2. DATENSCHUTZBESTIMMUNGEN

Rechtsgrundlage (legitimer Grund) für die Verarbeitung personenbezogener Daten

Unternehmen benötigen eine Rechtsgrundlage (einen legitimen Grund) für die Verarbeitung der personenbezogenen Daten eines Mitarbeiters. Legitime Gründe sind unter anderem: 

  • Der Arbeitnehmer hat seine Zustimmung zu der Verarbeitung gegeben

  • Die Verarbeitung ist erforderlich, um Teile des Arbeitsvertrags zu erfüllen.

  • Die Verarbeitung ist erforderlich, um auf Antrag des Arbeitnehmers vor Abschluss eines Vertrags Maßnahmen zu ergreifen. (z. B. in Bezug auf Fragen des Arbeitsentgelts in einem Beschäftigungskontext)

  • Erfüllung einer gesetzlichen Verpflichtung (z. B. einer gesetzlichen Verpflichtung zur Führung von Mitarbeiterakten)

  • Die Verarbeitung ist erforderlich, um die lebenswichtigen Interessen des Mitarbeiters zu wahren. (z. B. wenn die Krankengeschichte einer Person an das Krankenhaus weitergegeben wird, das sie nach einem schweren Verkehrsunfall behandelt)

  • Für die Zwecke der berechtigten Interessen der Organisation.

Zustimmung

Die Einwilligung ist ein rechtmäßiger Grund für die Verarbeitung von Mitarbeiterdaten, und Sie sollten die Einwilligung einholen, wenn keiner der anderen oben genannten Rechtsgründe zutrifft. Sie müssen sich über Ihre Verpflichtungen im Klaren sein, wenn Sie die Einwilligung von Mitarbeitern einholen. In der Datenschutz-Grundverordnung heißt es, dass die Einwilligung "freiwillig, ausdrücklich, in Kenntnis der Sachlage und unmissverständlich" erteilt werden muss. Das bedeutet, dass die betroffene Person sich darüber im Klaren sein muss, dass sie der Verarbeitung ihrer Daten zustimmt, und dass sie nicht zur Erteilung der Einwilligung gezwungen werden darf.

Bevor ein Arbeitnehmer in die Verarbeitung seiner Daten einwilligt, muss der Arbeitgeber nachweisen, dass er die Arbeitnehmer darüber informiert hat, warum ihre personenbezogenen Daten erhoben werden und wie sie verwendet und behandelt werden. Schweigen, angekreuzte Kästchen oder Untätigkeit können nicht als Zustimmung gewertet werden. Eine betroffene Person kann ihre Einwilligung jederzeit widerrufen, und es muss genauso einfach sein, die Einwilligung zurückzuziehen, wie sie zu erteilen.

GDPR-Schulung und Kommunikation mit Mitarbeitern und potenziellen Mitarbeitern

Die Arbeitgeber müssen die Arbeitnehmer darüber informieren: 

  • Welche personenbezogenen Daten Sie erheben werden (oder ob sie von Dritten erhoben werden)

  • Wie die Daten verarbeitet werden

  • Warum werden die Daten verarbeitet?


Die Datenschutz-Grundverordnung schreibt vor, dass Bewerbern bestimmte Informationen zur Verfügung gestellt werden müssen, bevor ihre personenbezogenen Daten erhoben und verarbeitet werden. Diese Informationen müssen klar und zugänglich sein und können in Form eines Datenschutzhinweises auf der Website und eines Schreibens an den Bewerber erfolgen. Die Mitarbeiter werden über die Datenschutzrichtlinien geschult, sobald der Bewerber ein Mitarbeiter ist.

Anträge auf Zugang zu personenbezogenen Daten (DSARs)

Arbeitgeber müssen über Verfahren verfügen, um auf Anfragen von Arbeitnehmern zum Zugang zu personenbezogenen Daten innerhalb eines Monats zu antworten. Diese Frist kann um weitere 2 Monate verlängert werden, wenn die Anfragen komplex oder zahlreich sind.

Sicherheitsverpflichtungen

Die Daten müssen durch "geeignete technische und organisatorische Maßnahmen" geschützt werden. Die Daten müssen sicher aufbewahrt werden, zum Beispiel durch Anonymisierung, Verschlüsselung, Antiviren-Sicherheitsmaßnahmen oder durch Datensicherungen. Arbeitgeber müssen diese Sicherheitsmaßnahmen testen und in der Lage sein, nachzuweisen, dass sie die Sicherheitsverpflichtungen der DSGVO eingehalten haben.

Aufbewahrung von Aufzeichnungen und Recht auf Berichtigung

Organisationen sollten Daten nur so lange aufbewahren, wie es nötig ist, um die Aufgabe zu erfüllen, für die sie erhoben wurden, oder wie es gesetzlich vorgeschrieben ist. Arbeitgeber sollten über eine Aufbewahrungspolitik verfügen und in der Lage sein, zu begründen, warum Daten aufbewahrt wurden.

Arbeitnehmer haben das Recht zu erfahren, welche Daten ein Arbeitgeber über sie gespeichert hat, und sie haben auch das Recht, diese Daten zu korrigieren. Was bei Beendigung des Arbeitsverhältnisses mit den Arbeitnehmerdaten geschieht, sollte in den Personalrichtlinien dokumentiert werden.

Weitergabe und Übermittlung personenbezogener Daten

Organisationen, die Dritte wie Personalvermittlungsagenturen oder Anbieter von Gehaltsabrechnungen mit der Verarbeitung von Mitarbeiterdaten beauftragen, sind dafür verantwortlich, dass diese Dritten die DSGVO einhalten, und müssen entsprechende Vereinbarungen abschließen. Sie müssen auch die GDPR-Verpflichtungen für die Übermittlung von Daten außerhalb der EU einhalten.

Datenschutzbeauftragter

Nach der DSGVO müssen einige Organisationen einen Datenschutzbeauftragten ernennen , z. B. Behörden und Einrichtungen, Regierungsstellen, Organisationen, die in großem Umfang Daten verarbeiten, und Organisationen, die sensible Daten oder Daten besonderer Kategorien verarbeiten.

Verstöße melden

Arbeitgeber müssen Datenschutzverletzungen innerhalb von 72 Stunden nach Bekanntwerden der Datenschutzkommission (DPC) melden. Wenn sie die Datenschutzkommission nicht innerhalb von 72 Stunden benachrichtigen, müssen sie eine Begründung für die Verzögerung liefern. Verstöße, die einer betroffenen Person schaden können, z. B. Identitätsdiebstahl, müssen ebenfalls der betroffenen Person gemeldet werden. 

Sanktionen

Es ist wichtig, die Rechtsvorschriften einzuhalten und angemessene Strategien und Verfahren einzuführen. Unternehmen können überprüft werden und müssen mit erheblichen Strafen rechnen, wenn ihre Praktiken gegen die DSGVO verstoßen. 



Last modified: Friday, 21 July 2023, 3:32 PM