In den letzten vier Monaten haben mehrere Unternehmen ihre Bemühungen um die Einhaltung dieser Verordnung ausschließlich auf ihre externen Daten gestützt. Sie werden dann ihre Verfahren zur Erhebung und Verarbeitung der Daten ihrer Kunden überprüfen, um sicherzustellen, dass sie den neuen europäischen Rechtsrahmen in diesem Bereich einhalten.
Die Allgemeine Datenschutzverordnung bezieht sich jedoch auch auf die personenbezogenen Daten von Arbeitnehmern. Allerdings müssen Unternehmen nach Inkrafttreten der DSGVO nachweisen, dass ihre Personal- und Lohnbuchhaltungsabteilungen diese Compliance in ihrem Tätigkeitsmodus haben. Neben den IT-, Finanz- und Betriebsabteilungen müssen sich auch die Personal- und Lohnbuchhaltungsabteilungen aktiv an den Diskussionen über die DSGVO beteiligen.
Personenbezogene Daten von Arbeitnehmern müssen erfasst werden.
Nach dem Inkrafttreten der Datenschutz-Grundverordnung kann ein Arbeitnehmer sein Recht auf Zugang und Berichtigung seiner Daten sowie sein Recht auf deren vollständige Löschung wahrnehmen. Dementsprechend müssen die Personalabteilungen der Unternehmen sicherstellen, dass sie wissen, wo diese Informationen aufbewahrt werden, und dass sie sie schnell erfassen können, um auf Anfragen von Mitarbeitern zu reagieren.
Personalakten und Gehaltsabrechnungen lassen sich zweifellos leicht zusammenstellen, aber was ist mit Kostenaufstellungen, Reparaturanforderungen, Abwesenheiten usw.? So harmlos sie auch sein mögen, dieses Wissen wird oft als personenbezogene Daten betrachtet und muss daher mit besonderer Sorgfalt behandelt werden.
Für die Personalabteilungen ist es außerdem von entscheidender Bedeutung, all diese Unterlagen, die in der Regel in verschiedenen Systemen (in Personalakten oder auf Computern) gespeichert sind, an einem einzigen Speicherort zusammenzuführen, um sie zu schützen. Schutz, aber auch Verfügbarkeit, wie von der Datenschutz-Grundverordnung gefordert.
Das allgemeine Datenschutzgesetz stärkt in der Tat die Rechte der Arbeitnehmer. So müssen die Personalabteilungen nun alle personenbezogenen Daten der einzelnen Mitarbeiter kennen, ihre Systeme für den korrekten Umgang mit diesen Informationen verfeinern und den Mitarbeitern nachweisen, dass ihre Datenanfragen bearbeitet wurden.
Im Rahmen der DSGVO müssen die Personalabteilungen die Daten der Mitarbeiter ganzheitlich betrachten und alle Informationen über den Mitarbeiter berücksichtigen, vom Vorstellungsgespräch über die Einstellung bis hin zur tatsächlichen Entlassung des Mitarbeiters aus dem Unternehmen.
In dieser Situation ist die Menge an personenbezogenen Daten pro Mitarbeiter in der Regel hoch, und jeder Mitarbeiter muss jederzeit Einsicht, Änderung, Übermittlung oder sogar Löschung beantragen. Nach der DSGVO sind drei Bereiche der Personalabteilungen anfällig: Personalbeschaffung, Gehaltsabrechnung und Reisen, Ausgabenberichte und Krankenakten.
DSGVO und Personalbeschaffung
Die Einstellung ist eine Phase des Personalprozesses, die vom Inkrafttreten der allgemeinen Datenschutzverordnung erheblich betroffen ist. Während des Einstellungsgesprächs werden in der Tat viele persönliche Informationen gesammelt: Lebenslauf, Portfolios, Initiativbewerbungen, Bewerbungsformulare usw. Die Personalabteilungen müssen auch sicherstellen, dass ihre Politik für den Umgang und die Verwaltung solcher personenbezogenen Daten mit den Leitlinien der DSGVO übereinstimmt.
Das Problem der Zustimmung ist daher von entscheidender Bedeutung. Wenn ein Bewerber zu einem Vorstellungsgespräch geht, sammeln die Personalabteilungen zweifellos eine Menge persönlicher Informationen über ihn, wie können Sie also die Zustimmung des Bewerbers nachweisen? Wie lange darf die Personalabteilung die Daten aus diesem Gespräch aufbewahren?
Verfügen die Personalabteilungen über einen speziellen Mechanismus, um Daten aus der Rekrutierungsphase in die Mitarbeiterdatenbank zu übertragen, wenn ein Bewerber eingestellt und ein Partner wird?
Verbleiben die Daten des Mitarbeiters in zwei verschiedenen Datenbanken? Wenn ein Bewerber ein Vorstellungsgespräch besteht, ohne ausgewählt zu werden, wie werden dann seine Daten verarbeitet? Dies sind alles Fragen, mit denen sich die Personalabteilung eines Unternehmens jetzt befassen muss, um sicherzustellen, dass sie die aktuelle Regulierungsstruktur der DSGVO einhält.
