GDPR: cara bekerja dengan data pribadi karyawan, pekerja lepas, dan karyawan rekanan Eropa

Artikel ini adalah ringkasan singkat dan interpretasi saya mengenai ketentuan Regulasi GDPR (“Regulasi”) sehubungan dengan Opini 2/2017 tentang pemrosesan data di tempat kerja tanggal 06/08/2017. Ini ditujukan kepada perusahaan yang memiliki kantor penuh atau pekerja jarak jauh dan / atau pekerja lepas di negara-negara UE, serta kontraktor (mitra) dengan karyawan Eropa, yang datanya dapat Anda peroleh dalam proses mengerjakan proyek bersama.

Kami menganalisis masalah pemrosesan data pribadi saat merekrut (merekrut) karyawan, menyimpulkan perjanjian dengan freelancer atau mitra bisnis; memantau karyawan di tempat kerja dan dari jarak jauh, termasuk melalui sistem akuisisi data otomatis.

Kesimpulan dibuat lebih awal dari tanggal berlakunya Peraturan dan didasarkan pada Petunjuk 95/46 / EC 24.10.2005. Namun, itu memperhitungkan ketentuan-ketentuan GDPR.

Untuk kenyamanan, dan jika ini tidak bertentangan dengan konteksnya, karyawan, pekerja lepas, dan karyawan rekanan akan secara kolektif disebut sebagai “Karyawan”.

Pastikan Anda memiliki alasan untuk memproses data karyawan

Pemrosesan data pribadi karyawan biasanya dilakukan setidaknya dengan salah satu alasan berikut:

• persetujuan pribadi;
• kebutuhan untuk mematuhi persyaratan hukum (biasanya hukum perburuhan atau AML / CFT saat melakukan pembayaran);
• kebutuhan untuk melaksanakan perjanjian yang sudah disimpulkan atau kebutuhan untuk menyimpulkan suatu perjanjian, atas permintaan pemilik data pribadi;
• adanya kepentingan sah di perusahaan Anda dalam pemrosesan tersebut.

Memproses berdasarkan persyaratan hukum akan dibiarkan di luar ruang lingkup artikel. Juga, kami tidak akan menyentuh persetujuan pribadi. Seperti yang sudah disebutkan dalam artikel sebelumnya, Persetujuan untuk pemrosesan data pada GDPR: analisis terperinci , pemrosesan data pribadi karyawan berdasarkan persetujuan pribadi mereka adalah pilihan yang sulit. Selalu ada risiko bahwa persetujuan di suatu tempat akan dibuat secara tidak benar dan diakui sebagai tidak gratis, dan perusahaan Anda akan melanggar aturan GDPR.

Dalam hubungan dengan karyawan, pemrosesan data pribadi lebih dapat diandalkan berdasarkan perjanjian yang disimpulkan. Jika semua masalah pemrosesan secara teknis sulit atau tidak praktis untuk diperbaiki dalam kontrak, maka Anda harus secara bertanggung jawab mendekati pembenaran kepentingan sah perusahaan Anda dalam pemrosesan tersebut.

Pertimbangkan kondisi dan cara merumuskan apa dalam kontrak kerja atau komersial sehingga memungkinkan Anda untuk memproses data pribadi sesuai dengan GDPR. (Mengingat bahwa pemrosesan berdasarkan kepentingan yang sah, serta pemrosesan berdasarkan kontrak, juga perlu didokumentasikan dan bertepatan dengan yang terakhir dalam banyak hal, kami tidak akan mempertimbangkannya secara terpisah).

Kami memberikan kata-kata lengkap dari Pasal 6 (1) (b) Peraturan (terjemahan dari bahasa Inggris): " pemrosesan diperlukan untuk melaksanakan kontrak yang pemilik datanya merupakan pihak, atau untuk mengambil tindakan atas permintaan pemilik data pribadi sebelum menyelesaikan kontrak ".

Dari kata-kata ini mengikuti sejumlah elemen wajib.

Kebutuhan akan data berdasarkan kontrak

Menurut paragraf 44 dari Pembukaan Peraturan, pemrosesan adalah sah jika perlu dalam konteks kontrak atau niat untuk menyimpulkannya. Jadi, kita melihat konteks kontrak itu sendiri. Kesimpulan 2/2017 merekomendasikan penggunaan uji proporsionalitas dalam kasus tersebut untuk menilai apakah pemrosesan diperlukan untuk mencapai tujuan yang sah (khususnya, untuk memenuhi atau menyimpulkan kontrak), dan tindakan apa yang harus diambil untuk mengurangi gangguan terhadap privasi. seminimal mungkin.

