Обязательно ли положение о персональных данных работников: Положение о защите персональных данных работника. Зачем нужно и как составить

Содержание

Персональные данные сотрудников: определение, правила работы

У предпринимателя хранится стандартная информация о работниках: имя, контакты, номер паспорта, прошлые места работы. Такая информация — персональные данные людей. Собирать, хранить и удалять её нужно по правилам из закона.

Если персональные данные хранить неправильно, бизнес оштрафует Роскомнадзор. В ещё худшей ситуации личная информация утечёт к банкам, конкурентам и бывшим супругам работников. Тогда к штрафу добавится обязанность компенсировать моральный вред.

Чтобы избежать штрафов и судов, нужно один раз настроить работу с персональными данными сотрудников. Хорошая новость в том, что это несложно сделать самостоятельно. Рассказываем как.

Основная информация о персональных данных:

Глава 14 Трудового кодекса РФ

Закон № 152-ФЗ О персональных данных

Положение об особенностях обработки персональных данных без средств автоматизации

Каких работодателей касаются правила о персональных данных

Каждый человек сам решает, что и кому сообщать о себе.

Это его частная жизнь, она конфиденциальна.

Чтобы информация о частной жизни не распространялась, действуют правила работы с персональными данными. Это следует из ст. 2 Закона № 152-ФЗ.

Предприниматели и организации, заключившие хотя бы один трудовой договор, отвечают за утечку сведений о частной жизни работников. Считается, что работодатели — операторы персональных данных. Они собирают информацию, хранят её в кадровых документах, передают в налоговую и пенсионный фонд. Основание — ст. 3 и 7 Закона № 152-ФЗ.

Правила работы с персональными данными не изменятся, если число работников вырастет до десяти или двух тысяч по всей стране.

Бизнесу без наёмного персонала в этом плане меньше хлопот. За свои паспортные данные и номера банковских карт предприниматели отвечают сами. Требований нет, составлять документы не надо.

Что такое персональные данные работника

Персональные данные — это любая информация о человеке, из которой можно понять, о ком речь — ст.

3 Закона № 152-ФЗ.

Более ясного определения нет. Поэтому работодатели обязаны следить за всеми документами, где есть имена, даты рождения, адреса и подобные сведения о работниках.

Вот список для ориентира:

Кадровые документы — трудовые договоры, трудовые книжки, личные карточки, приказы об отпусках и выговорах, заявления на отпуск.

Копии документов от работника — паспорта, СНИЛСа, свидетельства о рождении детей.

Бухгалтерские документы — расчётные листы по зарплате и премиям. Любые сведения о зарплате — это в принципе персональные данные, они секретны. Так сказано в Письме Роскомнадзора от 07.02.2014 № 08КМ-3681.

Фото работника — например, на пропуск.

Отпечатки пальцев — это биометрические персональные данные. Для них те же правила.

Неформальные документы — резюме, анкеты, характеристики, тесты на психологическую совместимость скорпиона и змееносца в активной фазе луны.

🎁

Новым ИП — год Эльбы в подарок

Год онлайн-бухгалтерии на тарифе Премиум для ИП младше 3 месяцев

Попробовать бесплатно

Что будет за нарушение закона о персональных данных

За утечку персональных данных и даже формальные ошибки работодатели отвечают по административной, гражданской и уголовной ответственности.

Административная ответственность: штрафы

Работу с персональными данными контролируют Роскомнадзор и прокуратура. С внеплановой проверкой приходят по жалобе работника, в том числе бывшего.

Штрафуют за избыточный сбор данных, отсутствие в кадровой документации согласия работника, утечку и отказ уточнить сведения по ст. 13.11 КоАП РФ. Размер штрафа — до 75 000 ₽.

Попасть на административную ответственность можно за сам факт нарушения закона. Проверяющие не будут разбираться, была ли реальная опасность, что мошенники оформят микрозайм по копии паспорта.

Компания использовала копии документов людей как черновики. Это незаконное распространение персональных данных. Прокуратура назначила штраф 25 000 ₽ — дело № 44а-1189/2018.

Гражданско-правовая ответственность: моральный вред работнику

Если по вине работодателя стали известны факты из частной жизни, работнику полагается компенсация морального вреда.

Дела о моральном вреде рассматривает суд по иску работника. Сумма компенсации зависит от последствий и бывает ощутимой.

Скриншот трудового договора с размером зарплаты работника попал в интернет. Компания не уследила или не придала этому значения. По всей видимости, был резонансный спор, но правило секретности персональных данных действует и тут. Работник отсудил 25 000 ₽ — дело № 33-4172/13.

Уголовная ответственность

В тяжёлом случае утечки данных о человеке через СМИ, интернет или как-то ещё публично на руководителя заводят уголовное дело по ст. 137 УК РФ.

В уголовном деле смотрят на реальный вред личной и семейной жизни человека. Например, на ютуб слили видео с камер в офисе — так жена менеджера узнала об измене.

Наказание грозит вплоть до лишения свободы на четыре года. Но такие дела, конечно, редкость.

Не уследивших за персональными данными кадровика, бухгалтера и директора можно уволить и переложить на них убытки от штрафов. Посмотрите нашу статью про дисциплинарную и материальную ответственность работников.

Правила работы с персональными данными работника

Правила о персональных данных разбросаны по разным законам. Мы собрали их в один столбик и упростили:

🔐 Персональные данные работника обрабатывают только с его письменного согласия.

🔐 Персональные данные работника нельзя никому сообщать без его согласия — ст. 7 Закона № 152-ФЗ. Даже коллегам и членам семьи. Но есть исключения, связанные с угрозой жизни и здоровью. Например, врачам скорой помощи можно сказать про аллергию.

🔐 Работодатель берёт от работника только нужные для работы сведения — ст. 86 ТК РФ.

О политических взглядах, вероисповедании и сексуальной ориентации расспрашивать нельзя. Про здоровье можно выяснить только то, что нужно для конкретной рабочей функции.

🔐 Персональные данные получают у самого работника. Когда нужные сведения есть только у третьей стороны, с работника берут письменное согласие.

🔐 Работодатель на свои деньги обеспечивает физическую сохранность документов с персональными данными. Хранить документы в надёжном месте — одна из главных его обязанностей.

🔐 Данные о работнике должны быть точными и свежими. Работодатель обязан заменять, обновлять и удалять информацию по просьбе работника — ст. 5 Закона № 152-ФЗ.

🔐 Работник в любое время может получить бесплатно копию документов с персональными данными — ст. 89 ТК РФ.

🔐 В фирме назначают ответственного за персональные данные. Этого специалиста знакомят с правилами работы из закона.

Как настроить работу с персональными данными: инструкция

Чтобы законно собирать и хранить информацию о персонале, надо составить несколько скучных документов и кому-то поручить постоянную бумажную работу (возможно, самому себе). Это не так сложно, как кажется на первый взгляд.

1. Составьте и утвердите локальный нормативный акт — Положение о защите персональных данных работников.

Обычно положение дублирует закон. Знакомьте с ним письменно каждого работника. Подписи удобно собирать на обратной стороне положения.

Пример положения о защите персональных данных работников

2. Назначьте ответственного за персональные данные.

Так нужно в силу ст. 22.1 Закона № 152-ФЗ.

Назначенный человек будет отвечать за сбор согласий с работников и физическую защиту документов. Возьмите с него обязательство о неразглашении данных. Брать трудовые книжки, договоры и копии паспортов сможет только он.

ИП и организации с одним учредителем ответственным назначают себя.

Пример приказа о назначении ответственного за работу с персональными данными

Пример обязательства о неразглашении

3. Берите с каждого работника письменное согласие на обработку персональных данных.

Отсутствие согласия — популярный повод для штрафа. Отдельно оформлять согласие не надо, если пользуетесь типовой формой трудового договора для микропредприятия. В форме есть строка о согласии на обработку.

Если планируете получать сведения о человеке у третьих лиц, например, рекомендации с прошлых мест работы или справки о судимости, возьмите согласие и на это.

Пример согласия на обработку персональных данных

Пример согласия на получение персональных данных у третьих лиц

Типовая форма трудового договора для микропредприятия

4. Храните документы с персональными данными в надёжном месте.

Критериев надёжности нет. Какие конкретно нужны меры безопасности и как не допустить утечку, решает работодатель. Это его право по ст. 18.1 Закона № 152-ФЗ и п. 15 Положения.

Для хранения подойдёт сейф или ящик на замке. К такому месту не должно быть доступа у других людей, кроме ответственного за персональные данные.

Хранить информацию в электронном виде разрешено только на сервере в России по ст. 18 Закона № 152-ФЗ.

5. Уничтожайте персональные данные полностью.

Отслужившие документы нельзя просто взять и выбросить в мусорное ведро или отправить на черновики. Нельзя даже хранить на всякий случай — это нарушение.

Ненужные резюме, заявления и копии паспортов уничтожают. Сделать это надо так, чтобы никто не смог посмотреть и взять данные из них. Такое требование прописано в п. 10 Положения. Пользуйтесь шредером или мелко порвите бумаги.

Аналогичное требование к удалению данных с сервера: чтобы не осталось копий.

6. Если нужно, уведомляйте Роскомнадзор.

По общему правилу работодатель не обязан сообщать Роскомнадзору о сборе и хранении персональных данных.

Однако при использовании информации о людях не только в кадрах и бухгалтерии, работодатель отправляет уведомление — ст. 22 Закона № 152-ФЗ.

Например, когда сообщает банку о заработке сотрудника или подтверждает визовому центру место работы.

В обоих случаях это передача персональных данных. Надо уведомлять Роскомнадзор.

Электронное уведомление Роскомнадзору

Образцы бумажных уведомлений

А при работе через сайт с именами и контактами клиентов, вам совершенно точно нужен важный документ — Политика конфиденциальности.

Сделали все документы? Пройдите самопроверку на сайте Роструда. Это бесплатно и штрафов за найденные нарушения не будет.

