ہماری Compliance & Regulation سیریز کا حصہ
مکمل گائیڈ پڑھیںملازم ڈیٹا پرائیویسی مینجمنٹ: پرائیویسی کے حقوق کے ساتھ HR کی ضروریات کو متوازن کرنا
ملازمین کا ڈیٹا ذاتی ڈیٹا کا سب سے حساس زمرہ ہے جس پر زیادہ تر کمپنیاں کارروائی کرتی ہیں۔ اس میں مالی معلومات (تنخواہ، بینک کی تفصیلات)، سرکاری شناخت کنندہ (SSN، ٹیکس IDs)، صحت کا ڈیٹا (بیماری کی چھٹی، معذوری کی رہائش) اور طرز عمل کا ڈیٹا (کارکردگی کے جائزے، تادیبی ریکارڈ) شامل ہیں۔ اس کے باوجود HR محکمے معمول کے مطابق ضرورت سے کہیں زیادہ ملازمین کا ڈیٹا اکٹھا اور ذخیرہ کرتے ہیں، اکثر ناکافی تحفظات کے ساتھ۔
یہ گائیڈ قانونی تقاضوں، عملی فریم ورکس، اور ملازمین کے ڈیٹا کی رازداری کے انتظام کے لیے تکنیکی عمل درآمد کا احاطہ کرتا ہے۔
اہم ٹیک ویز
- رضامندی ملازمین کے ڈیٹا پروسیسنگ کے لیے شاذ و نادر ہی مناسب قانونی بنیاد ہے --- طاقت کا عدم توازن رضامندی کو غیر مفت بناتا ہے
- ملازمین کی نگرانی متناسب، شفاف اور قانونی بنیاد ہونی چاہیے۔
- ملازمین کے ڈیٹا کی سرحد پار منتقلی (مثلاً، گروپ ہیڈ کوارٹر) کے لیے مخصوص ٹرانسفر میکانزم کی ضرورت ہوتی ہے۔
- قسم کے لحاظ سے HR ڈیٹا کے لیے ڈیٹا کی برقراری 1 سال (بھرتی مسترد) سے 30+ سال (پنشن ریکارڈ) تک مختلف ہوتی ہے۔
ملازمین کے ڈیٹا پر کارروائی کے لیے قانونی بنیادیں۔
جی ڈی پی آر کی قانونی بنیادیں (آرٹیکل 6)
| قانونی بنیاد | کب استعمال کریں | مثالیں |
|---|---|---|
| معاہدے کی کارکردگی (آرٹ 6(1)(b)) | ملازمت کے معاہدے کو پورا کرنے کے لیے ضروری | تنخواہ کی پروسیسنگ، کام کا شیڈول، فوائد کی انتظامیہ |
| قانونی ذمہ داری (آرٹ 6(1)(c)) | قانون کی طرف سے ضروری | ٹیکس رپورٹنگ، سماجی تحفظ کی شراکت، کام کی جگہ کے حفاظتی ریکارڈز |
| جائز سود (آرٹ 6(1)(f)) | کاروبار کو ملازمین کے حقوق کے خلاف توازن کی ضرورت ہے | آئی ٹی سیکیورٹی کی نگرانی، فراڈ کی روک تھام، تنظیمی منصوبہ بندی |
| رضامندی (آرٹ 6(1)(a)) | حقیقی طور پر اختیاری سرگرمیاں | ملازمین کی ڈائرکٹری تصویر، سماجی تقریبات، غیر لازمی سروے |
| اہم مفادات (آرٹ 6(1)(d)) | جان لیوا حالات | ہنگامی طبی معلومات |
اہم: رضامندی ملازمین کے ڈیٹا کے لیے آخری حربہ ہونا چاہیے۔ آجر اور ملازم کے درمیان طاقت کے عدم توازن کا مطلب ہے کہ جی ڈی پی آر کی ضرورت کے مطابق رضامندی "آزادانہ طور پر نہیں دی جا سکتی"۔ جہاں ممکن ہو معاہدہ کی کارکردگی یا قانونی ذمہ داری کا استعمال کریں۔
خصوصی زمرے (آرٹیکل 9)
ہیلتھ ڈیٹا، بائیو میٹرک ڈیٹا، ٹریڈ یونین کی رکنیت، اور دیگر خصوصی زمروں کے لیے ایک اضافی قانونی بنیاد کی ضرورت ہوتی ہے:
