Una politica sulla privacy dei dipendenti è la documentazione che specifica le regole e le procedure di un'organizzazione per la raccolta, l'utilizzo e la divulgazione delle informazioni personali di dipendenti precedenti, attuali o potenziali. Alcuni elementi delle politiche sulla privacy possono essere imposti dalle leggi sul lavoro, mentre altri sono specifici di una data organizzazione.
Una politica sulla privacy dei dipendenti dovrebbe definire ciò che costituisce le informazioni personali e i mezzi con cui potrebbero essere raccolte. Di norma, la maggior parte delle aziende definisce le informazioni personali in modo da includere tutti i dati dei dipendenti (come l'indirizzo di casa e la cronologia lavorativa) e tutte le comunicazioni non correlate al lavoro.
Una politica dovrebbe stabilire chiaramente le situazioni in cui un dipendente non deve presumere che i propri dati e le proprie comunicazioni siano privati. Telefonate, messaggi di testo, e-mail e comunicazioni sui social media trasmessi su apparecchiature di proprietà dell'azienda, ad esempio, non sono legalmente protetti. Il software e i siti Web che non sono necessari per scopi aziendali possono essere limitati in base alla policy o bloccati per evitare problemi.
È anche importante specificare in quali condizioni verranno divulgati i dati dei dipendenti. Tali condizioni potrebbero includere situazioni in cui il dipendente aveva acconsentito, situazioni di emergenza e situazioni legali, come un mandato o un'ordinanza del tribunale.
Le politiche sulla privacy dovrebbero anche divulgare eventuali sistemi di monitoraggio dei dipendenti, come la registrazione video. Ai dipendenti dovrebbero essere fornite copie dell'informativa sulla privacy e dovrebbe essere richiesto di confermare di averla letta e compresa.
I dati personali stanno diventando più preziosi in quanto i dispositivi in rete vengono spesso utilizzati per scopi lavorativi e personali. Con i dati sensibili scambiati su questi dispositivi, tendono a esistere preoccupazioni sui dati personali, con i dipendenti preoccupati che i loro dati possano essere gestiti in modo inadeguato e divulgati a entità dannose. Una buona politica sulla privacy dei dipendenti mira a prevenire queste preoccupazioni con divulgazioni anticipate.
Preoccupazioni frequenti sulla privacy dei dipendenti
Le questioni relative alla privacy che potrebbero essere interessate dai dipendenti includono le seguenti:
- Quali informazioni / dati personali vengono raccolti su di loro.
- Perché viene raccolto.
- Con chi viene condiviso.
- Come vengono protetti i loro dati / informazioni personali sensibili.
- Privacy e-mail.
- Se viene monitorato l'utilizzo delle risorse aziendali (come dispositivi mobili, Internet).
- Se sono soggetti a videosorveglianza.
- Se devono sottoporsi a controlli dei precedenti e / o test antidroga.
- Se il loro utilizzo dei social media al di fuori dell'azienda è monitorato e / o può essere controllato.
- Cosa succede alle loro informazioni / dati personali dopo che sono stati licenziati e / o non lavorano più per un datore di lavoro.
- Quali sono i loro diritti alla privacy in relazione alle loro informazioni / dati personali, come la loro capacità di accedere, rifiutarsi di fornire, richiedere la cancellazione, modificare, correggere o trasferire i propri dati personali.
Cosa sono le informazioni protette sui dipendenti?
In genere, solo le informazioni personali (ovvero i dati personali o le informazioni di identificazione personale o PII) godono di una protezione speciale dalle normative sulla privacy dei dati dei dipendenti. Questo di solito include uno o più tipi di informazioni personali che identificano o sono collegati a un individuo vivente identificabile (come nome, indirizzo, numero di telefono, data di nascita, numero di previdenza sociale, cartelle cliniche, ecc.) In alcuni casi, include un combinazione di tali informazioni che potrebbero potenzialmente identificare un individuo (ad esempio, data di nascita, sesso e codice postale presi insieme).
Alcuni tipi di dati sensibili sono spesso protetti da normative sulla privacy come il GDPR (Regolamento generale sulla privacy dei dati). I dati sensibili ai sensi del GDPR, ad esempio, includono razza, etnia o origine nazionale, opinioni o associazioni politiche, appartenenza a sindacati, orientamento sessuale, stato civile, informazioni relative alla salute e precedenti penali.
Negli Stati Uniti, alcuni statuti federali statunitensi proteggono tipi specifici di informazioni personali. Una legge chiave è l'Health Insurance Portability and Accountability Act (HIPAA), che protegge le PII quando vengono utilizzate in un contesto medico (per le entità coperte). Combinati insieme (PII + informazioni mediche), questo tipo di dati personali è noto come PHI (Personal Health Information). Inoltre, la maggior parte degli stati degli Stati Uniti dispone di leggi in materia di sicurezza dei dati e notifica di violazione dei dati di sicurezza. Molte di queste leggi sono incentrate sul furto di identità e / o su misure di protezione finanziaria che generalmente mirano a proteggere i numeri di previdenza sociale e informazioni personali finanziarie simili dall'uso o dalla divulgazione non autorizzati.
