handbook ng Empleado ay Dapat na Magsalita Nang May GDPR
Ang manwal ng empleado ay hindi lamang isang policy reposition— kundi isang dokumentong pangkonstruksyon na naglalaman ng mga pangungusap na pang - pribado o tumutukoy lamang sa lokal na mga batas sa pag - iingat na nasa pinaglilingkuran ng amo na’ mga inaasahan, karapatan, at mga tungkulin sa trabaho nito. Bago ang GDPR, maraming manwal ang naglalaman ng di - tiyak na mga pangungusap na pang - pribadong buhay o kaya'y tumutukoy lamang sa lokal na mga batas sa pag - iingat.
- Ang pagkakakilanlan at mga detalye ng pakikipag-ugnayan ng tagakontrol ng datos (ang amo) at ang Data Protection Officer (DPO) kung ang isa ay hinirang.
- Ang mga layunin at matuwid na batayan ng pagpoproseso ng kanilang personal na datos.
- Ang mga kategorya ng personal na datos na nakolekta (kung hindi nakuha nang direkta mula sa empleyado).
- Ang mga tumatanggap o kategorya ng mga tumatanggap ng datos (hal.g., peyrol provider, benepisyo ng mga administrador, mga integrated).
- Mga detalye ng anumang paglilipat ng datos sa ikatlong bansa at ang mga pananggalang na inilalagay.
- Ang yugto ng pag - iingat para sa bawat kategorya ng impormasyon o ang mga batayan na ginagamit upang tiyakin ito.
- Ang pag-iral ng bawat datos ay sumasailalim sa tama at kung paano ito isasagawa.
- Ang karapatang magsampa ng reklamo sa isang nakatataas na awtoridad.
- Ang pagbibigay man ng personal na impormasyon ay isang kahilingan o kahilingan sa kontrata at ang mga resulta ng hindi pagbibigay nito.
- Ang pag-iral ng automated decision-paggawa, kabilang ang pag-aanunsyo, at makabuluhang impormasyon tungkol sa lohikang nasasangkot.
Ang paglathala ng impormasyong ito sa isang handbook na natatanggap ng mga empleyado sa pamamagitan ng bayad ay hindi sapat.[kailangan ng GDPR] Ang impormasyon ay ibibigay sa oras na makolekta ang impormasyon. para sa mga empleyadong nakolekta sa panahon ng pag-iisyu, ito ay nangangahulugan ng isang pampribadong patalastas sa application stage. Para sa datos na nakolekta sa panahon ng trabaho, ang handbook ay nagsisilbing isang nabubuhay na mapagkukunan na dapat madaling makuha at na i-bago kailanma't may pagbabago sa pagpoproseso.
Mga Bahagi ng Pangunahing Handbook na Nangangailangan na Muling Panariwain ang GDPR
Mga Payak na Clauses (At Kung Bakit Dapat Iwasan ang mga Ito)
Maraming mga manwal na pre-GDPR ay kinabibilangan ng mga pangungusap na may pahintulot na may kumot: “ Sa pagtanggap ng trabaho, sumasang-ayon ka sa koleksiyon at pagpoproseso ng iyong personal na datos.&“ Sa ilalim ng GDPR, ang gayong pahintulot ay halos tiyak na walang bisa. Recital 43 ng GDPR ay nagsasaad na ang pahintulot ay hindi malayang ibinibigay kung may malinaw na hindi balanse sa pagitan ng paksa ng datos at ng tagakontrol— sa prescrimetal na kalagayan sa isang ugnayang pang-empleo, sa halip ay dapat na magbigay ng kontrata sa produksyon (kailangan ng trabaho sa pag-produkwensiya sa pag-produkwensiya ng pagpasok sa kontrata, sa mga pangunahing entryal na interes ng mga tauhan, o pag-produkwesyon, at ng mga manggagawa sa entr.[2] Ang mga manggagawa ay dapat na may kinalaman sa publiko, paliwanag ng mga propesyonal na may kinalaman sa mga serbisyong pampublikong pampublikong pang-ed.
Pagkolekta at Pagpoproseso ng mga Data
Ang handbook ay dapat na kumilos bilang isang komprehensibong patalastas. Talaan ng bawat kategorya ng mga empleyado data ang kompanya ay nangongolekta ng— mula sa mga pangunahing detalye ng pakikipag-ugnayan hanggang sa pagsasagawa ng mga metriko, CCTV footage, device na gumagamit ng mga troso, at biometric time clocks.[kailangan ng sanggunian] Ang layunin ng bawat kategorya (e.g., CCTV para sa kaligtasan at seguridad; device monitor para sa ITTS na pag-iingat nito). Maging espesipiko: Iwasan ang malabong wika tulad ng ̴ we gamit ang iyong datos para sa mga layunin ng HR.” Kailangangyeee na maunawaan nang eksakto ang kanilang mga impormasyon at suportahan ang legal na batayan.
