Семь основных обязательств, касающихся конфиденциальности данных сотрудников
Рехан Джалил — генеральный директор компании SECURITI, занимающейся инфраструктурой кибербезопасности и защиты данных, и бывший глава подразделения Symantec по безопасности облачных вычислений.
gettyПерсональные данные сотрудников регулируются множеством законов и правил. Чтобы избежать юридических «взрывов», компания должна знать свои обязательства в каждом штате и стране, в которых она работает, и применять соответствующие меры контроля конфиденциальности и безопасности.
Как правило, законы о конфиденциальности применяются к информации, позволяющей установить личность, такой как имя, адрес, номер телефона, дата рождения, номер социального страхования и так далее. В Соединенных Штатах несколько федеральных законов защищают определенные типы личной информации. Эти законы включают в себя Закон о переносимости и подотчетности медицинского страхования (HIPAA), Закон об американцах с ограниченными возможностями, Закон о достоверной кредитной отчетности (FCRA) и Закон о честных и точных кредитных сделках (Закон FACT).
В Европе Общее положение о конфиденциальности данных (GDPR) обеспечивает защиту конфиденциальности конфиденциальной информации, такой как раса, этническая или национальная принадлежность, политические взгляды или ассоциации, членство в профсоюзе, сексуальная ориентация, семейное положение, информация, связанная со здоровьем, и криминальное прошлое.
В некоторых штатах, особенно в Калифорнии, приняты более строгие и всеобъемлющие законы о конфиденциальности.
Вот основные обязательства, которые каждая организация должна включить в свои внутренние программы обеспечения конфиденциальности данных.
БОЛЬШЕ ОТ FORBES ADVISOR
1. Ознакомьтесь с законами о конфиденциальности, применимыми к сотрудникам.
Определение законов и знание того, какие права сотрудников они защищают, является основной обязанностью любой компании. Для предприятий с глобальными операциями это обязательство становится монументальной задачей.
Чтобы соответствовать глобальным нормам, предприятия должны создать меры безопасности и методы обеспечения конфиденциальности, которые гарантируют соблюдение законов в каждой стране, где они работают.
2. Обоснование сбора и обработки персональных данных.
Как правило, компании могут собирать и обрабатывать только те личные данные сотрудников, которые необходимы и имеют отношение к их работе. Типичные данные о сотрудниках включают резюме, рекомендации, информацию о заработной плате, медицинские карты, трудовые договоры, компенсации и льготы, а также обзоры производительности.
GDPR ЕС определяет персональные данные как информацию о человеке «со ссылкой на идентификатор, такой как имя, идентификационный номер, данные о местонахождении, онлайн-идентификатор или на один или несколько факторов, характерных для физических, физиологических, генетических, психическая, экономическая, культурная или социальная идентичность этого физического лица».
3. Внедрение формальных политик и процедур согласия
Компании должны раскрывать сотрудникам информацию о том, как они собирают, обрабатывают и передают свои персональные данные Лучший способ сделать это — использовать прозрачные формальные политики согласия, которые легко доступны и понятны а также соответствует всем применимым законам.
Эти политики следует регулярно пересматривать и обновлять. Компании обязаны проводить тщательное и постоянное обучение, чтобы сотрудники понимали свои права на защиту данных.
4. Выполнять запросы DSR в установленные сроки.
Компании должны своевременно выполнять запросы сотрудников о правах субъектов данных (DSR), в противном случае им грозят штрафы и возможные судебные иски.
В соответствии с GDPR DSR включают право на получение информации, право на доступ, право на удаление, право запрашивать исправления, право на возражение, право на ограничение обработки, право на переносимость данных и право на возражение к автоматизированному принятию решений. Калифорнийский закон о конфиденциальности потребителей (CCPA) предлагает аналогичную защиту людям.
5. Аудит всей обработки персональных данных.
Выявляйте данные о сотрудниках, хранящиеся в вашей системе управления персоналом, и создавайте записи обо всех действиях, таких как набор персонала, адаптация и управление льготами, где обрабатываются данные сотрудников.
6. Защищайте данные сотрудников и незамедлительно уведомляйте их об утечке данных.
Чтобы соответствовать законам о конфиденциальности, таким как GDPR и CCPA, компании должны принять соответствующие меры безопасности для защиты данных своих сотрудников.
В случае доступа, получения или компрометации данных сотрудников в результате нарушения безопасности компания должна уведомить пострадавших сотрудников и/или регулирующие органы в установленные сроки.
7. Контролировать доступ к личной информации.
