جزء من سلسلة Compliance & Regulation
اقرأ الدليل الكاملإدارة خصوصية بيانات الموظفين: الموازنة بين احتياجات الموارد البشرية وحقوق الخصوصية
بيانات الموظفين هي الفئة الأكثر حساسية من البيانات الشخصية التي تعالجها معظم الشركات. وهي تتضمن المعلومات المالية (الراتب، التفاصيل المصرفية)، والمعرفات الحكومية (رقم الضمان الاجتماعي، والمعرفات الضريبية)، والبيانات الصحية (الإجازات المرضية، وأماكن إقامة ذوي الإعاقة)، والبيانات السلوكية (مراجعات الأداء، والسجلات التأديبية). ومع ذلك، تقوم إدارات الموارد البشرية بشكل روتيني بجمع وتخزين بيانات الموظفين أكثر بكثير من اللازم، وغالبًا ما يكون ذلك دون حماية كافية.
يغطي هذا الدليل المتطلبات القانونية والأطر العملية والتطبيقات الفنية لإدارة خصوصية بيانات الموظفين عبر دورة حياة التوظيف بأكملها.
الوجبات الرئيسية
- نادراً ما تكون الموافقة هي الأساس القانوني المناسب لمعالجة بيانات الموظفين --- فاختلال توازن القوى يجعل الموافقة غير مجانية
- يجب أن تكون مراقبة الموظفين متناسبة وشفافة ولها أساس قانوني
- يتطلب نقل بيانات الموظفين عبر الحدود (على سبيل المثال، إلى المقر الرئيسي للمجموعة) آليات نقل محددة
- يختلف الاحتفاظ بالبيانات الخاصة ببيانات الموارد البشرية من عام واحد (رفض التوظيف) إلى أكثر من 30 عامًا (سجلات المعاشات التقاعدية) حسب النوع
الأسس القانونية لمعالجة بيانات الموظفين
القواعد القانونية للقانون العام لحماية البيانات (المادة 6)
| الأساس القانوني | متى تستخدم | أمثلة |
|---|---|---|
| تنفيذ العقد (المادة 6(1)(ب)) | اللازمة للوفاء بعقد العمل | معالجة الرواتب، جدول العمل، إدارة المزايا |
| الالتزام القانوني (المادة 6 (1) (ج)) | مطلوبة بموجب القانون | التقارير الضريبية، ومساهمات الضمان الاجتماعي، وسجلات السلامة في مكان العمل |
| المصلحة المشروعة (المادة 6(1)(و)) | حاجة العمل متوازنة مع حقوق الموظفين | مراقبة أمن تكنولوجيا المعلومات، منع الاحتيال، التخطيط التنظيمي |
| الموافقة (المادة 6 (1) (أ)) | أنشطة اختيارية حقا | صورة دليل الموظف، المناسبات الاجتماعية، المسوحات غير الإلزامية |
| المصالح الحيوية (المادة 6 (1) (د)) | المواقف التي تهدد الحياة | معلومات طبية طارئة |
مهم: يجب أن تكون الموافقة الملاذ الأخير بالنسبة لبيانات الموظف. ويعني اختلال توازن القوى بين صاحب العمل والموظف أن الموافقة قد لا "تُمنح بحرية" كما هو مطلوب بموجب اللائحة العامة لحماية البيانات. استخدم أداء العقد أو الالتزام القانوني حيثما أمكن ذلك.
