GDPR और व्यक्तिगत फ़ाइलें जिन्हें पहले ही संग्रहीत किया जा चुका है

सेवा

जीडीपीआर की शुरूआत ने कई उद्यमों को अपने कर्मचारियों और ग्राहकों के व्यक्तिगत डेटा संरक्षण के क्षेत्र में नए समाधान लागू करने के लिए मजबूर किया है। इस विनियम का उल्लंघन करने के लिए दंड बहुत अधिक है, इसलिए इसमें कोई आश्चर्य की बात नहीं है कि बहुत से लोग अपने ईमानदार अनुपालन की परवाह करते हैं। क्या संग्रहीत व्यक्तिगत फ़ाइलों को भी GDPR के आवेदन की आवश्यकता होती है? हम जीडीपीआर और व्यक्तिगत फाइलों का सामना करते हैं।

जीडीपीआर क्या है?

GDPR व्यक्तिगत डेटा के प्रसंस्करण और ऐसे डेटा के मुक्त संचलन के संबंध में व्यक्तियों की सुरक्षा पर यूरोपीय संसद और 27 अप्रैल 2016 की परिषद के विनियमन (EU) 2016/679 के नाम का एक संक्षिप्त नाम है, और निरसन निर्देश 95/46 / ईसी (सामान्य डेटा संरक्षण विनियमन)।

उपर्युक्त कानूनी अधिनियम द्वारा पेश किए गए प्रावधानों ने न केवल पोलैंड में, बल्कि पूरे यूरोपीय संघ में भी काफी भ्रम पैदा किया। उनका मुख्य लक्ष्य व्यावहारिक रूप से हर इंसान के व्यक्तिगत डेटा की सख्त सुरक्षा है। गैर-अनुपालन के लिए मंजूरी यूरो में हजारों हजारों का दंड है।

व्यवहार में GDPR का आवेदन लंबे समय से बहुत समस्याग्रस्त था, कोई भी वास्तव में नहीं जानता था कि कर्मचारियों और कंपनियों के ग्राहकों के व्यक्तिगत डेटा को कैसे ठीक से संरक्षित किया जाए ताकि यूरोपीय संघ के नियमों का उल्लंघन न हो और दंडित न हो। अब तक, किसी गतिविधि या लेन-देन के संबंध में किसी और के व्यक्तिगत डेटा के उपयोग की अनुमति देने वाले सभी प्रकार के बयानों और सहमति का उपयोग किया जाता है, साथ ही इस तरह से प्राप्त डेटा के भौतिक और डिजिटल सुरक्षा उपायों का उपयोग किया जाता है। लेकिन संग्रहीत की गई जानकारी के बारे में क्या - क्या उन्हें तीसरे पक्ष द्वारा अनधिकृत पहुंच के खिलाफ भी संरक्षित करने की आवश्यकता है?

GDPR के तहत दायित्व

व्यक्तिगत डेटा की सुरक्षा पर विनियमन अन्य व्यक्तियों के बारे में जानकारी के प्रसंस्करण की संभावना और नियमों को बहुत विस्तृत तरीके से निर्दिष्ट करता है। कला के अनुसार। 5 सेकंड। 1 GDPR, व्यक्तिगत डेटा होना चाहिए:

