必须为每个已确定的人力资源目的建立“合法处理依据”,并至少基于《GDPR》中规定的一项严格法律依据。员工同意不可信赖,因为 a) 此类同意难以证明;b) 鉴于在雇佣关系终止的情况下必须尊重员工撤回同意的权利,因此员工同意并非一个有吸引力的选择。
可能需要其他合法依据,例如公司合法利益,或为促进合同履行。企业至少应:
进行审计,并为每项人力资源数据处理活动和目的分 医生数据库 配具体的合法处理依据。这应包括涉及特殊类别个人信息(例如敏感数据)的流程。
确保隐私声明中记录了符合 GDPR 的法律依据。
更新所有政策和合同文件,特别是雇佣合同,确保删除所有提及“员工同意”的内容,作为处理的法律依据。
4)数据保护设计
受保企业必须在其内部系统中证明“设计和默认的数据保护”,即在最短的时间内保留最少量的数据,这是所有人力资源职能的固有因素。
以下技术、组织和实践相结合的努力有助于实现这一目标:
提供明确的指导以及报告结构来评估所有人力资源数据流程的必要性和范围。
制定严格的人力资源数据保留期限,并与IT人员沟通,确保在技术层面落实。(这也适用于与供应商共享的数据)。
考虑公司是否需要任命一名正式的数据隐私官 (DPO)。GDPR 规定,必须允许任命的 DPO 独立行事,不得因履行数据隐私/保护职责而被解雇或处罚。DPO 可以是现有员工,前提是其现有角色不与其 DPO 职责冲突。
5)共享和转移个人数据
在某些情况下,员工数据需要与外部服务提供商共享,例如提供云计算平台、人力资源数据库应用程序、员工福利管理或工资处理的公司。
在这种情况下,企业需要与每个供应商实施新的合同安排,以确保遵守符合 GDPR 的数据处理实践。
需要遵循以下基本步骤:
定期审核公司与外部服务提供商之间的个人数据流,无论这些接收者是数据控制者还是数据处理者,并实施加强的数据共享协议。
将人力资源个人数据流映射到外部供应商并更新服务合同以反映任何新要求。
加强供应商的正式入职流程,包括隐私分类和审查评估,以确保他们在实践中能够履行数据隐私和保护义务。应定期进行审查。