Hiểu GDPR: Một nguyên tắc cho các nhân viên toàn cầu

Bộ luật bảo vệ dữ liệu chung (GDPR) là một khuôn khổ dữ liệu có tính riêng tư được ban hành bởi Liên minh Châu Âu vào tháng 5 năm 2018. Nó vươn tới xa hơn châu Âu & 88217; biên giới: bất cứ tổ chức nào xử lý dữ liệu cá nhân của cá nhân trong EU, bất kể nơi nào công ty được xây dựng, phải tuân thủ. Đối với người chủ, việc thuê nhân viên quốc tế & 88212; dù họ làm việc từ xa các quốc gia EU hay EU, hoặc EU được sử dụng ở nơi khác#812; CP thiết lập một nhiệm vụ pháp luật để bảo vệ thông tin cá nhân tại mỗi giai đoạn của các công việc riêng.

Dưới GDPR, dữ liệu cá nhân bao gồm bất kỳ thông tin liên quan đến một người tự nhiên đã được xác định hay có thể nhận diện. Tính năng này cung cấp những mục hiển nhiên như tên, địa chỉ và chi tiết thanh ghi, nhưng cũng ít dữ liệu rõ ràng hơn như địa chỉ IP, đánh giá hiệu suất, hồ sơ sức khỏe, và ngay cả những ý kiến sắc tộc hay chính trị (mà nằm dưới các tập tin đặc biệt để bảo vệ). Những người làm công tác như người kiểm soát dữ liệu, xác định mục đích và các thông tin về việc xử lý nhân viên, và phải đảm bảo họ có một cơ sở hợp pháp cho mỗi hoạt động. Các cơ sở hợp pháp là hợp đồng, nghĩa, bổn phận pháp, quan trọng yếu, và lợi ích công cộng. Trong bối cảnh hợp pháp, sự chấp thuận hợp pháp, sự hợp pháp và quyền hạn chế công nhân, ít khi có quyền hạn chế và lợi ích hợp pháp, dựa trên quyền lợi của người làm việc phù hợp pháp và lợi ích hợp pháp.

Nhân viên cũng hưởng một dãy các quyền dưới GDPR, bao gồm quyền được thông báo, quyền truy cập, quyền sửa chữa, quyền bảo mật (& 8220; quyền bị lãng quên”), quyền hạn chế xử lý, quyền được thông qua dữ liệu, quyền đối tượng, quyền có quyền tự động ra quyết định và phân tích. Những quyền này không phải tuyệt đối với các yêu cầu nhanh chóng (trong một tháng, có thể mở rộng bởi hai tháng) và được chuẩn bị để biện minh cho việc từ chối.

Hình phạt cho những người không hợp tác là nghiêm trọng. Chính quyền giám sát (như Anh & 817; Ủy viên thông tin ’ Văn phòng hay Văn phòng CNL) có thể áp đặt phạt lên đến 20 triệu Euro hoặc 4% số lượt thay đổi toàn cầu hàng năm, bất cứ điều gì cao hơn. Ngoài rủi ro tài chính, sự suy giảm lòng tin, thương hiệu người chủ gây thiệt hại, và có thể dẫn đến việc kiện tụng từ nhân viên hoặc các tuyên bố theo kiểu phân loại.

Tại sao sổ tay nhân công phải chỉ định GDPR

Sách tay nhân viên không chỉ là một kho chính sách — nó là một tài liệu cơ bản để liên lạc với người chủ’ những kỳ vọng, quyền làm việc và nhiệm vụ cho công ty. Trước khi GDPR, nhiều sách hướng dẫn có những thông tin cá nhân hay chỉ là một tài liệu bảo vệ dữ liệu địa phương. Ngày nay, sách tay phải tăng gấp đôi như một thông tin rõ ràng để thỏa mãn các trách nhiệm dưới điều khoản 13 và 14R.

