employment-law
Gdpr对国际雇员雇员手册的影响
Table of Contents
理解GDPR:全球雇主的初级指南
数据保护总条例(GDPR)是欧盟于2018年5月颁布的标志性数据隐私框架。 其覆盖范围远远超出欧洲的QQ8217;其边界:任何处理居住在欧盟的个人个人数据的组织,无论公司总部在何处,都必须遵守。 对于雇用国际工作人员的雇主,QQ8212;无论是远程从欧盟国家工作还是受雇于其他地方的欧盟公民;GDPR规定了在就业生命周期的每个阶段保护个人信息的法律义务。
根据GDPR,个人数据包括与被识别或可识别自然人有关的任何信息,它涵盖诸如姓名、地址和工资细目等明显项目,但也涵盖IP地址、业绩审查、健康记录甚至族裔血统或政治见解等不太明显的数据(属于特殊类别数据,但需受到强化保护);雇主充当数据控制者,确定处理雇员数据的目的和手段,必须确保它们有合法的基础,同时,它们必须保证每项处理活动都有合法的基础;六个合法依据是同意、合同必要性、法律义务、重大利益、公共任务和合法利益;在就业方面,由于雇主和雇员之间固有的权力不平衡,同意很少成为有效的基础;大多数处理工作都取决于合同的必要性或合法利益。
雇员还享有《国家就业登记法》规定的一整套权利,包括知情权、获得服务权、纠正权、消除风险权(XQ8220;被遗忘权),限制处理权、数据可移植权、反对权以及与自动决策和定性有关的权利,这些权利不是绝对的,雇主必须及时处理请求(在一个月内,在某些情况下可延长两个月),并准备为任何拒绝提供理由。
对不遵守行为的处罚非常严厉。 监管当局(如英国的XQQ8217;信息专员的XQ8217;以及法国的CNIL)可以处以高达2,000万欧元的罚款,或相当于全球年度营业额的4%,以两者中较高者为准。 不遵守行为除了金融风险外,还会侵蚀信任,损害雇主品牌,并可能导致员工的诉讼或集体诉讼诉讼。
为什么员工手册必须处理GDPR
员工手册不仅仅是一个政策存储库,而是一份基础文件,它传达雇主的XQ8217;向其员工宣传期望、权利和义务。在GDPR之前,许多手册包含粗略的隐私声明,或者只引用当地的数据保护法。 今天,手册必须加倍作为透明数据隐私通知,满足GDPR第13条和第14条的信息义务。 当员工加入公司时,必须以简洁、透明和易于获取的语言告知他们:
- 数据控制员(雇主)和数据保护干事(DPO)的身份和联系方式。
- 处理其个人资料的目的和法律依据。
- 收集的个人数据类别(如果不是直接从雇员那里获得)。
- 数据接收者或接受者类别(例如,工资发放者、福利管理者、保险人)。
- 向第三国转移数据的详细情况和现有的保障措施。
- 每一类数据的保存期或确定数据的标准。
- 每个数据主体的存在和如何行使它。
- 有权向监督管理部门提出申诉.