الفئات الخاصة (المادة 9)
تتطلب البيانات الصحية والبيانات البيومترية وعضوية النقابات العمالية والفئات الخاصة الأخرى أساسًا قانونيًا إضافيًا:
| بيانات فئة خاصة | الأساس القانوني | السيناريو المشترك للموارد البشرية |
|---|---|---|
| بيانات صحية | التزام قانون العمل أو الموافقة الصريحة | الإجازات المرضية، مساكن الإعاقة، الصحة المهنية |
| البيانات البيومترية | موافقة صريحة أو مصلحة عامة كبيرة | الوصول إلى بصمات الأصابع، الحضور التعرف على الوجه |
| العضوية النقابية | قانون العمل، موافقة صريحة | خصم مستحقات الاتحاد والمفاوضة الجماعية |
| السجلات الجنائية | التزام قانوني | فحوصات الخلفية (حيثما يسمح بذلك قانونًا) |
| المعتقد الديني | موافقة صريحة | المتطلبات الغذائية والأعياد الدينية |
بيانات الموظف خلال دورة الحياة
التوظيف
| البيانات التي تم جمعها | الاحتفاظ | ملاحظات |
|---|---|---|
| السيرة الذاتية / السيرة الذاتية | 6-12 شهرًا بعد الرفض | الاحتفاظ الأقصر أكثر أمانًا |
| ملاحظات المقابلة | 6-12 شهرًا بعد الرفض | احتفظ فقط بالملاحظات المتعلقة بالوظيفة |
| نتائج الفحص المرجعي | بعد 6 أشهر من القرار | احذف فورا |
| نتائج التقييم / الاختبار | 6-12 شهرًا بعد الرفض | إبلاغ المرشحين مسبقا |
| فحص الخلفية | 6 أشهر بعد القرار، أو لا على الإطلاق | قيود صارمة على الأغراض |
يجب إعلام المرشحين: قبل جمع البيانات، قم بتقديم إشعار خصوصية يغطي البيانات التي يتم جمعها ولماذا ومدة الاحتفاظ بها وحقوقهم. يجب حذف بيانات المرشحين المرفوضين في غضون 6 إلى 12 شهرًا ما لم يوافق المرشح على الاحتفاظ به في مجموعة المواهب.
الصعود
| البيانات التي تم جمعها | الغرض | الأساس القانوني |
|---|---|---|
| الاسم الكامل، العنوان، تاريخ الميلاد | عقد عمل | العقد |
| المعرف الضريبي / الضمان الاجتماعي | التقارير الضريبية | التزام قانوني |
| تفاصيل البنك | صرف الراتب | العقد |
| اتصالات الطوارئ | السلامة في مكان العمل | مصلحة مشروعة |
| صورة (اختياري) | دليل الموظفين | موافقة |
| الأرقام التسلسلية للمعدات | تتبع الأصول | مصلحة مشروعة |
| وثائق أهلية العمل | الامتثال للهجرة | التزام قانوني |
أثناء التوظيف
| نشاط المعالجة | الأساس القانوني | الشفافية مطلوبة |
|---|---|---|
| تجهيز الرواتب | العقد | قياسي |
| تقييمات الأداء | مصلحة مشروعة | عالية (إبلاغ المعايير) |
| مراقبة نظام تكنولوجيا المعلومات | مصلحة مشروعة | عالية (سياسة المراقبة مطلوبة) |
| مراقبة البريد الإلكتروني | المصلحة المشروعة (محدودة) | عالية جدًا (مطلوب سياسة محددة) |
| الدوائر التلفزيونية المغلقة | مصلحة مشروعة | عالية (لافتات + سياسة) |
| تتبع نظام تحديد المواقع | المصلحة المشروعة (إذا كانت متناسبة) | عالية جدًا |
| الوقت والحضور | عقد + التزام قانوني | قياسي |
| سجلات التدريب | عقد + مصلحة مشروعة | قياسي |
| السجلات التأديبية | مصلحة مشروعة + التزام قانوني | عالية |
الخروج من الطائرة
| العمل | الجدول الزمني | ملاحظات |
|---|---|---|
| إبطال كافة الوصول إلى النظام | يوم الرحيل | قائمة مراجعة تكنولوجيا المعلومات |
| إرجاع معدات الشركة | يوم الرحيل | استرداد الأصول |
| أرشيف سجلات التوظيف | يوم الرحيل | الانتقال إلى الوصول المقيد |
