2. ΚΑΝΟΝΙΣΜΟΙ ΑΠΟΡΡΗΤΟΥ
Νομική βάση (νόμιμος λόγος) για την επεξεργασία δεδομένων προσωπικού χαρακτήρα Οι οργανισμοί χρειάζονται νομική βάση (έναν νόμιμο λόγο) για την επεξεργασία των προσωπικών δεδομένων ενός υπαλλήλου. Οι νόμιμοι λόγοι περιλαμβάνουν: Ο εργαζόμενος έχει δώσει τη συγκατάθεσή του για επεξεργασία. Η επεξεργασία είναι απαραίτητη για την εκπλήρωση μερών της σύμβασης εργασίας του εργαζομένου. Η επεξεργασία είναι απαραίτητη προκειμένου να γίνουν συγκεκριμένες ενέργειες κατόπιν αιτήματος του εργαζομένου πριν από τη σύναψη σύμβασης (για παράδειγμα, για θέματα αμοιβής σε πλαίσιο απασχόλησης). Συμμόρφωση με μια νομική υποχρέωση (για παράδειγμα, μια νομική απαίτηση για τήρηση αρχείων εργαζομένων). Η επεξεργασία είναι απαραίτητη για τη διασφάλιση των ζωτικών συμφερόντων του εργαζομένου (για παράδειγμα, όταν το ιατρικό ιστορικό ενός ατόμου πρέπει να δοθεί στο νοσοκομείο μετά από ένα σοβαρό τροχαίο ατύχημα). Για σκοπούς έννομων συμφερόντων του οργανισμού. Συγκατάθεση Η συγκατάθεση είναι ένας νόμιμος λόγος για την επεξεργασία των δεδομένων των εργαζομένων. Αν δεν ισχύει κανένας από τους νόμιμους λόγους που αναφέρονται παραπάνω, θα πρέπει να λάβετε τη συγκατάθεση του εργαζομένου Πρέπει να γνωρίζετε τις υποχρεώσεις σας, όταν ζητάτε τη συγκατάθεση των εργαζομένων. Σύμφωνα με τον GDPR, η συγκατάθεση πρέπει «να παρέχεται ελεύθερα, συγκεκριμένα, ενημερωμένα και με σαφήνεια». Αυτό σημαίνει ότι ο εργαζόμενος πρέπει να γνωρίζει ότι συναινεί στην επεξεργασία των δεδομένων του και ότι η συγκατάθεσή του δεν πρέπει να γίνει εξαναγκαστικά. Προτού ο εργαζόμενος δώσει τη συγκατάθεσή του για επεξεργασία των δεδομένων του, ο εργοδότης πρέπει να εξηγήσει (και να μπορεί να αποδείξει ότι έχει εξηγήσει) στον εργαζόμενο γιατί συλλέγει τα προσωπικά του δεδομένα και πώς θα τα χρησιμοποιήσει. Η σιωπή, τα προεπιλεγμένα πλαίσια ή η αδράνεια δεν μπορούν να θεωρηθούν ως συγκατάθεση. Ο εργαζόμενος μπορεί να αποσύρει τη συγκατάθεσή του ανά πάσα στιγμή και πρέπει να είναι εξίσου εύκολο να αποσύρει τη συγκατάθεσή του με το να τη δώσει. Εκπαίδευση GDPR και πληροφόρηση των εργαζομένων/υποψήφιων εργαζομένων Οι εργοδότες πρέπει να ενημερώνουν τους εργαζόμενους για τα εξής: Ποια προσωπικά δεδομένα θα συλλέξουν (ή αν αυτά θα συλλεχθούν από τρίτους) Πώς θα γίνει η επεξεργασία των δεδομένων Γιατί θα γίνει επεξεργασία των δεδομένων Σύμφωνα με τον GDPR, πρέπει να παρέχονται στους υποψηφίους εργαζόμενους συγκεκριμένες πληροφορίες, προτού συλλεχθούν και υποβληθούν σε επεξεργασία τα προσωπικά τους δεδομένα. Αυτές οι πληροφορίες πρέπει να είναι σαφείς και προσβάσιμες, και μπορούν να δοθούν είτε με τη μορφή δήλωσης για την πολιτική απορρήτου στην ιστοσελίδα είτε με τη μορφή επιστολής προς τον υποψήφιο. Η εκπαίδευση σχετικά με τις πολιτικές προστασίας δεδομένων πραγματοποιείται όταν ο υποψήφιος ενταχθεί