7. Исполняйте требования закона не только формально.

Работодатель в курсе личной жизни подчинённых. Он давал справку о доходах для кредита, видел больничный лист на ребёнка и знает о недавнем разводе администратора.

Постарайтесь никому не рассказывать о жизни работников. Так вы не нарушите закон.

Статья актуальна на 09.02.2021

как с ними работать — СКБ Контур

Основные документы, на которые нужно ориентироваться при обработке персональных данных, — это Конституция РФ (ст. 24) и Федеральный закон от 27. 07.2006 № 152-ФЗ (далее — Закон о персональных данных).

В ст. 24 Конституции РФ говорится, что «сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются». Закон о персональных данных определяет значение не только ключевых понятий, с которыми придется сталкиваться на практике каждому работодателю, но и вводит принципы и условия обработки персональных данных, права субъекта персональных данных и другие важные моменты.

Вопросам защиты персональных данных работника посвящена гл. 14 ТК РФ.

Что включают персональные данные работника

Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных). Как правило, эти данные позволяют идентифицировать конкретного человека.

В рамках трудовых отношений работодатель может запрашивать только те персональные данные, которые нужны для выполнения трудовой функции. К ним относятся ФИО, сведения о предыдущей работе, документы, которые необходимы для устройства на работу (паспорт, трудовая книжка и т. д.), сведения об образовании. Такие сведения, как вероисповедание, работодатель запрашивать не имеет права, так как они не требуются для выполнения трудовой функции.

Сложность обработки персональных данных заключается в том, что на разных этапах взаимодействия и при решении различных трудовых задач у работодателя могут возникнуть вопросы. Например, считается ли та информация, которая содержится в резюме кандидата, персональными данными? Должен ли он давать согласие в этом случае, даже если его не возьмут на работу? Нужно ли как-то согласовывать с работником факт передачи данных для оформления пропуска? Можно ли размещать фотографию работника на доске почета без его согласия? Допускается ли размещение «черных списков» сотрудников на сайте компании? Что делать с данными уволенных сотрудников?

На все эти вопросы важно знать ответы. Тем более что периодически разъяснения по ним публикуют Минтруд, Роструд, Роскомнадзор.

Что делать с персональными данными кандидата

Еще на этапе просмотра резюме компания начинает собирать персональные данные кандидатов. Она может сохранять резюме в специальных программах, распечатывать их, сохранять контакты для дальнейшей связи и т.д.

В резюме обычно представлен целый перечень персональных данных — от номера телефона до сведений об образовании и предыдущих местах работы.

Роскомнадзор предупреждает о том, что обработка персональных данных соискателей предполагает получение соответствующего согласия от них. Согласие следует оформлять на период принятия решения о приеме либо отказе в приеме на работу.

Но есть и исключения, когда такое согласие не требуется:

если от имени соискателя действует кадровое агентство, с которым кандидат заключил договор;
при самостоятельном размещении резюме в интернете.

В согласии нужно обязательно указать цель получения персональных данных — рассмотрение кандидата на вакантную должность. Можно воспользоваться образцом согласия на обработку персональных данных.

Если работодатель получает резюме соискателя по электронной почте, ему нужно дополнительно провести мероприятия, которые бы служили подтверждением факта направления резюме самим соискателем. Например, это может быть приглашение соискателя на собеседование или ответ на его письмо по электронной почте.

Что делать, если персональные данные собираются с помощью анкеты

Нередко работодатель осуществляет сбор персональных данных кандидатов с помощью типовой анкеты. Во-первых, такая анкета должна содержать информацию о сроке её рассмотрения и принятия решения о приеме либо отказе в приеме на работу.

А во-вторых, она должна соответствовать требованиям п. 7 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации. Это значит, что:

в анкете должны быть сведения о цели обработки персональных данных, имя (наименование) и адрес оператора, ФИО и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых работодателем способов обработки данных;
в анкете должно быть поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку;
анкета должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими данными, не нарушая прав и законных интересов других;
в анкете не должно быть предусмотрено объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

Обычно анкета размещается в электронном виде на сайте компании, и согласие на обработку персональных данных подтверждается с помощью проставления «галочки» в соответствующем поле.

Что делать с данными кандидата, которого не взяли на работу

В таком случае предоставленные соискателем данные нужно уничтожить в течение 30 дней.

Есть в этой ситуации исключения — случаи, предусмотренные законодательством о государственной гражданской службе. Тогда хранить персональные данные соискателя придется в течение 3-х лет.

Направление запросов на прежние места работы

На этапе собеседования работодателю может потребоваться уточнение некоторых данных о работнике или получение дополнительной информации у прежних работодателей.

Для этого ему обязательно нужно заручиться согласием соискателя.

Сбор и обработка персональных данных при приеме на работу

Трудовое законодательство определяет перечень документов, которые работодатель запрашивает у работника при приеме на работу. На этом этапе, согласно ст. 65 ТК РФ, запрашиваются:

паспорт или иной документ, удостоверяющий личность;
трудовая книжка;
документ, подтверждающий регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа;
при необходимости: документы воинского учета, документ об образовании и (или) о квалификации или наличии специальных знаний, справка о наличии (отсутствии) судимости.

На то, чтобы внести персональные данные из этих документов в трудовой договор, согласие работника не требуется. Когда он подписывает трудовой договор, то тем самым уже дает свое согласие.

Оформление зарплатной карты и персональные данные работника

Многие организации при приеме на работу оформляют работникам зарплатную карту. В связи с этим может возникнуть вопрос — нужно ли на передачу персональных данных работника банку получать согласие? Да, нужно.

При этом важно, чтобы:

перечень персональных данных строго соответствовал тому, что передается в банк;
была указана цель для получения персональных данных, а именно — для оформления зарплатной карты.

Роскомнадзор определяет случаи, когда передача персональных данных работника банку для открытия зарплатных карт должна происходить без согласия:

договор на выпуск банковской карты заключался напрямую с работником и в его тексте прямо предусмотрены положения о передаче данных работника;
у работодателя есть доверенность на представление интересов работника при заключении договора с банком на выпуск карты и её обслуживание;
соответствующая форма и система оплаты труда прописана в коллективном договоре (ст. 41 ТК РФ).

Стоит учесть, что работник может отказаться подписать согласие на передачу данных банку, с которым работает компания. У него могут быть уже открыты счета и карты в другом банке, и поэтому для него удобнее продолжать обслуживаться в своем банке.

В прошлом году была установлена ответственность за «зарплатное рабство». Это значит, что сотруднику нельзя отказать в праве на изменение кредитной организации, в которую будет перечисляться зарплата.

Сотрудник сменил фамилию — что делать с трудовым договором?

В этом случае нужно обязательно внести изменения в трудовой договор. Главное — сделать это правильно.

Часто работодатели оформляют дополнительное соглашение, хотя им, как правило, меняются условия, а не сведения трудового договора. Фамилия относится именно к сведениям о работнике.

Правильно будет внести изменение непосредственно в текст трудового договора, вручную.

Размещение «черных списков» сотрудников на сайте

Иногда работодатель смело публикует в открытом доступе списки бывших работников, которые были уволены, например за утрату доверия или неоднократное неисполнение обязанностей.

Следует отметить, что это расценивается законом, как нарушение требований к обработке персональных данных. Об этом, в частности, предупреждает Минтруд в Письме от 08.10.2018 N 14-2/В-803.

В данном случае, публикуя причины увольнения, работодатель сообщает личную информацию сотрудника третьим лицам. Делать это без согласия работника нельзя.

Каким должно быть согласие на обработку персональных данных

Роскомнадзор в своих рекомендациях формулирует следующие требования:

Содержание согласия должно быть конкретным и информированным. То есть по информации можно сделать однозначный вывод о целях, способах обработки с указанием действий, совершаемых с персональными данными, объеме обрабатываемых данных.
Допускается оформление согласия в виде отдельного документа или в виде части текста трудового договора.
Согласие должно отвечать требованиям, предъявляемым к его содержанию, согласно ч. 4 ст. 9 Закона о персональных данных.

Оформление доски почета

Противоположная ситуация — это поощрение работника в виде доски почета. Но и здесь есть свои тонкости.

Обычно на доске почета размещается фотография человека, указывается его ФИО. И всё это персональные данные, которые работодатель не имеет права выставлять на всеобщее обозрение у себя в офисе, даже если цель его действий — поощрить успешных сотрудников и мотивировать тем самым остальной коллектив.

Для использования фото сотрудника тоже придется заручиться согласием.

Персональные данные для пропуска

В большинстве организаций сейчас действует пропускной режим. Соответственно, новым работникам требует оформление пропуска.

В данном случае нет необходимости в получении согласия на обработку персональных данных, если:

компания самостоятельно осуществляет пропускной режим;
если обработка соответствует порядку, предусмотренному коллективным договором, локальными актами, принятыми в соответствии со ст. 372 ТК РФ.

В том случае, если пропускной режим находится под контролем сторонней организации, то согласие обязательно.

Кадровый и бухгалтерский учет на аутсорсе и персональные данные

Если работодатель решает вопросы кадрового и бухгалтерского характера при помощи аутсорса, то есть силами сторонних организаций, то он должен соблюдать требования, обозначенные ч. 3 ст. 6 Закона о персональных данных.

Что делать с персональными данными уволенных сотрудников

Нужно учитывать, что существуют требования к обработке персональных данных в рамках бухгалтерского и налогового учета.

Так, например, работодатели обязаны в течение 4-х лет обеспечивать сохранность документов, необходимых для исчисления, удержания и перечисления налога (пп. 5 п. 3 ст. 24 НК РФ). И здесь согласия уже бывших сотрудников, хотят они того или нет, не требуется.

Роскомнадзор напоминает, что по истечении сроков, определенных законодательством, личные дела работников переходят на архивное хранение на срок 75 лет. Но на саму организацию хранения в архиве и использование архивных документов с персональными данными работников Закон о персональных данных не распространяется.