  • Danh tính và chi tiết liên lạc của bộ điều khiển dữ liệu (người chủ) và bộ quản lý dữ liệu bảo vệ (DPO) nếu một người được chỉ định.
  • Mục đích và cơ sở hợp pháp để xử lý dữ liệu cá nhân của họ.
  • Các loại dữ liệu cá nhân thu thập (nếu không nhận trực tiếp từ nhân viên).
  • Người nhận hoặc phân loại dữ liệu (v. d., người cung cấp lương, người quản trị lợi ích, người bảo hiểm).
  • Chi tiết về việc chuyển dữ liệu đến các nước thứ ba và các hệ thống bảo vệ đã được đặt.
  • Thời gian lưu trữ của mỗi loại dữ liệu hoặc các tiêu chuẩn được dùng để xác định nó.
  • Sự tồn tại của mỗi chủ thể dữ liệu đúng và cách thực hành nó.
  • Quyền được khiếu nại với một cấp trên.
  • Cho dù cung cấp dữ liệu cá nhân là một quy định thống kê hoặc hợp đồng và hậu quả của việc không cung cấp nó.
  • Sự tồn tại của quyết định tự động, bao gồm phân tích, và thông tin có ý nghĩa về logic liên quan.

Việc công bố thông tin này chỉ trong sổ tay mà nhân viên nhận được khi làm việc là chưa đủ. GDPR yêu cầu cung cấp thông tin vào lúc thu thập dữ liệu. Đối với dữ liệu nhân viên thu thập trong quá trình tuyển dụng, điều này có nghĩa là thông báo riêng tư tại ứng dụng. Đối với dữ liệu thu thập trong công việc, sổ tay là tài nguyên sống nên dễ dàng truy cập và cập khi xử lý thay đổi.

Phần mềm sổ tay khóa cần làm tươi GDPR

Ý kiến của ông già Nô - en (Và tại sao phải tránh họ)

Nhiều sách trước Công tố (GDPR) bao gồm những lời tuyên bố đồng ý bằng chăn: ̴ bằng cách chấp nhận việc làm, bạn chấp nhận thu thập và xử lý dữ liệu cá nhân.& 882; dưới GDPR, sự đồng ý như thế gần như không hợp lệ. Việc chấp thuận 43 của GDPR không được cho miễn phí cho nếu có sự mất cân bằng rõ ràng giữa chủ đề dữ liệu và người điều khiển& 882; chuẩn bị tình hình trong mối quan hệ công việc. Thay vì thế, việc làm cần thiết (điều kiện cần thiết để thực hiện hợp đồng, việc làm, eg, hoặc lợi ích hợp pháp, hoặc lợi ích hợp pháp, hoặc nhân viên, hoặc sự quản lý; việc quản lý cân bằng giữa người điều khiển và người điều khiển,#8] Để có thể sử dụng lợi ích công việc, cần thiết, cần thiết để kiểm tra công việc làm và xác thực, cần thiết để xác thực, cần thiết để xác thực, cần thiết để xác thực, hoặc xác thực hóa các thông tin hợp lệ sử dụng các dữ liệu cần thiết.

Bộ sưu tập dữ liệu và thông báo xử lý

Sách hướng dẫn phải hoạt động như một thông báo toàn diện. Liệt kê mỗi loại dữ liệu nhân viên công ty thu thập & 88212; từ các chi tiết liên lạc cơ bản đến trình đơn, băng CCTV, ghi lưu thiết bị, và đồng hồ sinh trắc học. Ghi rõ mục đích cho mỗi loại (v. d., CCTV để kiểm tra tính năng an toàn và an ninh; thiết bị giám sát cho IT. Hãy đặc biệt: tránh ngôn ngữ mơ hồ như “ chúng tôi sử dụng dữ liệu của bạn cho mục đích quan trọng.#8221; nhân viên cần hiểu chính xác dữ liệu của họ sẽ được sử dụng như thế nào và những gì hợp pháp sử dụng mỗi cơ sở.

Quyền nhân viên và cách thực hành

Hãy mô tả mỗi GDPR bằng ngôn ngữ bình thường.