| خصوصی زمرہ کا ڈیٹا | قانونی بنیاد | عام HR منظر نامہ | |---------|---------------| | صحت کے اعداد و شمار | ملازمت کے قانون کی ذمہ داری یا واضح رضامندی | بیماری کی چھٹی، معذوری کی رہائش، پیشہ ورانہ صحت | | بائیو میٹرک ڈیٹا | واضح رضامندی یا خاطر خواہ عوامی دلچسپی | فنگر پرنٹ تک رسائی، چہرے کی شناخت کی حاضری | | ٹریڈ یونین کی رکنیت | ملازمت کا قانون، واضح رضامندی | یونین کے واجبات کی کٹوتی، اجتماعی سودے بازی | | مجرمانہ ریکارڈ | قانونی ذمہ داری | پس منظر کی جانچ (جہاں قانونی طور پر اجازت ہے) | | مذہبی عقیدہ | واضح رضامندی | غذائی ضروریات، مذہبی تعطیلات |
لائف سائیکل کے ذریعے ملازمین کا ڈیٹا
بھرتی
| جمع کردہ ڈیٹا | برقرار رکھنا | نوٹس |
|---|---|---|
| CV / دوبارہ شروع | مسترد ہونے کے 6-12 ماہ بعد | مختصر برقرار رکھنا زیادہ محفوظ ہے |
| انٹرویو کے نوٹس | مسترد ہونے کے 6-12 ماہ بعد | صرف ملازمت سے متعلق نوٹس رکھیں |
| حوالہ چیک کے نتائج | فیصلے کے 6 ماہ بعد | فوری طور پر حذف کریں |
| تشخیص / ٹیسٹ کے نتائج | مسترد ہونے کے 6-12 ماہ بعد | امیدواروں کو پیشگی اطلاع دیں |
| پس منظر کی جانچ | فیصلے کے 6 ماہ بعد، یا بالکل نہیں | سخت مقصد کی حد |
امیدواروں کو مطلع کرنا ضروری ہے: ڈیٹا اکٹھا کرنے سے پہلے، ایک رازداری کا نوٹس فراہم کریں جس میں یہ بتایا جائے کہ کون سا ڈیٹا اکٹھا کیا جاتا ہے، کیوں، اسے کب تک رکھا جاتا ہے، اور ان کے حقوق۔ مسترد شدہ امیدواروں کا ڈیٹا 6-12 ماہ کے اندر حذف کر دیا جانا چاہیے جب تک کہ امیدوار ٹیلنٹ پول میں رکھنے کے لیے رضامند نہ ہوں۔
آن بورڈنگ
| جمع کردہ ڈیٹا | مقصد | قانونی بنیاد |
|---|---|---|
| پورا نام، پتہ، DOB | ملازمت کا معاہدہ | معاہدہ |
| ٹیکس ID / SSN | ٹیکس رپورٹنگ | قانونی ذمہ داری |
| بینک کی تفصیلات | تنخواہ کی ادائیگی | معاہدہ |
| ہنگامی رابطے | کام کی جگہ کی حفاظت | جائز سود |
| تصویر (اختیاری) | ملازم ڈائریکٹری | رضامندی |
| سامان کے سیریل نمبرز | اثاثوں سے باخبر رہنا | جائز سود |
| کام کی اہلیت کے دستاویزات | امیگریشن کی تعمیل | قانونی ذمہ داری |
دورانِ ملازمت
| پروسیسنگ سرگرمی | قانونی بنیاد | شفافیت کی ضرورت ہے |
|---|---|---|
| پے رول پروسیسنگ | معاہدہ | معیاری |
| کارکردگی کا جائزہ | جائز سود | اعلی (معلومات کے معیار) |
| آئی ٹی سسٹم کی نگرانی | جائز سود | ہائی (مانیٹرنگ پالیسی کی ضرورت ہے) |
| ای میل کی نگرانی | جائز سود (محدود) | بہت زیادہ (مخصوص پالیسی درکار ہے) |
| سی سی ٹی وی | جائز سود | ہائی (سگنیج + پالیسی) |
