Politika privatnosti zaposlenika

Politika privatnosti zaposlenika definira zahtjeve privatnosti za osobne podatke zaposlenika unutar sustava upravljanja informacijama o privatnosti. Njezin opseg uključuje prikupljanje, uporabu, otkrivanje, povezanost s pravilima zadržavanja, obavješćivanje, postupanje sa zahtjevima za ostvarivanje prava, praćenje zaposlenika, podršku izvršitelja obrade i upravljanje dokazima za osobne podatke zaposlenika. Politika se primjenjuje u kontekstima voditelja obrade i zajedničkog voditelja obrade kada organizacija određuje svrhe i načine obrade osobnih podataka zaposlenika, kao i u kontekstima izvršitelja obrade i podizvršitelja obrade kada organizacija obrađuje osobne podatke zaposlenika prema dokumentiranim uputama. Osobni podaci zaposlenika definiraju se široko i uključuju informacije koje se odnose na zaposlenike, kandidate za posao, bivše zaposlenike, izvođače, privremeno osoblje, vježbenike, upućene radnike i druge sudionike radne snage kada organizacija obrađuje njihove osobne podatke za potrebe radne snage, zapošljavanja, radnog odnosa, angažmana, naknade, beneficija, sigurnosti, usklađenosti, administracije radnog mjesta ili povezane poslovne svrhe. Središnje obilježje politike jest njezin model dokaza. Politika ne stvara zaseban HR-registar privatnosti, registar privatnosti zaposlenika, registar praćenja zaposlenika, registar HR-dobavljača, registar zahtjeva zaposlenika za ostvarivanje prava ni registar incidenata zaposlenika. Umjesto toga zahtijeva da se dokazi o obradi zaposlenika održavaju u mjerodavnim PIMS-registrima: REG02 za popis aktivnosti obrade i povezanost s pravilima zadržavanja, REG04 za rizik za privatnost i okidače za DPIA-u, REG06 za zahtjeve zaposlenika za ostvarivanje prava, REG07 za obavijesti o privatnosti zaposlenika, REG08 za izvršitelje obrade u području ljudskih resursa i dobavljače, REG10 za incidente u vezi s osobnim podacima zaposlenika te REG12 za iznimke, nesukladnosti, korektivne radnje, praćenje i dokaze o poboljšanju. Ova struktura podržava svrhu politike: osobni podaci zaposlenika smiju se obrađivati samo za dokumentirane, odobrene, transparentne, razmjerne i odgovorne svrhe povezane s radnom snagom, uz izbjegavanje dupliciranog HR-sloja dokaza. Izjave politike uspostavljaju detaljne operativne kontrole za životni ciklus podataka zaposlenika. Prije nego što se osobni podaci zaposlenika prikupe, generiraju, uvezu, upotrijebe ili otkriju, vlasnik procesa / vlasnik poslovanja mora evidentirati aktivnost obrade zaposlenika u REG02, uključujući kategorije osobnih podataka, populaciju zaposlenika, izvor prikupljanja, svrhu obrade, sustave, kategorije internih i vanjskih primatelja te povezanost s pravilima zadržavanja. Obavijesti o privatnosti zaposlenika moraju se održavati u REG07 prije izravnog ili neizravnog prikupljanja za novu ili značajno promijenjenu svrhu. Politika zahtijeva da se osobni podaci zaposlenika upotrebljavaju samo za odobrene svrhe evidentirane u REG02 te da se kategorije internih primatelja, uvjeti poslovne potrebe i ponavljajuća vanjska otkrivanja dokumentiraju prije početka otkrivanja. Sumnja na neovlašteno otkrivanje, pristup, gubitak ili zlouporabu podataka praćenja mora se uputiti u REG10 u roku od jednog radnog dana od utvrđivanja. Posebna pozornost posvećuje se zahtjevima zaposlenika za ostvarivanje prava, praćenju zaposlenika i upravljanju HR-dobavljačima. Zahtjevi zaposlenika za ostvarivanje prava moraju se evidentirati ili uputiti u REG06 u roku od dva radna dana, a ulazne informacije vlasnika procesa moraju biti dostavljene u roku od pet radnih dana od dodjele. Složeni zahtjevi koji uključuju zapise o praćenju, zapise o sigurnosnim provjerama, posebne kategorije osobnih podataka, osobne podatke zaposlenika trećih strana, pravna ograničenja ili automatizirano donošenje odluka zahtijevaju savjet službenika za zaštitu podataka / savjetnika za privatnost prije odbijanja, produljenja roka, ograničenja ili složenog postupanja. Praćenje zaposlenika mora biti dokumentirano u REG02 prije omogućavanja ili značajne promjene, upućeno kroz REG04 radi procjene rizika za privatnost ili provjere potrebe za DPIA-om kada postoji okidač, potkrijepljeno važećim dokazima o obavijesti ili komunikaciji iz REG07 te uzorkovano u REG12 najmanje jednom godišnje kada je uključeno u REG02. Izvršitelji obrade u području ljudskih resursa, pružatelji usluga obračuna plaća, HRIS-a, beneficija i sigurnosnih provjera te pružatelji vanjsko ugovorenih HR-usluga moraju biti evidentirani u REG08 prije nego što se osobni podaci zaposlenika otkriju pružatelju, prije nego što im pružatelj pristupi ili prije nego što se obrađuju putem pružatelja. Odredbe o upravljanju dodjeljuju ponavljajuće odgovornosti za nadzor i provedbu politike. Voditelj privatnosti / voditelj PIMS-a mora provoditi tromjesečne preglede dokaza o privatnosti zaposlenika kroz REG02, REG04, REG06, REG07, REG08, REG10 i REG12, dok najviše rukovodstvo odobrava značajne izmjene politike i visokorizične iznimke privatnosti zaposlenika. Metrike uključuju postotak aktivnosti obrade zaposlenika s važećim zapisima REG02, ažurnost obavijesti o privatnosti zaposlenika, otvorene stavke usmjeravanja rizika za privatnost zaposlenika i DPIA-e, pravodobnost zahtjeva zaposlenika za ostvarivanje prava, dovršenost pregleda HR-dobavljača i trendove incidenata u vezi s osobnim podacima zaposlenika kada se incidenti pojave. Iznimke moraju biti evidentirane u REG12 prije odstupanja, mora im se dodijeliti datum isteka koji ne prelazi 90 dana i moraju se pregledati prije isteka. Provedba zahtijeva evidentiranje nesukladnosti u REG12 kada nedostaju potrebni dokazi o privatnosti zaposlenika, sprječava odobrenje praćenja zaposlenika bez potrebnih dokaza te omogućuje obustavu novih otkrivanja osobnih podataka zaposlenika HR-dobavljačima kada nedostaju dokazi o izvršitelju obrade, podizvršitelju obrade, uputama ili pomoći.