Положение о защите персональных данных работников

Положение о защите персональных данных работников (далее “Положение”) – обязательный документ, который определяет порядок обработки, передачи, хранения и защиты персональных данных работников. Настоящее Положение представляет собой локальный нормативно-правовой акт, который должен быть утвержден в обязательном порядке в каждой организации, учреждении и на предприятии не зависимо от формы собственности, которое осуществляет свою деятельность на территории Российской Федерации.

Персональные данные являются конфиденциальной информацией, доступ работодателя к которой ограничен и предоставляется исключительно на основании соответствующего согласия работника на обработку, передачу, хранение и защиту таких данных. Работодатель имеет право на обработку и доступ только к тем персональным данным работника, которые касаются его трудоустройства на должность и оформления в штат работодателя.

Обращаем внимание, что персональные данные представляют собой информацию о личной и семейной жизни работника, а также о состоянии его здоровья и социальном статусе, а потому не следует путать персональные данные с коммерческой тайной, которая также является конфиденциальной информацией, однако предполагает совершенно иной режим регулирования. Если требуется подготовить положение о защите коммерческой тайны работодателя, в таком случае нужно воспользоваться шаблоном другого документа.

Структура предложенного документа является следующей: (1) понятия, используемые в тексте Положения; и (2) перечень персональных данных работника и порядок предоставления к ним доступа работодателю; и (3) порядок обработки, передачи, хранения и защиты персональных данных работника; и (4) права и обязанности работодателя и работника в области защиты персональных данных; и (5) ответственность, применяемая за раскрытие персональных данных третьим лицам.

Как использовать документ

Для того, чтоб Положение вступило в юридическую силу, оно должно быть утверждено приказом директора и введено в действие. Настоящее Положение действует бессрочно или до момента его отмены (аннулирования) на основании соответствующего приказа директора.

Каждый работник при приеме на работу в обязательном порядке должен быть ознакомлен под личную подпись с содержанием настоящего Положения. Кроме этого, в тексте заключаемых трудовых договоров (контрактов) в обязательном порядке вносится обязанность работника по недопущению раскрытия вверенных ему персональных данных. Также, работник в обязательном порядке должен дать свое личное письменное согласие на обработку его персональных данных работодателем.

Проект данного Положения может быть использован индивидуальным предпринимателем или юридическим лицом, которые выступают на стороне работодателя. Обращаем внимание, что настоящее Положение является односторонним документом, который может быть изменен или дополнен в одностороннем порядке работодателем (согласие работников в данном случае не требуется, однако их в любом случае придется уведомить под роспись с обновленным содержанием документа).

Применимое законодательство

Настоящее Положение о защите персональных данных работников подготовлено в соответствие с действующими положениями гражданского законодательства Российской Федерации, нормами Трудового кодекса Российской Федерации, а также нормами Федерального закона “О персональных данных”.

Как изменить шаблон

Вы заполняете форму. Документ создается у вас на глазах по мере того, как вы отвечаете на вопросы.

По завершению вы получите его в форматах Word и PDF. Вы можете изменять его и использовать его повторно.

законов США о конфиденциальности данных сотрудников – Вы в курсе?

Проблемы конфиденциальности данных влияют на большинство операций HR, включая обработку данных, набор персонала, мониторинг производительности и обработку ссылок. Это особенно актуально в наш век цифровых и технологических достижений. Как менеджеру отдела кадров жизненно важно, чтобы вы внедрили в своей компании системы и процессы для защиты конфиденциальных данных сотрудников, обеспечивая их соответствие государственным, местным и международным законам о защите данных.

В этом посте мы рассмотрим положения GDPR о данных и то, как Закон о защите данных влияет на работодателей в США. Мы также обсудим передовых методов защиты личных данных сотрудников и советы по обеспечению соблюдения конфиденциальности на всех уровнях вашей компании.

Давайте начнем с любопытного события, которое происходит каждый год в мире GDPR и данных о сотрудниках.

День конфиденциальности данных 2020

День конфиденциальности данных – это глобальное ежегодное мероприятие, целью которого является повышение осведомленности о важности конфиденциальности и защиты данных.Кампания пропагандирует передовые методы обеспечения конфиденциальности и защиты данных и нацелена как на частных лиц, так и на предприятия.

Мероприятие впервые было отмечено в Северной Америке 28 января 2008 г. в качестве продолжения существующего Дня защиты данных в Европе. Дата совпадает с подписанием в 1981 году договора Совета Европы о защите данных, известного как «Конвенция 108», который следует технологически нейтральному, основанному на принципах подходу к защите права человека на неприкосновенность частной жизни.

Каждый год в этот день правительства и национальные органы по защите данных запускают кампании, конференции и мероприятия открытых дверей, чтобы информировать общественность об их правах на защиту личных данных и неприкосновенность частной жизни. Помимо широкой общественности, кампании также часто нацелены на тех, кто работает в секторе образования и тех отраслях, которые в значительной степени полагаются на обработку данных. Мероприятие – это возможность для предприятий переоценить то, как они собирали, обменивались и использовали данные, а также улучшить внутренние процессы, чтобы предотвратить использование, неправильное использование или потерю ценных данных.В США и Канаде мероприятие проводится под руководством Национального альянса киберпреступников (NCSA), некоммерческой организации, занимающейся продвижением более безопасного и надежного Интернета. Кампания NCSA по повышению осведомленности о конфиденциальности является неотъемлемым компонентом глобальной кампании по обеспечению безопасности и конфиденциальности в Интернете «STOP. СЧИТАТЬ. ПОДКЛЮЧИТЬ. ™ ».

Соответствие GDPR США: определение конфиденциальности данных

Защита конфиденциальности данных – это раздел безопасности данных, связанный с надлежащей обработкой данных, включая согласие, уведомление и нормативные обязательства.Каждый человек имеет право на доступ и контроль всей личной информации, собираемой и хранимой компанией, и они могут отозвать свое согласие в любое время.

Хотя в нет федеральных законов США о конфиденциальности данных и централизованного агентства по защите данных в США, компании, работающие с клиентами, заказчиками и сотрудниками в Европейском Союзе, должны знать принципы, регулирующие Общий регламент защиты данных (GDPR). ). Европейский GDPR, вступивший в силу в 2018 году, заменил предыдущий Закон Великобритании о конфиденциальности данных и ввел новый набор руководящих принципов для обработки, обработки и хранения личных данных.Он требует от компаний, работающих с Европейским Союзом или внутри него, внедрять политики и процедуры защиты данных, обеспечивающие прозрачность и подотчетность. Требования к ведению записей различаются в зависимости от того, является ли компания, обрабатывающая данные, контролером (ответственным за определение цели и средств обработки персональных данных) или обработчиком (теми, кто обрабатывает данные от имени контролера).

Что касается данных сотрудников, то в соответствии с GDPR о конфиденциальности данных сотрудники должны знать:

Кто контролирует их данные
Цель обработки своих персональных данных (для чего собирается информация)
Любые изменения в их контракте, справочнике компании или обработке данных
Любые третьи стороны, получающие их данные, например, платежные ведомости
Их права на защиту данных в соответствии с GDPR, включая право отозвать согласие в любое время.

GDPR и компании с менее чем 250 сотрудниками: хотя требования GDPR не применяются для большинства компаний с менее чем 250 сотрудниками (за исключением компаний, обрабатывающих данные, относящиеся к уголовным обвинениям), все другие аспекты безопасности данных и необходимо соблюдать закон о конфиденциальности.

Защита и конфиденциальность данных: что представляют собой личные данные?

Персональные данные определены в GDPR как «любая информация, относящаяся к идентифицированному или идентифицируемому лицу, которое может быть идентифицировано по идентификатору, например, имени, идентификационному номеру, данным о местоположении, онлайн-идентификатору или одному или нескольким факторам. специфические для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица ».Сюда входят данные, которые обрабатываются в электронном виде, хранятся в файловой системе, включаются в доступную запись или хранятся государственным органом.

Что касается данных о сотрудниках, это может включать:

Резюме, ссылки и файлы приложений
Личные дела
Информация о заработной плате, включая налоговые и страховые данные
Медицинская карта
Трудовые договоры, компенсации и льготы
Анализ и оценка эффективности

Любая компания, которая собирает, хранит, собирает, организует, извлекает, раскрывает, передает или иным образом предоставляет личные данные сотрудника, находящегося в ЕС, должна гарантировать, что они применяют правильные меры GDPR для защиты конфиденциальности сбора данных сотрудников.

Как можно защитить данные сотрудников?

Что касается сотрудников, то ответственность за защиту и сохранность личных данных несет отдел кадров. В США несоблюдение стандартов, установленных Законом о справедливых и точных кредитных операциях (FACT Act) и Законом о справедливой кредитной отчетности (FCRA), может привести к серьезным штрафам. А для сотрудников, базирующихся в ЕС, менеджеры по персоналу также должны гарантировать, что все процессы обработки данных соответствуют GDPR.

Работодатели должны разработать четкие политики и процедуры, учитывающие эти правила и обеспечивающие их доступность для всех сотрудников.Эти политики должны регулировать все персональные данные, обрабатываемые и обрабатываемые компанией, и они должны регулярно пересматриваться и обновляться. Работодатели должны обеспечить тщательное и непрерывное обучение всего персонала, чтобы сотрудники знали о защите данных США и законах о безопасности, своих правах сотрудников GDPR и важности постоянного соблюдения процедур GDPR. Также должны быть приняты меры, гарантирующие безопасность хранимых данных, включая шифрование и выделенные серверы.

GDPR Хранение данных сотрудников: основные проблемы

Существует множество проблем, которые могут возникнуть в результате сохранения данных о сотрудниках. Всегда следует учитывать следующее:

Конфиденциальные личные данные: существуют дополнительные меры, которые необходимо учитывать при работе с конфиденциальными данными, такими как медицинские записи и выплаты сотрудникам. Эти меры направлены на охрану здоровья и безопасности и сокращение дискриминации. Прежде чем компания сможет обрабатывать и / или обрабатывать эти данные, необходимо предоставить явное согласие.

