employment-law
Gdpr'in Uluslararası Çalışanlar için El Kitapları Üzerindeki Etkisi
Table of Contents
GDPR'yi Anlamak: Global İşverenler için Bir Primer
Genel Veri Koruma Yönetmeliği (GDPR), Mayıs 2018'de Avrupa Birliği tarafından çıkarılan bir dönüm noktasıdır. Avrupa Birliği'nin (GS8217; sınırları: AB'de ikamet eden kişilerin kişisel verilerini işleyen herhangi bir organizasyon, işverenin uluslararası personel ve #8212'yi işe almaları gerekir; başka bir yerde veya başka yerlerde çalışan AB vatandaşları veya #8212;GDPR, iş hayatının her aşamasında kişisel bilgileri koruma yükümlülüğünü oluşturur.
GDPR altında, kişisel veriler, tanımlanmış veya tanımlanabilir bir doğal kişiye ilişkin herhangi bir bilgi içerir. Bu, isimleri, adresler ve ödeme ayrıntıları gibi açık öğeler, ancak IP adresleri, performans yorumları, sağlık kayıtları ve hatta etnik kökeni veya siyasi görüşler (bu, daha da sağlıklı korumalara tabi tutulur). İşverenler, iş kontrolleri, işleyicileri ve iş verilerinin amaçları ve amaçlarına sahip olmak için yasal bir temele sahip olmaları ve her işlem faaliyeti için yasal bir temele sahip olmaları gerekir.
Çalışanlar ayrıca GDPR'nin altında bir dizi haktan keyif alıyor, doğru bilgi portability, otomatik karar verme ve profilleme hakkı için (“ Unutulma ve #8221;) ve herhangi bir inkar hakkı için hazır olmak için.
Rekabet dışı olmayan cezalar ciddidir. Denetim yetkilileri (İngiltere ve#8217 gibi), Bilgi Komiseri ve #8217; Ofis veya Fransız CNIL), finansal riskin% 20 milyon Euro veya% 4'üne kadar para cezası verebilir, ki bu daha yüksek değildir.
Neden Çalışan El Kitapları GDPR Adres
Çalışan el kitabı bir politika havuzundan daha fazlasıdır ve sadece yerel veri koruma yasaları olarak referanslandırılan bir temel belgedir. işveren ve#8217; beklentileri, hakları ve iş gücüne katılmaları. GDPR'den önce birçok el kitabı, broşürü gizlilik ifadeleri veya yalnızca referanslı yerel veri koruma yasaları. Bugün, el kitabı 13 ve 14'ün altındaki bilgileri şeffaf bir şekilde iki katına çıkarmalı.
- Veri kontrolörü ( işveren) ve Data Protection Officer (DPO)'nın kimlik ve iletişim ayrıntıları, bir tanesi atanırsa.
- Kişisel verilerini işlemek için amaçlar ve yasal temel.
- Kişisel verilerin kategorileri toplanmıştır ( doğrudan çalışandan elde edilmezse).
- Verilerin alıcıları veya kategorileri (örneğin, maaş kartı sağlayıcıları, fayda yöneticileri, sigortacılar).
- Verilerin üçüncü ülkelere ve yerdeki korumaların ayrıntıları.
- Her veri kategorisi veya bunu belirlemek için kullanılan kriterler için saklama süresi.
- Her veri konusunun varlığı doğru ve nasıl egzersiz yapılacağını.
- Bir denetçi otoriteye şikayet etme hakkı.
- Kişisel verilerin sağlanması yasal veya sözleşme şartı ve bunu sağlamanın başarısız sonuçlarıdır.
- Otomatik karar verme varlığı, profilleme dahil ve mantıkla ilgili anlamlı bilgiler.
Bu bilgiyi sadece bir el kitabında, çalışanların işe alımları yeterli değildir. GDPR, verileri kolayca toplandığında erişilebilir ve güncelleştirilmelidir. İşe alım sırasında toplanan çalışan verileri için, bu, iş sırasında toplanan veriler için, el kitabının erişilebilir ve güncellenmeleri gereken bir yaşam kaynağı olarak hizmet etmesi anlamına gelir.
GDPR’yi gerektiren Anahtar El Kitabı Bölümleri
Konsolosluklar (Ve Neden Them’dan Kaçmak)
Birçok ön-GDPR el kitabı battaniye onay beyanlarını içeriyordu: & #8220; İşi kabul ederek, kişisel verilerinizin toplanmasına ve işlenmesine onay veriyorsunuz.“ GDPR altında, bu tür onay neredeyse kesinlikle geçersizdir.Recital 43 GDPR, onay verenlerin performansı için, ödeme kaydının veya yasal çıkarların (örneğin, güvenlik veya performans yönetimi) ve yasal bir şekilde işlenmesi gerekir.
