employment-law
Вплив Gdpr на робочі книги для міжнародних працівників
Table of Contents
Розуміння GDPR: Прем'єр-міністр глобальних роботодавців
Генеральний регламент захисту даних (GDPR) є структурним базою даних, що засвідчує Європейський Союз у травні 2018 року. Його досягають далеко за межі Європи та#8217;s кордонів: будь-яка організація, яка обробляє персональні дані осіб, що проживають в ЄС, незалежно від того, де компанія заснована, повинна відповідати. Для роботодавців, які займають міжнародний персонал та#8212; чи працюють вони віддалено від країн ЄС або громадян ЄС, які зайняті в іншому місці та#8212;GDPR створює юридичне зобов’язання щодо забезпечення захисту персональної інформації на кожному етапі життєвого циклу зайнятості.
Під GDPR, персональні дані включають в себе будь-яку інформацію, що стосується ідентифікованої фізичної особи. Це просуває очевидні елементи, такі як імена, адреси, і реквізити про оплату, але також менш очевидні дані, такі як IP-адреси, відгуки про результати, медичні записи та навіть етнічні думки (які падають під спеціальні дані категорії, підпорядковані захистам). Підсилювачі виступають як контролери даних, визначення цілей та засобів обробки даних працівника, і повинні забезпечити, що вони мають законну підставу для кожної операції. Шість законних підстав є згодою, договірна необхідність, юридичне зобов'язання, життєві інтереси, публічне завдання та законні інтереси. У трудовому контексті згода є дуже важливими, що є обов'язкованими, що має право роботодавцями, властиві зобов'язкованість, властиві зобов'язкованість, властиві зобов'язання, властиві зобов'язання, властиві зобов'язання, властиві зобов'язання, що є обов'язання, що належать до відповідальність, що належать до відповідальність, що належать до відповідальність за законних зобов'язкованості, що належать до відповідальність за законних
Працівники також користуються люксом прав під ГПР, включаючи право бути поінформовані, право доступу, право на виправлення, право на видалення (“право бути забутим ”), право обмежити обробку, право на перенесення даних, право об'єкта та права, пов'язані з автоматизованим прийняттям рішень і профілюванням. Ці права не є абсолютними. Підсилювачі повинні обробляти запити оперативно (з місяця, подовжені двома додатковими місяцями за певних обставин) і бути готові виправдати будь-які заперечення.
Штрафи за невідповідність є тяжкими. Наглядові органи (наприклад, UK’s Information Commissioner’s Office або французька CNIL) можуть накладати штрафи до 20 млн євро або 4% щорічного світового обороту, який все вище. За фінансовий ризик, невідповідність ерозійності, пошкодження бренду роботодавця, а також може призвести до судового розгляду від співробітників або вимог до стилю.
Чому працівники повинні звернутися до GDPR
Підручник працівника є більш ніж полісним репозиторійом та#8212;це фундаментальний документ, який передає роботодавцю та#8217; очікування, права та обов’язки до її робочої сили. До GDPR багато посібників, що містяться у звіті про конфіденційність або тільки довідкові закони про захист даних. Сьогодні, довідник повинен бути подвійним як прозоре повідомлення про конфіденційність даних, яке задовольняє інформаційні зобов’язання відповідно до статті 13 та 14 GDPR. Коли співробітники приєднуються до компанії, вони повинні бути повідомлені, в лаконічному, прозорому та легкодоступному мовному, близько:
- У разі, якщо один призначений для користувача ідентифікаційний номер та контактні дані контролера даних (роботаж) та посадової особи з питань захисту даних (DPO).
- Мета та законна основа обробки своїх персональних даних.
- категорії зібраних персональних даних (якщо не отримано безпосередньо від працівника).
- Одержувачі або категорії одержувачів даних (наприклад, постачальників платіжних карток, адміністраторів пільг, страховиків).
- Деталі будь-яких переказів даних третім особам та безпечних засобів у місці.
- Термін зберігання для кожної категорії даних або критерії, які використовуються для визначення його.
