Uma política de privacidade dos funcionários é a documentação que especifica as regras e procedimentos de uma organização para recolher, usar e divulgar as informações pessoais de antigos, actuais ou futuros funcionários. Alguns elementos da política de privacidade podem ser exigidos pelas leis trabalhistas, enquanto outros são específicos de uma determinada organização.
Uma política de privacidade do funcionário deve definir o que constitui informação pessoal e os meios pelos quais ela pode ser coletada. Como regra, a maioria das empresas define informações pessoais para incluir todos os dados dos funcionários (como endereço residencial e histórico de trabalho), e todas as comunicações que não são relacionadas ao trabalho.
Uma política deve estipular claramente situações em que um funcionário não deve assumir que seus dados e comunicações são privados. Chamadas telefônicas, textos, e-mails e comunicações de mídia social que são transmitidos em equipamentos de propriedade corporativa, por exemplo, não são protegidos legalmente. Software e websites que não são necessários para fins comerciais podem ser restringidos de acordo com a política ou bloqueados para evitar problemas.
É também importante especificar sob quais condições os dados dos funcionários serão divulgados. Essas condições podem incluir situações em que o funcionário tenha consentido, situações de emergência e situações legais, como um mandado ou uma ordem judicial.
As políticas de privacidade também devem revelar quaisquer sistemas de monitoramento de funcionários, como gravação de vídeo. Os funcionários devem receber cópias da política de privacidade e devem ser solicitados a confirmar que leram e entenderam a mesma.
Os dados pessoais estão se tornando mais valiosos, uma vez que os dispositivos em rede são freqüentemente utilizados para fins profissionais e pessoais. Com os dados sensíveis trocados nesses dispositivos, as preocupações sobre dados pessoais tendem a existir -- com os funcionários preocupados com o fato de que seus dados possam ser mal manuseados e vazados para entidades maliciosas. A good employee privacy policy aims to prevent these concerns with upfront disclosures.
Frequent employee privacy concerns
Privacy-related issues employees are likely to be concerned include the following:
- What personal information/data is being collected about them.
- Why it is being collected.
- With whom it is being shared.
- How their sensitive personal information/data is being protected.
- Email privacy.
- Whether use of company assets (such as mobile devices, internet) is being monitored.
- Whether they are subject to video surveillance.
- Whether they must submit to background checks and/or drug tests.
- Se o seu uso das redes sociais fora da empresa está sendo monitorado e/ou pode ser controlado.
- O que acontece com as suas informações/dados pessoais depois de terminarem e/ou não trabalharem mais para um empregador.
- Quais são os seus direitos de privacidade em relação às suas informações/dados pessoais, tais como a sua capacidade de aceder, recusar fornecer, solicitar a eliminação, alterar, corrigir ou transferir os seus dados pessoais.
O que é informação protegida do empregado?
Tipicamente, apenas a informação pessoal (também conhecida como dados pessoais ou Informação Pessoal Identificável, ou PII) tem protecção especial pelos regulamentos de privacidade de dados do empregado. Isto geralmente inclui um ou mais tipos de informação pessoal que identifica ou está ligada a um indivíduo vivo identificável (como nome, endereço, número de telefone, data de nascimento, número de Segurança Social, registros médicos, etc.) Em alguns casos, inclui uma combinação de tais informações que poderiam potencialmente identificar um indivíduo (por exemplo, data de nascimento, sexo e código postal juntos).
Determinados tipos de dados sensíveis recebem frequentemente uma proteção aprimorada sob regulamentos de privacidade como o GDPR (Regulamento Geral de Privacidade de Dados). Dados sensíveis sob GDPR, por exemplo, incluem raça, etnia ou origem nacional, opiniões ou associações políticas, filiação a sindicatos, orientação sexual, estado civil, informações relacionadas à saúde e histórico criminal.
