Munkavállalói adatvédelmi szabályzat

A Munkavállalói adatvédelmi szabályzat meghatározza a munkavállalói PII-re vonatkozó adatvédelmi követelményeket a Privacy Information Management System keretében. Alkalmazási területe magában foglalja a munkavállalói PII gyűjtését, felhasználását, közlését, megőrzési kapcsolódásait, tájékoztatását, joggyakorlási kezelését, megfigyelését, adatfeldolgozói támogatását és bizonyítékkezelését. A szabályzat alkalmazandó adatkezelői és közös adatkezelői kontextusokban, ahol a szervezet meghatározza a munkavállalói PII-adatkezelés céljait és eszközeit, valamint adatfeldolgozói és al-adatfeldolgozói kontextusokban, ahol a szervezet dokumentált utasítások alapján kezeli a munkavállalói PII-t. A munkavállalói PII tág értelemben magában foglalja a munkavállalókra, állásra jelentkezőkre, volt munkavállalókra, vállalkozókra, ideiglenes személyzetre, gyakornokokra, kiküldött munkatársakra és a munkaerőhöz tartozó egyéb résztvevőkre vonatkozó információkat, amennyiben a szervezet a PII-t munkaerő-kezelési, toborzási, foglalkoztatási, megbízási, javadalmazási, juttatási, biztonsági, megfelelési, munkahelyi adminisztrációs vagy kapcsolódó üzleti célból kezeli. A szabályzat központi eleme a bizonyítékmodell. A szabályzat nem hoz létre külön HR-adatvédelmi nyilvántartást, munkavállalói adatvédelmi nyilvántartást, munkavállalói megfigyelési nyilvántartást, HR-beszállítói nyilvántartást, munkavállalói joggyakorlási nyilvántartást vagy munkavállalói incidensnyilvántartást. Ehelyett előírja, hogy a munkavállalói adatkezelési bizonyítékokat a kanonikus PIMS-nyilvántartásokban kell fenntartani: REG02 az adatkezelési tevékenységek nyilvántartása és a megőrzési kapcsolódások számára, REG04 az adatvédelmi kockázat és a DPIA-kiváltó tényezők számára, REG06 a munkavállalói joggyakorlási kérelmek számára, REG07 a munkavállalói adatvédelmi tájékoztatók számára, REG08 a HR-adatfeldolgozók és beszállítók számára, REG10 a munkavállalói PII-incidensek számára, valamint REG12 a kivételek, meg nem felelések, helyesbítő intézkedések, megfigyelési és fejlesztési bizonyítékok számára. Ez a struktúra támogatja a szabályzat célját: a munkavállalói PII-t kizárólag dokumentált, jóváhagyott, átlátható, arányos és elszámoltatható munkaerő-kezelési célokból szabad kezelni, miközben elkerülhető a HR-specifikus párhuzamos bizonyítékréteg. A szabályzati előírások részletes operatív kontrollokat határoznak meg a munkavállalói adatok életciklusára. Mielőtt munkavállalói PII-t gyűjtenek, létrehoznak, importálnak, felhasználnak vagy közölnek, a folyamatgazdának / üzlettulajdonosnak rögzítenie kell a munkavállalói adatkezelési tevékenységet a REG02-ben, beleértve a PII-kategóriákat, a munkavállalói populációt, a gyűjtés forrását, az adatkezelés célját, a rendszereket, a belső és külső címzetti kategóriákat és a megőrzési kapcsolódásokat. A munkavállalói adatvédelmi tájékoztatókat a REG07-ben kell fenntartani, mielőtt közvetlen vagy közvetett gyűjtés történik új vagy lényegesen módosított célból. A szabályzat előírja, hogy a munkavállalói PII kizárólag a REG02-ben rögzített jóváhagyott célokra használható fel, továbbá előírja, hogy a belső címzetti kategóriákat, az üzleti szükségességi feltételeket és a rendszeres külső adatközléseket a közlés megkezdése előtt dokumentálni kell. A jogosulatlan közlés, hozzáférés, elvesztés vagy a megfigyelési adatokkal való visszaélés gyanúját az azonosítástól számított egy munkanapon belül a REG10-be kell továbbítani. A munkavállalói jogok, a megfigyelés és a HR-beszállítói irányítás külön figyelmet kapnak. A munkavállalói joggyakorlási kérelmeket két munkanapon belül rögzíteni kell a REG06-ban vagy oda kell továbbítani, a folyamatgazdai bemeneteket pedig a hozzárendeléstől számított öt munkanapon belül kell megadni. Az olyan összetett kérelmeknél, amelyek megfigyelési nyilvántartásokat, háttérellenőrzési nyilvántartásokat, különleges kategóriájú PII-t, harmadik fél munkavállalói PII-jét, jogi korlátozásokat vagy automatizált döntéshozatalt érintenek, az elutasítás, meghosszabbítás, korlátozás vagy összetett kezelés előtt az adatvédelmi tisztviselő / adatvédelmi tanácsadó tanácsa szükséges. A munkavállalói megfigyelést az engedélyezés vagy lényeges változás előtt dokumentálni kell a REG02-ben, a REG04-en keresztül kell adatvédelmi kockázatértékelésre vagy DPIA-előszűrésre továbbítani, ha ennek feltételei fennállnak, aktuális REG07 szerinti adatvédelmi tájékoztatóval vagy kommunikációs bizonyítékkal kell alátámasztani, és legalább évente mintavételezni kell a REG12-ben, ha szerepel a REG02-ben. A HR-adatfeldolgozókat, a bérszámfejtést, a HRIS-t, a juttatásokat, a háttérellenőrzési és kiszervezett HR-szolgáltatókat a REG08-ban kell rögzíteni, mielőtt munkavállalói PII-t közölnek a szolgáltatóval, hozzáférhetővé tesznek számára vagy rajta keresztül kezelnek. Az irányítási rendelkezések ismétlődő felügyeleti és betartatási felelősségeket rendelnek hozzá. Az adatvédelmi vezetőnek / PIMS-vezetőnek negyedévente munkavállalói adatvédelmi bizonyíték-felülvizsgálatot kell végeznie a REG02, REG04, REG06, REG07, REG08, REG10 és REG12 nyilvántartásokban, míg a felső vezetés jóváhagyja a lényeges szabályzatmódosításokat és a magas kockázatú munkavállalói adatvédelmi kivételeket. A mutatók közé tartozik az aktuális REG02-bejegyzéssel rendelkező munkavállalói adatkezelési tevékenységek aránya, a munkavállalói adatvédelmi tájékoztatók naprakészsége, a nyitott munkavállalói adatvédelmi kockázati és DPIA-továbbítási tételek, a munkavállalói joggyakorlási kérelmek határidőben történő kezelése, a HR-beszállítói felülvizsgálatok teljesítése és a munkavállalói PII-incidenstrendek, ha incidensek fordulnak elő. A kivételeket az eltérés előtt a REG12-ben kell rögzíteni, legfeljebb 90 napos lejárati dátummal kell ellátni, és lejárat előtt felül kell vizsgálni. A végrehajtás megköveteli a meg nem felelések REG12-ben történő rögzítését, ha a szükséges munkavállalói adatvédelmi bizonyíték hiányzik, megakadályozza a munkavállalói megfigyelés jóváhagyását a szükséges bizonyíték nélkül, és lehetővé teszi a munkavállalói PII HR-beszállítók részére történő új közléseinek felfüggesztését, ha az adatfeldolgozói, al-adatfeldolgozói, utasítási vagy segítségnyújtási bizonyíték hiányzik.