Peraturan tersebut tidak menguraikan apa yang termasuk dalam "uji proporsionalitas". Kesimpulan 2/2017 hanya berisi peringatan bahwa pengujian semacam itu dapat menjadi bagian dari prosedur DPIA . Dalam prosedur DPIA itu sendiri, proporsionalitas pemrosesan dijelaskan melalui banyak kriteria yang harus diikuti oleh perusahaan pengontrol. Menurut saya, yang paling penting adalah:

• kecukupan data yang diproses dengan tujuan pemrosesan;
• tujuan pemrosesan itu sendiri harus spesifik dan eksplisit.

Akibatnya, uji proporsionalitas menyiratkan tidak hanya kebutuhan untuk menentukan dalam kontrak kewajiban untuk menyediakan beberapa data pribadi untuk diproses, atau untuk menginformasikan pemilik data tentang tugas tersebut sebelum menyelesaikan kontrak. Kewajiban kontrak karyawan, berdasarkan data yang dikumpulkan, harus langsung mengalir dari sifat pekerjaannya di masa depan atau fitur-fitur proyek di mana ia akan terlibat. Kewajiban kontraktual harus menyediakan hanya untuk pemrosesan data pribadi minimum yang diperlukan dengan mengacu pada tujuan pemrosesan tertentu, dirumuskan dengan sangat jelas dan jelas.

Contoh A : Adalah wajar untuk meminta spesialis PR atau manajer layanan pelanggan untuk mengirimkan foto Anda untuk diposkan di situs web perusahaan Anda. Ini dapat dibenarkan oleh fitur-fitur pekerjaan karyawan ini, ketika penampilan memainkan peran psikologis dalam mempromosikan kepentingan perusahaan, pertumbuhan penjualan. Sebaliknya, hampir tidak perlu untuk meminta dan mengirimkan ke klien (atau memposting di domain publik) foto-foto pengembang yang mengambil bagian dalam aksi unjuk rasa melalui suara, bahkan tanpa menyertakan webcam, dan lebih dari itu tidak pernah diperlukan dari mereka.

Saya pikir itu tidak proporsional untuk merumuskan kondisi pada rincian kontak dalam kontrak sebagai berikut:

Contoh B : "Rincian kontak karyawan: ... email untuk mengirim tawaran kerja, kontrak kerja atau materi informasi / PERUSAHAAN /". Arahan “materi informasi” jelas merupakan tujuan yang tidak perlu untuk pemenuhan kontrak kerja, tetapi juga menyiratkan distribusi iklan. Namun, jika Anda menulis sedikit berbeda: "pemberitahuan perubahan dalam jadwal kerja, informasi tentang hari libur, dll.", Ini akan menjadi tujuan yang dinyatakan dengan jelas, spesifik, dan penggunaan email akan memadai untuk itu.

(Jelas, hanya menentukan "email" dan kemudian menggunakannya untuk mengirim materi pemasaran juga tidak dapat diterima).

Contoh C : Perusahaan Anda bekerja sebagai agen dan mempromosikan layanan dari pengembang yang sama di pasar internasional. Karena penempatan foto adalah karena kekhasan bekerja dengan pelanggan, kebutuhan mereka untuk mengevaluasi gambar / potret psikologis pengembang sebelum membuat keputusan tentang perekrutan, penempatan foto dapat dibenarkan .

(Jangan lupa untuk memperingatkan pengembang tentang penggunaan foto sebelum membuat perjanjian dengannya. Juga disarankan bagi pengembang yang tidak setuju untuk menunjukkan foto mereka di profil, Anda masih memberikan kesempatan untuk menggunakan layanan perusahaan Anda, bahkan jika efektivitas perekrutan telah menurun karena kurangnya foto).

Contoh D : Karyawan Anda (misalnya, administrator sistem) bekerja dengan server yang melayani aplikasi skala besar dan tinggi, dan harus tersedia 24 jam sehari (kecuali, tentu saja, Anda juga mematuhi persyaratan undang-undang tenaga kerja untuk pembayaran yang sesuai untuk karyawan tersebut). Anda dapat menetapkan dalam kontrak kondisi untuk panggilan ke nomor telepon pribadinya jika terjadi keadaan darurat. Sebaliknya, jika seorang karyawan tidak diperlukan setelah jam kerja, lebih baik untuk tidak menggunakan nomor telepon pribadi (bahkan jika Anda mengenalnya).

