GDPR ja personaliandmed: 7 asja, mida sinu personalitarkvara peab tegema
Nimi, aadress, töötunnid, puhkused, hindamine, mõnikord ka biomeetria - personalitarkvara hoiab tundlikke isikuandmeid. Vaatame, mida GDPR sinu tööriistadelt tegelikult nõuab.
- hours24 meeskond
GDPR (määrus 2016/679) suhtub töötajate andmetesse sama rangelt nagu kliendiandmetesse - sageli isegi rangemalt, sest tööandja ja töötaja vahel valitseb võimu tasakaalustamatus. Personalitarkvara hoiab nimesid, aadresse, lepinguid, töötunde, puhkuseid, hindamisi, asukohaandmeid ja biomeetriliste kelladega ka eriliiki andmeid. Siin on 7-punktiline kontrollnimekiri, millele sinu tööriist peab vastama.
1. Õiguslik alus: tavaliselt „leping” või „seadusest tulenev kohustus”
Töötaja tööaja töötlemine põhineb üldjuhul töölepingul (art 6(1)(b)) ja tööõigusest tulenevatel kohustustel (art 6(1)(c)). Nõusolek on tööelus harva õige alus - võimu tasakaalustamatuse tõttu on raske väita, et see on antud vabatahtlikult.
2. Eriliiki andmed: biomeetria vajab erilist hoolt
Sõrmejälg, näotuvastus, iirise skann - need on artikli 9 alusel eriliiki andmed. Vajad lisaalust (tüüpiliselt art 9(2)(b): tööõigusest tulenevad kohustused). Mitmes EL riigis soovitab andmekaitseasutus pakkuda töötajatele alternatiivi, mis ei kasuta biomeetriat (PIN-kood, kaart).
3. Andmete minimeerimine: kogu ainult seda, mida kasutad
Kui palgaarvestuseks pole vaja GPS-asukohta, ära seda kogu. Kui pole vaja fotot tõenduseks, ära seda säilita. Artikkel 5(1)(c) - minimeerimine pole soovitus, vaid kohustus.
4. Säilitamise piirid, mitte „igavesti”
Eesti tööajaarvestust säilitatakse 10 aastat pärast töösuhte lõppu. Hindamisvestluste märkmeid võib hoida palju lühemalt. Sinu süsteem peab võimaldama säilitusaja seadmist andmetüübi kaupa - mitte ühte „kustuta kõik N aasta pärast” lülitit.
5. Töötaja päringud: 30 päeva
Töötaja küsib: „anna mulle kõik, mis sul minu kohta on”. Sul on 30 päeva, et see esitada teisaldataval kujul (art 15, 20). Personalitarkvara peab selle väljastama ekspordina, mitte käsitsi kokku pandud kaustana.
6. Rikkumisest teavitamine: 72 tundi
Kui rikkumine ohustab õigusi või vabadusi, tuleb sellest teavitada järelevalveasutust (Eestis AKI) 72 tunni jooksul. Tarnija leping peab võimaldama, et SINA saad teate piisavalt kiiresti, et selle tähtaja täita.
7. Andmetöötlusleping: sõlmi tarnijaga
Artikkel 28 nõuab andmetöötluslepingut (DPA) sinu (vastutava töötleja) ja SaaS-tarnija (volitatud töötleja) vahel. See pole valikuline. Kontrolli, et tööriista DPA katab alltöötlejad, töötlemise asukoha ja auditeerimisõiguse.
Source: GDPR täistekst (EUR-Lex)
Teemad
Tahad näha, mida AI assistent sinu meeskonna puhul teha oskab?