Mga Karapatan ng Empleado ng Data at Kung Paano Ito Sinasanay
Ilarawan ang bawat GDPR sa simpleng pananalita.
- [[Talaksan:1]: Maaari kang humiling ng isang kopya ng personal na datos na taglay namin tungkol sa iyo.
- [[Talaksan] [[Talaksan:: Kung ang iyong personal na datos ay hindi tumpak o hindi kumpleto, maaari mong hilingin sa atin na ituwid ito.
- [[Talaksan] [[Talaksan:1]: Sa ilang sitwasyon, maaari mong hilingin sa atin na i-delete ang iyong personal na datos.
- [[Talaksan]) Panigang limitahan ang pagpoproseso: Makahihiling ka na limitahan natin kung paano natin gagamitin ang iyong datos.
- [[Talaksan] [[Talaksan sa data portable[: Maaari kang humiling na matanggap ang iyong datos sa isang nakaayos, karaniwang ginagamit, na machine-readable format.
- [[Talaksan]) [: Maaari kang tumutol sa pagpoproseso batay sa lehitimong interes o direktang pagbebenta.
Magbigay ng malinaw na pamamaraan: kung sino ang makikipag - ugnayan (DPO o HR), kung paano magsumite ng kahilingan (mas angkop na sa pagsulat o sa pamamagitan ng isang inialay na portal), at kung kailan sila tutugon. Isama ang impormasyon tungkol sa pakikitungo ng nangungunang superbisor upang malaman ng mga empleado na maaari silang magrereklamo sa labas.
Data — Huwag Mag - alinlangan sa Tugon
Ang GDPR ay nag-uutos na i-fost ang supervisory awtoridad sa loob ng 72 oras ng pagiging may kamalayan sa isang personal na data sira, maliban na ang sira ay malamang na hindi magbunga ng panganib sa mga indibiduwal. Kung ang sira ay nagdudulot ng malaking panganib, ang mga apektadong empleyado ay dapat na ipaalam nang walang labis na pagkaantala. Ang handbook ay dapat magbalangkas ng panloob na kawing ng inclusion: na siyang mag-uulat (e.g., ITUT security, DPO), anong impormasyon na dapat isama, at ang mga hakbang na gagawin ng kompanya upang ma-scretified, at hindi magreleflisensiya sa mga empleyado ng Clar na dapat na dapat na ang isang decreportedityed na ang isang deficision na mga empleyado na dapat na dapat na ito ay dapat na ang isang decrection.
Retensiyon at mga Iskedyul ng Pag - aalis ng Date
Ang GDPR&&’ ang prinsipyo ng pag - iimbak ay humihiling na ang personal na impormasyon ay itago lamang sa mga layunin kung bakit ito prinoseso. Ang manwal ay dapat na tumukoy sa kompanya na’ ang patakaran sa pag - iingat ng data, nagtatakda ng pamantayang timelines (hal.g., mga rekord ng peyrol sa loob ng 6 na taon pagkatapos ng kamatayan; paggawa ng impormasyon sa loob ng 6 na buwan kung hindi matagumpay; pagrerereview ng data para sa panahon ng trabaho at 2 taon). Isamasa ang proseso para sa mga empleado upang humiling ng deleksiyon pagkatapos ng kamatayan, paglalarawan kung paano ang mga impormasyon ay hindi matagumpay na ilabas (pag - aalis, at saka ang mga impormasyon.)
Mga Hamon sa mga Empleado ng Maraming Bansa
Para sa mga kompanyang nagpapatakbo sa ibayo ng multiple hurisdiksiyon, ang pag-ayon ng mga manwal ng empleyado sa GDPR habang iginagalang ang mga lokal na batas ay isang masalimuot na gawain. Ang Unyong Europeo mismo ay binubuo ng 27 kasaping estado, na ang bawat isa ay may sariling mga batas at awtoridad ng superbisor. bukod pa rito, ang UK ngayon ay nagpapatakbo ng sarili nitong bersyon ng GDPR (UK GDPR), na pangunahin ay magkatulad ngunit di-magkaiba ang mga bilang sa mga menor de edad at ipinatutupad ng mga bansang ICO. Non-EU gaya ng Brazil (GDSP), (CACACACA), na ang mga sariling mga akdang pang-P) at ang isang komprehensipogang sa mga klerikadong pamahalaan ng Tsina ay maaaring may isang kwalipikasyon ng isang kwalipikasyong pang-G.