Nos Estados Unidos, alguns estatutos federais protegem tipos específicos de informações pessoais. Uma lei fundamental é a Lei de Portabilidade e Prestação de Contas do Seguro de Saúde (HIPAA), que protege o IPI quando usado em um contexto médico (para entidades cobertas). Em conjunto (PII + informação médica), este tipo de dados pessoais é conhecido como PHI (Personal Health Information). Além disso, a maioria dos estados dos EUA tem leis relativas à segurança de dados e notificação de violação de dados de segurança. Muitas dessas leis estão focadas no roubo de identidade e/ou medidas de proteção financeira que geralmente visam proteger os números da Previdência Social e informações pessoais financeiras similares contra uso ou divulgação não autorizada.
alguns estados dos Estados Unidos, como a Califórnia, promulgaram leis de privacidade mais rigorosas e abrangentes, e espera-se que essa tendência continue nos Estados Unidos. Essas leis oferecem aos consumidores cobertos por elas uma proteção de privacidade de dados mais abrangente.
Construir uma política de privacidade do funcionário
Em geral, uma ótima maneira de se preparar para criar uma notificação de privacidade do funcionário é criar um registro de processamento de dados pessoais, inventário de dados e/ou mapa de dados, que identifique o seguinte:
>ul> Processos de negócios que sua organização realiza envolvendo dados pessoais e seus propósitos. Como os dados são coletados para cada processo empresarial. Como os dados são usados pela organização. Onde os dados são armazenados e com quem (interna e externamente) eles são compartilhados. Onde e como os dados são transferidos. Como os dados são protegidos. Quanto tempo os dados são retidos.
A informação acima pode então ser usada para determinar que regulamentos de privacidade se aplicam à informação/dados pessoais, e pode ser usada para criar processos em conformidade e uma nota de privacidade, que aborda os requisitos desses regulamentos.
Uma política de privacidade do empregado deve incluir:
- Categorias de informações e dados pessoais que o empregador coleta sobre o empregado.
- Como as informações/dados pessoais são usados/fim do processamento.
- Base legal para processar as informações/dados pessoais, quando aplicável.
- Receptores ou categorias de destinatários das informações/dados pessoais.
- Se as informações/dados pessoais serão transferidos para fora do país, e o mecanismo legal para proteger os dados quando transferidos, quando aplicável.
- Storage and security policies relating to the personal information/data.
- How long the organization will keep the personal information/data; how this was decided.
- Employee rights relating to the personal information/data, if applicable.
- Any employer statutory obligations as they relate to the personal information/data.
- How to exercise your rights (who to contact), where applicable.
- Effective date of the privacy notice.
Please note, the elements that should be included vary by state as well as whether a regulation is in scope for specific employees.
Laws and federal regulations
A few examples of laws and federal regulations include:
HIPAA (Health Insurance Portability and Accountability Act)
- Protects the confidentiality and security of protected health information. Compliance is required for healthcare organizations and their business associates.
GINA (Genetic Information Nondiscrimination Act)
- Protects Americans from discrimination based off genetic information (such as genetic testing and family medical history) from employers and health insurance providers.
FACTA (Fair and Accurate Credit Transactions Act)
- Sets requirements for information privacy, accuracy and disposal; limits the ways consumer information can legally be shared.
CCPA (California Consumer Privacy Act). Allows employees to:
- Know what data is being collected about them.
- Know if their personal data is sold or shared, and with whom.
- Block the sale of their own personal data.
- Acesso aos seus próprios dados pessoais.
- Requerir que uma empresa apague os seus dados pessoais.
- Não receber discriminação por usar os seus direitos à privacidade.
>forte>Defeitos de violação das leis. Cada estado dos EUA (mais Washington D.C., Guam, Porto Rico e as Ilhas Virgens) tem leis que exigem que as organizações notifiquem os indivíduos no caso de uma quebra de segurança com informações pessoais. É importante verificar as leis estaduais específicas para detalhes atualizados sobre regulamentos.
> forte>Privacidade do local de trabalho. Enquanto a vigilância por vídeo é legal em áreas de trabalho se divulgada, não é legal em outras áreas comuns, tais como banheiros e salas de descanso. Dentro dos Estados Unidos, a vigilância por vídeo não pode incluir gravação de áudio, o que é ilegal sob a lei de escutas telefônicas.