Politika ochrany osobních údajů zaměstnanců

Politika ochrany osobních údajů zaměstnanců definuje požadavky na ochranu soukromí pro osobní údaje zaměstnanců v rámci systému řízení informací o soukromí. Její rozsah zahrnuje shromažďování, používání, zpřístupnění, vazbu na uchovávání, oznámení, vyřizování práv, monitorování, podporu zpracovatelů a správu důkazů týkajících se osobních údajů zaměstnanců. Politika se uplatňuje v kontextech správce a společného správce, kde organizace určuje účely a prostředky zpracování osobních údajů zaměstnanců, a také v kontextech zpracovatele a dílčího zpracovatele, kde organizace zpracovává osobní údaje zaměstnanců podle dokumentovaných pokynů. Osobní údaje zaměstnanců jsou vymezeny široce a zahrnují informace týkající se zaměstnanců, uchazečů o zaměstnání, bývalých zaměstnanců, dodavatelů, dočasných pracovníků, stážistů, vyslaných pracovníků a dalších osob působících pro organizaci, pokud organizace zpracovává jejich PII pro účely řízení pracovníků, náboru, zaměstnání, zapojení, odměňování, benefitů, bezpečnosti, souladu, správy pracoviště nebo související obchodní účely. Ústředním prvkem politiky je její model důkazů. Politika nevytváří samostatný registr ochrany soukromí pro HR, registr ochrany osobních údajů zaměstnanců, registr monitorování zaměstnanců, registr dodavatelů HR, registr práv zaměstnanců ani registr incidentů zaměstnanců. Namísto toho vyžaduje, aby důkazy o zpracování zaměstnanců byly vedeny v kanonických registrech PIMS: REG02 pro evidenci činností zpracování a vazbu na uchovávání, REG04 pro rizika pro soukromí a spouštěče DPIA, REG06 pro žádosti zaměstnanců o uplatnění práv, REG07 pro oznámení o ochraně osobních údajů zaměstnanců, REG08 pro zpracovatele v oblasti HR a dodavatele, REG10 pro incidenty týkající se osobních údajů zaměstnanců a REG12 pro výjimky, neshody, nápravná opatření, monitorování a důkazy o zlepšování. Tato struktura podporuje účel politiky: osobní údaje zaměstnanců mají být zpracovávány pouze pro dokumentované, schválené, transparentní, přiměřené a odpovědné účely související s pracovníky, aniž by vznikala duplicitní vrstva důkazů specifická pro HR. Ustanovení politiky stanoví podrobná provozní opatření pro životní cyklus údajů zaměstnanců. Než jsou osobní údaje zaměstnanců shromážděny, vytvořeny, importovány, použity nebo zpřístupněny, vlastník procesu / vlastník společnosti musí zaznamenat činnost zpracování zaměstnanců v REG02, včetně kategorií PII, skupin zaměstnanců, zdroje shromažďování, účelu zpracování, systémů, kategorií interních a externích příjemců a vazby na uchovávání. Oznámení o ochraně osobních údajů zaměstnanců musí být vedena v REG07 před přímým nebo nepřímým shromažďováním pro nový nebo významně změněný účel. Politika vyžaduje, aby osobní údaje zaměstnanců byly používány pouze pro schválené účely zaznamenané v REG02, a vyžaduje, aby kategorie interních příjemců, podmínky obchodní potřeby a opakující se externí zpřístupnění byly dokumentovány před zahájením zpřístupnění. Podezření na neoprávněné zpřístupnění, přístup, ztrátu nebo zneužití údajů z monitorování musí být směrováno do REG10 do jednoho pracovního dne od zjištění. Zvláštní pozornost je věnována právům zaměstnanců, monitorování a správě dodavatelů HR. Žádosti zaměstnanců o uplatnění práv musí být zaznamenány nebo směrovány do REG06 do dvou pracovních dnů, přičemž vstupy vlastníka procesu musí být dodány do pěti pracovních dnů od přiřazení. Složité žádosti zahrnující záznamy z monitorování, záznamy prověrek, zvláštní kategorie PII, osobní údaje zaměstnanců třetích stran, právní omezení nebo automatizované rozhodování vyžadují stanovisko pověřence pro ochranu osobních údajů / poradce pro ochranu soukromí před odmítnutím, prodloužením lhůty, omezením nebo složitým vyřízením. Monitorování zaměstnanců musí být dokumentováno v REG02 před aktivací nebo významnou změnou, směrováno přes REG04 pro posouzení rizik pro soukromí nebo předběžné posouzení nutnosti DPIA, pokud je spuštěno, podloženo aktuálními důkazy oznámení nebo komunikace v REG07 a nejméně jednou ročně vzorkováno v REG12, pokud je zahrnuto v REG02. Zpracovatelé v oblasti HR, poskytovatelé mzdových služeb, HRIS, benefitů, prověrek a outsourcovaných HR služeb musí být zaznamenáni v REG08 před tím, než jsou osobní údaje zaměstnanců dodavateli zpřístupněny, poskytnuty k přístupu nebo jejich prostřednictvím zpracovány. Ustanovení o správě a řízení přiřazují opakující se dohledové a prosazovací odpovědnosti. Privacy Lead / PIMS Manager musí provádět čtvrtletní přezkumy důkazů o ochraně soukromí zaměstnanců napříč REG02, REG04, REG06, REG07, REG08, REG10 a REG12, zatímco vrcholové vedení schvaluje významné změny politiky a vysoce rizikové výjimky z ochrany soukromí zaměstnanců. Metriky zahrnují procento činností zpracování zaměstnanců s aktuálními záznamy REG02, aktuálnost oznámení o ochraně osobních údajů zaměstnanců, otevřené položky směrování rizik pro soukromí zaměstnanců a DPIA, včasnost žádostí zaměstnanců o uplatnění práv, dokončení přezkumu dodavatelů HR a trendy incidentů týkajících se osobních údajů zaměstnanců, pokud k incidentům dochází. Výjimky musí být zaznamenány v REG12 před odchylkou, musí jim být přiřazeno datum vypršení nepřesahující 90 dnů a musí být přezkoumány před vypršením. Prosazování vyžaduje zaznamenání neshod v REG12, pokud chybí požadované důkazy o ochraně osobních údajů zaměstnanců, brání schválení monitorování zaměstnanců bez požadovaných důkazů a umožňuje pozastavit nová zpřístupnění osobních údajů zaměstnanců dodavatelům HR, pokud chybí důkazy o zpracovateli, dílčím zpracovateli, pokynu nebo součinnosti.