Dan contoh dari Kesimpulan 2/201 7: Perusahaan pengiriman tidak memiliki hak untuk mengirim foto kurir kepada pelanggan (untuk memverifikasi bahwa kurir memang satu), karena tidak perlu mentransfer foto untuk mengirimkan paket.

PENTING! Uji proporsionalitas direkomendasikan tidak hanya dalam persiapan kontrak, tetapi juga dalam pemrosesan karena alasan lain ; misalnya, dengan memperoleh persetujuan (Pasal 6 (1) (a)) atau untuk mencapai kepentingan sah perusahaan Anda (Pasal 6 (1) (f) Peraturan).

Apa pun kebutuhan untuk mengumpulkan data pribadi di perusahaan Anda, selalu tanyakan pada diri Anda pertanyaan: apakah Anda benar-benar membutuhkan data ini? Bahkan jika karyawan Anda tampaknya tidak keberatan memberikannya kepada Anda. Ingat bahwa karyawan Anda pada awalnya dilihat dari sudut pandang GDPR sebagai sisi yang rentan dari hubungan kerja, dan persetujuannya adalah apriori tidak gratis. Karena itu, tugas memastikan gangguan minimal dengan privasi (termasuk di bawah kontrak dengan karyawan) ada di perusahaan Anda, bukan di karyawan.

Selain itu, saya sarankan Anda mempelajari persyaratan dari badan pengawas untuk perlindungan data pribadi di negara bagian bisnis Anda. Misalnya, di Siprus, tempat relokasi terbaru dari bisnis IT dan fintech dari Rusia dan negara-negara CIS lainnya, adalah wajib untuk menerapkan prosedur DPIA jika pemantauan sistematis terhadap aktivitas karyawan dilakukan, termasuk pemantauan tempat kerja, aktivitas internet atau GPS digunakan pada kendaraan karyawan .

Pemilik data harus menjadi pihak dalam kontrak

Tampaknya semuanya sudah jelas di sini. Namun, ada satu hal halus yang sedikit orang perhatikan. Ini adalah pemrosesan data pribadi karyawan mitra Anda (pelanggan, kontraktor, perantara, dll.), Di mana ada celah hukum.

Perusahaan Anda tidak memiliki kontrak dengan karyawan mitra Anda. Dan bahkan persetujuan untuk pemrosesan data paling sering tidak berhasil untuk diminta. Ya, orang-orang semacam itu adalah karyawan mitra Anda (meskipun mereka mungkin pekerja lepas dan bahkan staf disediakan oleh pihak ketiga). Dan logis untuk mengasumsikan bahwa karena mereka bekerja untuknya, maka berdasarkan kontrak dengan pasangan Anda, Anda telah setuju untuk mentransfer data Anda kepada Anda. Tapi ini tidak benar.

Anda tidak tahu seberapa baik pasangan Anda menyelesaikan semua dokumen dalam kerangka GDPR. Apakah persetujuan diterima dari karyawannya dan apakah itu diberikan secara bebas, atau apakah pemrosesan data pribadi disepakati dalam perjanjian dengan karyawan tersebut. Saya sangat meragukan bahwa Anda dapat sepenuhnya bergantung pada pasangan Anda dalam masalah ini. Sementara itu, setelah menerima data karyawannya, perusahaan Anda setidaknya menjadi prosesor, mis. memproses data pribadi atas nama dan atas nama pengontrol. Dan untuk menghindari tanggung jawab atas pelanggaran GDPR, perusahaan pemrosesan Anda setidaknya harus bertindak berdasarkan instruksi hukum dari mitra Anda.

Perusahaan Anda hanya akan menjadi prosesor jika, berdasarkan perjanjian dengan mitra Anda, perusahaan itu menerima data pribadi karyawannya yang jelas (misalnya, nama dan kontak) dan menggunakannya hanya untuk tujuan yang dinyatakan dengan jelas; misalnya, komunikasi melalui telepon, email atau kurir instan saat mengerjakan suatu proyek. Jika tiba-tiba Anda memutuskan untuk mengirim semacam buletin pemasaran atau tawaran pekerjaan kepada karyawan tersebut, maka yang otomatis akan masuk dalam kategori "pengontrol", dengan tanggung jawab yang semakin besar. Karena Anda sendiri sudah akan mulai menentukan tujuan dan metode pemrosesan data pribadi.