  • डेटा विषय ("वैधता, निष्पक्षता और पारदर्शिता") के लिए कानूनी रूप से, निष्पक्ष और पारदर्शी तरीके से संसाधित;
  • विशिष्ट, स्पष्ट और वैध उद्देश्यों के लिए एकत्र किया गया और इन उद्देश्यों से असंगत तरीके से आगे संसाधित नहीं किया गया; सार्वजनिक हित, वैज्ञानिक या ऐतिहासिक अनुसंधान उद्देश्यों या सांख्यिकीय उद्देश्यों में संग्रह उद्देश्यों के लिए आगे की प्रक्रिया कला के अनुसार मान्यता प्राप्त नहीं है। 89 सेकंड। 1 मूल उद्देश्यों के साथ असंगत ("उद्देश्य सीमा");
  • जिन उद्देश्यों के लिए उन्हें संसाधित किया जाता है ("डेटा न्यूनीकरण");
  • आवश्यकतानुसार सही और अद्यतन; यह सुनिश्चित करने के लिए सभी उचित कदम उठाए जाने चाहिए कि जिन उद्देश्यों के लिए उन्हें संसाधित किया जाता है, उन्हें देखते हुए गलत व्यक्तिगत डेटा तुरंत हटा दिया जाता है या सुधारा जाता है ("शुद्धता");
  • एक ऐसे रूप में रखा गया है जो डेटा विषय की पहचान की अनुमति देता है, जिसके लिए डेटा संसाधित किए जाने वाले उद्देश्यों के लिए आवश्यक नहीं है; व्यक्तिगत डेटा को लंबी अवधि के लिए संग्रहीत किया जा सकता है, जब तक कि वे केवल सार्वजनिक हित में, वैज्ञानिक या ऐतिहासिक अनुसंधान उद्देश्यों के लिए या कला के अनुसार सांख्यिकीय उद्देश्यों के लिए संग्रह करने के लिए संसाधित किए जाते हैं। 89 सेकंड। बशर्ते कि इस विनियम के लिए आवश्यक उपयुक्त तकनीकी और संगठनात्मक उपायों को डेटा विषयों के अधिकारों और स्वतंत्रता ("भंडारण सीमा") की रक्षा के लिए लागू किया गया हो;
  • उचित तकनीकी या संगठनात्मक उपायों ("अखंडता और गोपनीयता") द्वारा अनधिकृत या गैरकानूनी प्रसंस्करण और आकस्मिक हानि, विनाश या क्षति के खिलाफ सुरक्षा सहित व्यक्तिगत डेटा की पर्याप्त सुरक्षा सुनिश्चित करने वाले तरीके से संसाधित किया जाता है।

व्यक्तिगत फ़ोल्डर

प्रत्येक नियोक्ता को निश्चित रूप से व्यक्तिगत फाइलों (कभी-कभी फाइलों के रूप में संदर्भित) के रूप में अपने कर्मचारियों के रिकॉर्ड रखने की आवश्यकता होती है। प्रत्येक नियोजित व्यक्ति की अपनी अलग फाइलें होती हैं, जिसमें आप उसके बारे में बहुत सारी जानकारी पा सकते हैं। कला। श्रम संहिता के 94 अंक 9ए, 9बी
नियोक्ता विशेष रूप से बाध्य है:

  • रोजगार संबंध और कर्मचारियों की व्यक्तिगत फाइलों (कर्मचारी दस्तावेज) से संबंधित मामलों पर कागज या इलेक्ट्रॉनिक रूप दस्तावेज में रखें और स्टोर करें;
  • कर्मचारी दस्तावेज़ीकरण इस तरह से रखें जो इसकी गोपनीयता, अखंडता, पूर्णता और उपलब्धता की गारंटी देता है, ऐसी स्थितियों में जो रोजगार की अवधि के लिए क्षति या नष्ट होने की धमकी नहीं देते हैं, साथ ही साथ कैलेंडर वर्ष के अंत से 10 साल की अवधि के लिए। जो रोजगार संबंध समाप्त या समाप्त हो गया था, जब तक कि अलग प्रावधान कर्मचारी दस्तावेज के भंडारण की लंबी अवधि के लिए प्रदान नहीं करते हैं।

इसलिए, कर्मचारी की व्यक्तिगत फ़ाइल में संवेदनशील डेटा होता है, जो निश्चित रूप से पोलिश नियमों और EU GDPR विनियमन के तहत सुरक्षित होता है। इस प्रकार, जबकि वर्तमान कर्मचारियों की फाइलों की सुरक्षा की आवश्यकता मूल रूप से निर्विवाद है, समस्या उन लोगों के साथ होती है जो पहले से ही किसी कंपनी में रोजगार खो चुके हैं। जीडीपीआर और पूर्व कर्मचारियों की व्यक्तिगत फाइलें - इस मुद्दे पर कैसे संपर्क करें? हम जवाब देते हैं।

बिना किसी तार के 30-दिन की निःशुल्क परीक्षण अवधि प्रारंभ करें!