Jurisdictional Overlap[[FLT:[1]]: Kapag ang isang US-based na kompanya ay umuupa ng isang taga-F.[kailangan ng sanggunian]] Ang isang taga-F.[kailangan ng sanggunian] Ang GDPR at kapit na batas ng estado (katulad ng CCPA) ay maaaring umplay. Ang handbook ay dapat na magtugma ng magkasalungat na kahilingan. Halimbawa, ang CCPA ay nagbibigay ng mga empleyado na may karapatang pumili sa pagbebenta ng personal na data— konseptong wala sa GDPR. Ang GPR ay ang mga mas malawak na respeto sa ilang mga batas ng CureCACACACEPERSCENTERS. Ang mga tuntunin ay dapat na mag-CERSCERS. Ang mga tuntunin ay ang mga pangunahing review ay ang mga pangunahing review ay dapat mag-CANCANCERNTERs ay ang mga plat sa mga platition (karaniwang ang mga plats ay ang mga plats.
Ang mga workforce ng multinasyonal at Cultural Barriers[[[FLT:[1]]: Ang GDPR ay nangangailangan ng impormasyon na maibibigay sa isang wikang mauunawaan ng empleyado.[kailangan ng sanggunian] Para sa multinasyonal na mga workforce, ito ay nangangahulugan ng pagsasalin ng handbook sa mga kaugnay na lokal na wika. Ngunit ang pagsasalin lamang ay hindi sapat; ang nilalaman ay dapat ding maging pang-ekonomisyong pang-ekonomiya at pang-ekonomiya na may kaugnayan sa mga lokal na legal na pagpapaliwanag, mga payak na pagpapaliwanag na lebelyon, mga palatal na mga sangguniang pang-ekswal.
Enforcement Risks[[[FLT:[1]]: Ang mga awtoridad ng supervisory ay patuloy na nagko-coordinate ng mga kaso ng cross-border sa pamamagitan ng GDPR&’ ang ̴one-stop-stop-shop” mekanismo, na nangangahulugang ang isang multinasyonal ay maaaring humarap sa isang lead na awtoridad (ang isa na kung saan matatagpuan ang pangunahing estasyon nito sa EU) ngunit pa rin ay mapapasailalim sa mga reklamo mula sa mga paksa sa ibayo ng bloclecleclecleclecleclect. Ang 2023 ay maaaring magharap lamang ng mga US-2 na US-2 na enter. Ang mga entertainciplication ay hindi pasoks.
Pinakamahusay na Gawain Para sa GDPR-Compost Empleye Handbooks
Paggawi ng Isang Data Audit Bago Manggagaya
Bago i-update ang handbook, map lahat ng empleyado data processing activitys sa ibayo ng empleyado lifecycle: drafting, onboarding, featyrol, benepisyo, working, travel, gastos resurgement, IT monitoring, offboarding, at post-employment archive. I-record ang bawat layunin ng pagpoproseso, legal na batayan, data stage, stage, at kung ang datos ay inilipat sa ikatlong partido o sa ibayo ng hangganan. Ang audit na ito ay nagiging pundasyon ng handbookR maaaring banggitin ang privacy at maaaring banggitin sa ibang seksiyon.
Sa Pasimula Pa Lamang ay Kasangkot na ang Legal at HR
Nauunawaan ng mga propesyonal ng HR ang mga praktikalidad ng mga proseso ng trabaho, ngunit ang batas ng data protection ay isang espesyalisadong larangan. Tinipon ang isang cross-functional team na kinabibilangan ng in-house o panlabas na data protection, ang DPO (kung hinirang), ang HR leadership, at IT-F. Tiniyak ng mga legal na koponan na ang mga patakaran ay operable; Tinitiyak nito ang teknikal na mga kontrol (pag-a-access, access logs, defruction) na tumutugma ang mga patakarang inilalarawan sa handbook.
Mga Programa sa Pagsasanay ng mga Empleado
Isang handbook ang epektibo lamang kung nauunawaan at sinusunod ito ng mga empleado. Maglaan ng sapilitang pagsasanay sa pribadong buhay para sa lahat ng tauhan sa pag-iinterview at taunang pampanariwa.[kailangan ng sanggunian] Ang pagsasanay ay dapat magtakip: pagkilala sa personal na datos, pag-alam kung sino ang mag-uulat ng mga paglabag, mga karapatang pang-unawa (kaya't maaaring mag-ehersisyo ng mga ito nang may pagtitiwala ang mga empleyado), at pag-unawa sa kompanya’ mga gawaing pagproseso ng datos.
