हमारी Compliance & Regulation श्रृंखला का हिस्सा
पूरी गाइड पढ़ेंकर्मचारी डेटा व्यक्तिगत डेटा की सबसे संवेदनशील श्रेणी है जिसे अधिकांश कंपनियां संसाधित करती हैं। इसमें वित्तीय जानकारी (वेतन, बैंक विवरण), सरकारी पहचानकर्ता (एसएसएन, कर आईडी), स्वास्थ्य डेटा (बीमार छुट्टी, विकलांगता आवास), और व्यवहार संबंधी डेटा (प्रदर्शन समीक्षा, अनुशासनात्मक रिकॉर्ड) शामिल हैं। फिर भी मानव संसाधन विभाग नियमित रूप से आवश्यकता से कहीं अधिक कर्मचारी डेटा एकत्र और संग्रहीत करते हैं, अक्सर अपर्याप्त सुरक्षा के साथ।
यह मार्गदर्शिका संपूर्ण रोजगार जीवनचक्र में कर्मचारी डेटा गोपनीयता के प्रबंधन के लिए कानूनी आवश्यकताओं, व्यावहारिक ढांचे और तकनीकी कार्यान्वयन को शामिल करती है।
मुख्य बातें
- कर्मचारी डेटा प्रोसेसिंग के लिए सहमति शायद ही कभी उचित कानूनी आधार होती है --- शक्ति असंतुलन सहमति को गैर-मुक्त बनाता है
- कर्मचारी की निगरानी आनुपातिक, पारदर्शी और वैध आधार पर होनी चाहिए
- कर्मचारी डेटा के सीमा-पार स्थानांतरण (उदाहरण के लिए, समूह मुख्यालय में) के लिए विशिष्ट स्थानांतरण तंत्र की आवश्यकता होती है
- एचआर डेटा के लिए डेटा प्रतिधारण प्रकार के आधार पर 1 वर्ष (भर्ती अस्वीकार) से 30+ वर्ष (पेंशन रिकॉर्ड) तक भिन्न होता है
कर्मचारी डेटा के प्रसंस्करण के लिए कानूनी आधार
जीडीपीआर कानूनी आधार (अनुच्छेद 6)
| कानूनी आधार | कब उपयोग करें | उदाहरण |
|---|---|---|
| अनुबंध निष्पादन (अनुच्छेद 6(1)(बी)) | रोजगार अनुबंध को पूरा करने के लिए आवश्यक | वेतन प्रसंस्करण, कार्य अनुसूची, लाभ प्रशासन |
| कानूनी बाध्यता (अनुच्छेद 6(1)(सी)) | कानून द्वारा आवश्यक | कर रिपोर्टिंग, सामाजिक सुरक्षा योगदान, कार्यस्थल सुरक्षा रिकॉर्ड |
| वैध हित (अनुच्छेद 6(1)(एफ)) | व्यवसाय की आवश्यकता कर्मचारी अधिकारों के विरुद्ध संतुलित है | आईटी सुरक्षा निगरानी, धोखाधड़ी की रोकथाम, संगठनात्मक योजना |
| सहमति (अनुच्छेद 6(1)(ए)) | वास्तव में वैकल्पिक गतिविधियाँ | कर्मचारी निर्देशिका फोटो, सामाजिक कार्यक्रम, गैर-अनिवार्य सर्वेक्षण |
| महत्वपूर्ण हित (अनुच्छेद 6(1)(डी)) | जीवन-घातक स्थितियाँ | आपातकालीन चिकित्सा जानकारी |
महत्वपूर्ण: कर्मचारी डेटा के लिए सहमति अंतिम उपाय होनी चाहिए। नियोक्ता-कर्मचारी शक्ति असंतुलन का मतलब है कि सहमति जीडीपीआर के अनुसार "स्वतंत्र रूप से नहीं दी" जा सकती है। जहां संभव हो अनुबंध निष्पादन या कानूनी दायित्व का उपयोग करें।
विशेष श्रेणियाँ (अनुच्छेद 9)
