हमारी Compliance & Regulation श्रृंखला का हिस्सा
पूरी गाइड पढ़ेंकर्मचारी डेटा गोपनीयता प्रबंधन: गोपनीयता अधिकारों के साथ मानव संसाधन आवश्यकताओं को संतुलित करना
कर्मचारी डेटा व्यक्तिगत डेटा की सबसे संवेदनशील श्रेणी है जिसे अधिकांश कंपनियां संसाधित करती हैं। इसमें वित्तीय जानकारी (वेतन, बैंक विवरण), सरकारी पहचानकर्ता (एसएसएन, कर आईडी), स्वास्थ्य डेटा (बीमार छुट्टी, विकलांगता आवास), और व्यवहार संबंधी डेटा (प्रदर्शन समीक्षा, अनुशासनात्मक रिकॉर्ड) शामिल हैं। फिर भी मानव संसाधन विभाग नियमित रूप से आवश्यकता से कहीं अधिक कर्मचारी डेटा एकत्र और संग्रहीत करते हैं, अक्सर अपर्याप्त सुरक्षा के साथ।
यह मार्गदर्शिका संपूर्ण रोजगार जीवनचक्र में कर्मचारी डेटा गोपनीयता के प्रबंधन के लिए कानूनी आवश्यकताओं, व्यावहारिक ढांचे और तकनीकी कार्यान्वयन को शामिल करती है।
मुख्य बातें
- कर्मचारी डेटा प्रोसेसिंग के लिए सहमति शायद ही कभी उचित कानूनी आधार होती है --- शक्ति असंतुलन सहमति को गैर-मुक्त बनाता है
- कर्मचारी की निगरानी आनुपातिक, पारदर्शी और वैध आधार पर होनी चाहिए
- कर्मचारी डेटा के सीमा-पार स्थानांतरण (उदाहरण के लिए, समूह मुख्यालय में) के लिए विशिष्ट स्थानांतरण तंत्र की आवश्यकता होती है
- एचआर डेटा के लिए डेटा प्रतिधारण प्रकार के आधार पर 1 वर्ष (भर्ती अस्वीकार) से 30+ वर्ष (पेंशन रिकॉर्ड) तक भिन्न होता है
कर्मचारी डेटा के प्रसंस्करण के लिए कानूनी आधार
जीडीपीआर कानूनी आधार (अनुच्छेद 6)
| कानूनी आधार | कब उपयोग करें | उदाहरण |
|---|---|---|
| अनुबंध निष्पादन (अनुच्छेद 6(1)(बी)) | रोजगार अनुबंध को पूरा करने के लिए आवश्यक | वेतन प्रसंस्करण, कार्य अनुसूची, लाभ प्रशासन |
| कानूनी बाध्यता (अनुच्छेद 6(1)(सी)) | कानून द्वारा आवश्यक | कर रिपोर्टिंग, सामाजिक सुरक्षा योगदान, कार्यस्थल सुरक्षा रिकॉर्ड |
| वैध हित (अनुच्छेद 6(1)(एफ)) | व्यवसाय की आवश्यकता कर्मचारी अधिकारों के विरुद्ध संतुलित है | आईटी सुरक्षा निगरानी, धोखाधड़ी की रोकथाम, संगठनात्मक योजना |
| सहमति (अनुच्छेद 6(1)(ए)) | वास्तव में वैकल्पिक गतिविधियाँ | कर्मचारी निर्देशिका फोटो, सामाजिक कार्यक्रम, गैर-अनिवार्य सर्वेक्षण |
| महत्वपूर्ण हित (अनुच्छेद 6(1)(डी)) | जीवन-घातक स्थितियाँ | आपातकालीन चिकित्सा जानकारी |
महत्वपूर्ण: कर्मचारी डेटा के लिए सहमति अंतिम उपाय होनी चाहिए। नियोक्ता-कर्मचारी शक्ति असंतुलन का मतलब है कि सहमति जीडीपीआर के अनुसार "स्वतंत्र रूप से नहीं दी" जा सकती है। जहां संभव हो अनुबंध निष्पादन या कानूनी दायित्व का उपयोग करें।
