GDPR in HR: Notificări privind informarea angajaților privind datele personale
4 minute • Ana-Maria Udriste • 27 aprilie 2018
Regulamentul general privind protecția datelor (“GDPR“) intră în vigoare în mai puțin de două luni. Din perspectiva resurselor umane, aceasta impune obligații asupra datelor cu caracter personal pentru orice angajator american, european sau alt angajat cu personal din cadrul UE. Nerespectarea regimului GDPR poate duce la amenzi semnificative (4% din cifra de afaceri a companiei sau 20 milioane de euro, oricare este mai mare) și întreruperea semnificativă a afacerii dvs. Sunteţi gata?
Toată seria noastră de articole step-by-step despre GDPR o găsiți aici.
GDPR cere angajatorilor să furnizeze informații forței de muncă (ITM), în special cu privire la datele personale (informațiile angajaților) pe care angajatorul le deține despre ele, modul în care acestea sunt utilizate și cu cine sunt împărtășite aceste informații.
1. Oferim deja personalului o notificare privind confidențialitatea în conformitate cu legile existente privind protecția datelor. E suficient?
Nu. GDPR impune noi cerințe angajatorilor. Angajatorii trebuie să furnizeze informații mai detaliate decât cele solicitate în prezent în legislațiile UE existente privind protecția datelor. Angajatorii trebuie, de asemenea, să se asigure că notificările lor privind confidențialitatea reflectă cu acuratețe activitățile lor de prelucrare a datelor privind forța de muncă.
2. Notificarea noastră privind confidențialitatea este foarte lungă și complexă. E o problemă?
Da. Ar trebui să vă asigurați că notificările privind confidențialitatea sunt concise, ușor de înțeles, accesibile și să utilizați un limbaj clare și accesibil. Este dificil să se concilieze cu obligația menționată anterior de a oferi informații detaliate. O modalitate de a face acest lucru este să adoptați o abordare “stratificată” – adică puteți avea o notificare de confidențialitate scurtă care să indice doar informațiile cheie privind confidențialitatea, cu link-uri către informații mai detaliate în altă parte pentru cei care o doresc. O altă modalitate este să aveți o notificare diferită privind confidențialitatea pentru fiecare tip de persoană vizată. Pentru personal, puteți prezenta informațiile într-un format Q & A.
3. Cum ar trebui să transmit notificarea de confidențialitate personalului meu?
Angajatorii pot furniza notificările de confidențialitate personalului lor în orice modalitate consideră a fi potrivită. De exemplu, notificarea privind confidențialitatea ar putea fi inclusă în fluturașele de salariu, dată o întâlnire cu confirmare de primire sau comunicată electronic prin intermediul intranetului companiei sau prin e-mail. În general, nu am recomanda pur și simplu postarea pe panouri publicitare într-o zonă publică, deoarece acest lucru nu poate documenta suficient că informațiile au fost furnizate tuturor angajaților. O abordare combinată între cele de mai sus ar putea fi necesară pentru a se asigura că notificată de confidențialitate este văzută de întreg personalul, pentru că unii, de exemplu, nu au acces ușor la e-mailuri.
4. Pot folosi o notificare de confidențialitate pentru toate categoriile de personal din afacerea mea?
Ar trebui să vă gândiți dacă este potrivit să aveți diferite notificări de confidențialitate personalizate pentru diferite tipuri de angajați din afacerea dvs. Acest lucru vă va ajuta să respectați cerința ca notificările de confidențialitate să fie concise. Ar fi o bună practică, de exemplu, să aveți în vedere să aveți o notificare de confidențialitate pentru angajații și consultanții dvs. și o notificare separată privind confidențialitatea pentru potențialii candidați care aplică, unde un angajator procesează în mod obișnuit mai puține categorii de date.
5. Nu în ultimul rând, ce informații trebuie să ofer personalului meu?
Articolul 13 din GDPR cere ca diferite tipuri de informații să fie furnizate persoanelor vizate (angajați și alte persoane), inclusiv următoarele:
- numele și datele de contact ale angajatorului și datele de contact ale responsabilului cu protecția datelor (dacă este cazul),
- scopurile și temeiul juridic al procesării,
- categoriile de date cu caracter personal în cauză,
- destinatarii datelor cu caracter personal ale personalului și, în cazul în care aceste date sunt transferate în afara SEE, măsurile de protecție pentru protejarea acestor transferuri,
- perioadele de reținere pentru astfel de date,
- detalii privind drepturile persoanelor vizate (inclusiv, printre altele, drepturile de a corecta și de a accesa informațiile lor și de a solicita ștergerea acestora) și
- dreptul de a depune o plângere la o autoritate de protecție a datelor.