| حذف البيانات غير الضرورية | 30 يوما | صور، ملفات شخصية، تفضيلات غذائية |
| الاحتفاظ بالبيانات المطلوبة قانونًا | لكل جدول استبقاء | سجلات الضرائب والمعاشات التقاعدية وعقود العمل |
| الرد على طلبات المراجع | مستمر (بيانات محدودة) | مواعيد التوظيف، المنصب الذي شغلته |
مراقبة الموظفين
إطار التناسب
يجب على أي مراقبة للموظفين اجتياز اختبار التناسب:
- الهدف المشروع: ما هو الغرض المحدد؟ (الأمان والإنتاجية والامتثال القانوني)
- الضرورة: هل المراقبة هي الطريقة الأقل تدخلاً لتحقيق الهدف؟
- التناسب: هل تحتاج الشركة إلى أن يكون تأثيرها أكبر على الخصوصية؟
- الشفافية: هل يتم إبلاغ الموظفين بوضوح بما يتم مراقبته؟
مراقبة المقارنة حسب الولاية القضائية
| نوع الرصد | الاتحاد الأوروبي (GDPR) | الولايات المتحدة | المملكة المتحدة | فرنسا (CNIL) | ألمانيا | |---------------|----------|----|-------------|---------| | مراقبة محتوى البريد الإلكتروني | مقيد (متناسب فقط) | مسموح به بشكل عام (مع إشعار) | مقيد | مقيد للغاية (رسائل البريد الإلكتروني الخاصة محمية) | مقيد للغاية (موافقة مجلس العمل) | | مراقبة تصفح الويب | مسموح به مع الإشعار والغرض | مسموح (مع إشعار) | مسموح به مع إشعار | مسموح للاستخدام الاحترافي فقط | مقيد | | الدوائر التلفزيونية المغلقة في مكان العمل | مسموح به (ليس في المناطق الخاصة) | مسموح به (تختلف قوانين الولاية) | تنطبق إرشادات ICO | ليس في غرف الاستراحة | موافقة مجلس الأعمال مطلوبة | | تتبع المركبات GPS | مسموح خلال ساعات العمل فقط | مسموح به بشكل عام | مسموح به خلال ساعات العمل | ساعات العمل فقط، يتم إبلاغ الموظف | مقيد للغاية | | تسجيل ضغطات المفاتيح | غير متناسب بشكل عام | مسموح (مع إشعار) | غير متناسب بشكل عام | غير متناسب | غير متناسب | | تسجيل الشاشة | مقيد (محدود بوقت، محدد الغرض) | مسموح (مع إشعار) | مقيد | مقيد للغاية | مقيد للغاية |
عمليات نقل بيانات الموظفين عبر الحدود
السيناريوهات الشائعة
| السيناريو | مطلوب آلية التحويل |
|---|---|
| فرع الاتحاد الأوروبي للمقر الرئيسي للولايات المتحدة (كشوف المرتبات) | الشروط التعاقدية القياسية (SCC) + تقييم تأثير النقل |
| شركة تابعة في المملكة المتحدة إلى الاتحاد الأوروبي الأم | قرار الملاءمة في المملكة المتحدة (متبادل) |
| الاتحاد الأوروبي إلى الهند (دعم تكنولوجيا المعلومات) | الشروط التعاقدية النموذجية + التدابير التكميلية |
| نظام الموارد البشرية متعدد البلدان (Odoo، Workday) | SCCs مع معالج البيانات + DPA |
التنفيذ
للشركات العالمية التي تستخدم نظام الموارد البشرية المركزي:
- خريطة تدفقات البيانات: قم بتوثيق بيانات الموظفين التي تنتقل بين البلدان
- تقييم الملاءمة: تحقق مما إذا كان البلد المستقبل لديه قرار بالملاءمة من الاتحاد الأوروبي
- تنفيذ الشروط التعاقدية النموذجية: قم بتوقيع البنود التعاقدية القياسية بين مصدر البيانات ومستوردها
- تقييم تأثير النقل: تقييم ما إذا كانت قوانين الدولة المتلقية تقوض تدابير الحماية التي توفرها اتفاقية التعاقدات الخاصة
- التدابير التكميلية: أضف التشفير أو الاسم المستعار أو قيود الوصول حسب الحاجة
راجع دليل نقل البيانات عبر الحدود للحصول على إرشادات مفصلة حول آلية النقل.