Набор персонала: как рекрутер может быть заманчивым собрать как можно больше информации о потенциальном кандидате. Не собирайте больше данных, чем вам нужно, и не храните информацию дольше, чем это необходимо.

Социальные сети: Используя социальные сети в качестве основы для принятия решений о приеме на работу, вы рискуете столкнуться с проблемами с защитой данных о сотрудниках и с дискриминацией. Четкая политика в отношении социальных сетей должна быть включена в общие процедуры защиты данных компании.

Мониторинг : Если вы отслеживаете электронную почту сотрудников или используете систему видеонаблюдения на рабочем месте, вы должны иметь возможность доказать, что у вас есть законное основание для этого. Персонал должен быть проинформирован и дать согласие, прежде чем к их компьютерам можно будет получить удаленный доступ. Если согласие не будет предоставлено, онлайн-мониторинг может быть классифицирован как взлом, уголовное преступление, влекущее за собой наказание.

Шаблон политики конфиденциальности данных сотрудников

Политика конфиденциальности составляет основу внутренних правил защиты данных компании.Он устанавливает права субъектов данных и обязанности работодателя и устанавливает ряд руководящих принципов, обеспечивающих соответствие данных стандартам GDPR. Хотя политики должны быть адаптированы к потребностям и требованиям каждой компании, есть определенные данные, которые следует включать для всех отраслей.

Хороший шаблон политики конфиденциальности должен включать следующее:

Краткое изложение политики и цель
Личность и контактные данные работодателя
Описание собираемых персональных данных
Цели обработки данных
Правовая основа, на которой будет производиться обработка
Кому передаются личные данные
Передаются ли личные данные в / из ЕЭЗ, и если да, то подробные сведения о мерах безопасности, которые применяются для защиты данных
Как долго будут храниться личные данные
Подробная информация о правах, которыми обладают сотрудники в отношении этих личных данных, включая право требовать от работодателя исправления неверной информации.Согласие сотрудника можно отозвать в любой момент.

Какие данные о сотрудниках могут храниться в компании по закону?

Работодатель может законно владеть следующими данными:

Личные данные (имя, адрес, семейное положение и т. Д.)
Раса, этническая принадлежность, политическая принадлежность и религия
Членство в профсоюзе
Биометрия, если ваши отпечатки пальцев используются для идентификации
Здоровье и состояние здоровья
Налоговый код и другая информация о заработной плате
Контактная информация для экстренных случаев
Трудоустройство в организации
Условия трудоустройства (включая оплату, часы работы, праздники, пособия, отсутствие)
Любые несчастные случаи или происшествия на рабочем месте
Подтверждение проведенного дождя
Любые дисциплинарные взыскания
Эксплуатационные обзоры

Работодатель может законно владеть следующими данными только с явного согласия работника:

Изображения с камеры или записи видеонаблюдения
Информация о программном обеспечении, которое поддерживает и анализирует использование Интернета и трафика электронной почты
Записи телефонных звонков или обмена мгновенными сообщениями
Удаленное управление всеми мобильными устройствами, такими как телефоны и ноутбуки
Отслеживание или данные о местоположении автомобилей или оборудования компании.

Каковы последствия в случае утечки данных?

Нарушение данных определяется как несанкционированный доступ, потеря, передача или уничтожение личных данных в результате нарушения безопасности. В зависимости от местоположения существуют различные последствия для обнаружения утечки данных. В Великобритании, например, об утечках данных необходимо сообщать в Комиссию по защите данных (DPC) в течение 72 часов. О нарушениях, связанных с личными данными, также необходимо уведомить субъект данных в те же сроки.

Последствия могут включать:

Судебное преследование: Закон о защите данных 2018 года содержит положения, квалифицирующие раскрытие личных данных как уголовное преступление. Наказания включают предупреждения, выговоры и штрафы.
Может быть наложен временный или постоянный запрет на обработку данных.
Значительная потеря дохода. Компании, которые сталкиваются с утечкой данных, часто теряют прибыль в краткосрочной и / или долгосрочной перспективе.
Утечка данных может негативно сказаться на репутации и бренде компании, а также на чистой прибыли.

Какие данные о сотрудниках можно, а какие нельзя раскрывать?

Как мы видели, GDPR регулирует личные данные в Европе. В США он также регулируется следующими организациями:

Закон о переносимости и подотчетности медицинского страхования (HIPAA), который направлен на защиту конфиденциальности информации о здоровье сотрудников.
Закон об американцах с ограниченными возможностями, который также требует от работодателей надежно и конфиденциально хранить информацию о здоровье сотрудников.
Закон о справедливой кредитной отчетности (FCRA), направленный на защиту конфиденциальности финансовых данных потребителей и сотрудников.
Закон о справедливых и точных кредитных операциях (Закон FACT)

Как правило, личные данные не могут быть раскрыты без явного согласия соответствующего сотрудника. Однако есть определенные обстоятельства, при которых данные сотрудников могут быть раскрыты без согласия:

Исполнение договора.
Соблюдение юридических обязательств (включая налоговые обязательства и обязательства по борьбе с мошенничеством).
Законные интересы работодателя.
Выполнение задачи в общественных интересах.
Проверка судимости.
Медицинские заключения (в нынешних условиях это может включать информацию о том, дал ли сотрудник положительный результат на COVID-19).

Что происходит с данными сотрудника, когда он увольняется из компании?

До сих пор мы разъяснили, что представляют собой персональные данные, какие законы регулируют обработку и обработку данных о сотрудниках, и как компании могут защитить эти правила и обеспечить их соблюдение.Но как насчет того, чтобы сотрудник уволился из компании? Какие требования предъявляет работодатель и какие данные необходимо утилизировать или хранить?

Прежде всего, хотя в нет минимальных или максимальных сроков хранения данных о сотрудниках , в законе говорится, что данные не должны храниться дольше, чем это необходимо. Продолжительность хранения данных зависит от многих факторов, включая тип данных и причины для хранения и обработки. Любые ненужные данные должны быть надежно уничтожены.Это относится как к электронным, так и к бумажным документам.

Существуют также другие юридические требования, которые необходимо учитывать:

Учет рабочего времени : должен храниться в течение двух лет.
Заработная плата: необходимо хранить в течение 3 лет с конца последнего налогового года по найму.
Записи о материнстве, отцовстве и совместной родительской оплате: должны храниться в течение 3 лет после окончания налогового года, в котором выплаты были прекращены.
Трудовая книжка: Как правило, трудовая книжка должна храниться не менее 6 лет на случай, если бывший сотрудник подаст иск в суд по трудовым спорам или иск о нарушении безопасности.

Помимо решения, какие данные следует хранить и какие данные следует уничтожить, ИТ-отдел должен обеспечить извлечение всех электронных устройств компании, включая телефоны, ноутбуки и планшеты, а также немедленное ограничение доступа к внутренним системам, процессам и документам.

Мы надеемся, что советы и рекомендации в этом посте помогут вам разработать и реализовать эффективную политику защиты данных, которая защитит данные всех ваших клиентов, заказчиков и сотрудников. Упреждающий практический подход к конфиденциальности данных поможет вашей компании обеспечить соответствие, избежать потенциально катастрофических утечек данных и продвигать бренд, основанный на доверии, прозрачности и подотчетности.

Автор Кэт Симондс; Под редакцией Таня Лесюк

«Согласие» сотрудника в соответствии с GDPR

В настоящее время многие компании полагаются на согласие своих сотрудников на обработку их личных данных, и для этой цели в трудовые договоры часто включаются короткие согласия.Преимущества этого подхода очевидны: вместо того, чтобы определять, какая правовая основа (из ряда потенциальных юридических оснований для обработки данных сотрудников) применима к каждой категории персональных данных сотрудников, работодатель может просто полагаться на все: включая согласие (см. Практическую записку , Обязательства работодателя в соответствии с Законом о защите данных 1998 г .: Приложение 2, условия ).

Однако такой подход уже сталкивался с рядом проблем. Например, еще в 2001 году Рабочая группа по статье 29 в своем Заключении 8/2001 (об обработке персональных данных в контексте занятости, WP48, 13 сентября 2001 г.) указала, что согласие будет жизнеспособным только в том случае, если сотрудники действительно свободный выбор и впоследствии могут отозвать свое согласие без ущерба.С тех пор некоторые органы по защите данных отклонили согласие в качестве основы для обработки личных данных сотрудников, и Управление комиссара по информации приняло такой же строгий подход в своих консультациях по проекту руководства по получению согласия в начале этого года, считая, что основанием для получения согласия является очень вероятно, будет неуместным в контексте занятости (см. Обновление законодательства, ICO консультируется по руководству по согласию GDPR ). Даже если работодатель действительно может полагаться на согласие, тот факт, что сотрудники могут отозвать свое согласие в любое время, означает, что работодателям потребуется структурировать централизованные методы обработки кадров для учета таких отзывов.

В соответствии с Общим регламентом по защите данных (GDPR) требования к действительному согласию были ужесточены. Согласие должно быть добровольным, конкретным, информированным и отзывным. GDPR прямо заявляет, что в случае дисбаланса сил между стороной, дающей согласие, и стороной, получающей его, согласие будет недействительным. В контексте занятости давно признано, что существует такой дисбаланс между работодателем и работником. Это означает, что работодателям действительно будет очень сложно полагаться на согласие на обработку персональных данных сотрудников в соответствии с GDPR.

Так что же должны делать работодатели вместо того, чтобы полагаться на согласие сотрудников на обработку их личных данных? Как отмечалось выше, согласие является лишь одним из ряда потенциальных правовых оснований для обработки персональных данных сотрудников. Поэтому работодателям необходимо будет рассмотреть, какая альтернативная правовая основа подходит для каждой категории личных данных сотрудников. Например, работодатели могут полагаться на обработку, необходимую для выполнения трудового договора, чтобы покрыть обработку данных банковских счетов служащих, которые они требуют для оплаты служащим.Возьмем другой пример: по закону работодатели обязаны обрабатывать данные об отсутствии по болезни, чтобы упростить выплату установленной законом выплаты по болезни, и существуют другие юридические обязательства, на которые работодатели могут полагаться, чтобы узаконить некоторые виды обработки ими личных данных сотрудников. Работодатели также могут обрабатывать личные данные, исходя из жизненно важных интересов сотрудника.