Dalam situasi seperti itu, saya akan merekomendasikan bahwa Anda memasukkan klausa terpisah dalam kontrak apa pun dengan mitra Anda bahwa pihak lawan menjamin bahwa itu sesuai dengan semua aturan untuk bekerja dengan data pribadi karyawannya atau pihak terkait, yang mungkin berlaku untuk itu di tempat usaha, termasuk Perusahaan Anda dari segala klaim, klaim yang mungkin terkait dengan pelanggaran hukum yang berlaku saat mentransfer data kepada Anda, dan menjamin kompensasi independen untuk kerusakan dalam klaim dan klaim tersebut. Klausa klasik tentang ganti rugi dan ganti rugi, tetapi hanya terkait dengan data pribadi.

Dalam praktiknya, segera setelah Anda memasukkan klausul untuk membebaskan Anda dari tanggung jawab dalam kontrak, pengacara pasangan Anda kemungkinan besar ingin menghapusnya. Bagaimana menjadi

Lakukan transfer data pribadi sesuai dengan ketentuan Peraturan, dan akan sulit bagi pasangan Anda untuk tidak setuju dengan ini.

Untuk perusahaan pemrosesan yang menerima data dari mitra mereka (pengendali), Peraturan (Pasal 28 (3)) berisi persyaratan wajib untuk konten kontrak dalam hal data yang ditransfer. Khususnya, Anda perlu menentukan data (kategori) apa, untuk tujuan apa dan untuk berapa lama ditransfer ke perusahaan Anda, dan banyak lagi. Jika data pribadi ditransfer oleh perusahaan Anda lebih jauh ke prosesor baru, perlu untuk mengoordinasikan kewajiban yang identik dengannya.

Jika kerja bersama pada proyek melibatkan transfer data pribadi di luar Uni Eropa, ke negara ketiga tanpa tingkat perlindungan data pribadi yang memadai , bersama dengan kontrak yang harus disimpulkan, perlu untuk menyusun dan menandatangani klausul kontraktual standar untuk perlindungan data pribadi (Pasal 46 (1) (2) ) (c) dari Peraturan). Bahkan jika mitra tidak memerlukan dokumen semacam itu, lebih baik memiliki templat pra-desain dan bersikeras menandatanganinya saat mentransfer data ke karyawan Eropa. Ini secara signifikan akan mengurangi risiko pertanggungjawaban untuk pemrosesan data pribadi yang melanggar GDPR.

Kondisi standar dikembangkan dan disetujui oleh Komisi Eropa berdasarkan Directive 95/46 / EC untuk prosesor dapat ditemukan di sini . Anda juga dapat menemukan kondisi standar untuk pengontrol di sana.

Adopsi langkah-langkah yang diperlukan sebelum kesimpulan kontrak, atas permintaan pemilik data pribadi

Seharusnya ada hubungan yang jelas: acara diadakan sehubungan dengan pemilik data, dan dia sendiri memberikan izin untuk penerapannya dalam permintaan.

Contoh : Memeriksa riwayat kriminal seorang kandidat, jika posisinya melibatkan bekerja dengan data kerahasiaan yang meningkat dan tanpa verifikasi tidak mungkin untuk mendapatkan undangan untuk bekerja. Pada saat yang sama, pemberi kerja memberi tahu kandidat terlebih dahulu dalam uraian tugas tentang perlunya melewati verifikasi beberapa fakta kriminal dalam biografinya. Dan kandidat, dengan mengirimkan resume atau dengan cara lain, menegaskan bahwa ia setuju dengan cek semacam itu .

Untuk membentuk permintaan sah dari seorang kandidat untuk pemrosesan datanya, perlu memberikan informasi yang diperlukan kepada kandidat tentang pemrosesan di masa depan, termasuk metode untuk membuat keputusan tentang hasilnya. (Untuk informasi lebih lanjut, lihat prosedur: pertama memberi informasi, kemudian memproses di bawah ini.

Pekerja lepas: apakah mereka juga pekerja?

Dalam Kesimpulan 2/2017, di bawah pekerja, disarankan untuk mempertimbangkan tidak hanya mereka yang bekerja di bawah kontrak kerja, tetapi juga pekerja lepas, jika hubungannya dengan mereka bersifat pekerja. Ada kesulitan di sini.

