员工数据的GDPR遵从性有一条灰色线,即员工信息用于处理的时间,例如员工的旅行安排(预订机票、租车等)。虽然处理这些安排是正常的业务过程,但并不是所有的企业或所有员工在一个商务旅行,并为他们提供这些服务。因此,一个组织应该清楚地通知其雇员,并得到雇员的明确同意,即该组织将使用雇员的个人信息来安排旅行,这是一种谨慎的做法。
这两个关键条款,以适应这种类型的差异是允许员工拒绝组织的参与使旅行安排(即:给员工GDPR给正确的对象)和组织允许员工代替旅行安排(这可能包括允许员工书自己的旅行与一个明确的还款政策)。许多组织已经提供了这些选项,但对于一些拥有非常严格的差旅办公室流程的组织,可能需要进行一些更改以完全符合GDPR的同意条款。
这种情况的结果是,如果一个员工反对一个基于组织事务的流程,而这个流程可能不灵活,那么这个组织就有可能将自己置于GDPR规定的缺省状态。与遵守所有法律一样,组织也有风险管理的规定。如果对一个组织来说,与其改变一个根深蒂固的过程,还不如与违规行为作斗争,成本更低,效果更好,那么这个组织可能就会按部就班。由于这符合GDPR的一个灰色地带,即GDPR没有明确声明某个组织不能使用员工个人数据来安排行程,因此将由欧盟委员会(European Commission)对该企业提起诉讼。
组织的关键是确保他们的行为保持一致,以维护业务的合法利益和效率,并且组织不会使用个人信息向某些组织出售,而这些组织随后会通过向员工营销或广告获利。在对一个组织的经济损失进行评估之前,必须有人通过对员工进行集中的旅行安排来确定该组织是出于恶意和不尊重员工隐私的目的而工作的。
总结
GDPR的目标是,组织利用cookies、数据提取、用户跟踪等技术来营销或销售服务,以获取用户数据的经济利益,从而公然侵犯隐私。GDPR旨在保护和防止个人身份信息的泄露,首先防止组织收集这些信息,然后确保在声明的目的过期时保护这些信息(并主动删除这些信息),以最大限度地减少未来数据丢失的风险。
通过认识GDPR是什么,属于GDPR的全面保护,和现代技术的使用像auto-content分类,标签,和内容管理,组织可以创建更强的安全控制,减少和防止臀位信息,并确保受保护的数据通过使用适当的管理技术解决方案。