Политика за поверителност на служителите

Политиката за поверителност на служителите определя изискванията за поверителност за лични данни на служители в рамките на системата за управление на неприкосновеността на личната информация. Нейният обхват включва събирането, използването, разкриването, връзката със сроковете за съхранение, уведомленията, обработването на права, наблюдението, поддръжката от обработващи лични данни и управлението на доказателства за лични данни на служители. Политиката се прилага в контекст на администратор и съвместен администратор, когато организацията определя целите и средствата за обработване на лични данни на служители, както и в контекст на обработващ лични данни и подизпълнител по обработване, когато организацията обработва лични данни на служители по документирани нареждания. Личните данни на служители се определят широко, така че да включват информация, свързана със служители, кандидати за работа, бивши служители, външни изпълнители, временен персонал, стажанти, командировани лица и други участници в работната сила, когато организацията обработва техните лични данни за цели, свързани с управлението на персонала, подбора, трудовото правоотношение, ангажимента, възнаграждението, придобивките, сигурността, съответствието, администрацията на работното място или свързани служебни цели. Централна характеристика на политиката е нейният модел на доказателства. Политиката не създава отделен ЧР регистър за поверителност, регистър за поверителност на служителите, регистър за наблюдение на служители, регистър на ЧР доставчици, регистър на правата на служителите или регистър на инцидентите със служители. Вместо това тя изисква доказателствата за обработване на данни на служители да се поддържат в каноничните регистри на СУНЛИ: REG02 за инвентар на обработването и връзка със сроковете за съхранение, REG04 за риск за поверителността и критерии за задействане на DPIA, REG06 за искания за упражняване на права от служители, REG07 за уведомления за поверителност на служители, REG08 за обработващи лични данни в областта на ЧР и доставчици, REG10 за инциденти с лични данни на служители и REG12 за доказателства за изключения, несъответствия, коригиращи действия, наблюдение и подобрение. Тази структура подкрепя целта на политиката: личните данни на служители да се обработват само за документирани, одобрени, прозрачни, пропорционални и отчетни цели, свързани с персонала, като се избягва дублиращ, специфичен за ЧР слой от доказателства. Разпоредбите на политиката определят подробни оперативни контроли за жизнения цикъл на данните на служителите. Преди лични данни на служители да бъдат събрани, генерирани, импортирани, използвани или разкрити, собственикът на процеса / собственикът на бизнеса трябва да запише дейността по обработване на данни на служители в REG02, включително категориите лични данни, групата служители, източника на събиране, целта на обработването, системите, категориите вътрешни и външни получатели и връзката със сроковете за съхранение. Уведомленията за поверителност на служители трябва да се поддържат в REG07 преди пряко или непряко събиране за нова или съществено променена цел. Политиката изисква личните данни на служители да се използват само за одобрени цели, записани в REG02, и изисква категориите вътрешни получатели, условията за служебна необходимост и повтарящите се външни разкривания да бъдат документирани преди започване на разкриването. Предполагаемо неоторизирано разкриване, достъп, загуба или неправомерно използване на данни от наблюдение трябва да се насочва към REG10 в рамките на един работен ден от идентифицирането. На правата на служителите, наблюдението и управлението на ЧР доставчици се отделя специално внимание. Исканията за упражняване на права от служители трябва да бъдат записани или насочени в REG06 в рамките на два работни дни, като входните данни от собственика на процеса трябва да бъдат предоставени в рамките на пет работни дни от възлагането. Сложни искания, включващи записи от наблюдение, записи от проверки на миналото, специални категории лични данни, лични данни на служители при трети страни, правни ограничения или автоматизирано вземане на решения, изискват становище от длъжностното лице по защита на данните / съветника по поверителност преди отказ, удължаване, ограничаване или сложно обработване. Наблюдението на служители трябва да бъде документирано в REG02 преди активиране или съществена промяна, да бъде насочено през REG04 за проверка за риск за поверителността или за необходимост от DPIA, когато е задействано, да бъде подкрепено с актуални доказателства за уведомление или комуникация в REG07 и да бъде включвано в извадково тестване в REG12 най-малко веднъж годишно, когато е включено в REG02. Обработващите лични данни в областта на ЧР, доставчиците на услуги за заплати, HRIS, придобивки, проверки на миналото и външно възложени ЧР услуги трябва да бъдат записани в REG08, преди лични данни на служители да бъдат разкрити на доставчика, достъпени от него или обработвани чрез него. Разпоредбите за управление възлагат повтарящи се отговорности за надзор и спазване на политиката. Ръководителят по поверителност / мениджърът на СУНЛИ трябва да извършва на тримесечна база прегледи на доказателствата за поверителност на служителите в REG02, REG04, REG06, REG07, REG08, REG10 и REG12, а висшето ръководство одобрява съществени промени в политиката и високорискови изключения, свързани с поверителността на служителите. Показателите включват процента на дейностите по обработване на данни на служители с актуални записи в REG02, актуалността на уведомленията за поверителност на служители, отворените елементи за насочване по риск за поверителността и DPIA, спазването на сроковете за искания за права на служители, завършването на прегледите на ЧР доставчици и тенденциите при инциденти с лични данни на служители, когато възникват инциденти. Изключенията трябва да бъдат записани в REG12 преди отклонение, да имат определена дата на изтичане, която не надвишава 90 дни, и да бъдат прегледани преди изтичането. Спазването изисква записване на несъответствия в REG12, когато липсват изисквани доказателства за поверителност на служителите, предотвратява одобряване на наблюдение на служители без изискваните доказателства и позволява спиране на нови разкривания на лични данни на служители към ЧР доставчици, когато липсват доказателства за обработващ лични данни, подизпълнител по обработване, нареждане или съдействие.