Убедитесь, что только авторизованные пользователи в вашей организации могут получить доступ к информации о сотрудниках.
Хотя нарушения конфиденциальности данных клиентов часто попадают в заголовки газет, конфиденциальность данных сотрудников является новой областью потенциальной ответственности и риска для организаций. Примите во внимание эти семь обязательств при разработке программы, процессов и процедур конфиденциальности данных сотрудников. Соблюдение этих правил поможет держать регуляторов в страхе.
В современной бизнес-среде очень важно, чтобы лидеры были хорошо оснащены для защиты и надлежащего обращения с личной информацией сотрудников.
Технологический совет Forbes — это сообщество только по приглашению для ИТ-директоров, технических директоров и технических руководителей мирового класса. Имею ли я право?
Законы США о конфиденциальности данных сотрудников. Вы в курсе?
Вопросы конфиденциальности данных влияют на большинство видов деятельности отдела кадров, включая обработку данных, подбор персонала, мониторинг производительности и обработку отзывов. Это особенно актуально в наш век цифровых и технологических достижений. Для менеджера по персоналу крайне важно внедрить в своей компании системы и процессы для защиты конфиденциальных данных сотрудников, обеспечив их соответствие государственным, местным и международным законам о защите данных.
В этом посте мы рассмотрим регламент GDPR и то, как Закон о защите данных влияет на работодателей в США. Мы также обсудим лучшие методы защиты личных данных сотрудников и советы по обеспечению соблюдения конфиденциальности на всех уровнях вашей компании.
- Обзор конфиденциальности данных [День конфиденциальности данных]
- Ответственность отдела кадров в отношении защиты данных
- США Защита данных и конфиденциальность
- Защита данных сотрудников
- Передовые методы защиты данных сотрудников
- Типы данных, которые компания может хранить на законных основаниях и которые не могут
- Что происходит к данным сотрудника после того, как он покидает компанию ?
- Факториал для управления документами ✅
Давайте начнем с любопытного события, которое происходит каждый год в мире GDPR и данных о сотрудниках.
День конфиденциальности данных 2020
День конфиденциальности данных — это глобальное ежегодное мероприятие, цель которого — повысить осведомленность о важности конфиденциальности и защиты данных . Кампания пропагандирует передовой опыт в области конфиденциальности и защиты данных и нацелена как на частных лиц, так и на предприятия .
Мероприятие впервые было отмечено в Северной Америке 28 января 2008 г. как продолжение существующего в Европе Дня защиты данных. Дата совпадает с подписанием в 1981 году договора Совета Европы о защите данных, известного как «Конвенция 108», который следует технологически нейтральному, основанному на принципах подходу к защите права человека на неприкосновенность частной жизни.
Каждый год в этот день правительства и национальные органы по защите данных запускают кампании, конференции и мероприятия открытых дверей, чтобы информировать общественность об их правах на защиту личных данных и конфиденциальность. Помимо широкой публики, кампании также часто нацелены на тех, кто работает в сфере образования и тех отраслях, которые в значительной степени зависят от обработки данных.
Мероприятие дает предприятиям возможность переоценить способы сбора, обмена и использования данных, а также улучшить внутренние процессы, чтобы предотвратить использование, неправомерное использование или потерю ценных данных. В США и Канаде Мероприятие проводится Национальным альянсом по борьбе с киберпреступностью (NCSA), некоммерческой организацией, занимающейся продвижением более безопасного и надежного Интернета. Кампания NCSA по повышению осведомленности о конфиденциальности является неотъемлемым компонентом глобальной онлайн-кампании по безопасности, защите и конфиденциальности «STOP. ДУМАТЬ. СОЕДИНИТЕ™».
Соответствие GDPR США: Определение конфиденциальности данных
Защита конфиденциальности данных — это область безопасности данных, связанная с надлежащим обращением с данными, включая согласие, уведомление и нормативные обязательства. Каждый человек имеет право на доступ и контроль всей личной информации, собираемой и хранимой компанией, и может отозвать свое согласие в любое время.
Хотя в США нет федеральных законов о конфиденциальности данных и , в США нет централизованного агентства по защите данных , компании, которые работают с клиентами, заказчиками и сотрудниками в Европейском союзе, должны знать принципы, регулирующие Общий регламент по защите данных (GDPR). Европейский GDPR, вступивший в силу в 2018 году, заменил предыдущий Закон о конфиденциальности данных UKData и представил новый набор руководящих принципов для обработки, обработки и хранения персональных данных. Он требует, чтобы компании, работающие в Европейском Союзе или в пределах Европейского Союза, внедряли политики и процедуры защиты данных, обеспечивающие прозрачность и подотчетность. Требования к ведению учета различаются в зависимости от того, является ли компания, обрабатывающая данные, контролером (отвечающим за определение цели и средств обработки персональных данных) или процессор (те, которые обрабатывают данные от имени контроллера).