Regular na Repaso at Pagkontrol ng Bersiyon
Ang GDPR ay hindi statistic; ang European Data Protection Board ay nagbibigay ng mga panuntunan, at ang mga desisyon ng hukuman (katulad ng desisyon ng Schrems II na nagpapawalang bisa sa Pribadong Pangangalaga) ay nagbabago ng tanawin. humahanap ng isang pormal na review ng aklat ng empleyado’ ang mga data proteksyon section sa hindi bababa sa taun-taon, o kailanma't nagaganap ang isang mahalagang regulatory development.Iayos ang mga kasaysayan ng bersyon at makipagtalastasan sa lahat ng empleyado. Kung ang isang pagbabago ay nakakaapekto sa pagpoproseso (e.g.g., pagpapakilala ng isang bagong HR software na nagpoproseso ng sensitibong impormasyon), i-edypending update ang pampribet at pag-ayos bago ang pagpapatupad ng pribadong pag-ayos.
Gamitin ang Maliwanag, Di-Legalistiko na Wika
Ang GDPR ay humihiling na ang impormasyon ay “ ang pag - iisip, malinaw, madaling maunawaan at madaling makuha. —” Iwasan ang pagbigkas ng mga artikulo sa GDPR na veratim. Sa halip, ipaliwanag ang mga obligasyon sa payak na Ingles (o ang lokal na wika). Halimbawa, sa halip na ̴ Iniproseso natin ang iyong personal na impormasyon batay sa lehitimong interes,” isulat ang ̴ Ilaan ang iyong datos upang matiyak ang mga promosyon at mga bonus dahil nakatutulong ito sa ating negosyo.
Kagalang - galang na Tseke Para sa mga Empleado
Gamitin ang talaang ito upang tiyakin na ang iyong aklatang empleyado ay nakatutugon sa mga pamantayan ng GDPR:
- Isama ang dedikadong data privacy section sa simula ng handbook.
- Estados Unidos Ang kompanya ay’ ang pagkakakilanlan, ang contact information, at ang DPO (kung hinirang).
- Itala ang lahat ng kategorya ng mga datos ng empleyado na nakolekta at ang layunin para sa bawat isa.
- Ituring ang legal na saligan sa bawat gawaing pagpoproseso (maliban sa pahintulot sa kumot).
- Ilarawan ang karapatan ng empleadong si GDPR at ang pamamaraan upang isagawa ang mga ito.
- Isama ang iskedyul ng data Restaurant o ang reperensiya kung saan ito masusumpungan.
- Ipaliwanag ang cross-border data transfers at ang mga stampions sa lugar.
- Magbigay ng paraan upang madistrikto ang mga empleado.
- Magdagdag ng sugnay sa automated decision-paggawa at pag-profilling (kung kapit).
- Kumuha ng legal na repaso mula sa isang espesyalista sa GDPR sa bawat nauugnay na hurisdiksiyon.
- Isalin ang manwal sa mga wikang ginagamit ng mga empleado.
- Sanayin ang lahat ng empleado sa mga patakaran ng pribadong buhay.
- Magtakda ng isang siklo ng pagrerepaso (hindi kukulangin sa taun - taon) na may kontrol sa bersiyon.
- Gawing madaling makuha ang handbook (intranet, share drive, nakalimbag na kopya).
Ang pagdededeteryur ng mga kahilingan ng GDPR sa mga manwal ng empleyado ay hindi lamang isang one-time na proyekto kundi isang patuloy na pangako. sa pamamagitan ng pagdededeterminasyon ng data proteksyon sa araw-araw na pamamahala ng lugar ng trabaho, ang mga employer ay hindi lamang sumusunod sa batas kundi gumagawa rin ng isang kultura ng transparensiya, tiwala, at paggalang sa mga personal na hangganan.Ang mga internasyonal na workforces ay nangangailangan ng pandaigdig na pamantayan; ang GDPR ay nagbibigay ng balangkas, at ang handbook ng empleyado ay ang sasakyan upang ihatid ito.
Para sa higit pang patnubay, sumangguni sa opisyal na mga yaman: ang buong teksto ng GDPR ay makukuha sa EUR-Lex, ang UK ICO Resources Praktikal na mga gabay para sa mga amo, at ang European Data Protection Board ay nagbibigay [[FL][4] Mga panuntunang pang-internasyunal gaya ng lehitimong mga paksa at hindi pang-internasyonal na mga hamon para sa impormasyon, na eksploribumental.[T][T] Ang mga patakaran ay maaaring magbigay ng mga patakaran [[T][T][T][T][T][T] ay maaaring gamitin:[T].