従業員の個人データとGDPR-雇用主の義務は何ですか?

サービス

2018年5月から、各雇用主は個人データ保護手順をGDPRの要件に適合させる必要がありました。雇用主に従業員のデータの保護にもっと注意を払う義務を課すこととは別に、規制はまた、雇用主が従業員の候補者およびすでに雇用されている人から要求する可能性のある情報の範囲を制限しました。では、従業員のどの個人データが起業家を処理する権利を持っているのでしょうか?どのような情報を第三者に転送できますか?従業員データの処理には、どのような状況で明確で明示的な同意が必要ですか?この記事では、これらの質問に答えます。

GDPRの実装の最終段階、つまり、個人データの処理に関する個人の保護に関する2016年4月27日の欧州議会および理事会の規則(EU)2016/679に関連して、無料でこのようなデータの移動、および指令95/46 / EC(一般データ保護規則)の廃止により、2019年5月4日に、労働法(以下、労働法)の改正が導入されました。新しい規則では、各雇用主はアートに従って従業員の個人データを処理する必要があります。労働法の221、および特別な場合にはアートに準拠。労働法の221a221b。原則として、この改正では、雇用主は仕事の遂行に必要な従業員の個人データのみを処理する必要がありました。ただし、労働法は、数十人または数百人の従業員を雇用している企業の運営中に実際に発生する可能性のあるすべての状況を規制しているわけではありません。したがって、従業員の個人データの処理に関して、雇用主が許可されていることと絶対に禁止されていることを説明しようとします。

雇用契約とGDPRの締結

雇用契約の締結は、雇用主が従業員に個人データの提供を要求する権利を有する次の段階です。最初の段階は、いわゆる採用プロセス。起業家が特定の候補者を雇用することを決定すると、雇用主と従業員の両方の側で特定の権利と義務が発生し、その実施には従業員に関する情報の処理が必要になります。

アートに準拠。労働法の221§2および4では、雇用主は、(採用の過程で取得した個人データに関係なく)新入社員に申請を要求する権利を有します。

  • 名前と苗字;

  • 生年月日;

  • PESEL番号;

  • 連絡先の詳細(住所を要求する権利はありません);

  • 教育-特定の種類または特定の立場で仕事をする必要がある場合。

  • 専門的資格-特定の種類または特定の立場で仕事をする必要がある場合。

  • 以前の雇用の過程-特定の種類または特定の位置で仕事をする必要がある場合のみ。

  • 子供の名前、名前、生年月日-従業員が労働法に規定されている特別な権利を行使しているためにそのようなデータを提供する必要がある場合。

  • 上記以外の個人データを提供する義務が別個の規定に起因する場合。

上記のデータは雇用契約に含まれる場合があります。明らかな理由で、従業員は彼に必要な情報の提供を拒否する場合がありますが、その場合、雇用主が彼の雇用を辞任することを考慮に入れる必要があります。 従業員の個人データは候補者以外の目的で処理され、このデータの受信者のグループが変更されるため、雇用主は従業員に対する情報義務を再度履行する義務があります(データに関しても)採用時に従業員から取得)。

従業員の個人ファイルとGDPR

雇用関係の確立は、従業員のワークフローの文書化に関連する雇用者側の多くの義務を生み出します。この情報はすべて、従業員の個人ファイルに含まれている必要があります。上記以外に、雇用主はどのような文書やデータを保持できますか?