- Наявність кожного суб'єкта даних, що підлягають праві та як його здійснювати.
- Право на заставу скарги з контролюючим органом.
- Чи є надані персональні дані, які є обов’язковими для забезпечення його використання.
- Наявність автоматизованого прийняття рішень, включаючи профілування, і змістовну інформацію про логіку, яка бере участь.
Видання цієї інформації виключно вручнику, який отримує працівники на прокат не достатньо. GDPR вимагає, щоб інформація була надана в час збору даних. Для зібраних даних співробітника під час рекрутингу це означає повідомлення про конфіденційність на етапі застосування. Для зібраних даних під час роботи, ручна книга служить живим ресурсом, який повинен бути доступний і оновлений при обробці змін.
Основні розділи підручника, які вимагають відредагування GDPR
Консентні клапани (і чому уникнути атомів)
Багато передпосадкових книг, що включені до звітів про згоду на згоду на пледа: “Прийміть працевлаштування, ви погоджуєтесь на збір та обробку ваших персональних даних.“ Під ГПР, така згода практично недійсна. Відповідність 43 ГПР, яка згода не надається, якщо є чітке імбалансування суб'єкта даних та контролера—встановлює ситуацію в трудових відносинах. Натомість, спираючись на договірну необхідність (обробляється необхідність виконання трудового договору, наприклад, плато) або законні інтереси (обробка для управління персоналом, безпеки або управління, збалансований інтерес до працівників ⁚
Повідомлення про збір даних та обробку даних
Підручник повинен діяти як комплексне повідомлення. Список всіх категорій даних працівника компанія збирається і#8212;від базових контактних даних до продуктивності метрики, CCTV футаж, журнали використання пристроїв та біометричних годин часу. Стан призначення для кожної категорії (наприклад, CCTV для безпеки і безпеки; моніторинг пристроїв для комплаєнсу ІТ). Будьте специфічні: уникайте мови, як і#8220; ми використовуємо ваші дані для цілей HR.” Співробітники повинні зрозуміти, як будуть використані дані і які законні підстави підтримує кожен використання.
Права на дані співробітників і як вправляти
Опишіть кожен право на GDPR в звичайну мову. Наприклад:
- Право на доступ: Ви можете запросити копію персональних даних, які ми проводимо про вас.
- Право на виправлення: Якщо Ваші персональні дані неточні або неповні, ви можете запитати нам, щоб виправити її.
- Право на видалення]: У певних ситуаціях ви можете попросити нас видалити ваші особисті дані.
- Право на обмеження обробки: Ви можете запитати, що ми обмежимо, як ми використовуємо ваші дані.
- Право на переносимість даних]: Ви можете запитати отримання ваших даних в структурованій, зазвичай використовується, машинно-прочитаний формат.
- Право на об'єкт: Ви можете об'єднатися з обробкою на основі законних інтересів або прямого маркетингу.
Забезпечити чітку процедуру: які необхідно звернутися (DPO або HR), як подати запит (докладно в письмовій формі або через спеціальний портал), і очікувані терміни реагування. У тому числі контактну інформацію про авторитету, тому співробітники знають, що вони можуть вивести скаргу зовнішньо.
Протокол про відкликання даних
Управління GDPR, які контролери повідомляють про контролюючу владу протягом 72 годин, що стають обізнаними про порушення персональних даних, якщо порушення малоймовірно призведе до ризику для фізичних осіб. Якщо порушення несе високий ризик, постраждалі працівники повинні бути повідомлені без затримки. Підручник повинен окреслити внутрішній зв'язок звітності: хто інформувати (наприклад, ІТ-безпека, DPO), яку інформацію включити, і кроки компанії будуть містити, оцінити і повідомити. Скажіть, що співробітники, які підозрюють порушення, повинні повідомити його негайно без побоювання відляку.