στο δυναμικό της εταιρείας. Αιτήματα πρόσβασης από υποκείμενα δεδομένων (DSAR) Οι εργοδότες πρέπει να έχουν θεσπίσει διαδικασίες για να ανταποκρίνονται σε αιτήματα πρόσβασης προσωπικών δεδομένων από εργαζόμενους εντός ενός μήνα. Αυτό μπορεί να παραταθεί για άλλους δύο μήνες, αν τα αιτήματα είναι πολύπλοκα ή πολυάριθμα. Υποχρεώσεις ασφαλείας Τα δεδομένα πρέπει να προστατεύονται με «ενδεδειγμένα τεχνικά και οργανωτικά μέτρα». Πρέπει να διατηρούνται ασφαλή, χρησιμοποιώντας, για παράδειγμα, ανωνυμοποίηση, κρυπτογράφηση, μέτρα ασφαλείας κατά των ιών ή με τη δημιουργία αντιγράφων ασφαλείας. Οι εργοδότες πρέπει να ελέγξουν αυτά τα μέτρα ασφαλείας και να είναι σε θέση να αποδείξουν ότι έχουν συμμορφωθεί με τις υποχρεώσεις ασφαλείας του GDPR. Τήρηση αρχείων και δικαίωμα διόρθωσης Οι οργανισμοί πρέπει να κρατούν τα δεδομένα μόνο για όσο χρόνο χρειάζεται για να ολοκληρωθεί η εργασία για την οποία συλλέχθηκαν ή σύμφωνα με τις απαιτήσεις της νομοθεσίας. Οι εργοδότες πρέπει να έχουν μια πολιτική τήρησης αρχείων και να μπορούν να αιτιολογούν γιατί κράτησαν τα δεδομένα. Οι εργαζόμενοι έχουν το δικαίωμα να γνωρίζουν ποια δεδομένα έχει στο αρχείο ένας εργοδότης για αυτούς, καθώς και το δικαίωμα να διορθώσουν αυτά τα δεδομένα. Το τι συμβαίνει με τα δεδομένα ενός υπαλλήλου όταν τερματίζεται μια σύμβαση εργασίας θα πρέπει να περιγράφεται στις πολιτικές ανθρώπινου δυναμικού. Κοινοποίηση και μεταφορά προσωπικών δεδομένων Οργανισμοί που χρησιμοποιούν τρίτα μέρη για την επεξεργασία δεδομένων, π.χ. γραφεία ευρέσεως εργασίας ή παρόχους μισθοδοσίας, είναι υπεύθυνοι για τη διασφάλιση της συμμόρφωσης του τρίτου μέρους με τον GDPR και πρέπει να έχουν συνάψει τις δέουσες συμφωνίες. Πρέπει επίσης να συμμορφώνονται με τους κανονισμούς του GDPR σχετικά με τη μεταφορά δεδομένων εκτός ΕΕ. Υπεύθυνος προστασίας δεδομένων Σύμφωνα με τον GDPR, μερικοί οργανισμοί πρέπει να διορίζουν έναν Υπεύθυνο Προστασίας Δεδομένων, για παράδειγμα δημόσιες αρχές και φορείς, κυβερνητικές υπηρεσίες, οργανισμοί που εμπλέκονται σε επεξεργασία δεδομένων μεγάλης κλίμακας και οργανισμοί που επεξεργάζονται ευαίσθητα ή ειδικής κατηγορίας δεδομένα. Αναφορά παραβιάσεων Οι εργοδότες πρέπει να αναφέρουν παραβιάσεις δεδομένων στην Επιτροπή Προστασίας Δεδομένων (DPC) εντός 72 ωρών από τη στιγμή που αντιλήφθηκαν την παραβίαση. Αν δεν ειδοποιήσουν το DPC εντός 72 ωρών, πρέπει να παράσχουν αιτιολόγηση για την καθυστέρηση. Παραβιάσεις που μπορεί να βλάψουν ένα υποκείμενο δεδομένων, όπως η κλοπή ταυτότητας, πρέπει επίσης να αναφέρονται στο εν λόγω άτομο. Κυρώσεις Είναι σημαντικό οι εργοδότες να συμμορφώνονται με τη νομοθεσία και να εφαρμόζουν τις ενδεδειγμένες πολιτικές και διαδικασίες. Οι οργανισμοί ενδέχεται να αντιμετωπίσουν σημαντικές κυρώσεις, αν διαπιστωθεί μετά από επιθεώρηση ότι οι πρακτικές τους παραβιάζουν τον GDPR.