根据《通用数据保护条例》(GDPR),我们现在已经进入新的、更严格的数据保护制度一年了,无论英国脱欧与否,这些规则都不会很快消失。我们回顾了第一年教给我们的东西,并提供了一份清单,以帮助雇主继续遵守。
Brexit
新规定确保了GDPR在英国脱欧后仍将有效。如果你只是在英国境内经营,变化不大。然而,如果您将个人数据转移到欧洲或从欧洲转移,情况可能会根据英国退出的条款而变化。信息专员办公室(ICO)有进一步的报道英国脱欧方面的指导和资源.
报告数据保护漏洞
你现在必须向ICO报告任何违反数据保护的行为,例如未经授权向第三方披露员工的个人数据,这对个人构成了风险。我们可以帮助您评估是否需要报告任何违规行为。
执法及罚款
当GDPR生效时,ICO被赋予了更大的权力来执行数据保护法,包括有权处以高达2000万欧元或全球营业额4%(如果更高的话)的罚款。个人还可以因违反数据保护而遭受损失而获得赔偿。除了与数据保护费有关的案件外,新法律下的案件尚未通过司法系统,因此现在判断将判给的损害赔偿水平还为时过早。然而,随着人们对数据保护权利意识的增强,以及向ICO报告一些数据泄露的义务,我们很可能会看到罚款数量和水平的增加。
雇主对“流氓”员工数据泄露的责任
2018年上诉法院案件多名索赔人起诉莫里森超市有限公司这是第一起因违反数据保护而采取的集体行动。在一名高级IT审计人员报复性数据泄露后,超过5500名员工向他们的雇主莫里森公司提出索赔。这名对雇主心怀怨恨的审计人员在网上披露了近10万名同事的个人数据。即使他想对雇主造成伤害,并且他在工作时间之外从家里披露了这些信息,莫里森仍然要对这些信息的披露负责。尽管这起案件的事实不同寻常,莫里森公司在保护员工数据方面可能也无能为力,但它显示出雇主要承担的责任有多大。
莫里森正在向最高法院上诉,反对这一决定。然而,法院越来越多地认为雇主要为其雇员的行为负责。
针对雇员的ICO行动
许多员工可能没有正确理解他们在数据保护法下的个人责任。仅仅有数据保护政策是不够的;雇主必须培训员工,继续提醒他们的责任,并将违反数据保护法定为严重违纪行为。即使没有针对雇主的索赔,ICO的报告也会列出雇主的名字,因此声誉受损是不可避免的。
我们可以建议您如何以及何时合法监控员工的电子邮件,以保护员工可以访问的个人数据。
以下是一些员工将自己送上刑事法庭的例子:
- 一名全科医生经理因向她的个人邮箱发送邮件而被罚款,邮件中包含求职者的简历和个人信息;
- 一名全科医生实习秘书因阅读病人档案而被成功起诉,显然是因为她在工作中感到无聊;而且
- 一家二手车经销商的管理员因将包含客户和同事信息的工作电子邮件转发到个人电子邮件账户而被罚款。
帮助遵从性的检查清单
数据保护是一项持续的责任。在新制度下,执行行动的可能性和后果要重要得多。为了确保你遵守这些规定,你需要考虑以下几个方面:
- 你们的隐私通知是否仍然有效,或者是否需要更新以涵盖你们处理员工个人数据的所有目的?
- 你的隐私通知是否涵盖了所有员工?不要忘记任何工人和承包商,以及雇员和求职者。
- 如果你有数据保护政策,它是否仍然涵盖你处理的所有个人信息、你的活动和要求?
- 你们对新员工的入职流程是否包括最新的数据保护培训?它是否阐明了个人的责任和合法处理个人信息的重要性?
- 你是否保留个人资料超过必要的时间?什么时候应该删除落选求职者和离职员工的信息?
- 你们有没有更新雇佣合同以反映你们的政策和做法?
- 是时候提醒经理们他们在员工数据方面的责任了吗?例如,如果他们收到了一个主题访问请求,他们能识别出来吗?
- 你是否有记录表明你遵守了GDPR?
- 您是否进行了数据影响评估,例如,您是否在工作场所引入了闭路电视?
- 您是否与第三方(例如薪资供应商或与您合作的组织)共享任何员工个人资料?如果是的话,你是否有适当的协议?您可能要为第三方的数据泄露负责。
- 如果你是接收客户员工个人信息的服务提供商,你是否清楚自己是控制者、处理者还是联合控制者?你知道你的义务吗?
- 当员工离职时,您是否有流程确保他们的个人数据从您的网站和企业的社交媒体账户中删除?
- 最后,顺从永远都不晚。对个人资料进行审计是一个很好的起点。
有关本文中提出的任何问题的进一步建议,或更一般的就业法建议,请联系JPP法律020 3468 3064或电子邮件info@jpplaw.co.uk