جدول الاحتفاظ ببيانات الموارد البشرية
| نوع البيانات | فترة الاحتفاظ | الأساس القانوني |
|---|---|---|
| عقد عمل | المدة + 6 سنوات (التقادم) | التزام قانوني |
| سجلات الرواتب | 7-10 سنوات بعد التوظيف (تختلف حسب الدولة) | قانون الضرائب |
| النماذج الضريبية (W-2، P60) | 7 سنوات (الولايات المتحدة)، 6 سنوات (المملكة المتحدة) | قانون الضرائب |
| سجلات التقاعد | حتى 6 سنوات بعد صرف المعاش النهائي | التزام قانوني |
| تقييمات الأداء | مدة التوظيف + سنتين | مصلحة مشروعة |
| السجلات التأديبية | المدة + 1-3 سنوات (تختلف) | مصلحة مشروعة |
| سجلات الإجازات المرضية | المدة + 3 سنوات | التزام قانوني |
| سجلات التدريب | المدة + 2-3 سنوات | مصلحة مشروعة |
| بيانات التوظيف (مرفوضة) | 6-12 شهرًا | موافقة أو مصلحة مشروعة |
| لقطات كاميرات المراقبة | 30 يومًا (بحد أقصى 90 يومًا في معظم الولايات القضائية) | مصلحة مشروعة |
| سجلات الوصول | 1-3 سنوات | الأمن + المصلحة المشروعة |
| أعمال محضر مجلس | 10 سنوات | التزام قانوني |
الأسئلة المتداولة
هل يمكننا استخدام الموافقة كأساس لمعالجة بيانات الموظف؟
فقط للأنشطة الاختيارية الحقيقية حيث يتمتع الموظف باختيار حر حقيقي دون أي عواقب سلبية لرفضه. أمثلة: الاشتراك الاختياري في النشرة الإخبارية للشركة، واستخدام صورة الموظف على موقع الشركة، والمشاركة في استطلاعات رأي الموظفين غير الإلزامية. بالنسبة لكشوف المرتبات أو إدارة الأداء أو أي معالجة بيانات ضرورية لعلاقة العمل، استخدم أداء العقد أو الالتزام القانوني بدلاً من ذلك.
هل يمكننا مراقبة رسائل البريد الإلكتروني للموظفين؟
في معظم الولايات القضائية للاتحاد الأوروبي، يمكنك مراقبة حسابات البريد الإلكتروني الخاصة بالعمل إلى حد محدود إذا: (1) تم إعلام الموظفين بوضوح بالمراقبة، (2) كانت المراقبة متناسبة مع هدف مشروع، (3) تم حظر الاستخدام الشخصي للبريد الإلكتروني الخاص بالعمل (جعل جميع أعمال البريد الإلكتروني خاصة) أو تم استبعاد رسائل البريد الإلكتروني الشخصية من المراقبة، (4) كانت المراقبة منهجية وليست موجهة للأفراد دون سبب. فرنسا وألمانيا هما الأكثر تقييدا.
كيف نتعامل مع بيانات الموظفين في الموارد البشرية بأودو؟
تقوم وحدات Odoo للموارد البشرية بجمع بيانات واسعة النطاق عن الموظفين. التنفيذ: (1) مجموعات الوصول التي تقصر بيانات الموارد البشرية على الموظفين المعتمدين، (2) التحكم في الوصول على المستوى الميداني للحقول الحساسة (الراتب، الضمان الاجتماعي)، (3) قواعد الأرشفة الآلية لبيانات الموظفين السابقين، (4) وظيفة تصدير البيانات لطلبات موضوع بيانات الموظف، (5) تسجيل التدقيق في التغييرات الميدانية الحساسة. يوفر ECOSIRE تنفيذ Odoo HR مع عناصر تحكم الخصوصية المضمنة.
ماذا يحدث إذا مارس الموظف حقه في المحو؟
لا يلغي حق المحو (المادة 17 من اللائحة العامة لحماية البيانات) التزامات الاحتفاظ القانونية. يمكنك رفض المحو إذا كان القانون يطلب منك الاحتفاظ بالبيانات (سجلات الضرائب، وسجلات التقاعد). يجب عليك حذف البيانات التي لا يوجد لها أساس قانوني أو مشروع للاحتفاظ بها (مراجعات الأداء القديمة للموظفين السابقين بعد فترة الاحتفاظ، وبيانات التوظيف للمرشحين المرفوضين، وصور الموظفين السابقين على الشبكة الداخلية).
ما يأتي بعد ذلك
تعد خصوصية بيانات الموظف أحد مكونات برنامج الحوكمة الخاص بك. يمكنك دمجها مع سياسات الاحتفاظ بالبيانات للتنفيذ الآلي، وتنفيذ القانون العام لحماية البيانات (DPO) لهيكل الإدارة، وعمليات نقل البيانات عبر الحدود لبيانات القوى العاملة الدولية.
اتصل بـ ECOSIRE للحصول على استشارات خصوصية بيانات الموارد البشرية وتنفيذ Odoo HR مع عناصر التحكم في الخصوصية.
