GDPR - sebuah revolusi dalam Kode Tenaga Kerja di bidang perlindungan data pribadi

Melayani

Pada tanggal 25 Mei 2018, Peraturan (EU) 2016/679 Parlemen Eropa dan Dewan 27 April 2016 tentang perlindungan individu sehubungan dengan pemrosesan data pribadi dan tentang pergerakan bebas data tersebut akan berlaku memaksa, dan mencabut Directive 95/46/EC, yang dikenal di Polandia sebagai GDPR. Peraturan tersebut akan berlaku di 28 negara Uni Eropa. Ketentuan di atas akan menjadi penting dalam hal aturan baru untuk pemrosesan data pribadi karyawan.

Perlu dicatat bahwa rancangan undang-undang tentang perlindungan data pribadi di Polandia masih dalam tahap legislatif. Dengan tidak adanya ketentuan transisi, mulai 25 Mei 2018, pengusaha dan pengusaha harus memperkenalkan perubahan dalam pemrosesan data pribadi berdasarkan peraturan UE yang disebutkan di atas.

Mempersiapkan pemberi kerja untuk pengenalan GDPR

Harus ditekankan bahwa ketentuan baru tentang GDPR memberlakukan tanggung jawab yang lebih besar untuk pemrosesan data terhadap pemberi kerja. Oleh karena itu, mereka harus menganalisis risiko pemrosesan data untuk menyiapkan prosedur, cara mengamankan dokumentasi, dan kemudian menerapkan keamanan TI dan organisasi yang sesuai di tempat kerja. Informasi tentang karyawan dan pelanggan perusahaan harus tunduk pada prosedur yang akan memastikan standar keamanan yang sesuai.

Pertama, pemberi kerja harus menugaskan administrator data pribadi untuk menyiapkan audit yang akan menentukan data apa yang diproses, oleh siapa, dari mana dikumpulkan, dan ke mana perginya. Perlu diingat untuk membuat kebijakan yang sesuai untuk pemrosesan data pribadi.

Langkah selanjutnya adalah mengkaji klausul pengungkapan data pribadi, karena ketentuan peraturan mewajibkan pengusaha untuk menyesuaikan klausul informasi bagi orang yang datanya akan diproses. Selain itu, Anda harus menyiapkan paket informasi yang merinci periode penyimpanan, tujuan pemrosesan data, dan orang yang akan menerimanya. Orang yang datanya diproses harus memiliki kendali atas pemrosesan datanya, khususnya, memiliki hak untuk menghapusnya atau mentransfernya ke administrator data lain.

Saat mengumpulkan dan memproses data orang untuk tujuan proses rekrutmen, pengusaha harus memperkenalkan prosedur yang sesuai.

Institusi Personal Data Administrator (ABI) saat ini digantikan oleh Personal Data Inspector, yang seharusnya memiliki pengetahuan ahli yang didukung oleh pengalaman profesional di bidang ini. Sesuai dengan peraturan di atas, inspektur akan bertanggung jawab atas dokumentasi dan pencatatan data pribadi dan pemrosesan data tersebut. Hal di atas akan diperlukan untuk mengonfirmasi operasi yang benar dari proses pemrosesan data pribadi di perusahaan sesuai dengan peraturan yang berlaku.

Register data pribadi harus mencakup:

  • data terpenting dari administrator;

  • tujuan pengolahan data;

  • dasar hukum pengolahan data;

  • daftar orang yang datanya diolah;

  • jangka waktu penyimpanan data pribadi;

  • daftar penerima data pribadi;

  • akses terperinci orang lain ke data pribadi;

  • daftar orang yang akan dapat memproses data pribadi yang dikumpulkan;

  • waktu setelah data pribadi akan dihapus.

Selain itu, perlu dibuat prosedur jika terjadi kebocoran data pribadi, prosedur untuk melaporkan pelanggaran perlindungan data pribadi kepada pihak yang berwenang, dan persiapan prosedur jika terjadi pemeriksaan oleh Perlindungan Data Pribadi. Office (Kantor Perlindungan Data Pribadi).

Pengusaha yang mempekerjakan lebih dari 250 orang akan diminta untuk membuat daftar administrator yang menangani keamanan data pribadi yang diproses.

Setiap insiden yang melanggar perlindungan data pribadi harus dilaporkan sebagai hal yang mendesak (72 jam sejak terjadinya pelanggaran). Melaporkan kepada otoritas terkait dan orang yang terkena dampak harus mengikuti prosedur yang dikembangkan sebelumnya.