  • đúng để truy cập ): bạn có thể yêu cầu bản sao dữ liệu cá nhân chúng tôi giữ về bạn.
  • đúng để sửa ): nếu dữ liệu cá nhân của bạn không chính xác hay không đầy đủ, bạn có thể yêu cầu chúng tôi sửa chữa nó.
  • Trong một số trường hợp, bạn có thể yêu cầu chúng tôi xóa dữ liệu cá nhân của bạn.
  • Phải để hạn chế xử lý ): bạn có thể yêu cầu chúng tôi giới hạn cách chúng tôi sử dụng dữ liệu của bạn.
  • Đúng với dữ liệu khả năng chuyển hóa ): bạn có thể yêu cầu nhận dữ liệu của bạn trong một cấu trúc, thường dùng, định dạng có thể đọc được bằng máy.
  • đúng để đối tượng ): bạn có thể phản đối để xử lý dựa trên lợi ích hợp pháp hoặc tiếp thị trực tiếp.

Cung cấp một thủ tục rõ ràng: cần liên lạc với ai (DPO hay HR), làm thế nào để đệ trình một yêu cầu (có thể bằng chữ viết hoặc qua một cổng đóng góp), và mong đợi thời gian đáp ứng. Hãy kèm theo thông tin liên lạc của cấp trên đầu não để nhân viên biết họ có thể gửi đơn khiếu nại ra ngoài.

Giao thức đáp ứng dữ liệu

GDPR ra lệnh cho các nhân viên kiểm soát thông báo cho chính quyền trong vòng 72 giờ sau khi trở thành nhận thức được một vi phạm dữ liệu cá nhân, trừ khi vi phạm không gây nguy hiểm cho cá nhân. Nếu vi phạm gây nguy cơ cao, các nhân viên phải được thông báo mà không trì hoãn quá đáng. Sổ tay nên chỉ ra sự xâm nhập nội bộ: cần thông báo (v. d. an ninh IT, DPO), thông tin gì cần bao gồm, và các bước của công ty sẽ được kiểm soát, đánh giá và thông báo. Thông báo cho các nhân viên nghi ngờ cần phải báo ngay lập tức rằng sự vi phạm này không sợ bị hủy hoại.

Chương trình sửa đổi dữ liệu và xoá lịch

GDPR’ nguyên tắc lưu trữ dữ liệu cần thiết chỉ giữ lại cho các mục đích cần thiết cho mỗi khi nào các mục đích được xử lý. Sách hướng dẫn nên tham khảo công ty & 88217; chính sách lưu trữ dữ liệu, xác định thời gian chuẩn (v. d., hồ sơ thanh toán trong 6 năm sau khi hủy bỏ; tuyển dụng trong 6 tháng, nếu không thành công; xem xét dữ liệu hiệu suất trong thời gian làm việc cộng 2 năm). Có tiến trình yêu cầu nhân viên bỏ đi sau khi thời gian lưu, và mô tả cách thức phân hủy an toàn các dữ liệu (v. d.: an toàn, ired, iding, clean.)

Những thử thách cho những người làm việc đa quốc gia

Đối với các công ty hoạt động trên nhiều thẩm quyền, việc điều hành sổ tay nhân viên với GDPR trong khi tôn trọng luật pháp địa phương là một nhiệm vụ phức tạp. Liên Hiệp Châu Âu bao gồm 27 quốc gia hội viên, mỗi nước có luật pháp và thẩm quyền giám sát riêng. Ngoài ra, Anh Quốc hiện có phiên bản GDPR (UK GDPR) riêng, phần lớn là sự khác biệt nhưng được áp dụng bởi các công ty ICO. Các nước khác nhau như Brazil (BPD), California (PA/CA), và Trung Quốc (P/P/PPP) có dữ liệu bảo vệ toàn diện của riêng. Một chế độ nhân viên có thể làm việc cho một công ty tại thành phố Đông Đức, hoặc San Francisco.

Có thể áp dụng luật pháp Hoa Kỳ (như CCPA). Sách hướng dẫn phải hòa giải các yêu cầu mâu thuẫn nhau. Lấy thí dụ, CCPA cung cấp nhân viên có quyền tối ưu trong việc bán dữ liệu cá nhân & 82; khái niệm vắng mặt trong GDPR. Việc bảo mật GDPR rộng hơn so với các trường công. Các nhà cung cấp công ty nên tạo một đường dẫn chính sách toàn cầu để tạo ra các mẫu số chung (thường là các mẫu số và phê chuẩn GDP) và xem xét lại pháp luật.