DSGVO und Gehaltsabrechnung
Die Personal- und die Lohnbuchhaltungsabteilung sollten der Verarbeitung der finanziellen Daten der einzelnen Arbeitnehmer besondere Aufmerksamkeit widmen. Der Arbeitgeber sollte auch die Vertraulichkeit der Informationen gewährleisten und sicherstellen, dass nur zugelassene Personen davon Kenntnis erhalten.
Die von den zugelassenen Personen vorgenommenen Datenverarbeitungen sind zu protokollieren (d. h. es muss bekannt sein, wer was, wann und wozu getan hat). Ebenso muss der Arbeitgeber diese Aufzeichnungen nach dem Ausscheiden des Arbeitnehmers auf einem Archivmedium aufbewahren.
DSGVO und medizinische, Reise- und Spesenberichte
Die Personalabteilungen eines Unternehmens müssen sich darüber im Klaren sein, dass sich die allgemeinen Datenschutzbestimmungen derzeit auf alle internen Anforderungen an die Verarbeitung personenbezogener Daten durch Mitarbeiter erstrecken.
Die Erfassung und Pflege solcher Informationssysteme sollte auch vollständig konform sein, um alle verwendeten Daten, einfache Rückzahlungsforderungen, Bewegungsnachweise und medizinische Daten, die insbesondere erfasst werden müssen, zu berücksichtigen.
Schlussfolgerung
Da Personalabteilungen mehr als jede andere Abteilung viele personenbezogene Daten von Mitarbeitern verarbeiten müssen, ist es wichtig, sie aufzufordern, die Richtlinien der DSGVO einzuhalten.
Außerdem betrifft die Allgemeine Datenschutzverordnung den gesamten Bereich der Personalarbeit, und die Geldbußen, die im Falle eines Verstoßes verhängt werden können, können erheblich sein. Daher können Unternehmen viel davon profitieren, wenn sie sicherstellen, dass ihre Personal- und Gehaltsabrechnungsprozesse mit dieser aktuellen Regulierungsstruktur konform sind.
Wie wirkt sich die DSGVO auf die lokalen Behörden aus? Jeden Tag müssen die lokalen Behörden zahlreiche personenbezogene Daten verarbeiten, sei es im Zusammenhang mit der Sicherung ihrer Räumlichkeiten (Videoüberwachung, Zugangskontrolle usw.) oder der Verwaltung ihrer Mitarbeiter und der verschiedenen Abteilungen. Die Herausforderungen für die lokalen Behörden in Bezug auf den Datenschutz sind beträchtlich, wenn es um die Verarbeitung spezifischer, besonders sensibler Daten geht, wie z. B. die Daten der Gemeindepolizei oder der Sozialhilfe.
Die Datenschutz-Grundverordnung und die lokalen Behörden: Wie sind sie betroffen?
Im Zuge der Modernisierung des öffentlichen Handelns spielt die so genannte elektronische Verwaltung eine immer wichtigere Rolle: Teledienste, Cloud Computing, soziale Netzwerke, offene Daten, Videogeräte usw. Die lokalen Behörden sind folglich zwangsläufig von den allgemeinen Datenschutzbestimmungen betroffen, die die Verwendung dieser personenbezogenen Daten streng regeln. Und da die Zahl der Cyberangriffe weiter zunimmt, sind die lokalen Behörden mehr denn je gefordert, den Zugang zu ihren Informationen zu schützen.
Auch die Bürger sind zunehmend besorgt über die Verwendung ihrer Daten. Mit der Umsetzung der Datenschutz-Grundverordnung sehen sie ihre Rechte in Bezug auf die Verarbeitung und den Schutz ihrer Daten gestärkt. Die neuen Teledienste, die den Bürgern von den lokalen Behörden angeboten werden, müssen daher die Anforderungen dieser Verordnung in Bezug auf die Sicherheit und den Zugang zu personenbezogenen Daten berücksichtigen.
Schließlich verstärkt die Europäische Datenschutzverordnung die Notwendigkeit für die lokalen Behörden, mehrere Anforderungen zu berücksichtigen, insbesondere hinsichtlich der Verpflichtung zur Transparenz
bei der Verarbeitung personenbezogener Daten. Der Zweck der DSGVO ist es, alle Akteure zur Rechenschaft zu ziehen; die lokalen Behörden müssen daher sicherstellen, dass sie die DSGVO als Ganzes einhalten.
Es steht viel auf dem Spiel, insbesondere was das Vertrauen der Bürger in die von den lokalen Behörden angebotenen Dienstleistungen angeht, aber auch in Bezug auf die Sanktionen. Zusätzlich zu den öffentlichen Warnungen ist die Aufsichtsbehörde durch die Datenschutz-Grundverordnung ermächtigt, gegen lokale Behörden oder Unternehmen, die sich nicht an den Rahmen halten, Geldstrafen von bis zu 20 Millionen Euro oder 4 % des Gesamtumsatzes zu verhängen.