Alcuni stati degli Stati Uniti, come la California, hanno emanato leggi sulla privacy più rigide e complete e questa tendenza dovrebbe continuare negli Stati Uniti. Tali leggi offrono ai consumatori coperti da loro una protezione della privacy dei dati più completa.
Creazione di una politica sulla privacy dei dipendenti
In generale, un ottimo modo per prepararsi alla creazione di un'informativa sulla privacy dei dipendenti è creare un registro di elaborazione dei dati personali, un inventario dei dati e / o una mappa dei dati, che identifichi quanto segue:
- Processi aziendali che la tua organizzazione esegue che coinvolgono i dati personali e le loro finalità.
- Come vengono raccolti i dati per ogni processo aziendale.
- Come i dati vengono utilizzati dall'organizzazione.
- Dove vengono archiviati i dati e con chi (internamente ed esternamente) vengono condivisi.
- Dove e come vengono trasferiti i dati.
- Come vengono protetti i dati.
- Per quanto tempo vengono conservati i dati.
Le informazioni di cui sopra possono quindi essere utilizzate per determinare quali norme sulla privacy si applicano alle informazioni / dati personali e possono essere utilizzate per creare processi conformi e un'informativa sulla privacy, che affronta i requisiti di tali regolamenti.
Una politica sulla privacy dei dipendenti dovrebbe includere:
- Categorie di informazioni personali e dati raccolti dal datore di lavoro sul dipendente.
- Modalità di utilizzo delle informazioni / dati personali / finalità del trattamento.
- Base giuridica per il trattamento delle informazioni / dati personali, ove applicabile.
- Destinatari o categorie di destinatari delle informazioni / dati personali.
- Se le informazioni / dati personali saranno trasferiti fuori dal paese e il meccanismo legale per proteggere i dati quando trasferiti, ove applicabile.
- Politiche di archiviazione e sicurezza relative alle informazioni / dati personali.
- Per quanto tempo l'organizzazione conserverà le informazioni / dati personali; come è stato deciso.
- Diritti dei dipendenti relativi alle informazioni / dati personali, se applicabili.
- Eventuali obblighi statutari del datore di lavoro in relazione alle informazioni / dati personali.
- Come esercitare i tuoi diritti (chi contattare), ove applicabile.
- Data di entrata in vigore dell'informativa sulla privacy.
Si prega di notare che gli elementi che dovrebbero essere inclusi variano a seconda dello stato e dell'ambito di applicazione di un regolamento per dipendenti specifici.
Leggi e regolamenti federali
Alcuni esempi di leggi e regolamenti federali includono:
HIPAA (Health Insurance Portability and Accountability Act)
- Protegge la riservatezza e la sicurezza delle informazioni sanitarie protette. La conformità è richiesta per le organizzazioni sanitarie e i loro soci in affari.
GINA (Legge sulla non discriminazione delle informazioni genetiche)
- Protegge gli americani dalla discriminazione basata su informazioni genetiche (come test genetici e anamnesi familiare) da parte di datori di lavoro e fornitori di assicurazioni sanitarie.
FARE (Legge sulle transazioni di credito corrette e accurate)
- Stabilisce i requisiti per la riservatezza, l'accuratezza e lo smaltimento delle informazioni; limita i modi in cui le informazioni dei consumatori possono essere legalmente condivise.
CCPA (California Consumer Privacy Act). Consente ai dipendenti di:
- Sapere quali dati vengono raccolti su di loro.
- Sapere se i loro dati personali vengono venduti o condivisi e con chi.
- Blocca la vendita dei propri dati personali.
- Accedere ai propri dati personali.
- Richiedere a un'azienda di eliminare i propri dati personali.
- Non ricevere discriminazioni per l'utilizzo dei loro diritti alla privacy.
Leggi statali sulla violazione dei dati. Ogni stato degli Stati Uniti (più Washington DC, Guam, Porto Rico e Isole Vergini) ha leggi che richiedono alle organizzazioni di informare le persone in caso di violazione della sicurezza con le informazioni personali. È importante controllare le leggi statali specifiche per i dettagli aggiornati sulle normative.
Privacy sul posto di lavoro. Sebbene la videosorveglianza sia legale nelle aree di lavoro se divulgata, non è legale in altre aree comuni, come bagni e sale relax. Negli Stati Uniti, la videosorveglianza non può includere la registrazione audio, che è illegale ai sensi della legge sulle intercettazioni telefoniche.