在开展业务的正常(历史)当然,组织上做必要的正常雇主/雇员关系事务的员工收集个人信息。像家庭住址的东西(以邮件的法律声明,今年税务报表的结束),和银行信息(以处理工资和员工福利)通常由雇主收集。这些信息是必要的,以获得报酬的员工,并获得收益,只要该组织只使用了工资和直接利益的规定目的雇员的个人信息,那么该组织都很好,GDPR遵守的范围内。在这一点上,那么该组织需要充分地存储和安全的方式传递信息,以防止PII的臀位,该组织可以在市场上容易获得的内容分类和文件加密技术,做到这一点。
员工数据的GDPR遵从性有一条灰色线,即员工信息用于处理的时间,例如,员工的旅行安排(预订机票、租车等)。虽然处理这些安排是正常的业务过程,但并不是所有的企业或所有员工在一个商务旅行,并为他们提供这些服务。因此,一个组织应该清楚地通知其雇员,并得到雇员的明确同意,即该组织将使用雇员的个人信息来安排旅行,这是一种谨慎的做法。
The two key provisions to accommodate variances of this type is to allow an employee to reject the organization’s involvement in making travel arrangements (ie: giving the employee the GDPR given right to object) AND for the organization to allow the employee an alternative for travel arrangements (that might include allowing the employee to book their own travel with a clear reimbursement policy). Many organizations already provide these options, but for some organizations that have a very strict travel office process, there may be changes needed to fully comply with consent provisions of GDPR.
这种情况的结果是,如果一个员工反对一个基于组织事务的流程,而这个流程可能不灵活,那么这个组织就有可能将自己置于GDPR规定的缺省状态。与遵守所有法律一样,组织也有风险管理的规定。如果对一个组织来说,与其改变一个根深蒂固的过程,还不如与违规行为作斗争,成本更低,效果更好,那么这个组织可能就会按部就班。由于这符合GDPR的一个灰色地带,即GDPR没有明确声明某个组织不能使用员工个人数据来安排行程,因此将由欧盟委员会(European Commission)对该企业提起诉讼。
The key for the organization is to ensure that their actions remain consistent for the legitimate interest and efficiency of the business, and that the organization isn’t using the personal information to sell to some organizational that’ll then profit by marketing or advertising to the employees. Before financial damages will be assessed on an organization, someone will have to identify that the organization worked in malice and with disregard for employee privacy by making centralized travel arrangements for employees.
总结
GDPR瞄准的隐私公然臀位通过使用技术,如饼干,数据抽取,用户跟踪组织的财务收益等进行销售,或者为了用户数据的财务收益销售服务的宗旨。GDPR旨在保护和防止个人身份信息臀位通过防止组织在首位收集信息,然后确保保护信息(并积极删除信息)时所陈述的目的已经过期未来暴露最小化数据丢失。
通过认识GDPR是什么,属于GDPR的全面保护,和现代技术的使用像auto-content分类,标签,和内容管理,组织可以创建更强的安全控制,减少和防止臀位信息,并确保受保护的数据通过使用适当的管理技术解决方案。