Prelucrarea Datelor Angajaților: Ce Este Corect și Greșit în Conformitate cu GDPR
Angajatorii procesează datele personale ale angajaților. Este inevitabil. Cu toate acestea, mâinile angajatorilor sunt legate de GDPR și alte legi de protecție a datelor personale atunci când le procesează.
GDPR este destul de clar atunci când vine vorba de colectarea și procesarea datelor care nu sunt necesare, precum pentru scopuri de marketing. În acest caz, ai nevoie de consimțământul utilizatorului pentru a-i procesa datele.
Când se referă la datele personale care trebuie procesate în beneficiul utilizatorului și procesarea este în interesul lor cel mai bun, regulile se schimbă. Afacerile pot folosi alte baze legale pentru acea prelucrare.
Prelucrarea datelor angajaților este undeva la mijloc. Angajatorul poate să le proceseze pentru a îndeplini anumite cerințe legale, care vin cu multe restricții.
GDPR oferă un cadru pentru statele membre ale UE de a reglementa procesarea datelor angajaților, în timp ce legile naționale și acordurile colective ajută la asigurarea protecției datelor. Angajatorii pot procesa datele angajaților pentru diverse scopuri legate de angajare și trebuie să obțină consimțământul pentru scopuri suplimentare.
Ei trebuie, de asemenea, să asigure transferuri legale de date și să implementeze măsuri de securitate. Angajații pot exercita drepturile lor privind confidențialitatea datelor, inclusiv accesul, obiecția, corectarea și dreptul de a fi uitați.
Angajatorii internaționali trebuie să navigheze prin diverse legi ale muncii și conformitatea GDPR în diferite țări.
Cum Reglementează GDPR Prelucrarea Datelor Personale ale Angajaților?
Doar ca o reamintire, GDPR este o regulamentare care se aplică direct în fiecare stat membru. GDPR nu este la fel de specific cu privire la prelucrarea datelor angajaților cum este în alte domenii. El stabilește cadrul în care fiecare stat membru al UE poate reglementa aceste probleme.
GDPR specifică faptul că:
- Fiecare stat membru al Uniunii Europene are libertatea de a alege cum să reglementeze prelucrarea datelor angajaților, inclusiv a datelor sensibile
- Pot reglementa prelucrarea prin legi naționale și acorduri colective
- Statele membre trebuie să se asigure că legile și contractele colective protejează demnitatea umană a persoanei vizate, interesele legitime și drepturile fundamentale
- Legile naționale și acordurile colective ar trebui să țină cont de regulile GDPR privind transparența prelucrării și transferurile internaționale de date.
Ce Înseamnă Asta
Aceasta înseamnă că angajatorul poate procesa datele angajaților pentru:
- Recrutare
- Executarea contractelor de muncă
- Diversitate și egalitate la locul de muncă
- Planificare și organizare a muncii
- Managementul companiei
- Securitatea și sănătatea la locul de muncă
- Protecția proprietății angajatorului sau a clienților, sau
- Orice altă obligație pe care angajatorul ar putea să o aibă în conformitate cu legile aplicabile și acordurile colective.
Acest lucru include și prelucrarea datelor personale sensibile, precum date de sănătate, rasă, origine etnică, orientare sexuală și altele.
Ce Trebuie să Facă Angajatorul
Pe lângă respectarea legilor muncii, angajatorul trebuie să respecte și GDPR. În ceea ce privește resursele umane, asta ar însemna următoarele:
Prelucrați datele în scopuri corecte. Angajatul și-a furnizat datele în scopuri de angajare. Acest lucru îi oferă angajatorului dreptul de a prelucra datele doar în scopuri de angajare și nimic altceva.
Obțineți consimțământul angajatului pentru prelucrarea dincolo de scopurile angajării. Dacă angajatorul dorește să prelucreze datele angajatului în alte scopuri, are nevoie de consimțământul explicit al acestuia pentru scopuri specifice. În acest proces, angajatorul trebuie să se asigure că angajatul este bine informat și să îi ofere posibilitatea de a retrage consimțământul dacă dorește.
Asigurați-vă că transferurile de date sunt legale. Transferurile de date în cadrul UE și țărilor adecvate sunt libere. Transferurile către țări terțe nu sunt gratuite, iar cele către Statele Unite sunt în mod special complicate.
Citiți mai mult despre cum să transferați date personale către SUA în conformitate cu GDPR.
Implementați măsuri de securitate. Municipalitatea din Bergen, Norvegia, a fost amendată cu 170.000 EUR pentru neimplementarea unor măsuri de securitate adecvate pentru protejarea datelor personale ale studenților și profesorilor.
Consultați lista noastră de amenzi GDPR pentru a avea o imagine completă a tuturor amenzilor cunoscute.