Apa arti "hubungan kerja" dengan pekerja lepas, apalagi, dalam hal GDPR? Kesimpulan 2/2017 tidak memberikan jawaban untuk pertanyaan ini. Saya pikir kita perlu melihat konteks di mana setiap karyawan disebutkan dalam Peraturan. Ini adalah kerugian apriori bagi majikan, ketika mereka tidak dapat menolak untuk memberikan data mereka tanpa risiko tidak mendapatkan atau kehilangan pekerjaan, atau konsekuensi negatif lainnya. Jika Anda mengikuti logika ini, maka seorang freelancer dapat disamakan dengan seorang karyawan dalam situasi di mana perusahaan Anda akan menjadi satu-satunya sumber pesanan. Jika bagian pesanan (dan pembayaran) dari perusahaan Anda kecil dan freelancer dapat memilih apakah akan bekerja sama dengan Anda dan dalam kondisi apa, maka ia memiliki lebih banyak kebebasan untuk membuat keputusan mengenai data pribadinya. Dan dalam hal ini, ia dapat dianggap sebagai pengusaha mandiri, dan bukan karyawan.

Dalam kasus apa pun, Anda harus menunggu perkembangan praktik penerapan GDPR atau pengungkapan masalah ini dalam apa yang disebut "Hukum lunak" Uni Eropa: kesimpulan dan rekomendasi, serta dalam undang-undang nasional.

Kami mengikuti prosedur: pertama - menginformasikan, lalu - pemrosesan

Pemilik data harus diberi tahu sebelum memproses. Ini adalah persyaratan umum Pasal 13 Peraturan. Dalam setiap kasus individu (pemrosesan dalam kerangka kontrak atau sebelum kesimpulannya), serta tanpa kontrak, tetapi jika perusahaan Anda memiliki kepentingan yang sah, pemilik data harus menerima informasi minimum yang diperlukan.

Dalam hal karyawan, informasi seperti itu sebaiknya dilakukan bersamaan dengan penempatan persyaratan untuk calon lowongan. Jika kontrak komersial diselesaikan dengan freelancer, Anda harus memberi tahu sebelum menyimpulkan kontrak, atau, dalam kasus yang ekstrim, bersamaan dengan penandatanganannya. Seiring dengan informasi lain yang tercantum dalam Pasal 13 Peraturan, perlu untuk menunjukkan apakah penyediaan data pribadi termasuk dalam tugas karyawan masa depan dan konsekuensi apa yang mungkin terjadi jika ia menolak memberikannya.

Jangan lupa bahwa bentuk komunikasi harus sesederhana dan mudah diakses. Jangan sertakan informasi ini dalam teks kontrak utama, di mana kontrak itu mungkin hilang. Make out dalam bentuk dokumen terpisah lebih baik. Dianjurkan agar dokumen tersebut diberi tanggal sebelum tanggal penandatanganan kontrak utama.


Ini adalah persyaratan umum untuk pemrosesan data pribadi berdasarkan kontrak, sehubungan dengan kebutuhan untuk menyelesaikan kontrak atas permintaan pemilik data atau dengan adanya kepentingan yang sah. Selanjutnya, kami secara singkat mempertimbangkan pemrosesan data pribadi saat merekrut karyawan, memantau karyawan di tempat kerja dan dari jarak jauh, serta memantau waktu kehadiran di tempat kerja dan / atau waktu yang dihabiskan.

Pemrosesan data saat merekrut (mempekerjakan) karyawan

Perekrut suka melihat profil kandidat di jejaring sosial. Beberapa bahkan meminta referensi kepada mereka di profil atau resume. Saat mengumpulkan data dari jejaring sosial perusahaan Anda, Anda perlu mengetahui apakah profil ini ditujukan untuk penggunaan pribadi atau untuk tujuan bisnis. Kuncinya di sini adalah penggunaan. Ketahuilah bahwa bahkan profil yang terbuka untuk dilihat publik tidak dapat digunakan untuk tujuan merekrut, mengevaluasi kandidat untuk pekerjaan, jika ini tidak secara langsung terkait dengan fungsi calon kandidat di perusahaan atau proyek Anda.

Contoh : , . - , , . . , , .