Графіки відновлення даних та видалення даних
Принцип дії обмеження сховища GDPR’ вимагає, щоб персональні дані зберігаються лише протягом тривалого часу, для яких він обробляється. Довідник повинен звернутися до компанії ’ політики збереження даних, вказавши стандартні строки (наприклад, облік заробітної плати за 6 років після припинення; збір даних протягом 6 місяців, якщо це неуспішне; дані про результати роботи за тривалістю зайнятості плюс 2 роки). У тому числі процес для працівників, які вимагають відключення після закінчення терміну зберігання, і описати, як компанія надійно розшифровує дані (зважання, електронні протипоказання тощо).
Виклики для багатонаціональних роботодавців
Для компаній, що працюють у декількох юрисдикціях, гармонізують робочі книги з ГПР при повагі місцевих законів є складним завданням. Сам Європейський Союз складається з 27 держав-членів, кожен з власних імплементаційних законів та контролюючих органів. Крім того, Великобританія тепер працює власною версією ГПРП (Великобританія ГПРП), яка є значно ідентичною, але дивує незначні шляхи і здійснюється ICO. Країни неєвропейського типу, такі як Бразилія (LGPD), Каліфорнія (CCPA/CPRA), і Китай (PIPL) мають власні комплексні режими захисту даних. Підручник, який працює для працівника в Берліні, може не задовольнити вимоги до працівника в Мумбаї або Сан-Франциско.
Jurisdictional Overlap: Коли компанія США наймає резидента ЄС як дистанційного працівника, як GDPR, так і чинного законодавства США (наприклад, CCPA) може застосовуватися. Підручник повинен бути суперечним вимогам конфліктів. Наприклад, CCPA надає співробітникам право відмовити від продажу персональних даних та#8212; концепція, що не має права на GDPR. Право на видалення є більш широкою в деяких відношеннях, ніж права CCPA видалення. Підсилювачі повинні створити глобальну базову політику, яка відповідає найвищому поширеному деномінатора (зазвичайний GDPR) і додати обов'язковий огляд країни.
Language and Cultural Barriers: GDPR вимагає, що інформація буде надана мовою працівник може зрозуміти. Для багатонаціональних трудових сил це означає перетягування книги на відповідні локальні мови. Але переклад один недостатній, зміст повинен бути культурно доречним і ускладнюється місцевим правовим термінологією. Погано переведений повідомлення про конфіденційність може призвести до злиття та невідповідності. Підсилювачі повинні працювати з рідними юридичними експертами і розглянути використання простих, візуальних пояснень (кони, витратні знаки) до доповнення тексту.
Захист прав: Наглядові органи все частіше координують крос-кордонні випадки через GDPR’s “one-stop-shop” механізм, значення багатонаціонального може зіткнутися з єдиною авторитетом (тобто де знаходиться його основний заклад в ЄС), але все ж підлягають скаргам суб'єктів даних через блок. Штрафи можуть бути кулратичними. У 2023 році тільки Facebook (Meta) було відхилено $1,2 мільярди євро Ірландського DPC для передачі даних користувачів ЄС усунуті. Хоча дані рідко досягають таких сум, включаючи ризик, включаючи.
Кращі практики для HR-компліантних працівників
Проведення аудиту даних перед складанням
Перед оновленням ручного книги на карті всі роботи з обробки даних працівника по життєвому циклу працівника: рекрутинг, бортовий, калькуляційний, переваги, управління виконанням, подорожі, відшкодування витрат, моніторинг ІТ, офшорний та післяопераційний архів. Дозволити кожне завдання обробки, законна основа, категорії даних, термін зберігання, і чи передається дані третім особам або через кордони. Цей аудит стає основою ручного посібника та#8217; повідомлення про конфіденційність та може бути довідкований в інших розділах.
Впровадження правової та кадрової діяльності з початку
Фахівці з питань захисту інформації розуміють практичні можливості процесів зайнятості, але право захисту даних є спеціалізованим полем. Сприяє наявності в будинку або зовнішніх радників з захисту даних, DPO (у разі призначених), HR-ліддя та безпеки ІТ. Юридичні команди забезпечують дотримання нормативних вимог; HR забезпечує політики є оперними; ІТ забезпечує технічні контрольні системи (шифрування, логи доступу, порушення виявлення) відповідають політиці, описаним уручній книзі.