| GPS ٹریکنگ | جائز سود (اگر متناسب ہو) | بہت اعلیٰ |
| وقت اور حاضری | معاہدہ + قانونی ذمہ داری | معیاری |
| تربیتی ریکارڈ | معاہدہ + جائز مفاد | معیاری |
| تادیبی ریکارڈ | جائز سود + قانونی ذمہ داری | ہائی |
آف بورڈنگ
| ایکشن | ٹائم لائن | نوٹس |
|---|---|---|
| سسٹم کی تمام رسائی کو منسوخ کریں | روانگی کا دن | آئی ٹی چیک لسٹ |
| کمپنی کا سامان واپس کریں | روانگی کا دن | اثاثہ کی وصولی |
| آرکائیو روزگار کے ریکارڈ | روانگی کا دن | محدود رسائی میں منتقل |
| غیر ضروری ڈیٹا کو حذف کریں | 30 دن | تصاویر، ذاتی فائلیں، غذائی ترجیحات |
| قانونی طور پر مطلوبہ ڈیٹا کو برقرار رکھیں | فی ریٹینشن شیڈول | ٹیکس ریکارڈ، پنشن، ملازمت کے معاہدے |
| حوالہ کی درخواستوں کا جواب دیں | جاری (محدود ڈیٹا) | ملازمت کی تاریخیں، پوزیشن پر فائز |
ملازمین کی نگرانی
تناسب کا فریم ورک
کسی بھی ملازم کی نگرانی کے لیے متناسب ٹیسٹ پاس کرنا ضروری ہے:
- جائز مقصد: مخصوص مقصد کیا ہے؟ (سیکیورٹی، پیداوری، قانونی تعمیل)
- ضرورت: کیا مقصد کو حاصل کرنے کے لیے سب سے کم دخل اندازی کی نگرانی کرنا ہے؟
- تناسب: کیا کاروبار کو رازداری کے اثرات سے زیادہ ضرورت ہے؟
- شفافیت: کیا ملازمین کو واضح طور پر مطلع کیا جاتا ہے کہ کیا مانیٹر کیا جاتا ہے؟
دائرہ اختیار کے لحاظ سے موازنہ کی نگرانی
| نگرانی کی قسم | EU (GDPR) | US | UK | فرانس (CNIL) | جرمنی |
|---|---|---|---|---|---|
| ای میل مواد کی نگرانی | محدود (صرف متناسب) | عام طور پر اجازت (نوٹس کے ساتھ) | محدود | بہت محدود (نجی ای میلز محفوظ) | بہت محدود (ورک کونسل کی رضامندی) |
| ویب براؤزنگ کی نگرانی | نوٹس اور مقصد کے ساتھ اجازت دی گئی | اجازت ہے (نوٹس کے ساتھ) | نوٹس کے ساتھ اجازت | صرف پیشہ ورانہ استعمال کے لیے اجازت ہے | محدود |
| کام کی جگہ پر سی سی ٹی وی | اجازت ہے (نجی علاقوں میں نہیں) | اجازت یافتہ (ریاستی قوانین مختلف ہوتے ہیں) | ICO رہنمائی لاگو ہوتی ہے | وقفے کے کمروں میں نہیں | ورکس کونسل کی رضامندی درکار ہے |
| GPS گاڑیوں سے باخبر رہنا | صرف کام کے اوقات کے دوران اجازت | عام طور پر اجازت | کام کے اوقات کے دوران اجازت | صرف کام کے اوقات، ملازم نے مطلع کیا | بہت محدود |
| کی اسٹروک لاگنگ | عام طور پر غیر متناسب | اجازت ہے (نوٹس کے ساتھ) | عام طور پر غیر متناسب | غیر متناسب | غیر متناسب |
| سکرین ریکارڈنگ | محدود (وقت محدود، مقصد کے لیے مخصوص) | اجازت ہے (نوٹس کے ساتھ) | محدود | بہت محدود | بہت محدود |
سرحد پار ملازمین کے ڈیٹا کی منتقلی۔
عام منظرنامے۔
| منظر نامہ | منتقلی کا طریقہ کار درکار ہے |
|---|---|