Perubahan GDPR dalam Kode Tenaga Kerja

Pertama-tama, perlu memperhatikan perubahan tentang Seni. 221 dan mengikuti Kode Tenaga Kerja, yang memungkinkan untuk meminta informasi dari karyawan yang berpartisipasi dalam proses rekrutmen. Secara khusus, pada tahap ini, majikan tidak dapat meminta informasi tentang nama orang tua atau alamat tempat tinggal. Adalah penting bahwa, sebagai imbalannya, majikan dapat mewajibkan orang tersebut untuk memberikan alamat surat dan alamat e-mail atau nomor telepon. Dalam hal mempekerjakan seorang karyawan, permintaan untuk memberikan alamat tempat tinggal akan dibenarkan. Perlu dicatat bahwa data di atas hanya dapat diproses dengan persetujuan karyawan dalam pernyataan yang relevan. Data pribadi karyawan yang diproses harus secara eksklusif terkait dengan kinerja hubungan kerja. Dalam hal memperoleh data lain, yang tidak disebutkan dalam ketentuan di atas, pemberi kerja harus mendapatkan persetujuan dari pekerja dalam bentuk pernyataan.

Persetujuan untuk pemrosesan data pribadi dapat dinyatakan dalam pernyataan dalam bentuk kertas atau elektronik. Namun, perlu dicatat bahwa kurangnya persetujuan untuk pemrosesan data mungkin bukan merupakan dasar untuk perlakuan negatif terhadap pelamar kerja atau karyawan, khususnya, mungkin bukan alasan pemutusan kontrak kerja atau penolakan pekerjaan.

Mulai masa percobaan 30 hari gratis tanpa pamrih!

Perhatian harus diberikan pada masalah data biometrik, yang hanya dapat diproses dalam kaitannya dengan karyawan yang dipekerjakan bersama dengan persetujuan yang diperoleh dari mereka dalam pernyataan. Majikan tidak boleh memperoleh data pribadi mengenai kesehatan (dengan pengecualian sertifikat kemampuan untuk bekerja), kecanduan atau orientasi seksual.

Perlu ditambahkan bahwa peraturan baru tentang pemantauan menunjukkan bahwa pemantauan harus memiliki tujuan tertentu, seperti keselamatan karyawan, menjaga rahasia perusahaan, dan perlindungan properti. Pengawasan tidak boleh digunakan untuk mengontrol pekerjaan seorang karyawan, sehingga majikan tidak akan dapat menggunakan materi yang diperoleh dengan cara ini untuk melawannya jika dia menemukan pelanggaran yang disebabkan oleh karyawan tersebut. Perangkat pemantauan tidak boleh ditempatkan di ruangan yang tidak terkait dengan kinerja pekerjaan, seperti ruang ganti, dapur staf, kamar sanitasi, dll. Pengusaha yang ingin memasang pemantauan harus memberi tahu karyawan dengan cara yang biasa untuk tempat kerja tertentu, selambat-lambatnya 14 hari sebelum diluncurkan.

Penggunaan persetujuan yang ada

Sebagai aturan, pemberi kerja dapat menggunakan persetujuan yang dikumpulkan sejauh ini untuk tujuan pemrosesan data pribadi sebelum 25 Mei 2018, jika orang tersebut memberikan persetujuan ini secara sukarela, sadar, tegas dan khusus, dan diberi tahu tentang kemungkinan untuk menariknya. kapan saja (Pasal 11 GDPR). Persetujuan yang diperoleh sejauh ini harus memenuhi standar yang ditetapkan dalam peraturan baru.

Sesuai dengan resital 171 GDPR, jika pemrosesan data pribadi didasarkan pada persetujuan sesuai dengan Directive 95/46 / EC, subjek data tidak harus memberikan kembali persetujuan, asalkan metode asli mematuhi ketentuan ini Peraturan; ini memungkinkan pengontrol untuk melanjutkan pemrosesan setelah tanggal penerapan Peraturan ini. Oleh karena itu, jika persetujuan yang ada memenuhi persyaratan di atas, maka persetujuan tersebut akan tetap berlaku.

Setelah 25 Mei 2018, persetujuan untuk pemrosesan data pribadi harus dinyatakan secara tegas. Metode penarikan persetujuan harus dimungkinkan setiap saat, tanpa kesulitan yang tidak perlu. Pengusaha harus memperhatikan dasar hukum dari persetujuan yang diberikan selama ini.

Pengusaha harus siap bahwa dalam hal pemeriksaan oleh Kantor Perlindungan Data Pribadi (UODO), mereka harus menunjukkan tidak hanya persetujuan saat ini, tetapi juga persetujuan historis untuk pemrosesan data pribadi beserta dasar hukumnya.

Sesuai dengan Seni. 5 detik 1 butir a Peraturan (EU) 2016/679 Parlemen Eropa dan Dewan 27 April 2016 tentang perlindungan individu sehubungan dengan pemrosesan data pribadi dan pergerakan bebas data tersebut, dan mencabut Arahan 95/ 46 / EC (GDPR) data pribadi harus:

  • diproses secara sah, adil dan transparan untuk subjek data ("keabsahan, keadilan dan transparansi");

  • diproses dengan cara memastikan keamanan data pribadi yang memadai, termasuk perlindungan terhadap pemrosesan yang tidak sah atau melanggar hukum dan kehilangan, kehancuran, atau kerusakan yang tidak disengaja, dengan tindakan teknis atau organisasi yang sesuai ("integritas dan kerahasiaan") (lih. Pasal 5 (1) poin f) .