- 提供个人数据是一项法定要求还是一项合同要求,以及不提供这种数据的后果。
- 存在自动决策,包括剖析,以及涉及逻辑的有意义的信息。
仅用雇员在受雇时收到的手册公布这些资料是不够的。GDPR要求在收集数据时提供资料。对于在招聘期间收集的雇员数据,这意味着在申请阶段发出隐私通知。对于在就业期间收集的数据,手册是一种生活资源,在处理变化时应随时提供和更新。
需要更新 GDPR 的关键手册部分
同意条款(为何要避免这些条款)
许多《国内生产总值手册》前的手册包括一揽子同意声明: + 8220; 接受就业后,您同意收集和处理您的个人数据。 + 8220; 根据《国内生产总值手册》,这种同意几乎肯定无效。 《国内生产总值手册》第43节指出,如果数据主体与控制者之间明显失衡,则不能自由表示同意; 精确地说,雇用关系中的情况。 相反,依赖合同的必要性(履行雇用合同所需的处理,例如工资单)或合法权益(人事管理、安全或业绩管理的处理,与雇员的+ 8217;权利),如果使用合法权益,手册应解释利益和进行平衡测试。对于特殊类别的数据(例如卫生、生物测定、工会会员),则需要更具限制性的方法:明确同意、就业法义务或实质性公共利益可能适用,但应当仔细记录这些内容。
数据收集和处理通知
手册必须作为一份全面通知。列出公司收集的各类雇员数据,从基本联系方式到性能指标、闭路电视录像、设备使用记录和生物鉴别时钟。说明每个类别的目的(例如闭路电视用于安全和安保;信息技术合规性设备监测)。具体点:避免像XQ8220那样的模糊语言;我们使用您的数据用于人力资源目的。XQ8221;雇员需要确切了解他们的数据将如何使用,以及支持每种使用的合法依据。
雇员数据权利和如何行使数据权利
用普通语言描述每个GDPR的右侧。例如:
- 访问权[:您可以要求一份我们掌握的关于您的个人数据的副本.
- 纠正的权利:如果你的个人数据不准确或不完整,你可以要求我们改正.
- 消除的权利:在某些情况下,你可以要求我们删除你的个人数据.
- 限制处理的权利:你可以要求我们限制如何使用你的数据.
- 数据可移植性权利:您可以请求以结构合理,常用的机器可读格式接收您的数据.
- 反对权:可以基于合法权益或直接营销反对处理.
提供明确的程序:与谁联系(人事处或人力资源处)、如何提交请求(最好以书面形式或通过专用门户)和预期答复时间。
数据违反反应协议
GDPR授权控制者在得知个人数据违反时72小时内通知监管部门,除非违反者不大可能给个人带来风险. 如果违反者构成高风险,就必须毫不延迟地告知受影响的员工. 手册应当概述内部违反者报告链:通知谁(如IT安全,DPO),包括什么信息以及公司将采取的步骤以遏制,评估和通知. 澄清怀疑违反者必须毫不担心报复立即报告.
数据保留和删除时间表
GDPR QQ-8217;存储限制原则要求个人数据只按处理目的所必要的时间保存. 手册应参考公司QQ8217;数据保留政策,规定标准时限(如终止后6年的工资记录;如不成功,则6个月的招聘数据;雇用期加2年的绩效审查数据) 包括雇员在保留期结束后请求删除的程序,并描述公司如何安全地处置数据(刷新、电子擦除等).
多国雇主面临的挑战
对于跨多个管辖区经营的公司,在尊重当地法律的同时将员工手册与GDPR统一是一项复杂的任务。 欧盟本身由27个成员国组成,每个成员国都有自己的实施法律和监管机构。 此外,英国现在运行着自己的GDPR(UK GDPR)版本,该版本基本相同,但略有不同,由哈里发执行。 非欧盟国家,如巴西(LGPD ) 、 加利福尼亚州(CCPA/CPRA ) 和 中国(PIPL ) , 都有自己的全面数据保护制度。 一本为柏林员工服务的手册可能无法满足孟买或旧金山员工的要求。
” 管辖权重叠:如果一家美国公司雇用一名欧盟居民作为远程工人,GDPR和适用的美国州法律(如CCPA)都可以适用。手册必须调和相互冲突的要求。例如,CCPA为雇员提供了选择退出个人数据销售的权利。GDPR没有这一概念。GDPR的删除权在某些方面比CCPA删除权要广泛。雇主应当制定符合最高共同标准(通常是GDPR)的全球基线政策,然后添加针对具体国家的增编。 法律审查是必不可少的。