Однако в действительности правовая основа, к которой, вероятно, обратится большинство коммерческих работодателей, – это «законные интересы», то есть их законные интересы в обработке личных данных сотрудников перевешивают общие права сотрудников на неприкосновенность частной жизни.Это потенциально очень широкий охват и, без сомнения, получит гораздо большее значение в соответствии с GDPR.

Однако существуют ограничения на то, насколько далеко работодатели могут на законных основаниях расширять свои интересы. Во-первых, основание законных интересов не применяется к обработке, выполняемой органами государственного сектора при выполнении своих задач (в качестве альтернативы, они могут рассмотреть вопрос о том, оправдывает ли обработка на основе выполнения публичной функции обработку). Для работодателей из частного сектора, помимо того, что это строго необходимо для законных целей, обработка в соответствии с этой правовой базой должна соответствовать принципам соразмерности и субсидиарности.Таким образом, работодатели должны будут провести тест на соразмерность, чтобы определить, необходимы ли все собранные персональные данные, перевешивает ли обработка общие права на неприкосновенность частной жизни, которыми обладают сотрудники на рабочем месте, и какие меры необходимо принять, чтобы гарантировать, что нарушения права на частную жизнь и право на тайну общения ограничено необходимым минимумом.

Обработка, следовательно, должна быть не только законной, но также необходимой, соразмерной и осуществляться с наименьшим вмешательством.

Недавнее Мнение 2/2017 Рабочей группы по статье 29 (об обработке данных на работе, WP249, 8 июня 2017 г.) содержит несколько полезных примеров возможных ограничений этой правовой основы. Например, если работодатель развертывает инструмент предотвращения потери данных для автоматического отслеживания исходящей электронной почты сотрудников, чтобы предотвратить несанкционированную передачу конфиденциальных данных, чтобы полагаться на законные интересы, он должен будет, среди прочего, обеспечить, чтобы правила системы следует охарактеризовать электронную почту как потенциальную утечку данных, полностью прозрачную для сотрудников, и что сотрудники заранее предупреждаются, если инструмент распознает электронное письмо, которое должно быть отправлено, как возможное нарушение данных, чтобы дать отправителю возможность отменить это передача (см. Обновление законодательства, Статья 29 Рабочая группа принимает заключение по мониторингу сотрудников ).

Еще одним примером ограничения законных интересов является наличие у работодателя серверной комнаты, в которой хранятся конфиденциальные бизнес-данные, личные данные сотрудников и личные данные клиентов. Работодатель может полагаться на свои законные интересы в предотвращении несанкционированного доступа, потери или кражи данных при установке системы контроля доступа, которая записывает данные о входе и выходе сотрудников, при условии, что сотрудники были надлежащим образом проинформированы об обработке.Однако такой постоянный мониторинг не может быть оправдан, если эти данные также используются для других целей, например, для оценки работы сотрудников.

Итак, какие шаги работодатели должны предпринять сейчас, чтобы соответствовать GDPR? Прежде всего, компаниям необходимо проверить свои шаблоны документации сотрудников, такие как трудовые договоры и любые отдельные разрешения на обработку данных сотрудников.

Для новых сотрудников компании должны заменить язык согласия в этих документах новым языком, ссылаясь на одну или несколько альтернативных правовых основ, упомянутых выше.Для существующих сотрудников компаниям необходимо будет развернуть уведомления об обработке данных сотрудников, которые ссылаются на эти альтернативные правовые основы.

Наконец, работодатели должны осознавать, что их выбор правовой основы также может повлиять на права работников и их обязанности перед работниками. Согласно GDPR, права сотрудников в отношении их персональных данных расширяются и усиливаются; например, появились новые права на переносимость данных, о которых следует забыть (см. Практическое пособие , Права субъектов данных в соответствии с GDPR ).Однако первое право применяется только к данным, обрабатываемым с согласия, а второе право применяется, среди прочего, только в случае отзыва согласия.

Соответственно, опираясь на правовую основу «законных интересов», работодатель может уменьшить свои обязательства по соблюдению требований по отношению к своим сотрудникам. На самом деле у каждого облака есть серебряная подкладка!

Таким образом, вполне вероятно, что работодатели обратятся к «законным интересам» для обработки данных о сотрудниках в соответствии с GDPR.Чтобы убедиться, что такая обработка действительна, работодатели должны будут провести тесты соразмерности, чтобы установить, что: (i) все собранные персональные данные необходимы; (ii) обработка перевешивает общие права на неприкосновенность частной жизни, которыми обладают сотрудники на рабочем месте; и (iii) были приняты меры для обеспечения того, чтобы нарушения права сотрудников на личную жизнь и тайну общения были ограничены минимально необходимым.

Для получения дополнительной информации см. Практические заметки , Общие правила защиты данных ЕС: последствия для работодателей, и Согласие сотрудников в соответствии с GDPR.

Энн Бевитт

Защита данных на рабочем месте

Введение

Общие правила защиты данных (GDPR) вступили в силу в ЕС 25 мая 2018 г. Это постановление значительно увеличивает обязательства работодателей и обязанности в отношении того, как они собирают, используют и защищают личные данные.

Сотрудники должны понимать свои обязанности в соответствии с законом о защите данных. и работодатели должны иметь адекватные политики и процедуры защиты данных в место.Важно, чтобы организации рассказывали своим сотрудникам о GDPR и провести обучение по новым правилам.

В этом документе дается обзор некоторых основных обязательств для работодателей и излагает права сотрудников.

Правила

Ключевые условия GDPR включают:

Персональные данные : данные, относящиеся к прожиточному минимуму или позволяющие идентифицировать его лицо, либо само по себе, либо вместе с другой доступной информацией. Примеры включают имя человека, номер телефона, банковские реквизиты и медицинские история.

Субъект данных : лицо, к которому относятся личные данные. Временные работники, заемные работники и другие независимые подрядчики имеют право те же права, что и любой другой субъект данных в соответствии с GDPR.

Конфиденциальные данные (данные особой категории) : данные, относящиеся к данным расовое или этническое происхождение, политические взгляды, религиозные убеждения субъекта, членство в профсоюзах, здоровье, сексуальная ориентация и генетические или биометрические данные данные.Как правило, конфиденциальные данные не могут быть обработаны без данных. явное согласие субъекта, но работодатели могут обрабатывать конфиденциальные данные где это необходимо для выполнения трудового договора или выполнения коллективных договорные обязательства.

Контроллеры и процессоры данных : организации, которые собирают или использовать личные данные.
Обработка : любая операция или набор операций, которые выполняется в отношении личных данных, например, сбор, запись, организация, структурирование, хранение, адаптация или изменение, поиск, консультация, ограничение, стирание или уничтожение.

Права сотрудников

Сотрудники имеют ряд прав в соответствии с GDPR, включая право на:

Информация о сборе и обработке их личных данные
Доступ к личным данным и дополнительной информации, хранящейся о них у Контроллер данных
Исправить свои персональные данные ответственным за обработку данных, если персональные данные у них неточные или неполные
Удалить их персональные данные с помощью контроллера данных
Запретить контролеру данных обрабатывать свои данные, если они считают это является незаконным или данные неточные
Возражать против обработки их персональных данных в целях прямого маркетинга, научное или историческое исследование
Переносимость данных – это позволяет им получать данные от своего работодателя и использовать его повторно.

Узнать больше о своих правах согласно GDPR.

Обязанности работодателя

Как работодатель, вы должны быть прозрачными в отношении того, как вы используете и защита личных данных ваших сотрудников как внутри, так и за пределами организация. Вы должны нести ответственность за свою деятельность по обработке данных и сможете показать, насколько вы соблюдаете принципы защиты данных.

Вам следует провести инвентаризацию всех личных данных, которые вы храните. Ты затем проверьте его под следующими заголовками и убедитесь, что у вас есть необходимое согласие и правовое основание для обработки данных:

Почему вы его держите?
Как вы его получили?
Почему он был собран изначально?
Как долго вы его сохраните?
Насколько это безопасно с точки зрения шифрования и доступности?
Делитесь ли вы когда-либо с третьими лицами и на каких основаниях вы могли бы это делать? так?

Правовое основание (законная причина) для обработки персональных данные

Вашей организации необходима правовая основа (законная причина) для обработки личные данные сотрудника.Законные причины включают:

Сотрудник дал согласие на обработку
Обработка необходима для выполнения частей контракта сотрудника
Обработка необходима для принятия мер по запросу сотрудник до заключения договора. (Например, по вопросам оплаты труда в контексте занятости)
Выполнение юридического обязательства (например, законодательное требование для ведения учета сотрудников)
Обработка необходима для соблюдения жизненных интересов сотрудника.(Например, если история болезни человека раскрывается в больнице, где их лечат после серьезного ДТП)
В целях соблюдения законных интересов организации.

Согласие

Согласие является законным основанием для обработки данных сотрудников, и вам следует получить согласие, если ни одно из других правовых оснований не применимо. Ты должен быть осведомлены о ваших обязательствах при запросе согласия у сотрудников. GDPR гласит, что согласие должно быть « добровольно, конкретным, информированным и однозначный ’.Это означает, что субъект данных должен знать, что он соглашаются на обработку своих данных и не должны быть принуждены к давая согласие.

Прежде чем сотрудник даст согласие на обработку его данных, работодатель должны показать, что они рассказали сотрудникам, почему собираются их личные данные, и как с ней будут обращаться. Тишина, предварительно отмеченные флажки или бездействие не может быть воспринято как согласие. Субъект данных может отозвать согласие в любое время, и отозвать согласие должно быть так же легко, как и дать его.

