在这种情况下,企合同安排,以确保遵守符合 GDPR 的数据处理实践。
需要遵循以下基本步骤:
定期审核公司与外部服务提供商之间的个人数据流,无论这些接收者是 paytm 数据库 数据控制者还是数据处理者,并实施加强的数据共享协议。
将人力资源个人数据流映射到外部供应商并更新服务合同以反映任何新要求。
加强供应商的正式入职流程,包括隐私分类和审查评估,以确保他们在实践中能够履行数据隐私和保护义务。应定期进行审查。
数据传输
目前,GDPR 并未对个人数据跨境传输做出根本性改变。然而,正在重新评估上述数据共享安排的公司,最好考虑其国际数据传输程序(例如标准合同条款 (SCC))的持续有效性。
应特别关注:
绘制人力资源数据国际流动图,记住,根据 GDPR,仅仅访问国外信息就构成“转移”。
确保无论何时将个人信息转移到欧洲经济区 (EEA) 以外,每个接收者(无论是集团实体还是外部第三方)都受到有效的数据传输机制的保护。
维护个人数据接收者的处理活动和相关数据传输的数据库,可根据个人要求向其披露。
6)数据泄露
早在《GDPR》出台之前,数据泄露就已给世界各地的企业带来了灾难性的后果。然而,新的数据保护法大幅提高了不幸的企业在遭遇此类事件时所付出的代价。
现在,企业需要部署强大的防御措施来防止数据丢失,并实施行动计划,根据正式的数据隐私和保护政策快速检测、隔离、缓解和应对安全漏洞,并在 72 小时内迅速向其区域数据隐私监管机构报告此类事件。
因此,人力资源人员必须充分意识到,“数据泄露”一词不仅限于恶意网络攻击或纸质人事档案的丢失。安全漏洞通常可能由员工的无心之举引发,例如转发包含敏感个人数据的电子邮件。