स्वास्थ्य डेटा, बायोमेट्रिक डेटा, ट्रेड यूनियन सदस्यता और अन्य विशेष श्रेणियों के लिए अतिरिक्त कानूनी आधार की आवश्यकता होती है:
| विशेष श्रेणी डेटा | कानूनी आधार | सामान्य मानव संसाधन परिदृश्य |
|---|---|---|
| स्वास्थ्य डेटा | रोजगार कानून दायित्व या स्पष्ट सहमति | बीमारी की छुट्टी, विकलांगता आवास, व्यावसायिक स्वास्थ्य |
| बायोमेट्रिक डेटा | स्पष्ट सहमति या पर्याप्त सार्वजनिक हित | फ़िंगरप्रिंट पहुंच, चेहरे की पहचान उपस्थिति |
| ट्रेड यूनियन सदस्यता | रोजगार कानून, स्पष्ट सहमति | संघ देय कटौती, सामूहिक सौदेबाजी |
| आपराधिक रिकॉर्ड | कानूनी बाध्यता | पृष्ठभूमि की जाँच (जहाँ कानूनी रूप से अनुमति हो) |
| धार्मिक आस्था | स्पष्ट सहमति | आहार संबंधी आवश्यकताएँ, धार्मिक छुट्टियाँ |
जीवनचक्र के माध्यम से कर्मचारी डेटा
भर्ती
| डेटा एकत्रित | प्रतिधारण | नोट्स |
|---|---|---|
| सीवी / बायोडाटा | अस्वीकृति के 6-12 महीने बाद | कम प्रतिधारण सुरक्षित है |
| साक्षात्कार नोट्स | अस्वीकृति के 6-12 महीने बाद | केवल नौकरी से संबंधित नोट्स ही रखें |
| संदर्भ जांच परिणाम | फैसले के 6 महीने बाद | तुरंत हटाएं |
| मूल्यांकन/परीक्षा परिणाम | अस्वीकृति के 6-12 महीने बाद | उम्मीदवारों को पहले से सूचित करें |
| पृष्ठभूमि की जाँच | निर्णय के 6 महीने बाद, या बिल्कुल नहीं | सख्त उद्देश्य सीमा |
उम्मीदवारों को सूचित किया जाना चाहिए: डेटा संग्रह से पहले, एक गोपनीयता सूचना प्रदान करें जिसमें डेटा एकत्र किया गया है, क्यों, इसे कितने समय तक रखा गया है, और उनके अधिकार शामिल हैं। अस्वीकृत उम्मीदवारों का डेटा 6-12 महीनों के भीतर हटा दिया जाना चाहिए जब तक कि उम्मीदवार प्रतिभा पूल में रखे जाने के लिए सहमति न दे।
ऑनबोर्डिंग
| डेटा एकत्रित | उद्देश्य | कानूनी आधार |
|---|---|---|
| पूरा नाम, पता, जन्मतिथि | रोजगार अनुबंध | अनुबंध |
| टैक्स आईडी/एसएसएन | कर रिपोर्टिंग | कानूनी बाध्यता |
| बैंक विवरण | वेतन भुगतान | अनुबंध |
| आपातकालीन संपर्क | कार्यस्थल सुरक्षा | वैध हित |
| फोटो (वैकल्पिक) | कर्मचारी निर्देशिका | सहमति |
| उपकरण क्रमांक | संपत्ति ट्रैकिंग | वैध हित |
| कार्य पात्रता दस्तावेज | आव्रजन अनुपालन | कानूनी बाध्यता |
रोजगार के दौरान
| प्रसंस्करण गतिविधि | कानूनी आधार | पारदर्शिता आवश्यक |
|---|---|---|
| पेरोल प्रसंस्करण | अनुबंध | मानक |
| प्रदर्शन समीक्षाएँ | वैध हित | उच्च (मानदंड की जानकारी) |
| आईटी प्रणाली की निगरानी | वैध हित | उच्च (निगरानी नीति आवश्यक) |
| ईमेल निगरानी | वैध हित (सीमित) | बहुत उच्च (विशिष्ट नीति आवश्यक) |