语言和文化障碍[:GDPR要求以员工能够理解的语言提供信息,对跨国劳动力来说,这意味着将手册翻译成相关的当地语言。但翻译本身是不够的;内容还必须在文化上合适,符合当地法律术语。翻译不当的隐私通知会导致混乱和不合规。雇主应与讲本地语言的法律专家合作,并考虑使用简单、视觉的解释(cions,flowcharts)来补充文本。
执行风险:监管当局正越来越多地通过GDPR \\ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ 上协调跨境案件 , 由 : : 由 IM GDPR \ \ \ \ \ \ \ \ \ \ \ \ \ \ \
GDPR-公司雇员手册的最佳做法
起草前进行数据审计
在更新手册之前,绘制整个雇员生命周期的所有雇员数据处理活动:招聘、上岗、工资、福利、业绩管理、差旅、费用偿还、信息技术监测、下岗和离职后档案。记录每个处理目的、法律依据、数据类别、保留期以及数据是否转移给第三方或跨越边界。这一审计成为手册QQ8217的基础;隐私通知,并可在其他章节中引用。
从一开始就让法律和人力资源参与进来
人力资源专业人员了解就业过程的实际性,但数据保护法是一个专门领域。组建一个跨职能小组,包括内部或外部数据保护顾问、人力资源领导(如果任命)、信息技术安全。法律小组确保遵守监管;人力资源确保政策可以操作;信息技术确保技术控制(加密、访问日志、破解)与手册所述政策相符。
执行雇员培训方案
手册只有在员工理解并遵循的情况下才有效。 为所有员工提供强制性的隐私培训,并进行年度复习。培训内容应包括:识别个人数据、了解谁向谁报告侵权情况、理解权利(这样员工才能自信地行使权利)和理解公司(QQX8217);数据处理活动。文件出席和测试理解。
定期审查和版本控制
GDPR不是静态的; 欧洲数据保护委员会发布指导方针,法院裁决(如施莱姆斯二世裁决废除隐私盾牌)改变了环境。 计划至少每年对员工手册进行正式审查,或者当出现重大监管发展时,数据保护部分。 保存版本历史,向所有员工通报修改情况。 如果修改影响处理(例如引入处理敏感数据的新的HR软件),则在实施前更新隐私通知和手册。
使用清晰的非法律语言
GDPR要求信息是\\8220; 简明、透明、易懂和易于获取.\\8221; 避免逐字引用 GDPR 文章。 而不是用简单的英语( 或当地语言) 解释义务。 例如, 我们处理您的个人数据, 基于合法的兴趣,\\ 8221; 写\ 8220; 我们使用您的业绩数据来决定晋升和奖金, 因为这有助于我们公平经营。 您可以反对使用。\\ 8221; 使用圆点、表格和短段落。 提供关键术语词汇表( 如\ \ 8220; 什么是个人数据? ) 。
雇主可操作核对表
使用此核对表确保您的员工手册符合GDPR标准:
- 在手册开头处包括一个专门的数据隐私部分。
- 将公司(如果指定)的地址、联系方式和DPO(如果指定)
- 列出所收集的所有各类雇员数据及其目的。
- 具体说明每项加工活动的法律依据(避免一揽子同意)。
- 说明雇员的GDPR权利及其行使程序。
- 包括数据保留时间表或查找地点的参考文献。
- 解释跨境数据转移和现有保障措施。
- 为雇员提供违约通知程序。
- 增加关于自动决策和特征分析的条款(如果适用)。
- 获得每个相关管辖区的GDPR专家的法律审查。
- 将手册翻译成雇员所讲的语言。
- 对所有雇员进行隐私政策培训。
- 确定一个审查周期(至少每年一次),并控制版本。
- 使手册易于查阅(内部网、共享驱动器、打印本)。
将GDPR的要求纳入员工手册并不是一次性项目,而是持续的承诺。 通过将数据保护纳入工作场所日常治理,雇主不仅遵守法律,而且还营造了透明、信任和尊重个人界限的文化。 国际劳动力要求国际标准;GDPR提供了一个框架,而员工手册是提供这一框架的工具。
欲进一步指导,请参考官方资源:GDPR全文可在 EUR-Lex[上查阅,联合王国国际商业组织出版雇主实用指南[,欧洲数据保护委员会就合法权益和数据违约通知等专题提供约束性指南,对于多国挑战,CNIL就业指南提供了可跨法域加以修改的有用观点。