विशेष श्रेणियाँ (अनुच्छेद 9)
स्वास्थ्य डेटा, बायोमेट्रिक डेटा, ट्रेड यूनियन सदस्यता और अन्य विशेष श्रेणियों के लिए अतिरिक्त कानूनी आधार की आवश्यकता होती है:
| विशेष श्रेणी डेटा | कानूनी आधार | सामान्य मानव संसाधन परिदृश्य |
|---|---|---|
| स्वास्थ्य डेटा | रोजगार कानून दायित्व या स्पष्ट सहमति | बीमारी की छुट्टी, विकलांगता आवास, व्यावसायिक स्वास्थ्य |
| बायोमेट्रिक डेटा | स्पष्ट सहमति या पर्याप्त सार्वजनिक हित | फ़िंगरप्रिंट पहुंच, चेहरे की पहचान उपस्थिति |
| ट्रेड यूनियन सदस्यता | रोजगार कानून, स्पष्ट सहमति | संघ देय कटौती, सामूहिक सौदेबाजी |
| आपराधिक रिकॉर्ड | कानूनी बाध्यता | पृष्ठभूमि की जाँच (जहाँ कानूनी रूप से अनुमति हो) |
| धार्मिक आस्था | स्पष्ट सहमति | आहार संबंधी आवश्यकताएँ, धार्मिक छुट्टियाँ |
जीवनचक्र के माध्यम से कर्मचारी डेटा
भर्ती
| डेटा एकत्रित | प्रतिधारण | नोट्स |
|---|---|---|
| सीवी / बायोडाटा | अस्वीकृति के 6-12 महीने बाद | कम प्रतिधारण सुरक्षित है |
| साक्षात्कार नोट्स | अस्वीकृति के 6-12 महीने बाद | केवल नौकरी से संबंधित नोट्स ही रखें |
| संदर्भ जांच परिणाम | फैसले के 6 महीने बाद | तुरंत हटाएं |
| मूल्यांकन/परीक्षा परिणाम | अस्वीकृति के 6-12 महीने बाद | उम्मीदवारों को पहले से सूचित करें |
| पृष्ठभूमि की जाँच | निर्णय के 6 महीने बाद, या बिल्कुल नहीं | सख्त उद्देश्य सीमा |
उम्मीदवारों को सूचित किया जाना चाहिए: डेटा संग्रह से पहले, एक गोपनीयता सूचना प्रदान करें जिसमें डेटा एकत्र किया गया है, क्यों, इसे कितने समय तक रखा गया है, और उनके अधिकार शामिल हैं। अस्वीकृत उम्मीदवारों का डेटा 6-12 महीनों के भीतर हटा दिया जाना चाहिए जब तक कि उम्मीदवार प्रतिभा पूल में रखे जाने के लिए सहमति न दे।
ऑनबोर्डिंग
| डेटा एकत्रित | उद्देश्य | कानूनी आधार |
|---|---|---|
| पूरा नाम, पता, जन्मतिथि | रोजगार अनुबंध | अनुबंध |
| टैक्स आईडी/एसएसएन | कर रिपोर्टिंग | कानूनी बाध्यता |
| बैंक विवरण | वेतन भुगतान | अनुबंध |
| आपातकालीन संपर्क | कार्यस्थल सुरक्षा | वैध हित |
| फोटो (वैकल्पिक) | कर्मचारी निर्देशिका | सहमति |
| उपकरण क्रमांक | संपत्ति ट्रैकिंग | वैध हित |
| कार्य पात्रता दस्तावेज | आव्रजन अनुपालन | कानूनी बाध्यता |
रोजगार के दौरान
| प्रसंस्करण गतिविधि | कानूनी आधार | पारदर्शिता आवश्यक |
|---|---|---|
| पेरोल प्रसंस्करण | अनुबंध | मानक |
| प्रदर्शन समीक्षाएँ | वैध हित | उच्च (मानदंड की जानकारी) |
| आईटी प्रणाली की निगरानी | वैध हित | उच्च (निगरानी नीति आवश्यक) |