Что касается данных о сотрудниках, GDPR устанавливает, что сотрудники должны знать:
- Кто является контролером их данных
- Цель обработки их персональных данных (для чего собирается информация)
- Любые изменения в их договоре, руководстве компании или обработке данных
- Любые третьи стороны, которые получают их данные, например поставщики платежных ведомостей
- Их права на защиту данных в соответствии с GDPR, включая их право отозвать согласие в любое время.
Общего регламента по защите данных и компаний с числом сотрудников менее 250: несмотря на то, что требования GDPR по ведению учета не применяются для большинства компаний с числом сотрудников менее 250 (за исключением компаний, обрабатывающих данные, касающиеся судимостей), все остальные аспекты безопасности данных и закон о конфиденциальности должен соблюдаться.
Защита данных и конфиденциальность: что представляют собой личные данные?
Персональные данные определяются в GDPR как «любая информация, относящаяся к идентифицированному или идентифицируемому лицу, которое может быть идентифицировано посредством ссылки на идентификатор, такой как имя, идентификационный номер, данные о местонахождении, онлайн-идентификатор или на один или несколько факторы, характерные для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица». Сюда входят данные, которые обрабатываются в электронном виде, хранятся в файловой системе, включаются в доступную запись или хранятся в государственном органе.
Что касается данных о сотрудниках, это может включать:
- Резюме, рекомендации и файлы приложений
- Личные дела
- Информация о заработной плате, включая налоговые и страховые данные
- Медицинские файлы
- Em трудовые договоры, компенсации и льготы
- Проверки и оценки эффективности
Любая компания, которая собирает, хранит, собирает, систематизирует, извлекает, раскрывает, передает или иным образом предоставляет персональные данные сотрудника, находящегося в ЕС, должна убедиться, что она реализует надлежащие меры GDPR для сотрудника защита конфиденциальности сбора данных.
Как защитить данные сотрудников?
Когда речь идет о сотрудниках, ответственностью отдела кадров является защита и защита персональных данных. В США несоблюдение стандартов, установленных Законом о честных и точных кредитных сделках (Закон FACT) и Законом о достоверной кредитной отчетности (FCRA), может привести к серьезным штрафам. А для сотрудников, базирующихся в ЕС, менеджеры по персоналу также должны обеспечить соответствие всех процессов обработки данных GDPR.
Работодатели должны разработать четкие политики и процедуры, учитывающие эти правила и обеспечивающие их доступность для всех сотрудников. Эти политики должны регулировать все личные данные, обрабатываемые и обрабатываемые компанией, и они должны регулярно пересматриваться и обновляться. Работодатели должны обеспечить тщательное и непрерывное обучение всех сотрудников, чтобы сотрудники были осведомлены о защите данных США и законах о безопасности, своих правах сотрудников GDPR и важности соблюдения процедур GDPR в любое время. Также должны быть приняты меры, гарантирующие безопасность хранимых данных, включая шифрование и специальные серверы.
GDPR Хранение данных сотрудников: основные проблемы
Существует множество проблем, которые могут возникнуть в результате сохранения данных сотрудников. Необходимо постоянно учитывать следующее:
Конфиденциальные личные данные: существуют дополнительные меры, которые необходимо учитывать при работе с конфиденциальными данными, такими как медицинские записи и льготы для сотрудников. Эти меры направлены на защиту здоровья и безопасности и снижение дискриминации. Явное согласие должно быть предоставлено, прежде чем компания сможет обрабатывать и/или обрабатывать эти данные.
Вербовка: как рекрутер может возникнуть соблазн собрать как можно больше информации о потенциальном кандидате. Не собирайте больше данных, чем вам нужно, и не храните информацию дольше, чем это необходимо.
Социальные сети: Используя социальные сети в качестве основы для принятия решений о трудоустройстве, вы рискуете столкнуться с проблемами с защитой данных сотрудников и дискриминацией. Четкая политика в отношении социальных сетей должна быть включена в общие процедуры компании по защите данных.