GDPR और पूर्व कर्मचारियों की व्यक्तिगत फ़ाइलें

काम से बर्खास्त किए गए लोगों की व्यक्तिगत फाइलें अभिलेखागार में जाती हैं। ऐसे दस्तावेजों के भंडारण की अवधि अब, एक नियम के रूप में, 10 वर्ष है (पहले यह अवधि बहुत लंबी थी - यह 50 वर्ष थी)। 2019 से, नियोक्ता के पास व्यक्तिगत फाइलों को इलेक्ट्रॉनिक रूप में संग्रहीत करने का विकल्प है, यह निश्चित रूप से पारंपरिक पेपर फॉर्म का भी उपयोग कर सकता है।

वास्तव में, जीडीपीआर के प्रावधान पूर्व कर्मचारियों की संग्रहीत व्यक्तिगत फाइलों पर लागू नहीं होते हैं। बेशक, यह एक ऐसी स्थिति है जिसमें उपरोक्त विनियम के लागू होने से पहले, यानी 25 मई, 2018 से पहले संग्रह किया गया था।

यदि नियोक्ता यूरोपीय संघ के नियमों के लागू होने के बाद अपने कर्मचारियों के व्यक्तिगत डेटा को संग्रहीत करता है, तो उसे जीडीपीआर के अनुसार ऐसा करना होगा (इसलिए डेटा को संग्रहीत करना असंभव होगा, उदाहरण के लिए, माता-पिता के नाम) पूर्व कर्मचारी)।

यूरोपीय संघ के नियमों की आवश्यकता है कि व्यक्तिगत फाइलों के वर्तमान संग्रह को इस प्रक्रिया के मूल्य, लागत, अद्यतन करने की संभावना (कानून में संभावित संशोधन की स्थिति में), साथ ही साथ की गई कार्रवाइयों की अवधि के विश्लेषण को ध्यान में रखना चाहिए। इस उद्देश्य के लिए। जीडीपीआर के अनुसार संग्रह आवश्यक न्यूनतम तक सीमित होना चाहिए - विशिष्ट दस्तावेजों को अभिलेखागार में स्थानांतरित करने के 10 साल बाद, उन्हें ठीक से नष्ट कर दिया जाना चाहिए, और इस गतिविधि के बारे में जानकारी कंपनी में उपयुक्त रजिस्टर में दर्ज की जानी चाहिए। यहां यह ध्यान देने योग्य है कि व्यक्तिगत डेटा वाले दस्तावेज़ों को नष्ट करने में इसे कचरे में फेंकना शामिल नहीं हो सकता है।

फ़ाइलों की संग्रह प्रक्रिया जीडीपीआर के प्रावधानों के अनुरूप होने के लिए, इसमें 8 चरण शामिल होने चाहिए:

  • फाइलों की योग्यता और उनके भंडारण की अधिकतम लंबाई का निर्धारण;
  • एकत्रित फ़ाइलों को एक स्व-निर्धारित कुंजी के अनुसार व्यवस्थित करना;
  • एकत्रित फाइलों का अंकन - जैसे रोजगार अनुबंध, छंटनी और कर्मचारी अवकाश, आदि;
  • प्रत्यक्ष संग्रह प्रक्रिया का संचालन - व्यक्तिगत फाइलों को विशेष कमरों, कंटेनरों या सुरक्षित कंप्यूटर डिस्क / सर्वर पर रखना;
  • फाइलों का विनाश - यह चरण केवल तभी प्रकट होता है जब व्यक्तिगत फाइलों को संग्रहीत करने की वैधानिक अवधि समाप्त हो गई हो;
  • फाइलों के विनाश के बारे में जानकारी तैयार करना - विनाश के लिए जिम्मेदार विधि, तिथि और व्यक्ति।

उपरोक्त प्रक्रिया उन व्यक्तिगत फ़ाइलों पर भी लागू हो सकती है जिन्हें GDPR के प्रावधानों के लागू होने से पहले संग्रहीत किया गया है।

सारांश

GDPR के लागू होने से पहले, यानी 25 मई, 2018 से पहले संग्रहीत कर्मचारियों की व्यक्तिगत फ़ाइलें इस विनियमन के प्रावधानों के अधीन नहीं हैं। इसलिए, नियोक्ता को इस संबंध में लागू नियमों को बनाए रखने की आवश्यकता के बारे में चिंता करने की ज़रूरत नहीं है। हालाँकि, GDPR को उन कर्मचारी फ़ाइलों पर लागू होना चाहिए जो यूरोपीय संघ के कानून के लागू होने की तारीख के बाद पहले ही संग्रहीत की जा चुकी हैं। व्यवहार में, इसका मतलब फाइलों की संग्रह प्रक्रिया, उनकी उचित सुरक्षा और समय पर विनाश को बनाए रखने की आवश्यकता है। व्यक्तिगत फ़ाइलों के संग्रह और निपटान की पूरी प्रक्रिया दोनों को कार्यस्थल के दस्तावेज़ीकरण में दर्ज और दर्ज किया जाना चाहिए।