| ईमेल निगरानी | वैध हित (सीमित) | बहुत उच्च (विशिष्ट नीति आवश्यक) |
| सीसीटीवी | वैध हित | उच्च (साइनेज + नीति) |
| जीपीएस ट्रैकिंग | वैध हित (यदि आनुपातिक हो) | बहुत ऊँचा |
| समय एवं उपस्थिति | अनुबंध + कानूनी दायित्व | मानक |
| प्रशिक्षण रिकार्ड | अनुबंध + वैध हित | मानक |
| अनुशासनात्मक रिकार्ड | वैध हित + कानूनी दायित्व | उच्च |
ऑफबोर्डिंग
| क्रिया | समयरेखा | नोट्स |
|---|---|---|
| सभी सिस्टम एक्सेस निरस्त करें | प्रस्थान का दिन | आईटी चेकलिस्ट |
| वापसी कंपनी उपकरण | प्रस्थान का दिन | संपत्ति वसूली |
| पुरालेख रोजगार रिकॉर्ड | प्रस्थान का दिन | प्रतिबंधित पहुंच की ओर बढ़ें |
| गैर-आवश्यक डेटा हटाएं | 30 दिन | तस्वीरें, व्यक्तिगत फ़ाइलें, आहार संबंधी प्राथमिकताएं |
| कानूनी रूप से आवश्यक डेटा बनाए रखें | प्रति प्रतिधारण अनुसूची | कर रिकॉर्ड, पेंशन, रोजगार अनुबंध |
| संदर्भ अनुरोधों का जवाब दें | चालू (सीमित डेटा) | रोजगार की तारीखें, धारित पद |
कर्मचारी की निगरानी
आनुपातिकता ढाँचा
निगरानी करने वाले किसी भी कर्मचारी को आनुपातिकता परीक्षण पास करना होगा:
- वैध उद्देश्य: विशिष्ट उद्देश्य क्या है? (सुरक्षा, उत्पादकता, कानूनी अनुपालन)
- आवश्यकता: क्या निगरानी लक्ष्य हासिल करने का सबसे कम दखल देने वाला तरीका है?
- आनुपातिकता: क्या व्यवसाय की आवश्यकता गोपनीयता प्रभाव से अधिक है?
- पारदर्शिता: क्या कर्मचारियों को स्पष्ट रूप से सूचित किया जाता है कि किस चीज़ की निगरानी की जा रही है?
क्षेत्राधिकार द्वारा निगरानी तुलना
| निगरानी प्रकार | ईयू (जीडीपीआर) | अमेरिका | यूके | फ़्रांस (सीएनआईएल) | जर्मनी | |-------|----|----|----|----|----|----| | ईमेल सामग्री की निगरानी | प्रतिबंधित (केवल आनुपातिक) | आम तौर पर अनुमति (नोटिस के साथ) | प्रतिबंधित | बहुत प्रतिबंधित (निजी ईमेल सुरक्षित) | बहुत प्रतिबंधित (कार्य परिषद की सहमति) | | वेब ब्राउजिंग मॉनिटरिंग | सूचना एवं प्रयोजन सहित अनुमति | अनुमति (नोटिस के साथ) | सूचना सहित अनुमति | केवल व्यावसायिक उपयोग के लिए अनुमति | प्रतिबंधित | | कार्यस्थल में सीसीटीवी | अनुमति है (निजी क्षेत्रों में नहीं) | अनुमति है (राज्य के कानून अलग-अलग हैं) | ICO मार्गदर्शन लागू होता है | ब्रेक रूम में नहीं | कार्य परिषद की सहमति आवश्यक | | जीपीएस वाहन ट्रैकिंग | केवल कार्य घंटों के दौरान अनुमति | आम तौर पर अनुमति | कार्य घंटों के दौरान अनुमति | केवल काम के घंटे, कर्मचारी को सूचित | बहुत ही प्रतिबंधित | | कीस्ट्रोक लॉगिंग | आम तौर पर अनुपातहीन | अनुमति (नोटिस के साथ) | आम तौर पर अनुपातहीन | अनुपातहीन | अनुपातहीन | | स्क्रीन रिकॉर्डिंग | प्रतिबंधित (समय-सीमित, उद्देश्य-विशिष्ट) | अनुमति (नोटिस के साथ) | प्रतिबंधित | बहुत ही प्रतिबंधित | बहुत ही प्रतिबंधित |