Pemantauan umum data mantan karyawan dari profil di jejaring sosial biasanya tidak dapat diterima. (Pemantauan semacam itu dapat dilakukan untuk mengetahui apakah mantan karyawan itu tidak melanggar ketentuan larangan untuk beralih bekerja dengan pesaing untuk beberapa waktu). Namun, jika majikan membuktikan bahwa informasi ini tidak dapat diperoleh selain dengan melihat profil, mengumpulkan data dari jejaring sosial dapat diakui sebagai hal yang diperbolehkan. Di sini, kondisi tentang perlunya memberi tahu karyawan sebelumnya tentang pemantauan yang sedang berlangsung juga harus diperhatikan.

Jelas bahwa lebih baik untuk memberi informasi tentang pemantauan sebelum berakhirnya kontrak (dan idealnya - sebelum kesimpulannya). Jika tidak, sangat mungkin bahwa karyawan, setelah menerima pemberitahuan, hanya akan menghapus semua informasi dan kontak yang membahayakannya.

Tidak diperbolehkan memaksa karyawan untuk hanya menggunakan profil yang dikaitkan dengan pemberi kerja di jejaring sosial . Bahkan jika kewajiban semacam itu disediakan oleh fitur-fitur pekerjaan mereka (misalnya, perwakilan dari layanan PR, juru bicara, manajer layanan pelanggan, dll.). Dalam kasus apa pun, karyawan tersebut harus mempertahankan kemampuan untuk menggunakan profil pribadi dan non-publik.

Pemasangan alat (sistem, aplikasi) pemrosesan data elektronik pada komputer yang berfungsi jaringan

Kami berbicara tentang sistem dan aplikasi yang dalam satu atau lain bentuk mengumpulkan data pribadi dan mengirimkannya ke perusahaan atau pihak ketiga. Instalasi memerlukan persetujuan karyawan. Bahkan tindakan independen dari karyawan untuk mengaktifkan aplikasi pada mesin kerjanya atau memberikan akses untuk instalasi jarak jauh sistem dengan pengaturan default tidak akan dianggap sebagai ekspresi persetujuan untuk instalasi. Karena persetujuan harus diberikan oleh tindakan aktif pengguna sendiri, hanya instalasi dengan perubahan pada pengaturan default yang dapat disamakan dengan ekspresi informasi dan bebas dari keinginan karyawan untuk menginstal.

Saat memantau karyawan atau data perangkat mereka (termasuk yang pribadi yang terhubung ke jaringan perusahaan atau WiFi), pemberi kerja harus memiliki kebijakan pemantauan tempat kerja yang dikembangkan, mudah dan terus-menerus diakses, serta dapat dipahami oleh setiap karyawan . Sehingga setiap orang memahami dengan jelas apa dan bagaimana akan, dan untuk tujuan apa itu akan digunakan.

PENTING! Anda tidak dapat mengikuti pendekatan yang disukai oleh banyak "personel" Rusia: saat merekrut, beri mereka seratus atau dua ratus halaman instruksi untuk dibaca, dan kemudian minta mereka mengingat semuanya dan lupa untuk menghapusnya selamanya. Ketik, berkenalan. Kebijakan harus mudah diakses kapan saja.

Kebijakan pemantauan, seperti kebijakan pemrosesan data pribadi (privasi) lainnya, harus ditinjau secara berkala. Evaluasi ulang diperlukan sejauh pemantauan diperlukan untuk memenuhi kepentingan sah perusahaan. Oleh karena itu, saya akan merekomendasikan kepada mereka yang ingin menghapus kemungkinan klaim jika terjadi konflik atau cek, tetapi tidak siap untuk mencurahkan banyak sumber daya untuk ini:

• lakukan setidaknya setahun sekali protokol / pesanan dengan instruksi untuk melakukan inventarisasi seluruh sistem Anda untuk mengumpulkan dan memproses data pribadi;
• sesuai dengan hasil inventaris, buat setidaknya perubahan minimal terhadap Kebijakan (misalnya, kurangi umur simpan kategori data tertentu);

Alih-alih terus memantau karyawan, cobalah untuk mencegah perilaku yang tidak diinginkan. Jika memblokir sumber daya / situs apa pun memungkinkan Anda mencapai tujuan, lebih baik memblokir akses karyawan ke mereka daripada terus-menerus memantaunya. Ini adalah prinsip umum interaksi antara majikan dan karyawan, yang direkomendasikan oleh Kesimpulan 2/2017.