| सीसीटीवी | वैध हित | उच्च (साइनेज + नीति) |
| जीपीएस ट्रैकिंग | वैध हित (यदि आनुपातिक हो) | बहुत ऊँचा |
| समय एवं उपस्थिति | अनुबंध + कानूनी दायित्व | मानक |
| प्रशिक्षण रिकार्ड | अनुबंध + वैध हित | मानक |
| अनुशासनात्मक रिकार्ड | वैध हित + कानूनी दायित्व | उच्च |
ऑफबोर्डिंग
| क्रिया | समयरेखा | नोट्स |
|---|---|---|
| सभी सिस्टम एक्सेस निरस्त करें | प्रस्थान का दिन | आईटी चेकलिस्ट |
| वापसी कंपनी उपकरण | प्रस्थान का दिन | संपत्ति वसूली |
| पुरालेख रोजगार रिकॉर्ड | प्रस्थान का दिन | प्रतिबंधित पहुंच की ओर बढ़ें |
| गैर-आवश्यक डेटा हटाएं | 30 दिन | तस्वीरें, व्यक्तिगत फ़ाइलें, आहार संबंधी प्राथमिकताएं |
| कानूनी रूप से आवश्यक डेटा बनाए रखें | प्रति प्रतिधारण अनुसूची | कर रिकॉर्ड, पेंशन, रोजगार अनुबंध |
| संदर्भ अनुरोधों का जवाब दें | चालू (सीमित डेटा) | रोजगार की तारीखें, धारित पद |
कर्मचारी की निगरानी
आनुपातिकता ढाँचा
निगरानी करने वाले किसी भी कर्मचारी को आनुपातिकता परीक्षण पास करना होगा:
- वैध उद्देश्य: विशिष्ट उद्देश्य क्या है? (सुरक्षा, उत्पादकता, कानूनी अनुपालन)
- आवश्यकता: क्या निगरानी लक्ष्य हासिल करने का सबसे कम दखल देने वाला तरीका है?
- आनुपातिकता: क्या व्यवसाय की आवश्यकता गोपनीयता प्रभाव से अधिक है?
- पारदर्शिता: क्या कर्मचारियों को स्पष्ट रूप से सूचित किया जाता है कि किस चीज़ की निगरानी की जा रही है?
क्षेत्राधिकार द्वारा निगरानी तुलना
| निगरानी प्रकार | ईयू (जीडीपीआर) | अमेरिका | यूके | फ़्रांस (सीएनआईएल) | जर्मनी | |-------|----|----|----|----|----|----| | ईमेल सामग्री की निगरानी | प्रतिबंधित (केवल आनुपातिक) | आम तौर पर अनुमति (नोटिस के साथ) | प्रतिबंधित | बहुत प्रतिबंधित (निजी ईमेल सुरक्षित) | बहुत प्रतिबंधित (कार्य परिषद की सहमति) | | वेब ब्राउजिंग मॉनिटरिंग | सूचना एवं प्रयोजन सहित अनुमति | अनुमति (नोटिस के साथ) | सूचना सहित अनुमति | केवल व्यावसायिक उपयोग के लिए अनुमति | प्रतिबंधित | | कार्यस्थल में सीसीटीवी | अनुमति है (निजी क्षेत्रों में नहीं) | अनुमति है (राज्य के कानून अलग-अलग हैं) | ICO मार्गदर्शन लागू होता है | ब्रेक रूम में नहीं | कार्य परिषद की सहमति आवश्यक | | जीपीएस वाहन ट्रैकिंग | केवल कार्य घंटों के दौरान अनुमति | आम तौर पर अनुमति | कार्य घंटों के दौरान अनुमति | केवल काम के घंटे, कर्मचारी को सूचित | बहुत ही प्रतिबंधित | | कीस्ट्रोक लॉगिंग | आम तौर पर अनुपातहीन | अनुमति (नोटिस के साथ) | आम तौर पर अनुपातहीन | अनुपातहीन | अनुपातहीन | | स्क्रीन रिकॉर्डिंग | प्रतिबंधित (समय-सीमित, उद्देश्य-विशिष्ट) | अनुमति (नोटिस के साथ) | प्रतिबंधित | बहुत ही प्रतिबंधित | बहुत ही प्रतिबंधित |