Обучение GDPR и общение с сотрудниками и потенциальными сотрудники

Как работодатель вы должны информировать сотрудников о:

Какие личные данные вы будете собирать (или будут ли они собираться третье лицо)
Как будут обрабатываться данные
Почему будут обрабатываться данные

Вы можете разместить уведомление о защите данных в своем офисе, чтобы это обязательство.

Вы также должны иметь политику защиты данных и проводить обучение сотрудникам по GDPR.

GDPR требует, чтобы определенная информация была предоставлена кандидатам на работу, до того, как их личные данные будут собраны и обработаны. Эта информация должна быть ясным и доступным и может быть уведомлением о конфиденциальности на веб-сайте и письмом кандидат. Обучение сотрудников политикам защиты данных проводится один раз. кандидат – сотрудник.

Запросы на доступ к субъектам данных (DSAR)

Работодатели должны иметь процедуры реагирования на доступ к персональным данным заявки от сотрудников в течение 1 месяца.Это может быть продлено еще на 2 месяцев, если запросы сложные или многочисленные.

Обеспечительные обязательства

Данные должны быть защищены соответствующими техническими и организационными меры’. Данные должны храниться в безопасности, например, с помощью анонимности, шифрование, меры антивирусной безопасности или резервное копирование данных. Работодатели должны протестировать эти меры безопасности и показать, что они соблюдают Обязательства по безопасности GDPR.

Ведение учета и право на исправление

Организации должны хранить данные ровно столько времени, сколько требуется для завершения задача, для которой он был собран, или в соответствии с требованиями закона.Работодатели должны иметь действующая политика хранения и возможность обосновать, почему данные были сохранены.

Сотрудники имеют право знать, какие данные работодатель хранит о им, и они также имеют право исправлять эти данные. Что происходит с данные сотрудника при расторжении трудового договора должны быть задокументированы в кадровой политике.

Совместное использование и передача личных данных

Организации, использующие третьих лиц, такие как кадровые агентства или платежные ведомости поставщики, обрабатывающие данные о сотрудниках, будут нести ответственность за обеспечение третьего сторона соответствует GDPR, и у них должны быть соответствующие соглашения.Ты также должны соблюдать обязательства GDPR в отношении передачи данных за пределы ЕС.

Сотрудник по защите данных

Согласно GDPR некоторые организации должны назначить Должностное лицо, например, государственные органы и органы, правительство отделов, организаций, занимающихся крупномасштабной обработкой данных, и организации, обрабатывающие конфиденциальные данные или данные специальных категорий.

Сообщить о нарушениях

Вы должны сообщать об утечке данных в Комиссию по защите данных (DPC) в 72 часа после того, как стало известно о нарушении.Если не уведомить ЦОД в течение 72 часов, вы должны предоставить обоснование задержки. Нарушения, которые могут нанести вред субъект данных, например, о краже личных данных, также должен быть сообщен лицу обеспокоенный.

Штрафы

Важно, чтобы вы соблюдали законодательство и ставили адекватные действующие политики и процедуры. Ваша организация может быть проверена и может столкнутся со значительными штрафами, если ваши действия нарушают GDPR.

Как обращаться

Если у вас есть жалоба на обработку ваших персональных данных, Вам следует обратиться в ЦОД.Сайт – dataprotection.ie.

Куда обращаться

Комиссия по защите данных

21 Fitzwilliam Square South,
Дублин 2,
D02 RD28
Ирландия

Часы работы: 09:15 – 17:30 Пн – Чт, 09: 15-17: 15 Пятница

Тел .: +353 57 868 4800 / +353 0761 104800

Уведомление о конфиденциальности данных – конфиденциальность Microsoft

Мы собираем, используем и обслуживаем (совместно «обрабатываем») различные типы персональных данных о вас в процессе ведения нашего бизнеса.Если вы являетесь сотрудником, мы обрабатываем персональные данные о вас (и ваших иждивенцах, бенефициарах и других лицах, связанных с вашей работой) в первую очередь для управления нашими трудовыми отношениями с вами и взаимодействиями с вашими рабочими объектами / информационными системами. Если вы являетесь бывшим сотрудником, мы обрабатываем ваши персональные данные в первую очередь в целях соблюдения правовых норм. Если вы являетесь внешним сотрудником, тип обрабатываемых нами персональных данных ограничен тем, что необходимо для управления вашим взаимодействием с Microsoft и доступом к объектам и информационным системам Microsoft.Если вы являетесь кандидатом, тип персональных данных, которые мы обрабатываем, обычно ограничивается тем, что необходимо для взаимодействия с вами о карьерных возможностях Microsoft, рассмотрения вашего заявления о приеме на работу на определенные должности в Microsoft, включая отбор кандидатов, планирование собеседований и управление, законная проверка биографических данных и подключение вас к работе в Microsoft, если вы получите и примете предложение о работе у нас.

Персональные данные, которые мы обрабатываем, могут включать, помимо прочего, следующее:

Имя и контактные данные .Ваше имя и фамилия, идентификационный номер сотрудника, адрес электронной почты, почтовый адрес, номер телефона, фото, контактные данные получателя и экстренные связи, а также другие аналогичные контактные данные. Кроме того, вы можете предоставить Microsoft дополнительную контактную информацию, такую как личный (е) адрес (а) электронной почты и / или номер (а) сотового телефона.

Демографические данные . Ваша дата рождения и пол, а также более конфиденциальные личные данные (также известные как данные специальной категории), включая информацию, касающуюся расового и этнического происхождения, религиозных, политических или философских убеждений, членства в профсоюзе или информацию о вашем здоровье, инвалидности, сексуальной ориентации. , гендерная идентичность и трансгендерный статус.Мы также можем спросить о вашем родительском и военном статусе.

Мы обрабатываем эти персональные данные по разным причинам, и это будет зависеть от нашей юрисдикции. Наши причины для обработки этих данных включают:

Если это необходимо для соблюдения местных требований и применимого законодательства. Например, мы можем использовать эту информацию для соблюдения антидискриминационного законодательства и государственных обязательств по отчетности;
Для мониторинга и обеспечения разнообразия и равенства обращения и возможностей;
Для предоставления связанных с работой приспособлений или приспособлений, для предоставления медицинских и страховых пособий вам и вашим иждивенцам, а также для управления отсутствием на работе.

Если обработка этих персональных данных не требуется по закону, мы запросим ваше согласие на обработку ваших данных, и в механизме согласия мы четко объясним цели, для которых ваши данные будут использоваться. Это будет полностью добровольным, и вы можете решить, давать ли согласие или нет.

Национальные идентификаторы . Ваш национальный идентификатор / паспорт, статус гражданства, статус места жительства и разрешения на работу, номер социального страхования или другой идентификационный номер налогоплательщика / правительства.

Сведения о трудоустройстве . Ваша должность / должность, местонахождение офиса, трудовой договор, письмо с предложением, дата приема на работу, дата увольнения, история работы и дисциплинарные записи, отпуск, время по болезни и записи об отпусках / отпусках.

Информация о супругах / партнерах и иждивенцах . Имя и фамилия вашего супруга и иждивенцев, даты рождения и контактные данные.

Справочная информация . Ваша академическая и профессиональная квалификация, образование, CV / резюме, данные кредитной истории и судимости (используются для проверки биографических данных и проверки, где это допустимо и в соответствии с применимым законодательством и требованиями к консультациям).

Видео, голос и изображение . Мы можем собирать и использовать ваши видео-, голосовые и графические данные в соответствии с требованиями местного законодательства, внутренней политики и любых требований к консультациям с представителями работников (при необходимости).

Финансовая информация . Реквизиты вашего банковского счета, налоговая информация, зарплата, информация о пенсионном счете, надбавках компании и другая информация, необходимая для администрирования заработной платы, налогов и льгот.

Данные об обучении и навыках .Как описано в Приложении к данным об обучении и навыках.

Данные обратной связи и мнений . Ваши ответы на опросы сотрудников, такие как MSPoll и Daily Pulse, и отзывы, собранные о менеджерах и коллегах с помощью таких инструментов, как Manager Feedback и Perspectives.

Данные о рабочем месте, устройстве, использовании и содержимом . Данные приложения (например, данные из Office 365, Teams или Outlook), включая отправленные и полученные электронные письма, записи календаря, задачи, мгновенные сообщения, доступ к зданиям и информационной системе, использование устройств Microsoft, системы и приложений (включая телеметрию), когда доступ и использование корпоративных зданий и активов Microsoft.Обратите внимание: дополнительную информацию о конкретных типах данных, которые Microsoft может использовать для улучшения продукта, можно найти в нескольких ресурсах, включая приложение Microsoft Data Program (MDP) к этому DPN. Мы также можем собирать персональные данные о вас от третьих лиц или из открытых источников, если это необходимо для поддержки трудовых отношений или взаимодействия с вами в отношении возможностей трудоустройства в Microsoft. Например, до и во время вашей работы или назначения в Microsoft мы можем собирать информацию из общедоступных профессиональных сетевых источников, таких как ваш профиль LinkedIn, для целей найма.Мы также можем проводить законную проверку биографических данных, насколько это разрешено законом, через стороннего поставщика для получения информации о вашем прошлом образовании, работе, кредитоспособности и / или криминальном прошлом. В случае стихийного бедствия или другой чрезвычайной ситуации, связанной с жизнью / безопасностью, мы можем полагаться на общедоступные сообщения в социальных сетях или другие общедоступные источники, чтобы отчитаться о сотрудниках, если иным образом невозможно с ними связаться. Кроме того, если проводится расследование инцидента с участием сотрудников, мы можем получить информацию, имеющую отношение к инциденту, из внешних источников, включая частные лица, правоохранительные органы или источники новостей, а также общедоступные сообщения в социальных сетях.

В некоторых ограниченных обстоятельствах мы можем собирать личные данные для исследовательских целей или других целей, не связанных с трудоустройством, с вашего согласия.