これまでの一般的な慣行は、従業員のID(またはパスポート)のコピーをファイルに添付することでした。ただし、労働法およびその他の行為は、そのような個人データを処理する権利を直接示すものではないことを指摘しておく必要があります。したがって、この文書のコピーを作成する正当な必要性はないと結論付ける必要があります。したがって、証拠のコピーを持つということは、GDPRで禁止されている、従業員が実行する作業に関係のないデータを収集し、規制に準拠する行為を実施することを意味します。

実際には、雇用契約を締結する際に提供された個人データのみに依存する場合、雇用主は従業員に対する職務を完全に遂行することはできません。したがって、個人データには、雇用関係に厳密に関連しない情報も含まれる場合があります。多くの場合、従業員が自分の権利の一部を行使するためには、雇用主に自分の個人的な生活に関する情報を提供する必要があります。たとえば、彼/彼女が特別な休暇を取りたい場合、彼/彼女はそのような休暇の権利を正当化する彼/彼女の個人的な生活の中で与えられた状況を示す義務があります、例えば愛する人の葬式。

従業員の個人データとGDPRの開示

原則として、従業員の個人データは機密情報であるため、そのデータへのアクセスは特に保護および管理する必要があります。ただし、企業での作業を効果的に実行するために、一部の(機密性の低い)データの公開が必要になる場合があります。

幅広いエンティティグループが表示できるように従業員データを配置する非常に一般的なケースの1つは、出席リストを保持することです。残念ながら、法律はこの問題を規制していません。したがって、教義の現在の法学と解説に頼る必要があります。したがって、すべての従業員が利用できる出席リストに署名することは、GDPRに反するものではないようです。ただし、従業員の病欠やいわゆる病気休暇に関する情報を残すことは条例と矛盾します。オンデマンドで残します。規制によると、従業員の病気や病欠に関するデータ自体は機密データであり、広めることはできません。したがって、出席リストには、従業員の名前と名前は別として、従業員の有無に関する情報のみを含めることができます。

企業で使用されるもう1つの一般的な方法は、従業員にバッジを割り当てることです。発生する最初の質問は、そのような文書に従業員の写真を含めることができるかどうかです。従業員の画像を示す写真は、アートに示されている情報ではありません。労働法の221であるため、雇用主がバッジにそれらを付けるためには、従業員の自発的な同意を得る必要があります。つまり、雇用主が不在の場合、悪影響が生じることはありません。このような同意はいつでも取り消すことができます。 上記の例外は、従業員の画像が彼の職業と密接に関連しており、特別な行為により現在の写真付きのIDの所持が要求される場合です。アートによると、例として警備員を取り上げることができます。人身財産の保護に関する法律の9aでは、資格のある物理的セキュリティワーカーまたは資格のある技術的セキュリティワーカーの身分証明書には、とりわけ、彼の現在の写真。 ユビキタスバーチャルリアリティの時代には、企業のWebサイトで従業員に関する情報、特に名前、役職、電話番号、電子メールアドレスを表示することが非常に一般的になっています。ほとんどの場合、そのようなデータの開示は、従業員による公務の遂行に役立つだけでなく、会社の潜在的な顧客の信頼を高めることを認識しておく必要があります。したがって、これらのデータは、従業員の同意なしに雇用主が利用できるようにすることができます。これは、施設内の特定の役職に就いている従業員の名前を開示し、請負業者や顧客と連絡を取り合うことを防ぐことができないという事実によるものです。

法律に照らして、従業員の名前と名前を職場のドア、従業員のスタンプ、および従業員が作成した手紙の見出しに配置することも許可されています。

別の問題は、雇用主が上記のデータとともに、従業員の画像を彼の同意なしにWebサイトに掲載できるかどうかです。ここで答えは簡単です-いいえ。従業員の写真の公開には、自発的な同意が必要です。上記のルールは、いわゆる企業イントラネット(特定の企業内のコンピューターにアクセスが制限されているネットワーク)。イントラネット上に従業員の画像を配置することが、会社の経営を改善および合理化する目的でのみ使用される場合、そのような行動は容認できると見なされる可能性があります。 従業員の個人データの保護の詳細については、以下をご覧ください。
従業員の個人データの保護-雇用主の義務は何ですか?
GDPRの規定に照らして、雇用主はどのような個人データを処理できますか?
従業員と求職者のGDPRと個人データ