Contoh A dari Kesimpulan 2/2017 : Memblokir semua email secara berurutan yang berpotensi menimbulkan risiko kebocoran data oleh perusahaan pemberi kerja mewajibkan karyawan untuk diberitahu tentang hal ini (setiap kali sebelum mengirim surat), dengan opsi untuk menolak pengiriman. Jika tidak, ada risiko melebihi gangguan yang diperlukan dengan privasi dan akses sewenang-wenang ke korespondensi pribadi karyawan.

Contoh B dari Kesimpulan 2/2017 : . , (, ).

2/2017 : , , , .

«home-office»

Menggunakan teknologi yang memungkinkan Anda untuk melacak klik dan gerakan mouse, tindakan serupa dari karyawan, serta mengambil tangkapan layar (baik secara selektif dan berkala), memperoleh informasi tentang aplikasi yang diunduh dan waktu pengunduhannya, menerima data dari webcam atau mengambil bacaan tentang caranya, disahkan oleh karyawan (halo resident evil ke Amazon dan sisanya !), Ini dianggap tidak proporsional. Pemantauan seperti itu kemungkinan berada di luar kepentingan sah majikan (klausul 5.4.1. Kesimpulan 2/2017).

Apa yang bisa direkomendasikan di sini?

Pertama, (seolah-olah itu tidak terdengar akrab), untuk memahami apakah Anda memerlukan pemantauan seperti itu atau tidak. Kedua, jelaskan (dengan dokumentasi) apa yang menjadi kepentingan sah Anda, dan jika mungkin, catat pemantauan tersebut dalam perjanjian yang ada.

Sebagai contoh, pekerjaan seorang programmer pada suatu proyek tidak dapat diperkirakan sebelumnya dalam hal waktu yang diperlukan. Pembayaran dibentuk oleh jumlah jam kerja. Pelanggan Anda bersikeras untuk memantau aktivitas karyawan Anda dengan mengambil tangkapan layar atau memantau tindakannya di server cloud. Kondisi pelanggan tentang tangkapan layar atau kontrol pada server harus diperbaiki dalam kontrak dengan pelanggan (jika waktu kerja diperkirakan melalui sistem akuntansi lain - sama). Karyawan yang bekerja pada proyek pelanggan ini juga harus diberitahu sebelum pemantauan, dan kemungkinan pemantauan tersebut harus dijabarkan dalam kontrak dengannya.

Pemantauan jam kerja / kehadiran di tempat kerja melalui sistem akses

Ini adalah "trik" favorit banyak perusahaan domestik, dari "kecil ke besar": letakkan pos pemeriksaan elektronik dan kenakan denda penalti untuk keterlambatan kecil, atau masukkan informasi ini ke dalam file pribadi. Jadi, dengan staf Eropa Anda, ini hampir selalu tidak dapat diterima.

Contoh dari Kesimpulan 02/2017 : Anda dapat menggunakan sistem akuntansi akses (tanggal, waktu, pemilik kunci akses) untuk mengontrol akses ke tempat-tempat yang sangat sensitif. Misalnya, di ruang server, tempat informasi penting disimpan. Tetapi tidak mungkin untuk menggunakan data yang diperoleh untuk menilai produktivitas karyawan (waktu ada / tidaknya di tempat kerja).

Memantau "atmosfer kebahagiaan" di perusahaan

Pengamatan ekspresi wajah karyawan menggunakan cara otomatis tidak diperbolehkan untuk mendeteksi penyimpangan dari pola motor yang telah ditentukan. Selain pemantauan, data pengamatan semacam itu dapat membentuk dasar untuk membuat profil seorang karyawan dan membuat keputusan otomatis mengenai dirinya. Ini tidak proporsional dengan hak dan kebebasan karyawan. Sebagai aturan umum, pengusaha harus menahan diri untuk tidak menggunakan teknologi pengenalan wajah tersebut. Meskipun beberapa pengecualian terhadap aturan umum dapat diizinkan.

(Saya kira kejang diperbolehkan di mana produksi berbahaya terjadi (apakah mereka tetap di Eropa?) Atau untuk mengendalikan kelelahan pengemudi dan operator, seperti yang dijelaskan dalam artikel di Amazon, pada tautan di atas).

Kesimpulan dan rekomendasi singkat:

1. ( ) , . ( , )
2. , , ( ) . .
3. , . - ( , ), .
4. Dikembangkan sebagai templat klausul kontrak standar perlindungan data pribadi, yang perlu ditandatangani setelah menerima data pribadi karyawan Eropa, jika data tersebut ditransfer ke negara ketiga tanpa tingkat perlindungan yang memadai.