सीमा पार कर्मचारी डेटा स्थानांतरण
सामान्य परिदृश्य
| परिदृश्य | स्थानांतरण तंत्र आवश्यक |
|---|---|
| अमेरिकी मुख्यालय में यूरोपीय संघ की सहायक कंपनी (पेरोल) | मानक संविदात्मक खंड (एससीसी) + स्थानांतरण प्रभाव आकलन |
| यूरोपीय संघ की मूल कंपनी की ब्रिटेन की सहायक कंपनी | यूके पर्याप्तता निर्णय (आपसी) |
| ईयू से भारत (आईटी समर्थन) | एससीसी + अनुपूरक उपाय |
| बहु-देशीय मानव संसाधन प्रणाली (ओडू, कार्यदिवस) | डेटा प्रोसेसर + डीपीए के साथ एससीसी |
कार्यान्वयन
केंद्रीकृत मानव संसाधन प्रणाली का उपयोग करने वाली वैश्विक कंपनियों के लिए:
- मानचित्र डेटा प्रवाह: दस्तावेज़ करें कि कौन सा कर्मचारी डेटा किन देशों के बीच ले जाता है
- पर्याप्तता का आकलन करें: जांचें कि क्या प्राप्तकर्ता देश के पास ईयू पर्याप्तता निर्णय है
- एससीसी लागू करें: डेटा निर्यातक और आयातक के बीच मानक संविदात्मक खंडों पर हस्ताक्षर करें
- स्थानांतरण प्रभाव आकलन: मूल्यांकन करें कि क्या प्राप्तकर्ता देश के कानून एससीसी सुरक्षा को कमजोर करते हैं
- अनुपूरक उपाय: आवश्यकतानुसार एन्क्रिप्शन, छद्मनामीकरण, या पहुंच प्रतिबंध जोड़ें
विस्तृत स्थानांतरण तंत्र मार्गदर्शन के लिए हमारी क्रॉस-बॉर्डर डेटा ट्रांसफर गाइड देखें।
एचआर डेटा रिटेंशन शेड्यूल
| डेटा प्रकार | अवधारण अवधि | कानूनी आधार |
|---|---|---|
| रोजगार अनुबंध | अवधि + 6 वर्ष (सीमाओं का क़ानून) | कानूनी बाध्यता |
| पेरोल रिकॉर्ड | रोजगार के बाद 7-10 वर्ष (देश के अनुसार भिन्न होता है) | कर कानून |
| टैक्स फॉर्म (W-2, P60) | 7 वर्ष (यूएस), 6 वर्ष (यूके) | कर कानून |
| पेंशन रिकार्ड | अंतिम पेंशन भुगतान के 6 वर्ष बाद तक | कानूनी बाध्यता |
| प्रदर्शन समीक्षाएँ | रोजगार की अवधि + 2 वर्ष | वैध हित |
| अनुशासनात्मक रिकार्ड | अवधि + 1-3 वर्ष (भिन्न) | वैध हित |
| बीमारी की छुट्टी के रिकॉर्ड | अवधि + 3 वर्ष | कानूनी बाध्यता |
| प्रशिक्षण रिकार्ड | अवधि + 2-3 वर्ष | वैध हित |
| भर्ती डेटा (अस्वीकृत) | 6-12 महीने | सहमति या वैध हित |
| सीसीटीवी फुटेज | 30 दिन (अधिकांश न्यायक्षेत्रों में अधिकतम 90) | वैध हित |
| एक्सेस लॉग | 1-3 वर्ष | सुरक्षा + वैध हित |
| कार्य परिषद मिनट | 10 वर्ष | कानूनी बाध्यता |
अक्सर पूछे जाने वाले प्रश्न
क्या हम कर्मचारी डेटा को संसाधित करने के लिए सहमति को आधार के रूप में उपयोग कर सकते हैं?