सीमा पार कर्मचारी डेटा स्थानांतरण
सामान्य परिदृश्य
| परिदृश्य | स्थानांतरण तंत्र आवश्यक |
|---|---|
| अमेरिकी मुख्यालय में यूरोपीय संघ की सहायक कंपनी (पेरोल) | मानक संविदात्मक खंड (एससीसी) + स्थानांतरण प्रभाव आकलन |
| यूरोपीय संघ की मूल कंपनी की ब्रिटेन की सहायक कंपनी | यूके पर्याप्तता निर्णय (आपसी) |
| ईयू से भारत (आईटी समर्थन) | एससीसी + अनुपूरक उपाय |
| बहु-देशीय मानव संसाधन प्रणाली (ओडू, कार्यदिवस) | डेटा प्रोसेसर + डीपीए के साथ एससीसी |
कार्यान्वयन
केंद्रीकृत मानव संसाधन प्रणाली का उपयोग करने वाली वैश्विक कंपनियों के लिए:
- मानचित्र डेटा प्रवाह: दस्तावेज़ करें कि कौन सा कर्मचारी डेटा किन देशों के बीच ले जाता है
- पर्याप्तता का आकलन करें: जांचें कि क्या प्राप्तकर्ता देश के पास ईयू पर्याप्तता निर्णय है
- एससीसी लागू करें: डेटा निर्यातक और आयातक के बीच मानक संविदात्मक खंडों पर हस्ताक्षर करें
- स्थानांतरण प्रभाव आकलन: मूल्यांकन करें कि क्या प्राप्तकर्ता देश के कानून एससीसी सुरक्षा को कमजोर करते हैं
- अनुपूरक उपाय: आवश्यकतानुसार एन्क्रिप्शन, छद्मनामीकरण, या पहुंच प्रतिबंध जोड़ें
विस्तृत स्थानांतरण तंत्र मार्गदर्शन के लिए हमारी क्रॉस-बॉर्डर डेटा ट्रांसफर गाइड देखें।
एचआर डेटा रिटेंशन शेड्यूल
| डेटा प्रकार | अवधारण अवधि | कानूनी आधार |
|---|---|---|
| रोजगार अनुबंध | अवधि + 6 वर्ष (सीमाओं का क़ानून) | कानूनी बाध्यता |
| पेरोल रिकॉर्ड | रोजगार के बाद 7-10 वर्ष (देश के अनुसार भिन्न होता है) | कर कानून |
| टैक्स फॉर्म (W-2, P60) | 7 वर्ष (यूएस), 6 वर्ष (यूके) | कर कानून |
| पेंशन रिकार्ड | अंतिम पेंशन भुगतान के 6 वर्ष बाद तक | कानूनी बाध्यता |
| प्रदर्शन समीक्षाएँ | रोजगार की अवधि + 2 वर्ष | वैध हित |
| अनुशासनात्मक रिकार्ड | अवधि + 1-3 वर्ष (भिन्न) | वैध हित |
| बीमारी की छुट्टी के रिकॉर्ड | अवधि + 3 वर्ष | कानूनी बाध्यता |
| प्रशिक्षण रिकार्ड | अवधि + 2-3 वर्ष | वैध हित |
| भर्ती डेटा (अस्वीकृत) | 6-12 महीने | सहमति या वैध हित |
| सीसीटीवी फुटेज | 30 दिन (अधिकांश न्यायक्षेत्रों में अधिकतम 90) | वैध हित |
| एक्सेस लॉग | 1-3 वर्ष | सुरक्षा + वैध हित |
| कार्य परिषद मिनट | 10 वर्ष | कानूनी बाध्यता |
अक्सर पूछे जाने वाले प्रश्न
क्या हम कर्मचारी डेटा को संसाधित करने के लिए सहमति को आधार के रूप में उपयोग कर सकते हैं?