Реалізація програм навчання співробітників
Підручник є тільки ефективним, якщо співробітники розуміють і стежать за ним. Забезпечити обов'язкове навчання конфіденційності для всіх співробітників на борту і щорічних освіжувачів. Навчання повинно бути обкладинкою: розпізнавання особистих даних, знаючи, які повідомляють про порушення, розуміння прав (для співробітників можуть здійснювати їх впевнено), і компенсувати діяльність з обробки даних та обробки даних. Довідник та перевірка.
Регулярні відгуки та контроль версій
GDPR не статичний; європейські правила захисту даних, а також ухвали (наприклад, рішення Schrems II, що недійсний захист конфіденційності) змінюють ландшафт. Заплануйте формальний огляд інструкцій працівника та#8217; секцій захисту даних принаймні щорічно, або коли виникає суттєвий нормативний розвиток. Забезпечити варіанти історій та зміни до всіх співробітників. Якщо зміна впливає на обробку (наприклад, введення нового програмного забезпечення HR, яке обробляє конфіденційні дані), оновлення повідомлення про конфіденційність та посібника перед виконанням.
Використовуйте прозору, нелегальну мову
GDPR вимагає, щоб інформація була “вимірювання, прозорий, незрівнянний і легко доступний.” Уникайте отримання резюме статей GDPR дієслово. Замість того, щоб пояснити зобов'язання в звичайну англійську (або локальну мову). Наприклад, замість “Ми обробляємо ваші особисті дані на основі законних інтересів, ” писати “ Ми використовуємо ваші дані про продуктивність для визначення акцій і бонусів, оскільки це допомагає нам працювати наш бізнес досить. Ви можете об'єднатися до цього використання.” Використовуйте пункти куля, таблиці та короткі пункти. Забезпечте гляну інформацію про ключові умови?
Вимірюваний список перевірок для роботодавців
Використовуйте цей контрольний список, щоб забезпечити Вашої робочої книги відповідає стандартам GDPR:
- Включає в себе виділену розділ конфіденційності даних на початку книги.
- Державна компанія ’симфспілка, контактна інформація та DPO (при призначенні).
- Список всіх категорій зібраних даних співробітника та призначення для кожного.
- Вкажіть законну основу для кожної операції обробки (погода з ковдрою).
- Опишіть права на право співробітників, які мають право на здійснення ними.
- У тому числі графік зберігання даних або посилання, де його знайти.
- Скарги на транскордонні дані та гарантії на їхнє місце.
- Забезпечити процедуру порушення повідомлень для співробітників.
- Додати пункт про автоматизоване прийняття рішень та профілування (за наявності).
- Одержувати юридичний огляд спеціаліста з питань захисту прав на всіх відповідних юрисдикціях.
- Переклад книги на мови, які говорили співробітниками.
- Відвідайте всі співробітники з політики конфіденційності.
- Встановити цикл огляду (не менше щорічно) з контрольним варіантом.
- Зробіть свій посібник легкодоступним (внутрішньо, загальний диск, друкований примірник).
Інтеграція вимог до GDPR в робочі книги не є одноразовим проектом, але й постійним зобов'язанням. За допомогою складання захисту даних в щоденне управління робочим місцем роботодавці не тільки відповідають закону, але й побудують культуру прозорості, довіри та повагу до особистих кордонів. Міжнародні трудові органи вимагають міжнародних стандартів; GDPR забезпечує раму, а працівник – транспортний засіб, щоб доставити його.
Для подальшого керівництва, консультують офіційні ресурси: повний текст GDPR доступний на EUR-Lex, UK ICO публікує практичні посібники для роботодавців, а Європейська Рада захисту даних забезпечує бінування інструкцій] на теми, такі як законний інтерес та повідомлення про порушення даних. Для багатонаціональних викликів Надання інструкцій з зайнятості пропонує корисні перспективи, які можуть бути адаптовані в юрисдикції.