従業員の個人データと産業医学の処理

初期、定期、および管理健康診断、すなわち予防検査のために従業員を紹介することは、労働法に基づく雇用主の義務であることを強調する必要があります。また、この情報をデータベースに保存する必要があります。従業員の健康データは機密データであるため、雇用主は彼らの保護に特に注意を払う必要があります。それにもかかわらず、法学は、産業医学サービス部門と個人データ処理契約を締結する必要はないことを認めています。これは、雇用主と医療ユニットが互いに独立して運営されているため、個人データ処理の目的と手段をそれぞれが独立して決定しているためです。

一方、医療記録の規定は、一般的に、従業員の予防検査からの文書の保管に適用されます。議論された文書に含まれるデータは、厳格な専門的および公式の秘密の対象となることに留意する必要があります。つまり、個別の規制で指定された条件で指定されたエンティティのみが利用できるようにすることができます。

紐を付けずに30日間の無料試用期間を開始してください!

従業員の個人データと従業員のトレーニング

個人データ保護の観点から問題を引き起こす可能性のある別の状況は、トレーニングの編成です。ほとんどの場合、雇用主は特定の種類のトレーニングを専門とする外部企業を雇います。これは、そのようなコースの大部分で、雇用主は多かれ少なかれ彼の従業員の個人データをそのような外部の会社に転送することを余儀なくされていることを意味します。

原則として、各従業員が最初に実施しなければならない義務教育は、労働安全衛生訓練です。これは、職場の安全衛生のために指定された従業員または外部のエンティティによって実行できます。 OHSの従業員と外部エンティティの両方が、トレーニングに参加している人のデータを処理する権限を与えられている必要があります。さらに、外部企業は雇用主と個人データ処理契約を締結する必要があります。

オプションのトレーニングを含む他のトレーニングの場合、雇用主の状況は、従業員が個人的に参加するか(自分でサインアップしたか)、または雇用主が彼を特定のトレーニングに委任したかどうかによって異なります。前者の場合、従業員が個別にトレーニングに登録し、雇用主が自分の分担金のみをカバーする場合、そのような従業員のデータの保護に関連する義務はありません。ここでは、外部企業が独立した管理者として機能するため、GDPRで指定されているすべての情報義務およびその他のタスクを学生に対して実行する必要があります。ただし、雇用主が従業員をコースに派遣し、外部研修会社が雇用主から個人データの処理を委託された事業体である場合、雇用主は外部企業と委託契約を締結する必要があります。 コースが従業員の個人データの処理を必要とせず、実際には発生しない状況(たとえば、トレーニング会社が出席リストを保持しない場合)では、雇用主はこの会社と委託契約を結ぶ必要はありません。 。

従業員の個人データとGDPR-まとめ

特に大企業での個人データの処理は、データ管理者に多くの解釈の困難と実際的な問題をもたらす可能性があります。従業員から取得した情報が労働法とGDPRに準拠していることを確認するだけでは不十分です。ビジネスの運営は非常に複雑で多様であるため、データ保護のすべての側面が法律によって直接規制されているわけではありません。多くの実際的な問題は、規制の複雑な解釈と最高裁判所の判決によるウェブサイトの長い検索を必要とします。ただし、これは、従業員を雇用しているすべての起業家が持つべき情報です。GDPRの要件に準拠しない行動をとると、非常に高い罰金が科せられる可能性があるためです。

GDPRに準拠したWFirma.plシステム!

wFirma.plシステムでは、従業員の個人データの処理に関するレポートをダウンロードできます。 (従業員の名前と名前をクリックして)[担当者]»[従業員]»[従業員の詳細]タブに移動するだけです。右上隅に3つのアイコンが表示されます。フォルダを開くアイコンはODOレポートの略です。

それをクリックすると、従業員のデータとデータの導入/変更に関するすべてのエントリを含むウィンドウが表示されます。

このようなレポートはダウンロードできます。[レポートの生成]オプションをクリックするだけです。