केवल वास्तव में वैकल्पिक गतिविधियों के लिए जहां कर्मचारी के पास इनकार करने पर किसी भी नकारात्मक परिणाम के बिना वास्तविक स्वतंत्र विकल्प होता है। उदाहरण: वैकल्पिक कंपनी न्यूज़लेटर सदस्यता, कंपनी की वेबसाइट पर कर्मचारी फोटो का उपयोग करना, गैर-अनिवार्य कर्मचारी सर्वेक्षण में भाग लेना। पेरोल, प्रदर्शन प्रबंधन, या रोजगार संबंध के लिए आवश्यक किसी डेटा प्रोसेसिंग के लिए, इसके बजाय अनुबंध प्रदर्शन या कानूनी दायित्व का उपयोग करें।
क्या हम कर्मचारी ईमेल की निगरानी कर सकते हैं?
अधिकांश यूरोपीय संघ के न्यायक्षेत्रों में, आप एक सीमित सीमा तक व्यावसायिक ईमेल खातों की निगरानी कर सकते हैं यदि: (1) कर्मचारियों को निगरानी के बारे में स्पष्ट रूप से सूचित किया जाता है, (2) निगरानी एक वैध उद्देश्य के लिए आनुपातिक है, (3) व्यावसायिक ईमेल का व्यक्तिगत उपयोग या तो निषिद्ध है (सभी ईमेल को व्यवसाय बनाना) या व्यक्तिगत ईमेल को निगरानी से बाहर रखा गया है, (4) निगरानी बिना किसी कारण के व्यक्तियों पर लक्षित होने के बजाय व्यवस्थित है। फ्रांस और जर्मनी सबसे अधिक प्रतिबंधात्मक हैं।
हम ओडू एचआर में कर्मचारी डेटा को कैसे संभालते हैं?
ओडू एचआर मॉड्यूल व्यापक कर्मचारी डेटा एकत्र करते हैं। लागू करें: (1) एक्सेस समूह जो एचआर डेटा को अधिकृत कर्मियों तक सीमित करते हैं, (2) संवेदनशील क्षेत्रों (वेतन, एसएसएन) के लिए क्षेत्र-स्तरीय पहुंच नियंत्रण, (3) पूर्व-कर्मचारी डेटा के लिए स्वचालित अभिलेखीय नियम, (4) कर्मचारी डेटा विषय अनुरोधों के लिए डेटा निर्यात कार्यक्षमता, (5) संवेदनशील क्षेत्र परिवर्तनों पर ऑडिट लॉगिंग। ECOSIRE अंतर्निहित गोपनीयता नियंत्रण के साथ Odoo HR कार्यान्वयन प्रदान करता है।
यदि कोई कर्मचारी मिटाने के अपने अधिकार का प्रयोग करता है तो क्या होगा?