| یو ایس ہیڈ کوارٹر میں یورپی یونین کا ذیلی ادارہ (پے رول) | معیاری معاہدے کی شقیں (SCCs) + منتقلی کے اثرات کی تشخیص |
| یورپی یونین کے والدین کے لیے برطانیہ کا ذیلی ادارہ | UK کی اہلیت کا فیصلہ (باہمی) |
| EU to India (IT سپورٹ) | SCCs + ضمنی اقدامات |
| ملٹی کنٹری HR سسٹم (اوڈو، ورک ڈے) | ڈیٹا پروسیسر + DPA کے ساتھ SCCs |
نفاذ
مرکزی HR نظام استعمال کرنے والی عالمی کمپنیوں کے لیے:
- نقشہ کا ڈیٹا فلو: دستاویز جو ملازم کا ڈیٹا کن ممالک کے درمیان منتقل ہوتا ہے۔
- آزادی کا اندازہ کریں: چیک کریں کہ آیا وصول کرنے والے ملک کے پاس EU کی مناسبیت کا فیصلہ ہے
- SCCs کو لاگو کریں: ڈیٹا ایکسپورٹر اور امپورٹر کے درمیان معیاری معاہدے کی شقوں پر دستخط کریں
- منتقلی اثر کی تشخیص: اس بات کا جائزہ لیں کہ آیا وصول کرنے والے ملک کے قوانین SCC تحفظات کو کمزور کرتے ہیں
- اضافی اقدامات: ضرورت کے مطابق خفیہ کاری، تخلص، یا رسائی کی پابندیاں شامل کریں
تفصیلی منتقلی کے طریقہ کار کی رہنمائی کے لیے ہماری کراس بارڈر ڈیٹا ٹرانسفر گائیڈ دیکھیں۔
HR ڈیٹا برقرار رکھنے کا شیڈول
| ڈیٹا کی قسم | برقرار رکھنے کی مدت | قانونی بنیاد |
|---|---|---|
| ملازمت کا معاہدہ | دورانیہ + 6 سال (حدود کا قانون) | قانونی ذمہ داری |
| پے رول ریکارڈز | 7-10 سال بعد کی ملازمت (ملک کے لحاظ سے مختلف ہوتی ہے) | ٹیکس قانون |
| ٹیکس فارم (W-2, P60) | 7 سال (امریکہ)، 6 سال (برطانیہ) | ٹیکس قانون |
| پنشن ریکارڈ | پنشن کی حتمی ادائیگی کے بعد 6 سال تک | قانونی ذمہ داری |
| کارکردگی کا جائزہ | ملازمت کی مدت + 2 سال | جائز سود |
| تادیبی ریکارڈ | دورانیہ + 1-3 سال (مختلف ہوتا ہے) | جائز سود |
| بیماری کی چھٹی کا ریکارڈ | دورانیہ + 3 سال | قانونی ذمہ داری |
| تربیتی ریکارڈ | دورانیہ + 2-3 سال | جائز سود |
| بھرتی کا ڈیٹا (مسترد) | 6-12 ماہ | رضامندی یا جائز مفاد |
| سی سی ٹی وی فوٹیج | 30 دن (زیادہ تر دائرہ اختیار میں زیادہ سے زیادہ 90) | جائز سود |
| رسائی کے نوشتہ جات | 1-3 سال | سیکورٹی + جائز مفاد |
| ورکس کونسل منٹس | 10 سال | قانونی ذمہ داری |
اکثر پوچھے گئے سوالات
کیا ہم رضامندی کو ملازمین کے ڈیٹا پر کارروائی کرنے کی بنیاد کے طور پر استعمال کر سکتے ہیں؟
صرف حقیقی طور پر اختیاری سرگرمیوں کے لیے جہاں ملازم کے پاس ایک حقیقی آزاد انتخاب ہے جس سے انکار کرنے کے کوئی منفی نتائج نہیں ہوں گے۔ مثالیں: اختیاری کمپنی نیوز لیٹر سبسکرپشن، کمپنی کی ویب سائٹ پر ملازم کی تصویر کا استعمال کرتے ہوئے، ملازمین کے غیر لازمی سروے میں حصہ لینا۔ پے رول، کارکردگی کے انتظام، یا ملازمت کے تعلقات کے لیے ضروری ڈیٹا پروسیسنگ کے لیے، اس کے بجائے معاہدے کی کارکردگی یا قانونی ذمہ داری کا استعمال کریں۔