Data Collection and Processing
El Kitabı kapsamlı bir fark olarak hareket etmelidir. Her kategoriye ait çalışan verilerinin her kategorisi güvenlik ve güvenlik için; IT uyumluluğu için cihaz izlemesi: performans ölçümleri, CCTV görüntüleri, cihaz kullanımı logları ve biyometrik zaman saatleri.Her kategori için amacı (örneğin, güvenlik ve güvenlik için CCTV; IT uyumluluğu için cihaz izleme) Belirli: HR amaçları için verilerinizi kullanmaktan kaçının.” Çalışanlar verilerinizi tam olarak nasıl kullanacaklarını anlamalı.
Çalışan Veri Hakları ve Nasıl Egzersiz Yapılır
Her GDPR'yi açık dilde açıklayın. Örneğin:
- [FONT:0) Doğru erişime erişmek için doğru (Dön 1: 1): Sizin hakkınızda tuttuğumuz kişisel verilerin bir kopyasını talep edebilirsiniz.
- [FONT=0) Doğruyu yeniden yapılandırmak için doğru ([Dön 1: 1): Kişisel verileriniz yanlış veya eksikse, bunu doğru bir şekilde düzeltmemizi isteyebilirsiniz.
- [FONT:0) Doğruyu ortadan kaldırmak için [Dönetici: Bazı durumlarda, kişisel verilerinizi silmemizi isteyebilirsiniz.
- [FONT:0) İşlemeyi kısıtlamak için doğru ([Dön 1: 1): Verilerinizi nasıl kullandığımızı sınırlamak için talep edebilirsiniz.
- [FONT=0)Veri taşınabilirliği için doğru (FLT:1): Verilerinizi yapılandırılmış, yaygın olarak kullanılan, makine hazır bir formatta almak isteyebilirsiniz.
- [FONT:0) Doğru nesneye ([Dönetici: 0 3): Yasal çıkarlara veya doğrudan pazarlamaya dayalı işleme itiraz edebilirsiniz.
Açık bir prosedür sağlamak: kim temasa geçilir (DPO veya HR), bir istek (özellikle yazılı veya özel bir portal aracılığıyla) ve beklenen yanıt süreleri. lider otoritenin iletişim bilgilerini toplayın, böylece çalışanlar şikayeti dışsal olarak zorlayabilirler.
Data Breach Response Protokolü
GDPR kontrolörleri, denetçi otoritesini 72 saat içinde kişisel veri ihlalinin farkında olma konusunda bilgilendirir, ihlalin bireylere risk vermemesi mümkün değildir.Eğer ihlaller yüksek risk oluşturursa, etkilenen çalışanlar, ihlal etmeden haberdar olmalıdır. el kitabının rapor edilmesi gerekir: kime bildirimde bulunmak için (örneğin, IT güvenliği, DPO), hangi bilgileri içerecektir, ve şirket dahil edecekleri, değerlendirmeyi ve bildirimde bulunacaktır.
Data Retention and Deletion Schedules
GDPR’ depolama sınırlaması prensibi, yalnızca işlendiği amaçlar için gerekli olduğu sürece kişisel verilerin tutulmasını gerektirir. elbook, şirket ve#8217; veri tutma politikası, standart zaman çizelgesinin (örneğin, 6 yıl boyunca ödeme kayıtlarının) nasıl iptal edilmesi gerektiğini belirtmeli; işe alım verileri artı 2 yıl boyunca).
Çokuluslu İşverenler için Meydanlar
Birçok yargıcı üzerinde çalışan şirketler için, çalışan el kitaplarını GDPR ile uyumlu hale getirmek, yerel yasalara saygı göstermek karmaşık bir görevdir. Avrupa Birliği'nin kendisi, her biri kendi yasa ve denetçi otoritesine sahiptir. Ek olarak, İngiltere şimdi kendi GDPR (UK GDPR) versiyonunu işletiyor ve bu büyük ölçüde aynı ama küçük şekillerdeki farklı ve Brezilya'da bir işçi için gerekli olan bir San Francisco veya Francisco gibi AB ülkeleri tarafından uygulanabilir.
[FONT=0]Jurisdictional Overlap[[Dönetici: ABD merkezli bir şirket, hem GDPR hem de geçerli ABD eyalet yasaları olarak ikamet eden bir AB'yi işe aldığında ( CCPA gibi) çatışma koşullarını uzlaştırmalı. Örneğin, CCPA, en yüksek ortak ülke (Cumartesi) ile çalışan bir ortaklığa doğru bir şekilde uyum sağlamalı ve GDPR'de kabul edilemez bir kavramdır.
[FONT:0] Dil ve Kültür Hedefleri[[Dönetici: CUMHALİYE)[Ücretsiz bir dilde bilgi verilmesi gerekir.Çok uluslu işgücüler için, bu el kitabının ilgili yerel dillerle ilgili olarak kullanılması anlamına gelir. Ancak çeviriler yalnızca yetersizdir; içerik aynı zamanda kültürel olarak uygun olmalıdır ve yerel yasal terminoloji ile uyumlu olmalıdır. Kötü tercüme edilmiş bir gizlilik bildirimi karışıklıka ve karşı çıkamaz.