मिटाने का अधिकार (जीडीपीआर अनुच्छेद 17) कानूनी प्रतिधारण दायित्वों से आगे नहीं बढ़ता है। यदि आपको कानून द्वारा डेटा (कर रिकॉर्ड, पेंशन रिकॉर्ड) बनाए रखने की आवश्यकता है, तो आप मिटाने से इनकार कर सकते हैं। आपको उस डेटा को हटाना होगा जिसके लिए अवधारण के लिए कोई कानूनी या वैध आधार नहीं है (प्रतिधारण अवधि के बाद पूर्व कर्मचारियों की पुरानी प्रदर्शन समीक्षा, अस्वीकृत उम्मीदवारों के लिए भर्ती डेटा, इंट्रानेट पर पूर्व कर्मचारियों की तस्वीरें)।
आगे क्या आता है
कर्मचारी डेटा गोपनीयता आपके शासन कार्यक्रम का एक घटक है। इसे स्वचालित प्रवर्तन के लिए डेटा प्रतिधारण नीतियों, शासन संरचना के लिए जीडीपीआर डीपीओ कार्यान्वयन और अंतरराष्ट्रीय कार्यबल डेटा के लिए सीमा पार डेटा स्थानांतरण के साथ संयोजित करें।
HR डेटा गोपनीयता परामर्श और गोपनीयता नियंत्रण के साथ Odoo HR कार्यान्वयन के लिए ECOSIRE से संपर्क करें।
ECOSIRE द्वारा प्रकाशित - व्यवसायों को सम्मान और अनुपालन के साथ कर्मचारी डेटा की सुरक्षा में मदद करना।
लेखक
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
ECOSIRE
ECOSIRE के साथ अपना व्यवसाय बढ़ाएं
ईआरपी, ईकॉमर्स, एआई, एनालिटिक्स और ऑटोमेशन में एंटरप्राइज समाधान।
संबंधित लेख
Payroll Processing: Setup, Compliance, and Automation
Complete payroll processing guide covering employee classification, federal and state withholding, payroll taxes, garnishments, automation platforms, and year-end W-2 compliance.
Brazil LGPD Compliance: Data Protection for Latin American Operations
Complete guide to Brazil's LGPD data protection law covering legal bases, data subject rights, ANPD enforcement, DPO requirements, and cross-border transfer rules.
Legal Practice ERP Implementation: Matter Management and Compliance
Step-by-step legal ERP implementation guide covering matter management setup, trust accounting configuration, LEDES billing, conflict checking, and attorney training.
Compliance & Regulation से और अधिक
ई-कॉमर्स के लिए साइबर सुरक्षा: 2026 में अपने व्यवसाय को सुरक्षित रखें
2026 के लिए पूर्ण ईकॉमर्स साइबर सुरक्षा गाइड। पीसीआई डीएसएस 4.0, डब्ल्यूएएफ सेटअप, बॉट सुरक्षा, भुगतान धोखाधड़ी की रोकथाम, सुरक्षा हेडर और घटना प्रतिक्रिया।
रासायनिक उद्योग के लिए ईआरपी: सुरक्षा, अनुपालन और बैच प्रोसेसिंग
ईआरपी सिस्टम रासायनिक कंपनियों के लिए एसडीएस दस्तावेज़, पहुंच और जीएचएस अनुपालन, बैच प्रोसेसिंग, गुणवत्ता नियंत्रण, खतरनाक शिपिंग और फॉर्मूला प्रबंधन कैसे प्रबंधित करते हैं।
आयात/निर्यात व्यापार के लिए ईआरपी: बहु-मुद्रा, रसद और अनुपालन
ईआरपी सिस्टम ट्रेडिंग कंपनियों के लिए क्रेडिट पत्र, सीमा शुल्क दस्तावेज़ीकरण, इनकोटर्म्स, बहु-मुद्रा पी एंड एल, कंटेनर ट्रैकिंग और शुल्क गणना को कैसे संभालते हैं।
ईआरपी के साथ स्थिरता और ईएसजी रिपोर्टिंग: अनुपालन गाइड 2026
ईआरपी सिस्टम के साथ 2026 में ईएसजी रिपोर्टिंग अनुपालन पर नेविगेट करें। सीएसआरडी, जीआरआई, एसएएसबी, स्कोप 1/2/3 उत्सर्जन, कार्बन ट्रैकिंग और ओडू स्थिरता को कवर करता है।
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.