کیا ہم ملازمین کی ای میلز کی نگرانی کر سکتے ہیں؟
زیادہ تر یورپی یونین کے دائرہ اختیار میں، آپ کاروباری ای میل اکاؤنٹس کو محدود حد تک مانیٹر کر سکتے ہیں اگر: (1) ملازمین کو مانیٹرنگ کے بارے میں واضح طور پر آگاہ کیا جاتا ہے، (2) نگرانی ایک جائز مقصد کے متناسب ہے، (3) کاروباری ای میل کا ذاتی استعمال یا تو ممنوع ہے (تمام ای میل کا کاروبار کرنا) یا ذاتی ای میلز کو نگرانی سے خارج کر دیا گیا ہے، (4) انفرادی طور پر نگرانی کے نظام کے مقابلے میں انفرادی طور پر ٹارگٹ سسٹم کی نگرانی کرنا ہے۔ فرانس اور جرمنی سب سے زیادہ پابندیاں عائد کر رہے ہیں۔
ہم Odoo HR میں ملازمین کے ڈیٹا کو کیسے ہینڈل کرتے ہیں؟
Odoo HR ماڈیول ملازمین کا وسیع ڈیٹا اکٹھا کرتے ہیں۔ لاگو کریں: (1) رسائی والے گروپس جو HR ڈیٹا کو مجاز اہلکاروں تک محدود کرتے ہیں، (2) حساس فیلڈز (تنخواہ، SSN) کے لیے فیلڈ لیول تک رسائی کا کنٹرول، (3) سابق ملازم کے ڈیٹا کے لیے خودکار آرکائیو کے قوانین، (4) ملازمین کے ڈیٹا کے موضوع کی درخواستوں کے لیے ڈیٹا ایکسپورٹ کی فعالیت، (5) حساس فیلڈ تبدیلیوں پر آڈٹ لاگنگ۔ ECOSIRE فراہم کرتا ہے Odoo HR نفاذ پرائیویسی کنٹرولز کے ساتھ۔
اگر کوئی ملازم مٹانے کے اپنے حق کا استعمال کرتا ہے تو کیا ہوتا ہے؟
مٹانے کا حق (GDPR آرٹیکل 17) قانونی برقراری کی ذمہ داریوں کو اوور رائیڈ نہیں کرتا ہے۔ آپ مٹانے سے انکار کر سکتے ہیں اگر آپ کو قانون کے مطابق ڈیٹا (ٹیکس ریکارڈ، پنشن ریکارڈ) کو برقرار رکھنے کی ضرورت ہے۔ آپ کو وہ ڈیٹا حذف کرنا چاہیے جس کے لیے برقرار رکھنے کی کوئی قانونی یا جائز بنیاد نہیں ہے (سابق ملازمین کی پرانی کارکردگی کے جائزے برقرار رکھنے کی مدت کے بعد، مسترد کیے گئے امیدواروں کے لیے بھرتی کا ڈیٹا، انٹرانیٹ پر سابق ملازمین کی تصاویر)۔
آگے کیا آتا ہے۔
ملازمین کے ڈیٹا کی رازداری آپ کے گورننس پروگرام کا ایک جزو ہے۔ اسے خودکار نفاذ کے لیے ڈیٹا برقرار رکھنے کی پالیسیوں، گورننس ڈھانچے کے لیے GDPR DPO نفاذ، اور بین الاقوامی افرادی قوت کے ڈیٹا کے لیے کراس بارڈر ڈیٹا ٹرانسفر کے ساتھ جوڑیں۔
پرائیویسی کنٹرولز کے ساتھ HR ڈیٹا پرائیویسی کنسلٹنگ اور Odoo HR کے نفاذ کے لیے ECOSIRE سے رابطہ کریں۔
ECOSIRE کے ذریعہ شائع کیا گیا -- کاروباروں کو ملازمین کے ڈیٹا کو احترام اور تعمیل کے ساتھ محفوظ رکھنے میں مدد کرنا۔
تحریر
ECOSIRE Research and Development Team