Мониторинг : Если вы отслеживаете электронную почту сотрудников или используете систему видеонаблюдения на рабочем месте, вы должны быть в состоянии доказать, что у вас есть для этого законные основания. Персонал должен быть проинформирован и дать согласие на удаленный доступ к своим компьютерам. Если согласие не предоставлено, онлайн-мониторинг может быть классифицирован как хакерство, уголовное преступление, влекущее за собой наказание.
Шаблон политики конфиденциальности данных сотрудников
Политика конфиденциальности составляет основу внутренних правил компании по защите данных. В нем излагаются права субъектов данных и обязанности работодателя, а также устанавливается ряд руководящих принципов, обеспечивающих соответствие данных стандартам GDPR. Хотя политика должна быть адаптирована к нуждам и требованиям каждой компании, есть определенные данные, которые должны быть включены для всех отраслей.
Хороший шаблон политики конфиденциальности должен включать следующее:
- Краткое изложение политики и цель
- Личность и контактные данные работодателя
- Описание собираемых персональных данных
- Цели обработки данных
- Правовая основа, на которой будет осуществляться обработка
- Кому передаются персональные данные
- Передаются ли персональные данные в/из ЕЭЗ, и если да, то подробности о мерах безопасности, которые существуют для защиты безопасности данных
- Как долго будут храниться личные данные
- Подробная информация о правах сотрудников в отношении этих личных данных, включая право требовать от работодателя исправления любой неверной информации. Согласие работника может быть отозвано в любое время.
Передовые методы защиты данных сотрудников
Как сотрудник отдела кадров вы можете внедрить ряд передовых методов для постоянного мониторинга и улучшения методов защиты данных сотрудников:
- Разработайте эффективные административные , технические и физические меры безопасности данных для всех сфер бизнеса. Убедитесь, что все области осведомлены о требованиях соответствия.
- Вместе со своим ИТ-отделом и старшими менеджерами разработайте и внедрите ряд политик для обработки, хранения и доступа к личным данным сотрудников. Регулярно просматривайте и обновляйте политики, чтобы убедиться, что они соответствуют самым последним передовым методам обеспечения безопасности.
- Ограничить доступ по принципу «служебной необходимости» . Периодически проверяйте, кто имеет доступ к конфиденциальной информации, и проверяйте, является ли доступ разрешенным и необходимым.
- Работайте со своей командой безопасности , чтобы разработать и понять реакцию вашей компании на инциденты. С учетом сказанного, это должно быть сделано для каждой области, на которую влияют проблемы конфиденциальности (например, использование Интернета, социальные сети, конфиденциальность, информационная безопасность и хранение/уничтожение документов).
- Убедитесь, что все сотрудники осведомлены о процедурах защиты данных. Убедитесь, что у них есть доступ ко всем политикам, и дайте согласие на обработку их данных.
- Обучение сотрудников и менеджеров важности соблюдения правил ведения учета. Кроме того, они должны знать о риске фишинговых писем, интеллектуального анализа данных и конфиденциальности, а также нарушений безопасности.
- Всегда шифруйте свои данные .
- Убедитесь, что вы храните только те данные, которые необходимы для вашего бизнеса.
- Обучение высшего руководства , чтобы они могли способствовать продвижению культуры, ориентированной на безопасность, чтобы защита данных сотрудников находилась на переднем крае каждого процесса и процедуры.
Как хранить конфиденциальные данные
Когда речь идет о защите данных, часто упускают из виду фактор хранения. Согласно GDPR, персональные данные должны храниться в течение как можно более короткого времени. Этот период должен учитывать причины, по которым вашей компании/организации необходимо обрабатывать данные. Кроме того, любые юридические обязательства по хранению данных в течение фиксированного периода времени (например, национальные законы о труде, налогах или борьбе с мошенничеством, требующие от вас хранить личные данные о ваших сотрудниках в течение определенного периода).
Данные должны храниться на защищенном сервере, и, хотя шифрование не является обязательным, оно настоятельно рекомендуется. Используя безопасную и защищенную систему управления документами, вы можете легко и надежно управлять всеми документами вашей компании и сотрудников и эффективно защищать свои данные. К данным можно легко получить доступ и проверить, что помогает компании достичь своей общей цели соответствия.
Какие данные сотрудников может хранить компания на законных основаниях?
Работодатель может законно хранить следующие данные:
- Личные данные (имя, адрес, семейное положение и т. д.)