Закон устанавливает ограничения на обработку персональных данных работодателями

Работодатели, особенно отделы кадров, обрабатывают персональные данные своих сотрудников по ряду различных причин, включая набор, хранение кадровых файлов и выплату заработной платы и бонусов. Помимо трудового законодательства, обработка личных данных сотрудников в Турции регулируется Законом No.6698 о защите личных данных.

После обзора юридических оснований для обработки данных о сотрудниках, в этой статье рассматриваются некоторые проблемы с данными о сотрудниках, часто встречающиеся на практике.

Правовые основания для обработки данных сотрудников

Согласно статье 5 закона, персональные данные, в том числе данные сотрудников, могут быть обработаны только на основании одного из следующих оснований:

Физическое лицо согласилось на обработку своих данных. или ее личные данные.
Обработка не является незаконной.
Обработка необходима для защиты жизни или физической неприкосновенности человека или другого лица, когда субъект данных физически или юридически неспособен дать согласие.
Обработка необходима и напрямую связана с исполнением или исполнением контракта, стороной которого является субъект данных.
Обработка является обязательной для контроллера данных для выполнения его / ее юридических обязательств.
Персональные данные были предоставлены общественности самим физическим лицом.
Обработка необходима для установления, использования или защиты права.
Обработка необходима для законных интересов контроллера данных при условии, что основные права и свободы человека не перевешиваются.

Обработка данных сотрудников, как правило, необходима для выполнения трудового договора, поскольку работодатели обязаны обрабатывать данные сотрудников для выполнения своих обязательств по этому контракту, таких как обработка данных банковских счетов своих сотрудников для выплаты заработной платы. .Еще одним распространенным правовым основанием является необходимость соблюдения юридического обязательства, когда трудовое законодательство прямо требует, чтобы работодатели обрабатывали данные о сотрудниках. Это касается хранения кадровых дел или подачи деклараций в учреждения социального обеспечения и уплаты соответствующих страховых взносов.

Если не существует ни одного из вышеуказанных правовых оснований, закон о защите данных в принципе разрешает обработку персональных данных на основании согласия человека, которое должно быть конкретным, информированным и свободно предоставленным.Однако маловероятно, что согласие, полученное от сотрудников, может считаться предоставленным свободно, поскольку сотрудники могут опасаться потерять работу или столкнуться с другими неблагоприятными последствиями, если они откажутся от согласия. Следовательно, явное согласие обычно не должно использоваться в качестве правовой основы для обработки данных о сотрудниках, учитывая характер отношений между работодателем и сотрудником.

Использование законного интереса в качестве законного основания для обработки возможно, если и когда работодатель может продемонстрировать такой законный интерес и обработка соответствует принципам соразмерности.Освобождение от законных интересов должно рассматриваться только как последнее средство, а это означает, что работодатели должны полагаться на это освобождение только в том случае, если другие правовые основания для обработки не применимы. Кроме того, это исключение требует проверки баланса между законными интересами работодателя и основными правами и свободами сотрудников, которые не должны подвергаться несоразмерному воздействию. Это может означать, что работодатель должен принять соответствующие меры для защиты прав своих сотрудников.

Проблемы, с которыми часто сталкиваются данные о сотрудниках

Обработка данных в процессе найма

В процессе найма работодателю важно иметь возможность оценить квалификацию кандидата и будет ли он хорош соответствовать предложенной должности, прежде чем принять решение о заключении трудового договора.Таким образом, хотя данные изначально представляются кандидатом на основе согласия, законный интерес работодателя и, если кандидат в конечном итоге будет принят на работу, выполнение контракта могут служить законным основанием для обработки личных данных кандидата на всем протяжении процесс найма. Но данные не должны обрабатываться или храниться сверх необходимого, особенно если кандидат не принят на работу в конце процесса. Кроме того, требуется отдельная оценка для передачи таких данных третьим лицам, включая компании группы.Совет по защите данных постановил, что:

Передача личных данных внутри компаний группы должна рассматриваться как передача третьим лицам, поэтому должны соблюдаться установленные законом условия для законной передачи данных.
Без явного согласия соискателей передача персональных данных внутри компаний группы посредством совместно используемой базы данных нарушает закон.

Использование информационных технологий

Новые технологии позволяют работодателям осуществлять мониторинг с помощью различных устройств, таких как настольные компьютеры, автомобили, мобильные телефоны и носимые устройства, используемые их сотрудниками.

Для обеспечения прозрачности и выполнения обязательства по предоставлению обязательной информации субъектам данных работодатели должны информировать своих сотрудников о существовании какой-либо деятельности по мониторингу. В этом контексте, в дополнение к информационному обязательству, важно определить ожидания сотрудников относительно того, как их деятельность будет отслеживаться на работе или дома.

Правовым основанием для обработки данных, выполняемой в рамках деятельности по мониторингу, часто является законный интерес работодателя.Действительно, работодатель имеет законный интерес в защите своего бизнеса от серьезных угроз, таких как предотвращение раскрытия конфиденциальной информации конкурентам. Однако использование этого правового основания требует проверки равновесия с учетом основных прав и свобод сотрудников, а также принятия соответствующих организационных мер. Перед любыми действиями по мониторингу работодатели должны рассмотреть, соразмерен ли предполагаемый мониторинг угрозам и проблемам, которые они пытаются решить, и можно ли применить другие менее интрузивные средства.

Политика защиты данных и конфиденциальности

Политика конфиденциальности

Компания Right To Play стремится защищать конфиденциальность личной информации своих сотрудников, волонтеров, участников, клиентов, спонсоров и других заинтересованных сторон. Мы ценим доверие тех, с кем имеем дело, и общественности, и признаем, что поддержание этого доверия требует, чтобы мы были прозрачными и подотчетными в том, как мы обрабатываем информацию, которой вы решите поделиться с нами.

В ходе проектов и мероприятий Right To Play часто собирает и использует личную информацию. Эта политика конфиденциальности описывает, как Right To Play собирает, использует и раскрывает личную информацию. Right To Play не продает, не обменивает или не сдает в аренду спонсоров, спонсоров или другие списки сбора средств.

Определение личной информации

Персональная информация – это любая информация, которая может быть использована для различения, идентификации или связи с конкретным лицом. Эта информация может включать в себя мнения или убеждения человека, а также факты о нем или связанные с ним.Исключения: деловая контактная информация и определенная общедоступная информация, такая как имена, адреса и номера телефонов, опубликованные в телефонных справочниках, не считаются личной информацией.

Информация, находящаяся в открытом доступе, не регулируется законодательством о конфиденциальности и как таковая не включена в данную политику.

Где Right To Play клиенты и клиенты используют свою домашнюю контактную информацию в качестве деловой контактной информации, Right To Play считает, что предоставленная контактная информация является деловой контактной информацией и поэтому не подлежит защите как личная информация.

Мы считаем, что информация о донорах и волонтерах всегда является личной информацией, и не раскрываем информацию о донорах или волонтерах без согласия.

Right To Play соблюдает следующие правила при сборе, хранении и использовании личной информации:

Согласие

Требуется согласие человека на сбор и предполагаемое использование личной информации при сборе информации. Согласие может быть явным или подразумеваемым и может быть предоставлено непосредственно физическим лицом или уполномоченным представителем.Выраженное согласие может быть дано устно, в электронном или письменном виде. Подразумеваемое согласие – это согласие, которое может быть обоснованно выведено из действия или бездействия человека. Прежде чем конфиденциальная информация будет передана третьим лицам, требуется согласие человека.

Файлы cookie

Веб-сайты Right To Play используют постоянные файлы cookie в посещаемых браузерах для включения функций веб-сайта и отслеживания производительности. В частности, файлы cookie используются следующими способами:

Сохранение и прекращение сеансов посетителей на сайте (например,грамм. сохранение данных между этапами процесса; и завершение сеанса после периода бездействия)
Сохранение настроек размера шрифта на сайте
Включение инструментов веб-аналитики (таких как Google Analytics, Clicktale и iPerceptions – см. ниже)

Файлы cookie используются анонимно и без личного хранения Идентифицируемая информация (PII). Посетители, желающие отказаться от файлов cookie, должны просмотреть справочную документацию по своему браузеру, чтобы отклонить или выборочно отклонить файлы cookie.Обратите внимание, что отказ от файлов cookie может отрицательно повлиять на производительность сайта.

Веб-страница и мобильная аналитика

Веб-сайт Right To Play использует Google Analytics и отслеживает эффективность. Аналитические приложения используют постоянные файлы cookie для отслеживания сеансов посетителей, посетителей в нескольких сеансах и источников перехода на наши сайты. Мы также отслеживаем эффективность рекламных ссылок на наш сайт с помощью аналитики. Информация, позволяющая установить личность (PII), никогда не передается в Google Analytics.Обратите внимание, что Google Analytics хранит свои данные в Соединенных Штатах Америки и подчиняется законам США. Мы используем эти данные, чтобы понять эффективность сайта, чтобы лучше обслуживать вас. Те, кто желает отказаться от сбора данных Google Analytics, должны использовать надстройку браузера для отключения Google Analytics.

Limited Collection

Сбор личной информации ограничен той, которая актуальна и необходима для наших программ и усилий по сбору средств. Компания Right To Play не должна делать необоснованные или назойливые запросы в отношении истории подарков или личной жизни дарителя или потенциального клиента.Right To Play атрибутирует все данные, которые он собирает.

Ограниченное использование, раскрытие и хранение

Личная информация не может использоваться или раскрываться для других целей, кроме тех, для которых она была собрана, кроме как с согласия физического лица или в соответствии с требованиями закона. Личная информация будет храниться только до тех пор, пока это необходимо для достижения этих целей.

Точность

Личная информация должна быть как можно более полной, точной и актуальной.Донорам рекомендуется просматривать, исправлять и обновлять личную информацию.