ECOSIRE میں انٹرپرائز گریڈ ڈیجیٹل مصنوعات بنانا۔ Odoo انٹیگریشنز، ای کامرس آٹومیشن، اور AI سے چلنے والے کاروباری حل پر بصیرت شیئر کرنا۔
متعلقہ مضامین
AI for HR and Recruitment Screening: Faster Hiring Without Bias
Deploy AI in HR for resume screening, candidate matching, interview scheduling, and employee analytics while maintaining fairness and compliance.
Cookie Consent Implementation Guide: Legally Compliant Consent Management
Implement cookie consent that complies with GDPR, ePrivacy, CCPA, and global regulations. Covers consent banners, cookie categorization, and CMP integration.
Cross-Border Data Transfer Regulations: Navigating International Data Flows
Navigate cross-border data transfer regulations with SCCs, adequacy decisions, BCRs, and transfer impact assessments for GDPR, UK, and APAC compliance.
Compliance & Regulation سے مزید
Audit Preparation Checklist: How Your ERP Makes Audits 60 Percent Faster
Complete audit preparation checklist using ERP systems. Reduce audit time by 60 percent with proper documentation, controls, and automated evidence gathering.
Cookie Consent Implementation Guide: Legally Compliant Consent Management
Implement cookie consent that complies with GDPR, ePrivacy, CCPA, and global regulations. Covers consent banners, cookie categorization, and CMP integration.
Cross-Border Data Transfer Regulations: Navigating International Data Flows
Navigate cross-border data transfer regulations with SCCs, adequacy decisions, BCRs, and transfer impact assessments for GDPR, UK, and APAC compliance.
Cybersecurity Regulatory Requirements by Region: A Compliance Map for Global Businesses
Navigate cybersecurity regulations across US, EU, UK, APAC, and Middle East. Covers NIS2, DORA, SEC rules, critical infrastructure requirements, and compliance timelines.
Data Governance and Compliance: The Complete Guide for Technology Companies
Complete data governance guide covering compliance frameworks, data classification, retention policies, privacy regulations, and implementation roadmaps for tech companies.
Data Retention Policies and Automation: Keep What You Need, Delete What You Must
Build data retention policies with legal requirements, retention schedules, automated enforcement, and compliance verification for GDPR, SOX, and HIPAA.