- Раса, этническая принадлежность, политическая принадлежность и религия
- Членство в профсоюзе отпечатки пальцев используются для идентификации
- Здоровье и медицинские условия
- Налоговый код и другая информация о заработной плате
- Контактные данные в экстренных случаях
- Трудовой стаж в организации
- Условия найма (включая оплату, продолжительность рабочего времени, отпуска, льготы, отсутствия)
- Любые несчастные случаи или инциденты на рабочем месте
- Документация о предпринятом дожде
- Любое дисциплинарное взыскание
- Обзоры производительности
Работодатель может законно хранить следующие данные только с явного согласия работника:
- Изображения с камер или записи видеонаблюдения
- Информация о программном обеспечении, которое поддерживает и анализирует использование Интернета и трафика электронной почты
- Записи телефонных звонков или обмена мгновенными сообщениями
- Удаленное управление всеми мобильными устройствами, такими как телефоны и ноутбуки
- Отслеживание или данные о местоположении автомобилей или оборудования компании.
Каковы последствия утечки данных?
Нарушение данных определяется как несанкционированный доступ к личным данным, их потеря, передача или уничтожение в результате нарушения безопасности. В зависимости от местоположения существуют различные последствия обнаружения утечки данных. В Великобритании, например, об утечке данных необходимо сообщать в Комиссию по защите данных (DPC) в течение 72 часов. О нарушениях, связанных с персональными данными, также должно быть сообщено субъекту данных в те же сроки.
Последствия могут включать:
- Судебное преследование: Закон о защите данных 2018 года содержит положения, квалифицирующие раскрытие персональных данных в определенных случаях как уголовное преступление. Наказания включают предупреждения, выговоры и штрафы.
- На обработку данных может быть наложен временный или постоянный запрет.
- Значительная потеря дохода. Компании, которые сталкиваются с утечкой данных, часто теряют прибыль в краткосрочной и/или долгосрочной перспективе.
- Утечка данных может негативно сказаться на репутации и бренде компании, а также повлиять на прибыль.
Какие данные сотрудников могут и не могут быть раскрыты?
Как мы видели, GDPR регулирует персональные данные в Европе. В США это также регулируется следующими организациями:
- Закон о переносимости и подотчетности медицинского страхования (HIPAA), который направлен на защиту конфиденциальности информации о здоровье сотрудников.
- Закон об американцах с ограниченными возможностями, который также требует от работодателей безопасного и конфиденциального хранения информации о здоровье сотрудников.
- Закон о справедливой кредитной отчетности (FCRA), который направлен на защиту конфиденциальности финансовых данных потребителей и сотрудников.
- Закон о честных и точных кредитных сделках (Закон FACT)
Как правило, личные данные не могут быть раскрыты без явного согласия соответствующего работника. Однако существуют определенные обстоятельства, при которых данные сотрудников могут быть раскрыты без их согласия:
- Выполнение контракта.
- Соблюдение юридических обязательств (включая налоговые обязательства и обязательства по борьбе с мошенничеством).
- Законные интересы работодателя.
- Выполнение задачи в общественных интересах.
- Проверка судимостей.
- Медицинские заключения (в нынешних условиях это может включать информацию о том, дал ли сотрудник положительный результат на COVID-19).
Что происходит с данными сотрудника после увольнения из компании?
До сих пор мы разъясняли, что представляют собой персональные данные, какие законы регулируют обработку данных сотрудников и как компании могут защитить эти правила и обеспечить их соблюдение. Но что делать, если сотрудник покидает компанию? Какие требования предъявляет работодатель и какие данные необходимо утилизировать или хранить?
Прежде всего, хотя не существует минимального или максимального срока хранения данных о сотрудниках , закон гласит, что данные не должны храниться дольше, чем это необходимо. Продолжительность хранения данных зависит от многих факторов, включая тип данных и причины их хранения и обработки. Любые ненужные данные должны быть надежно уничтожены. Это относится как к цифровым, так и к бумажным документам.
Существуют также другие законодательные требования, которые необходимо учитывать:
-
- Записи о заработной плате: должны храниться в течение 3 лет с конца последнего налогового года.
- Записи о материнских, отцовских и общих родительских выплатах: должны храниться в течение 3 лет после окончания налогового года, в котором выплата была прекращена.
- Трудовая книжка: Вообще говоря, трудовая книжка должна храниться не менее 6 лет на случай, если бывший сотрудник подаст иск в суд по трудовым спорам или иск о нарушении безопасности.
Помимо принятия решения о том, какие данные следует хранить, а какие следует уничтожить, ИТ-отдел должен обеспечить извлечение всех электронных устройств компании, включая телефоны, ноутбуки и планшеты, и немедленное ограничение любого доступа к внутренним системам, процессам и документам.