केवल वास्तव में वैकल्पिक गतिविधियों के लिए जहां कर्मचारी के पास इनकार करने पर किसी भी नकारात्मक परिणाम के बिना वास्तविक स्वतंत्र विकल्प होता है। उदाहरण: वैकल्पिक कंपनी न्यूज़लेटर सदस्यता, कंपनी की वेबसाइट पर कर्मचारी फोटो का उपयोग करना, गैर-अनिवार्य कर्मचारी सर्वेक्षण में भाग लेना। पेरोल, प्रदर्शन प्रबंधन, या रोजगार संबंध के लिए आवश्यक किसी डेटा प्रोसेसिंग के लिए, इसके बजाय अनुबंध प्रदर्शन या कानूनी दायित्व का उपयोग करें।
क्या हम कर्मचारी ईमेल की निगरानी कर सकते हैं?
अधिकांश यूरोपीय संघ के न्यायक्षेत्रों में, आप एक सीमित सीमा तक व्यावसायिक ईमेल खातों की निगरानी कर सकते हैं यदि: (1) कर्मचारियों को निगरानी के बारे में स्पष्ट रूप से सूचित किया जाता है, (2) निगरानी एक वैध उद्देश्य के लिए आनुपातिक है, (3) व्यावसायिक ईमेल का व्यक्तिगत उपयोग या तो निषिद्ध है (सभी ईमेल को व्यवसाय बनाना) या व्यक्तिगत ईमेल को निगरानी से बाहर रखा गया है, (4) निगरानी बिना किसी कारण के व्यक्तियों पर लक्षित होने के बजाय व्यवस्थित है। फ्रांस और जर्मनी सबसे अधिक प्रतिबंधात्मक हैं।
हम ओडू एचआर में कर्मचारी डेटा को कैसे संभालते हैं?
ओडू एचआर मॉड्यूल व्यापक कर्मचारी डेटा एकत्र करते हैं। लागू करें: (1) एक्सेस समूह जो एचआर डेटा को अधिकृत कर्मियों तक सीमित करते हैं, (2) संवेदनशील क्षेत्रों (वेतन, एसएसएन) के लिए क्षेत्र-स्तरीय पहुंच नियंत्रण, (3) पूर्व-कर्मचारी डेटा के लिए स्वचालित अभिलेखीय नियम, (4) कर्मचारी डेटा विषय अनुरोधों के लिए डेटा निर्यात कार्यक्षमता, (5) संवेदनशील क्षेत्र परिवर्तनों पर ऑडिट लॉगिंग। ECOSIRE अंतर्निहित गोपनीयता नियंत्रण के साथ Odoo HR कार्यान्वयन प्रदान करता है।
यदि कोई कर्मचारी मिटाने के अपने अधिकार का प्रयोग करता है तो क्या होगा?