Những rào cản văn hóa và tiện ích ): GDPR đòi hỏi thông tin đó phải được cung cấp bằng ngôn ngữ mà nhân viên có thể hiểu. Đối với lực lượng lao động đa quốc gia, điều này có nghĩa là dịch sách tay sang ngôn ngữ địa phương có liên quan. Nhưng chỉ dịch thôi thì không đủ; nội dung cũng phải phù hợp văn hóa và hợp với thuật ngữ pháp địa phương. Một thông báo riêng lẻ dịch không được dịch có thể dẫn đến sự nhầm lẫn và không tương thích. Những người làm việc với các chuyên gia nói tiếng bản xứ và xem xét cách giải thích đơn giản, các tài liệu (các văn bản, văn bản) để bổ sung văn bản.

Nguy cơ cưỡng chế ]: nhà chức trách cao cấp đang ngày càng hợp tác các trường hợp liên quan đến các trường hợp GDPR& 88217; các đối tượng ̴ một trong hai mục đích là để dừng- shop” cơ chế, nghĩa là một đa quốc gia có thể đối mặt với một thẩm quyền dẫn đầu duy nhất (nơi mà cơ sở chính của nó trong EU được định vị) nhưng vẫn còn là đối tượng khiếu nại từ các đối tượng qua blo. Fines có thể được giải quyết. Trong khi Facebook (Meta bị phạt bởi DP. 2 tỉ D.C.C. Trong khi đó, người dùng hiếm khi các dữ liệu đó vẫn còn có thể tiếp cận với dữ liệu có thể gây ra nhiều rủi ro, nhưng không có nhiều khả năng.

Những thực hành tốt nhất cho Sổ tay nhân viên GDPR- Complient

Tiến hành một cuộc thử nghiệm dữ liệu trước khi tuyển chọn

Trước khi cập nhật sổ tay, bản đồ tất cả các hoạt động xử lý dữ liệu nhân viên trên xe đạp nhân viên: tuyển dụng, tuyển dụng, chi phí, lương thực, quản lý hiệu quả, du lịch, chi phí, quản lý, giám sát, và gửi xuống bảng. Tài liệu mỗi mục đích xử lý, mục đích hợp pháp, phân loại dữ liệu, tính toán, tính toán, và liệu được chuyển sang bên thứ ba hoặc biên giới. Việc kiểm tra này trở thành nền tảng của sách dày& 882; thông báo và có thể tham khảo trong các phần khác.

Liên quan đến pháp luật và nhân sự ngay từ đầu

Các chuyên gia nhân sự hiểu được sự thực tế của các quá trình làm việc, nhưng luật bảo vệ dữ liệu là một lĩnh vực đặc biệt. hội họp một đội ngũ xuyên hoạt động với bao gồm trong nhà hoặc bên ngoài luật sư bảo vệ dữ liệu, luật DPO (nếu được bổ nhiệm), lãnh đạo nhân sự, và bảo vệ nhân sự. các đội pháp luật đảm đảm các chính sách điều hành; HR đảm bảo các chính sách được đảm điều khiển kỹ thuật (sự bảo quyền, bản ghi, truy cập) tương ứng với các chính sách được miêu tả trong sổ tay.

Chương trình huấn luyện nhân viên đầy khích lệ

Sách hướng dẫn chỉ hiệu quả nếu nhân viên hiểu và làm theo nó. Cung cấp sự huấn luyện bắt buộc cho tất cả nhân viên tại các phòng trên tàu và các thông tin cập nhật hàng năm. Huấn luyện nên bao gồm: nhận biết dữ liệu cá nhân, biết phải báo cáo những lỗ hổng cho ai, hiểu quyền (để nhân viên có thể tự tin thực hiện chúng), và hiểu công ty & 88217; hoạt động xử lý dữ liệu.

Xem lại đều đặn và điều khiển phiên bản

GDPR không đứng yên; Ban bảo vệ dữ liệu châu Âu chỉ thị, và phán quyết của tòa án (như Schrems II quyết định vô hiệu hóa lá chắn riêng tư) thay đổi phong cảnh. Hãy lên lịch một bản duyệt chính thức của sổ tay nhân viên & 88217; phần bảo vệ dữ liệu ít nhất hàng năm, hoặc bất cứ khi nào một sự phát triển quan trọng xảy ra. Giữ phiên bản và giao tiếp với tất cả nhân viên. Nếu có thay đổi ảnh hưởng đến tiến trình xử lý (v. d., xin giới thiệu một phần mềm mới của nhân sự nhạy cảm, cập nhật và cập nhật tính riêng tư và sách kiểm tra tay trước khi có thể thực hiện.