Karena hal di atas, pemberi kerja wajib menyimpan dokumentasi dengan cara yang menjamin kerahasiaan, ketersediaan, kelengkapan, dan integritas (Pasal 94 butir 9b KUHP).

Dengan mempertimbangkan keadaan pengetahuan teknis, biaya pelaksanaan serta sifat, ruang lingkup, konteks dan tujuan pemrosesan serta risiko pelanggaran hak atau kebebasan orang perseorangan dengan kemungkinan dan tingkat keparahan risiko yang berbeda, pengontrol dan prosesor menerapkan langkah-langkah teknis dan organisasi yang sesuai untuk memastikan tingkat keamanan yang sesuai dengan risiko ini. , termasuk, tetapi tidak terbatas pada:

  • nama samaran dan enkripsi data pribadi;

  • kemampuan untuk memastikan kerahasiaan, integritas, ketersediaan, dan ketahanan sistem dan layanan pemrosesan yang berkelanjutan;

  • kemampuan untuk dengan cepat memulihkan ketersediaan dan akses ke data pribadi jika terjadi insiden fisik atau teknis;

  • pengujian rutin, pengukuran dan evaluasi efektivitas langkah-langkah teknis dan organisasi untuk memastikan keamanan pemrosesan (lihat Pasal 32 (1) (b) GDPR).

Pelanggaran terhadap ketentuan tentang perlindungan data pribadi dapat dihukum dengan denda yang berat

Patut ditunjukkan bahwa ketentuan baru tentang GDPR memberikan hukuman tinggi untuk pelanggaran perlindungan data pribadi. Sesuai dengan Seni. 83 detik. 5 tentang GDPR pelanggaran ketentuan yang berkaitan dengan hal-hal berikut, sesuai dengan paragraf. 2 denda administrasi hingga EUR 20.000.000, dan dalam kasus perusahaan - hingga 4% dari total omset tahunan di seluruh dunia dari tahun keuangan sebelumnya, dengan yang lebih tinggi dari:

  • prinsip-prinsip dasar pemrosesan, termasuk kondisi persetujuan, syarat dan ketentuan yang dirujuk dalam pasal. 5, 6, 7 dan 9;

  • hak-hak subjek data sebagaimana dimaksud dalam seni. 12-22;

  • pemindahan data pribadi kepada penerima di negara ketiga atau organisasi internasional, sebagaimana dimaksud dalam pasal. 44-49;

  • setiap kewajiban berdasarkan hukum suatu Negara Anggota yang diadopsi berdasarkan Bab IX;

  • ketidakpatuhan terhadap perintah, pembatasan sementara atau definitif pemrosesan atau penangguhan aliran data oleh otoritas pengawas sesuai dengan Art. 58 detik. 2 atau kegagalan untuk memberikan akses yang melanggar Art. 58 detik. 1.

Oleh karena itu, pengusaha dan pengusaha harus secara khusus menjaga perlindungan data pribadi yang tepat, persiapan kebijakan perlindungan data pribadi, dan prosedur yang sesuai karena hukuman besar yang mungkin dikenakan sebagai akibat dari inspeksi setelah 25 Mei 2018.

Sebagai kesimpulan, perlu diingat tentang katalog data pribadi yang dapat diperoleh majikan dari kandidat pekerjaan. Secara khusus, ini adalah: nama dan nama keluarga, tanggal lahir, alamat korespondensi, alamat email, nomor telepon, pendidikan, informasi tentang pekerjaan sebelumnya. Sedangkan bagi pekerja, untuk mengolah datanya, pemberi kerja dapat memperoleh informasi seperti: alamat tempat tinggal, nomor PESEL atau jenis dan nomor KTP, data anak atau anggota keluarga lainnya, jika diperlukan untuk memperoleh informasi lain. hak karyawan. Pemeriksa data pribadi yang ditunjuk harus memiliki pengetahuan ahli, karena register yang disimpan, dokumen yang dikumpulkan dan kegiatan pemrosesan data pribadi. Pemberitahuan pelanggaran data pribadi harus segera dilakukan dalam waktu 72 jam. Pemantauan di tempat kerja dan memperoleh data biometrik akan dimungkinkan setelah mendapatkan persetujuan yang sesuai dan memberi tahu karyawan tentang hal-hal di atas. Persetujuan yang ada untuk pemrosesan data pribadi akan tetap berlaku jika mematuhi ketentuan peraturan. Karyawan harus memiliki hak untuk menarik persetujuan kapan saja, sementara kurangnya persetujuan mereka terhadap pemrosesan data pribadi tidak boleh memiliki konsekuensi negatif bagi mereka.