Гарантии безопасности

Личная информация, собранная Right To Play, должна храниться в тайне. Персоналу Right To Play разрешен доступ к личной информации только на основании их потребности в работе с информацией по причине (-ам), по которой она была получена.

Для обеспечения безопасности личной информации должны использоваться соответствующие физические и электронные средства. Доступ к записям доноров и волонтеров должен быть ограничен теми, кому такая информация требуется для выполнения своих должностных обязанностей.Особая защита должна быть обеспечена всем записям, относящимся к анонимным донорам. Конфиденциальность записей о донорах и волонтерах сохраняется после прекращения отношений с человеком.

Конфиденциальность

Доноры, которые просят, чтобы их имя и / или сумма подарка не разглашались публично, должны оставаться анонимными.

Открытость

По запросу физическим лицам будет предоставлен доступ к информации, содержащейся в их записях о донорах.

Дополнительную информацию о конфиденциальности и ваших правах в отношении вашей личной информации можно найти на веб-сайте Уполномоченного по вопросам конфиденциальности Канады по адресу www.priv.gc.ca и на веб-сайте Европейской комиссии по GDPR (Общие правила защиты данных) https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu -data-protection-rules_en

CCPA и данные сотрудников: контрольный список соответствия

Официально приводятся в движение в соответствии с Законом Калифорнии о защите прав потребителей. Первоначальный шестимесячный период отсрочки исполнения уже прошел, и генеральный прокурор Калифорнии Ксавье Бесерра ясно заявил о своих намерениях обеспечить соблюдение закона в максимальной степени.Инсайдеры говорят, что, несмотря на сбои в работе из-за COVID-19 и некоторые калифорнийские компании, настаивающие на дальнейшей отсрочке исполнения, генеральная прокуратура выпустила многочисленные уведомления о нарушениях по состоянию на начало июля. Десятки коллективных исков уже поданы в соответствии с законом о частных правах на иск. Ожидается, что деятельность CCPA усилится как в сфере регулирования, так и в судебных процессах, в то время как последняя оставшаяся задержка – включение данных о занятости, которые будут находиться в сфере действия прав доступа и удаления, – как ожидается, вступит в силу с января.1, 2021.

Уникальной особенностью CCPA является включение сотрудников в качестве «потребителей» и применение исключительно широкого определения личных данных, которые могут намного превосходить информацию, обычно содержащуюся в кадровой или трудовой книжке. Многие существующие федеральные и государственные правила конфиденциальности данных включают изъятия или исключения для информации, собранной в соответствии с Законом США о переносимости и подотчетности медицинского страхования, Законом о справедливых и точных кредитных операциях и Законом о недискриминации генетической информации, в качестве примеров и в рамках найма. опыт.Эти правила предусматривают индивидуальные права на эту личную информацию. Что касается другой информации, типичной для записей сотрудников (платежная ведомость, контактная информация, заявление и т. Д.), В Калифорнии уже действует трудовое законодательство (раздел 1198.5), предоставляющее нынешним и бывшим сотрудникам право проверять и получать копии своих кадровых записей. Это похоже на 19 других штатов (согласно Nolo.com), которые предоставляют сотрудникам доступ для просмотра и / или копирования их трудовых книжек, что может быть ограничено, например, ограничение Коннектикута на доступ к кадровым записям до двух раз в год.Более чем в половине штатов нет законов или нормативных актов в отношении доступа сотрудников к своим трудовым книжкам, не говоря уже о личной информации в таком широком объеме, как это определено в CCPA.

Если все пойдет так, как позволяет действующее законодательство, генеральный прокурор будет иметь право обеспечивать соблюдение нарушений, касающихся данных о занятости, начиная с 1 января 2020 года, считающегося периодом «ретроспективного анализа». Однако в результате недавнего изменения Закона Калифорнии о правах на неприкосновенность частной жизни в ноябре в Калифорнии было проведено голосование.Эта новая инициатива в области конфиденциальности направлена на дальнейшее продление моратория на данные о занятости, установленного ранее принятым Законопроектом 25 Ассамблеи CCPA, до 1 января 2023 года.

Эти события создают дополнительную нагрузку на компании, в которых работают сотрудники, проживающие в Калифорнии. Перед ними стоит сложная задача подготовки к поступлению данных о занятости, а также неопределенность в отношении того, будет ли соблюдение требований через пять месяцев или более двух лет.

Подготовка к этому аспекту CCPA включает в себя поиск информации о сотрудниках таким же образом, как это делается для информации о потребителях, и подготовку к реагированию на индивидуальные права в отношении этих данных.Как и данные о клиентах, данные о сотрудниках представляют собой обширную вселенную информации, обычно хранящуюся в цифровой и / или бумажной форме различными отделами в разных местах. Поиск, сбор, проверка и подготовка этих данных в ответ на запрос о правах может оказаться длительным и дорогостоящим процессом.

Несмотря на то, что предприятия знали об этом положении с момента принятия закона, большинство из них неохотно предпринимали усилия по подготовке или просто недооценивали подъем, необходимый для выполнения этих требований.Многие противники закона ожидали, что решение будет отложено или что закон будет пересмотрен, чтобы исключить информацию о сотрудниках, как мы теперь видели. CCPA была результатом упорной борьбы, и CPRA, вероятно, последует ее примеру. Потенциально сотни тысяч компаний будут подлежать включению данных о занятости. Хотя некоторые компании, возможно, предпринимали шаги по подготовке, пандемия COVID-19 почти наверняка затормозила или задержала прогресс в последние несколько месяцев.Тем не менее проблема и неопределенность остаются.

Благоразумная организация сейчас подготовится к поступлению данных о занятости в сферу охвата. Компании, не знающие, с чего начать, или нуждающиеся в реальной проверке, внедряют ли они дополнительные меры предосторожности и процессы, необходимые для правильного обращения с этим уникальным аспектом закона, могут воспользоваться контрольным списком ниже в качестве руководства.

Поддержка конфиденциальности и соблюдения нормативных требований. Если CPRA или другая поправка CCPA не будет принята позже в этом году (таким образом, изменяя текущие обязательства или продлевая мораторий CCPA), все аспекты CCPA будут применяться к нынешним, бывшим и потенциальным сотрудникам в начале 2021 года.Эти люди будут иметь право на доступ и удаление любых своих данных, которые больше не используются или не требуются для их работы. Если компания допустила халатность при соблюдении CCPA или столкнулась с утечкой данных, эти лица будут иметь право обратиться в суд за любым раскрытием их личных данных. В прошлом году генеральный прокурор Калифорнии опубликовал отчет независимой исследовательской фирмы Berkeley Economic Advising and Research, в котором говорится, что введение в действие CCPA для потребителей обойдется примерно в 55 миллиардов долларов.Выполнение этого для данных о занятости также потребует увеличения инвестиций в ресурсы, особенно для крупных работодателей, которые, вероятно, увидят значительный рост количества запросов после того, как права будут открыты для сотрудников.
Составьте карту. Информация о трудоустройстве охватывает нынешних и бывших сотрудников, а также соискателей работы. Он может распространяться среди различных систем или частично обрабатываться третьими сторонами. Соискатели могут заполнить онлайн-форму при подаче заявления, затем заполнить бумажные копии документов при приеме на работу и предоставить личную информацию в различных местах – для обзоров производительности, бонусов, зачисления на льготы и т. Д. – в течение всего срока своей работы.Надлежащая защита этой информации означает, что сначала нужно знать, где она создается, а также где и как хранится. Когда люди начнут подавать индивидуальные запросы о правах, компаниям придется полагаться на актуальные карты данных и инвентаризацию, чтобы гарантировать, что они смогут найти полный объем рассматриваемой информации и адекватно ответить.
Учитывайте уникальную чувствительность. В то время как большая часть повышения конфиденциальности данных о сотрудниках будет такой же, как и для данных о потребителях, информация о занятости приносит уникальную чувствительность.Сотрудники могут неохотно реализовывать свои личные права в отношениях с работодателями из опасений, что они могут непреднамеренно поставить под угрозу свою репутацию перед начальством. В тяжелых случаях люди могут разрываться между использованием своих прав на неприкосновенность частной жизни и возложением на своего работодателя дополнительной нагрузки или юридической ответственности. Для компаний важно решать эти проблемы напрямую и включать в свои процессы шаги, которые облегчат нагрузку на сотрудников и тех, кто выполняет эти новые запросы доступа.Работодатели должны понимать, что если раньше данные о занятости считались собственностью компании, то в Калифорнии это уже не так.
Создайте повторяющийся процесс. Надежные процессы – ключ к поддержанию и демонстрации соблюдения конфиденциальности данных. При построении процессов на основе данных о сотрудниках юридические и комплаенс-группы должны учитывать множество факторов, в том числе о том, как безопасно предоставлять запрошенные данные в электронном виде, документировать существующие средства контроля для защиты конфиденциальной информации, как выполняются запросы и правовые параметры, когда определенные запросы данных могут или должны быть отклонены.Данные о сотрудниках для одного человека могут также содержать конфиденциальную информацию для другого сотрудника. Должны быть внедрены процессы, гарантирующие, что все конфиденциальные данные, которые не имеют отношения к сотруднику, запрашивающему информацию, полностью отредактированы.
План на случай непредвиденных обстоятельств нарушений и судебных исков. Утечки данных – это факт ведения бизнеса. Хотя нарушение может нанести серьезный ущерб компании, бизнес может довольно быстро вернуться в нормальное состояние, если инцидент будет надлежащим образом обработан. Теперь, когда судебные иски, связанные с нарушением личных данных граждан Калифорнии, также становятся фактом ведения бизнеса, применяется тот же принцип.Нарушение данных о занятости может поставить работодателей и сотрудников в затруднительное положение, но если проблема будет решена с использованием передовых методов, от этого выиграют все. Усилия по обеспечению соблюдения конфиденциальности данных должны включать планы реагирования на инциденты, связанные с утечкой данных и увеличением числа судебных исков, а также учитывать дополнительную чувствительность, которая может возникнуть, если в судебных процессах участвуют сотрудники.