Dùng ngôn ngữ không có độ phân giải

GDPR yêu cầu thông tin đó là “ hòa hợp, trong suốt, dễ hiểu và dễ hiểu.&& 821; tránh đọc từ điển GDPR. Thay vì thế, giải thích nghĩa vụ bằng tiếng Anh đơn giản (hay ngôn ngữ địa phương). Lấy thí dụ, thay vì dùng dữ liệu cá nhân dựa trên lợi ích hợp pháp, chúng tôi xử lý dữ liệu cá nhân dựa trên các từ chính thức,& 821; viết R chúng tôi dùng hiệu suất của bạn để xác định sự thăng tiến và thưởng vì điều này giúp chúng tôi làm ăn khá tốt. Bạn có thể phản đối việc này.#882; sử dụng các điểm đạn, và các đoạn văn bản ngắn. (t; viết hoa văn bản & 882; 32; 2. 8> 2. 8; 2. 8& 2. 8; 2. 8; 2. 8; 2. 8 + 2. 8; dữ liệu cá nhân là gì?

Danh sách kiểm tra hành động cho người làm việc

Dùng danh sách này để đảm bảo sổ tay nhân viên của bạn đáp ứng tiêu chuẩn GDPR:

  • Gồm phần riêng tư dữ liệu ở phần đầu của sổ tay.
  • Nói về công ty ’ danh tính, thông tin liên lạc, và DPO (nếu được chỉ định).
  • Liệt kê tất cả các loại dữ liệu nhân viên thu thập và mục đích cho mỗi người.
  • Hãy xác định nền tảng hợp pháp cho mỗi hoạt động xử lý (không có giấy đồng ý chăn).
  • Mô tả quyền của nhân viên GDPR và quy trình thực hiện chúng.
  • Gồm cả thời gian biểu lưu dữ liệu hoặc tham khảo nơi tìm thấy nó.
  • Giải thích việc truyền dữ liệu qua đường biên và hệ thống bảo vệ đã vào vị trí.
  • Cung cấp một quy trình thông báo vi phạm cho nhân viên.
  • Thêm một điều khoản về việc tự động ra quyết định và phân tích (nếu ứng dụng).
  • Nhận được bản phê bình pháp lý từ một chuyên gia GDPR trong mỗi thẩm quyền liên quan.
  • Dịch sách tay sang ngôn ngữ của nhân viên.
  • Huấn luyện tất cả nhân viên về chính sách bảo mật.
  • Thiết lập chu kỳ ôn lại (ít nhất hàng năm) với sự kiểm soát phiên bản.
  • Hãy làm cho sách tay dễ truy cập (intranet, chia sẻ ổ đĩa, in).

Việc kết hợp các yêu cầu GDPR vào sổ tay nhân viên không chỉ là một dự án duy nhất mà là một sự cam kết liên tục. bằng cách đưa dữ liệu bảo vệ vào bộ máy quản lý hàng ngày của công sở, người chủ không chỉ tuân theo luật pháp mà còn xây dựng một nền văn hóa minh minh, lòng tin và tôn trọng giới hạn cá nhân. nhân, nhân viên quốc tế đòi hỏi các tiêu chuẩn quốc tế; GDPR cung cấp một khuôn khổ, và sổ tay nhân viên là phương tiện để cung cấp nó.

Để có thêm sự hướng dẫn, hãy tham khảo ý kiến tài nguyên chính thức: văn bản toàn bộ của GDPR có sẵn trên [FLT-Lex [FLT: 1] [FLT:], Anh Quốc inter programtes ) những người hướng dẫn thực tiễn , và Ban chỉ dẫn dữ liệu châu Âu [FL:4] có thể thích ứng với các đề tài như dữ liệu hợp pháp và thông báo vi phạm. Đối với các vấn đề quốc gia, [FL: C] [FL: sự hướng dẫn công việc [FL] [FL: 7] có ích [FL: khả năng].