मिटाने का अधिकार (जीडीपीआर अनुच्छेद 17) कानूनी प्रतिधारण दायित्वों से आगे नहीं बढ़ता है। यदि आपको कानून द्वारा डेटा (कर रिकॉर्ड, पेंशन रिकॉर्ड) बनाए रखने की आवश्यकता है, तो आप मिटाने से इनकार कर सकते हैं। आपको उस डेटा को हटाना होगा जिसके लिए अवधारण के लिए कोई कानूनी या वैध आधार नहीं है (प्रतिधारण अवधि के बाद पूर्व कर्मचारियों की पुरानी प्रदर्शन समीक्षा, अस्वीकृत उम्मीदवारों के लिए भर्ती डेटा, इंट्रानेट पर पूर्व कर्मचारियों की तस्वीरें)।
आगे क्या आता है
कर्मचारी डेटा गोपनीयता आपके शासन कार्यक्रम का एक घटक है। इसे स्वचालित प्रवर्तन के लिए डेटा प्रतिधारण नीतियों, शासन संरचना के लिए जीडीपीआर डीपीओ कार्यान्वयन और अंतरराष्ट्रीय कार्यबल डेटा के लिए सीमा पार डेटा स्थानांतरण के साथ संयोजित करें।
HR डेटा गोपनीयता परामर्श और गोपनीयता नियंत्रण के साथ Odoo HR कार्यान्वयन के लिए ECOSIRE से संपर्क करें।
ECOSIRE द्वारा प्रकाशित - व्यवसायों को सम्मान और अनुपालन के साथ कर्मचारी डेटा की सुरक्षा में मदद करना।
लेखक
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
ECOSIRE
ECOSIRE के साथ अपना व्यवसाय बढ़ाएं
ईआरपी, ईकॉमर्स, एआई, एनालिटिक्स और ऑटोमेशन में एंटरप्राइज समाधान।
संबंधित लेख
ERPNext HR & Payroll in 2026: Setup, Salary Structures, and Multi-Country Compliance
Step-by-step ERPNext HR and payroll setup for 2026: HRMS app install, salary structures, payroll entry runs, income tax slabs, multi-country compliance.
Odoo 19 HR: Skills Matrix, Career Plans, Performance Cycles
Odoo 19 HR upgrade: native skills matrix, career path planning, performance review cycles, 9-box grid, succession planning, HRIS integration.
Payroll Processing: Setup, Compliance, and Automation
Complete payroll processing guide covering employee classification, federal and state withholding, payroll taxes, garnishments, automation platforms, and year-end W-2 compliance.
Compliance & Regulation से और अधिक
BMF Programmablaufplan Lohnsteuer 2026: Implementing Germany's Official Wage-Tax Calculation (XML, API, Odoo)
Developer guide to the BMF Programmablaufplan Lohnsteuer 2026: what the PAP is, the XML pseudocode format, official test service, and mapping to Odoo payroll.
ERP for Clothing & Fashion Brands: Size-Color Matrix, Seasonal Planning, and Compliance (2026 Guide)
How fashion and clothing brands choose an ERP in 2026: size-color matrix variants, seasonal planning, GoBD and DATEV compliance, vendor comparison, and costs.
ERPNext HR & Payroll in 2026: Setup, Salary Structures, and Multi-Country Compliance
Step-by-step ERPNext HR and payroll setup for 2026: HRMS app install, salary structures, payroll entry runs, income tax slabs, multi-country compliance.
GoHighLevel A2P 10DLC Compliance in 2026: Registration, Fees, and Fixing Blocked SMS
Complete GoHighLevel A2P 10DLC guide for 2026: brand and campaign registration steps, carrier fees, common rejection reasons, and how to fix filtered SMS.
GxP Validation for ERP Systems: What Your 2026 Validation RFP Must Require (CSV, IQ/OQ/PQ, Audit Trails)
What a GxP ERP validation RFP must require in 2026: CSV and CSA scope, 21 CFR Part 11, EU Annex 11, IQ/OQ/PQ deliverables, audit trails, and GAMP 5 risk.
OpenClaw Security Model, Data Residency, SOC 2 and ISO 27001
OpenClaw security architecture: tenant isolation, encryption, secret management, audit logs, data residency, SOC 2, ISO 27001, GDPR, HIPAA fitness.