تم النشر بواسطة ECOSIRE - مساعدة الشركات على حماية بيانات الموظفين باحترام وامتثال.
بقلم
ECOSIRE Research and Development Team
بناء منتجات رقمية بمستوى المؤسسات في ECOSIRE. مشاركة رؤى حول تكاملات Odoo وأتمتة التجارة الإلكترونية وحلول الأعمال المدعومة بالذكاء الاصطناعي.
مقالات ذات صلة
الذكاء الاصطناعي لفحص الموارد البشرية والتوظيف: توظيف أسرع دون تحيز
استخدم الذكاء الاصطناعي في الموارد البشرية لفحص السيرة الذاتية ومطابقة المرشحين وجدولة المقابلات وتحليلات الموظفين مع الحفاظ على العدالة والامتثال.
دليل تنفيذ موافقة ملفات تعريف الارتباط: إدارة الموافقة المتوافقة قانونًا
تنفيذ موافقة ملفات تعريف الارتباط التي تتوافق مع اللائحة العامة لحماية البيانات والخصوصية الإلكترونية وقانون خصوصية المستهلك في كاليفورنيا (CCPA) واللوائح العالمية. يغطي لافتات الموافقة وتصنيف ملفات تعريف الارتباط وتكامل CMP.
لوائح نقل البيانات عبر الحدود: التنقل في تدفقات البيانات الدولية
انتقل إلى لوائح نقل البيانات عبر الحدود من خلال الشروط التعاقدية النموذجية، وقرارات الملاءمة، والقواعد الملزمة للشركات، وتقييمات تأثير النقل للامتثال للقانون العام لحماية البيانات، والمملكة المتحدة، ومنطقة آسيا والمحيط الهادئ.
المزيد من Compliance & Regulation
قائمة التحقق من إعداد التدقيق: كيف يجعل نظام تخطيط موارد المؤسسات (ERP) الخاص بك عمليات التدقيق أسرع بنسبة 60 بالمائة
استكمال القائمة المرجعية لإعداد التدقيق باستخدام أنظمة تخطيط موارد المؤسسات (ERP). يمكنك تقليل وقت التدقيق بنسبة 60 بالمائة من خلال التوثيق والضوابط المناسبة وجمع الأدلة تلقائيًا.
دليل تنفيذ موافقة ملفات تعريف الارتباط: إدارة الموافقة المتوافقة قانونًا
تنفيذ موافقة ملفات تعريف الارتباط التي تتوافق مع اللائحة العامة لحماية البيانات والخصوصية الإلكترونية وقانون خصوصية المستهلك في كاليفورنيا (CCPA) واللوائح العالمية. يغطي لافتات الموافقة وتصنيف ملفات تعريف الارتباط وتكامل CMP.
لوائح نقل البيانات عبر الحدود: التنقل في تدفقات البيانات الدولية
انتقل إلى لوائح نقل البيانات عبر الحدود من خلال الشروط التعاقدية النموذجية، وقرارات الملاءمة، والقواعد الملزمة للشركات، وتقييمات تأثير النقل للامتثال للقانون العام لحماية البيانات، والمملكة المتحدة، ومنطقة آسيا والمحيط الهادئ.
المتطلبات التنظيمية للأمن السيبراني حسب المنطقة: خريطة امتثال للشركات العالمية
التنقل في لوائح الأمن السيبراني عبر الولايات المتحدة والاتحاد الأوروبي والمملكة المتحدة وآسيا والمحيط الهادئ والشرق الأوسط. يغطي قواعد NIS2 وDORA وSEC ومتطلبات البنية التحتية الحيوية والجداول الزمنية للامتثال.
إدارة البيانات والامتثال: الدليل الكامل لشركات التكنولوجيا
دليل كامل لإدارة البيانات يغطي أطر الامتثال وتصنيف البيانات وسياسات الاحتفاظ ولوائح الخصوصية وخرائط طريق التنفيذ لشركات التكنولوجيا.
سياسات الاحتفاظ بالبيانات والأتمتة: احتفظ بما تحتاج إليه، واحذف ما يجب عليك حذفه
قم ببناء سياسات الاحتفاظ بالبيانات مع المتطلبات القانونية، والجداول الزمنية للاحتفاظ، والتنفيذ الآلي، والتحقق من الامتثال للقانون العام لحماية البيانات (GDPR)، وSOX، وHIPAA.