[FONT=0]Enforcement Riskleri[[Döneticiler AB'deki ana kuruluşta tek başına bir liderlikle karşı karşıya kalabilirler (örneğin, bloktaki verilerle ilgili şikayetlere tabi tutulabilir.Sadece 2023 yılında, Facebook (Meta) İrlanda DPC'nin AB'ye transfer etmesi için tek bir yol katlandı.
GDPR-Compliant Çalışan El Kitapları için En İyi Uygulamalar
Tasarlamadan önce bir Data Denetimi Yapmak
El Kitabı'nı güncellemeden önce, çalışan yaşam döngüsündeki tüm çalışan verileri işleme faaliyetlerine harita: işe alım, atlama, ödeme kaydı, fayda, performans yönetimi, seyahat, maliyet geri ödeme, IT izleme, işlenme ve diğer bölümlerde referans alın.
Başlangıçtan Yasal ve İK'yi Dahil Etmek
İK uzmanları iş süreçlerinin pratiklerini anlar, ancak veri koruma kanunu özel bir alandır.Ev veya dış veri koruma danışmanı, DPO (eğer tayin edilirse), İK liderliği ve IT güvenliği sağlar; İK teknik kontroller ( şifreleme, erişim günlükleri, ihlal tespiti) el defterinde açıklanan politikalara olanak sağlar.
Uygulama Çalışanı Eğitim Programları
Bir el kitabı sadece çalışanlar bunu anlar ve takip ederse etkilidir. Tüm personel için gemi ve yıllık yenileme çalışmaları için zorunlu gizlilik eğitimi sağlamalıdır: kişisel verileri tanımak, kime ihlalleri rapor etmek, anlayış hakları (ça çalışanlar kendilerini güvenle egzersiz yapabilir) ve şirket ve#8217; veri işleme faaliyetleri.
Düzenli Yorumlar ve Version Control
GDPR statik değildir; Avrupa Data Protection Board sorunları yönergeleri ve mahkeme kararları ( Schrems II kararının yasallaştırılması gibi) manzarayı değiştirir. Çalışanı hassas veri işleme işlemlerinin resmi bir incelemesi, elbook’ veri koruma bölümleri en azından her yıl, veya her zaman önemli bir düzenleyici gelişme meydana gelir.
Clear, Non-legalist Language
GDPR, bu bilgiyi doğru bir şekilde ifade etmek için gerekli olan ve kolay erişilebilir ve erişilebilir hale getirmek için gerekli olan bilgiler ve #8220; Doğru İngilizcede yükümlülüklerinizi (veya yerel dili) açıklayın. Örneğin, & #8220; Kişisel verileriniz meşru ilgiye dayalı olarak işlem yapın,” Write “ Performans bilgilerinizi promosyonları ve bonusları belirlemek için kullanıyoruz, çünkü bu bizi oldukça iyi bir şekilde çalıştırmamıza yardımcı olur.
İşverenler için uygulanabilir Checklist
Çalışan el kitabınızın GDPR standartlarını karşılamasını sağlamak için bu kontrol listesini kullanın:
- Elbook'un başında özel bir veri gizliliği bölümü ekleyin.
- Şirket ve #8217; kimlik, iletişim bilgileri ve DPO (eğer atanırsa).
- Her biri için toplanan tüm çalışan verileri listeleyin ve amaç.
- Her işlem aktivitesi için yasal temelleri (köpün onayının kaçının).
- Çalışan GDPR haklarını ve onları egzersiz prosedürünü açıklayın.
- Bulabileceği bir veri tutma programı veya referans ekleyin.
- Sınır ötesi veri transferlerini ve yerde korumaları açıklayın.
- Çalışanlar için ihlal bildirim prosedürü sağlayın.
- Otomatik karar verme ve profilleme üzerine bir madde ekleyin (eğer uygulanabilirse).
- Her bir ilgili yargıda GDPR uzmanından yasal bir inceleme alın.
- El Kitabı, çalışanlar tarafından konuşulan dillere çevirin.
- Tüm çalışanlar gizlilik politikaları üzerinde.
- Sürüm kontrolü ile bir inceleme döngüsü (en azından her yıl) oluşturun.
- Elbook kolayca erişilebilir (intranet, paylaşılan sürücü, basılı kopya).
GDPR gerekliliklerini çalışan el kitaplarına entegre etmek tek zamanlı bir proje değil, devam eden bir taahhüttir.İşin günlük yönetimine yer vererek, işverenler sadece yasalara uymaz, aynı zamanda kişisel sınırlar için bir şeffaflık kültürü inşa eder.Uluslararası işgücüler uluslararası standartlar talep eder; GDPR, bir çerçeve sunar ve çalışan el kitabı bunu sunmak için bir araçtır.
Daha fazla rehberlik için resmi kaynaklar: GDPR'nin tam metni mevcuttur. [FONT:0)EUR-Lex) , İngiltere ICO yayınlar:2.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.) ve Avrupa Data Protection Board.D.'nin ortak amaçlarına göre, yasal faiz ve veri ihlali bildirimi gibi konulardan yararlanılabilir.