GDPR ja HR-data: 7 asiaa, jotka työvoimaohjelmistosi on osattava
Nimet, osoitteet, tunnit, lomat, suoritus, joskus biometriikkaa - työvoimajärjestelmät pitävät sisällään arkaluonteista henkilödataa. Tässä on, mitä GDPR oikeasti vaatii työkalultasi.
- hours24-tiimi
GDPR (asetus 2016/679) kohtelee työntekijädataa samalla tiukkuudella kuin asiakasdataa - joskus tiukemmin, koska työnantajan ja työntekijän välillä on vallan epätasapaino. Työvoimajärjestelmät sisältävät nimet, osoitteet, sopimukset, tunnit, lomat, suorituksen, sijaintidatan ja (jos käytät biometristä leimausta) erityisen henkilötietoryhmän tietoja. Tässä on 7 kohdan tarkistuslista, jonka työkalusi on täytettävä.
1. Lainmukainen peruste: yleensä "sopimus" tai "laillinen velvoite"
Työntekijän työtuntien käsittely perustuu yleensä työsopimukseen (6 art. 1 b) ja työlain mukaisiin lakisääteisiin velvoitteisiin (6 art. 1 c). Suostumus on harvoin oikea peruste työssä - vallan epätasapaino tekee vaikeaksi väittää, että se on annettu vapaasti.
2. Erityiset kategoriat: biometriikka vaatii lisähuolellisuutta
Sormenjälki, kasvojentunnistus, iiristunnistus - nämä ovat erityiseen henkilötietoryhmään kuuluvia tietoja (9 art.). Tarvitset lisäoikeudellisen perusteen (tyypillisesti 9 art. 2 b: työlain velvoitteet). Useissa EU-maissa tietosuojaviranomainen suosittelee tarjoamaan työntekijöille biometriikalle vaihtoehdon (PIN-koodi, kortti).
3. Tietojen minimointi: kerää vain mitä käytät
Jos et tarvitse GPS-sijaintia palkanlaskentaan, älä kerää sitä. Jos et tarvitse valokuvaa todisteeksi, älä tallenna sitä. 5 art. 1 c - minimointi ei ole "kiva olla".
4. Säilytysrajat, ei "ikuisesti"
Työaikakirjanpitoa säilytetään tyypillisesti vuosia työsuhteen päättymisen jälkeen kansallisen lainsäädännön mukaisesti. Suoritusarvioiden muistiinpanoja voidaan säilyttää paljon lyhyemmän aikaa. Järjestelmäsi tarvitsee konfiguroitavan säilytyksen datatyypeittäin - ei yhtä "poista kaikki N vuoden päästä" -kytkintä.
5. Rekisteröidyn tietopyynnöt: 30 päivää
Työntekijä pyytää: "anna minulle kaikki, mitä teillä on minusta". Sinulla on 30 päivää aikaa toimittaa se siirrettävässä muodossa (15, 20 art.). Työvoimajärjestelmäsi pitäisi tuottaa tämä exporttina, ei käsin koottuna kansiona.
6. Tietoturvaloukkausilmoitus: 72 tuntia
Jos loukkaus aiheuttaa riskin oikeuksille tai vapauksille, ilmoitat valvontaviranomaiselle (Suomessa: tietosuojavaltuutettu) 72 tunnin kuluessa. Toimittajan sopimusten pitäisi sitoutua kertomaan SINULLE riittävän nopeasti, jotta ehdit kelloon.
7. Henkilötietojen käsittelysopimus toimittajan kanssa
28 artikla edellyttää käsittelysopimuksen sinun (rekisterinpitäjä) ja SaaS-toimittajan (käsittelijä) välillä. Se ei ole valinnainen. Tarkista, että työkalusi käsittelysopimus kattaa alikäsittelijät, käsittelyn sijainnin ja auditointioikeudet.
Source: GDPR koko teksti (EUR-Lex)
Aiheet
Haluatko nähdä, mitä AI-avustaja tekisi sinun tiimillesi?