Politik for databeskyttelse for medarbejdere

Politikken for databeskyttelse for medarbejdere fastsætter krav til databeskyttelse for PII om medarbejdere inden for ledelsessystemet for databeskyttelse (PIMS). Dens omfang omfatter indsamling, brug, videregivelse, kobling til opbevaringsplan, meddelelse, håndtering af rettigheder, overvågning, databehandlerunderstøttelse og styring af bevismateriale for PII om medarbejdere. Politikken gælder på tværs af dataansvarlig- og fælles dataansvarlig-kontekster, hvor organisationen fastlægger formål og hjælpemidler for behandling af PII om medarbejdere, og også på tværs af databehandler- og underdatabehandler-kontekster, hvor organisationen behandler PII om medarbejdere efter dokumenteret instruks. PII om medarbejdere defineres bredt og omfatter oplysninger vedrørende medarbejdere, jobansøgere, tidligere medarbejdere, kontrahenter, midlertidigt ansatte, praktikanter, udstationerede og andre deltagere i arbejdsstyrken, hvor organisationen behandler deres PII til formål vedrørende arbejdsstyrken, rekruttering, ansættelse, tilknytning, aflønning, personalegoder, sikkerhed, efterlevelse, arbejdspladsadministration eller relaterede forretningsformål. Et centralt element i politikken er dens evidensmodel. Politikken opretter ikke et særskilt HR-databeskyttelsesregister, medarbejderdatabeskyttelsesregister, register over overvågning af medarbejdere, HR-leverandørregister, register over medarbejderrettigheder eller medarbejderhændelsesregister. I stedet kræver den, at bevismateriale for behandling af medarbejderoplysninger vedligeholdes i de kanoniske PIMS-registre: REG02 for fortegnelse over behandlingsaktiviteter og kobling til opbevaringsplan, REG04 for risici vedrørende databeskyttelse og DPIA-udløsere, REG06 for rettighedsanmodninger fra medarbejdere, REG07 for privatlivsmeddelelser til medarbejdere, REG08 for HR-databehandlere og leverandører, REG10 for PII-hændelser vedrørende medarbejdere og REG12 for undtagelser, afvigelser, korrigerende handlinger, overvågning og dokumentation for forbedring. Denne struktur understøtter politikkens formål: PII om medarbejdere bør kun behandles til dokumenterede, godkendte, transparente, proportionale og ansvarlige formål vedrørende arbejdsstyrken, samtidig med at et dublerende HR-specifikt bevislag undgås. Politikkens erklæringer fastsætter detaljerede operationelle kontroller for medarbejderdatas livscyklus. Før PII om medarbejdere indsamles, genereres, importeres, anvendes eller videregives, skal processejeren / virksomhedsejeren registrere behandlingsaktiviteten vedrørende medarbejdere i REG02, herunder PII-kategorier, medarbejderpopulation, indsamlingskilde, behandlingsformål, systemer, interne og eksterne modtagerkategorier og kobling til opbevaringsplan. Privatlivsmeddelelser til medarbejdere skal vedligeholdes i REG07 før direkte eller indirekte indsamling til et nyt eller væsentligt ændret formål. Politikken kræver, at PII om medarbejdere kun anvendes til godkendte formål registreret i REG02, og den kræver, at interne modtagerkategorier, betingelser for forretningsbehov og tilbagevendende eksterne videregivelser dokumenteres, før videregivelsen påbegyndes. Mistanke om uautoriseret videregivelse, adgang, tab eller misbrug af overvågningsdata skal videresendes til REG10 inden for én arbejdsdag efter identifikation. Medarbejderrettigheder, overvågning og HR-leverandørstyring behandles særskilt. Rettighedsanmodninger fra medarbejdere skal registreres eller videresendes i REG06 inden for to arbejdsdage, og processejerens input skal foreligge inden for fem arbejdsdage efter tildeling. Komplekse anmodninger, der omfatter overvågningsregistreringer, registreringer fra baggrundsscreening, særlige kategorier af personoplysninger, PII om medarbejdere fra tredjeparter, juridiske begrænsninger eller automatiseret beslutningstagning, kræver rådgivning fra databeskyttelsesrådgiveren (DPO) / rådgiveren inden for databeskyttelse før afslag, forlængelse, begrænsning eller kompleks håndtering. Overvågning af medarbejdere skal dokumenteres i REG02 før aktivering eller væsentlig ændring, videresendes gennem REG04 til risikovurdering vedrørende databeskyttelse eller DPIA-screening, hvor dette udløses, understøttes af aktuel dokumentation for meddelelse eller kommunikation i REG07 og stikprøvekontrolleres i REG12 mindst årligt, når den er omfattet af REG02. HR-databehandlere, lønudbydere, HRIS, personalegoder, baggrundsscreening og udliciterede HR-tjenesteudbydere skal registreres i REG08, før PII om medarbejdere videregives til, tilgås af eller behandles gennem udbyderen. Styringsbestemmelserne tildeler tilbagevendende ansvar for tilsyn og håndhævelse. Den databeskyttelsesansvarlige / PIMS-ansvarlige skal udføre kvartalsvise gennemgange af bevismateriale vedrørende databeskyttelse for medarbejdere på tværs af REG02, REG04, REG06, REG07, REG08, REG10 og REG12, mens øverste ledelse godkender væsentlige politikændringer og højrisikoundtagelser vedrørende databeskyttelse for medarbejdere. Metrikker omfatter procentdelen af behandlingsaktiviteter vedrørende medarbejdere med aktuelle REG02-registreringer, aktualiteten af privatlivsmeddelelser til medarbejdere, åbne risici vedrørende databeskyttelse for medarbejdere og DPIA-routingposter, rettidighed for rettighedsanmodninger fra medarbejdere, fuldførelse af HR-leverandørgennemgange og tendenser i PII-hændelser vedrørende medarbejdere, når hændelser forekommer. Undtagelser skal registreres i REG12 før afvigelse, tildeles en udløbsdato på højst 90 dage og gennemgås før udløb. Håndhævelse kræver afvigelser i REG12, når påkrævet bevismateriale vedrørende databeskyttelse for medarbejdere mangler, forhindrer godkendelse af overvågning af medarbejdere uden påkrævet bevismateriale og muliggør suspension af nye videregivelser af PII om medarbejdere til HR-leverandører, når bevismateriale for databehandler, underdatabehandler, instruks eller bistand mangler.