Ce au făcut? Sistemul lor informatic avea o funcție slabă de autentificare care permitea persoanelor neautorizate să acceseze datele personale.
Un login slab poate părea o problemă minoră în activitatea zilnică, dar fiecare măsură de securitate inadecvată riscă bugetul și imaginea de brand a angajatorului.
Poate numiți un Ofițer de Protecție a Datelor (DPO). Unele companii trebuie să numească un DPO. GDPR impune numirea unui DPO în cazul:
- Organismelor guvernamentale
- Companiilor a căror sursă principală de venit este prelucrarea datelor, și
- Companiilor care colectează și/sau prelucrează date personale sensibile.
Nu toate companiile aparțin acestor categorii. Prin urmare, nu toate trebuie să numească un DPO. Pentru toate celelalte, numirea unei persoane dedicate protecției datelor în companie este o practică bună.
Ce Poate Face Angajatul
Angajatul își poate exercita drepturile referitoare la datele sale personale. Fiecare persoană căreia îi este aplicabil GDPR are un set de drepturi privind confidențialitatea datelor pe care le poate exercita pentru a preveni prejudicii și a-și proteja intimitatea.
Dreptul la acces. Angajatul poate solicita în orice moment acces la datele personale pe care angajatorul le prelucrează. În același timp, angajatul poate cere informații despre scopurile prelucrării și poate afla dacă datele sunt procesate doar în scopuri de angajare sau nu.
De asemenea, angajatul poate cere informații despre instrumentele terțe pe care angajatorul le folosește pentru prelucrarea datelor. Asta îi va ajuta să determine dacă prelucrarea este legală, scopurile prelucrării, dacă datele sunt transferate în străinătate, și așa mai departe.
Dreptul de obiecție. Dacă angajatul constată că unele dintre date sunt procesate din motive greșite, acesta poate obiecta. Angajatorul va trebui să înceteze prelucrarea pentru acele scopuri specifice.
Totuși, dacă datele sunt procesate exclusiv în scopuri de angajare, nu există loc pentru obiecții.
Dreptul la corectare. Angajatul are dreptul de a corecta datele inexacte. Angajatorul trebuie să facă corectările solicitate.
Dreptul de a fi uitat. Angajatul are dreptul de a fi uitat în anumite circumstanțe. Acesta poate solicita ca datele sale să fie șterse din evidențele angajatorului dacă sunt îndeplinite ambele condiții de mai jos:
- Angajatul nu mai este angajatul firmei, și
- Angajatorul nu mai are nevoie de datele personale ale angajatului.
În toate celelalte cazuri, angajatorul poate refuza ștergerea datelor personale ale angajatului.
Obțineți compensații în caz de daune datorate unei breșe de securitate. Uneori, companiile sunt victime ale breșelor de securitate. Aceste breșe pot provoca daune angajaților. Când apar astfel de daune, angajatul are dreptul să fie compensat pentru prejudiciile suferite.
Ce Se Întâmplă Când Angajatorul și Angajatul Sunt în Țări Diferite?
Atunci când angajatorul și angajatul sunt în UE, totul este simplu – GDPR se aplică tuturor.
Însă, în zilele noastre, adesea angajatorul și angajatul se află în țări diferite. Acest aspect influențează și aplicabilitatea GDPR, putând crea complicații atât pentru angajator cât și pentru angajat.
Iată o formulă simplă care să te ghideze:
- Angajator din UE și angajați din afara UE, GDPR se aplică
- Angajator din UE și angajați din UE, dar în alte țări, GDPR se aplică
- Angajator din UE și angajați din UE, GDPR se aplică
- Angajator din afara UE și angajați din afara UE, GDPR nu se aplică
- Angajator din afara UE și angajați din UE, dar în alte țări, GDPR se aplică doar în relația cu angajații din UE.
Determină dacă GDPR se aplică și, dacă se aplică, recitește ce trebuie să facă angajatorul și ce poate face angajatul pentru a-și proteja corect datele personale.
Ce Trebuie Să Reținem
De fiecare dată când sunt implicate date personale, se aplică legile privind protecția datelor. Acest lucru nu exclude relațiile de muncă.
GDPR nu este foarte strict atunci când vine vorba de prelucrarea datelor în scopuri de angajare. Lasă un spațiu pentru legile muncii și contractele colective pentru a determina categoriile de date care pot fi prelucrate.
Angajatorul trebuie să îndeplinească toate celelalte cerințe GDPR pentru toate celelalte aspecte.
Angajatorul internațional care are angajați în multe țări diferite trebuie să fie foarte atent. Legile muncii diferă în țările UE, și fiecare țară are propriile sale acorduri colective.
Acest lucru îi pune într-o poziție foarte dificilă. Pot alege calea sigură procesând doar cantitatea minimă de date necesare. Este unul dintre principiile de bază ale protecției datelor care simplifică totul.