Politica sulla privacy dei dipendenti

La Politica sulla privacy dei dipendenti definisce i requisiti privacy per i dati personali dei dipendenti nell’ambito del Sistema di gestione delle informazioni sulla privacy. Il suo ambito di applicazione include raccolta, uso, comunicazione, collegamento alla conservazione, informativa, gestione dei diritti, monitoraggio, supporto del responsabile del trattamento e gestione delle evidenze dei dati personali dei dipendenti. La politica si applica nei contesti di titolare del trattamento e contitolare del trattamento in cui l’organizzazione determina le finalità e i mezzi del trattamento dei dati personali dei dipendenti, nonché nei contesti di responsabile del trattamento e sub-responsabile in cui l’organizzazione tratta dati personali dei dipendenti sulla base di istruzioni documentate. I dati personali dei dipendenti sono definiti in senso ampio e includono informazioni relative a dipendenti, candidati, ex dipendenti, contraenti, personale temporaneo, tirocinanti, personale distaccato e altri partecipanti alla forza lavoro, quando l’organizzazione tratta i loro dati personali per finalità relative alla forza lavoro, selezione, rapporto di lavoro, incarico, compensi, benefit, sicurezza, conformità, amministrazione del luogo di lavoro o finalità aziendali correlate. Un elemento centrale della politica è il suo modello delle evidenze. La politica non crea un registro privacy HR separato, un registro privacy dei dipendenti, un registro di monitoraggio dei dipendenti, un registro dei fornitori HR, un registro dei diritti dei dipendenti o un registro degli incidenti dei dipendenti. Richiede invece che le evidenze del trattamento dei dipendenti siano mantenute nei registri canonici del PIMS: REG02 per l’inventario dei trattamenti e il collegamento alla conservazione, REG04 per il rischio privacy e i presupposti DPIA, REG06 per le richieste di esercizio dei diritti dei dipendenti, REG07 per le informative privacy dei dipendenti, REG08 per responsabili del trattamento HR e fornitori, REG10 per incidenti relativi ai dati personali dei dipendenti e REG12 per eccezioni, non conformità, azioni correttive, monitoraggio ed evidenze di miglioramento. Questa struttura sostiene la finalità della politica: i dati personali dei dipendenti devono essere trattati solo per finalità relative al personale documentate, approvate, trasparenti, proporzionate e soggette a responsabilizzazione, evitando al contempo un livello di evidenze duplicato e specifico per HR. Le dichiarazioni della politica definiscono controlli operativi dettagliati per il ciclo di vita dei dati dei dipendenti. Prima che i dati personali dei dipendenti siano raccolti, generati, importati, utilizzati o comunicati, il Proprietario del processo / titolare dell’attività deve registrare l’attività di trattamento dei dipendenti in REG02, incluse categorie di dati personali, popolazione dei dipendenti, fonte di raccolta, finalità del trattamento, sistemi, categorie di destinatari interni ed esterni e collegamento alla conservazione. Le informative privacy dei dipendenti devono essere mantenute in REG07 prima della raccolta diretta o indiretta per una finalità nuova o sostanzialmente modificata. La politica richiede che i dati personali dei dipendenti siano utilizzati solo per finalità approvate registrate in REG02 e che le categorie di destinatari interni, le condizioni di necessità aziendale e le comunicazioni esterne ricorrenti siano documentate prima dell’avvio della comunicazione. Ogni sospetta comunicazione non autorizzata, accesso non autorizzato, perdita o uso improprio dei dati di monitoraggio deve essere indirizzato a REG10 entro un giorno lavorativo dall’identificazione. I diritti dei dipendenti, il monitoraggio e la governance dei fornitori HR ricevono attenzione specifica. Le richieste di esercizio dei diritti dei dipendenti devono essere registrate o indirizzate in REG06 entro due giorni lavorativi, con input del proprietario del processo dovuti entro cinque giorni lavorativi dall’assegnazione. Le richieste complesse che coinvolgono registrazioni di monitoraggio, registrazioni di screening dei precedenti, categorie particolari di dati personali, dati personali di dipendenti di terze parti, restrizioni legali o processo decisionale automatizzato richiedono il parere del Responsabile della protezione dei dati / Consulente privacy prima del rifiuto, della proroga, della limitazione o di una gestione complessa. Il monitoraggio dei dipendenti deve essere documentato in REG02 prima dell’abilitazione o di una modifica sostanziale, indirizzato tramite REG04 per lo screening del rischio privacy o della DPIA quando attivato, supportato da evidenze aggiornate di informativa o comunicazione in REG07 e campionato in REG12 almeno annualmente quando incluso in REG02. Responsabili del trattamento HR, payroll, HRIS, benefit, screening dei precedenti e fornitori di servizi HR esternalizzati devono essere registrati in REG08 prima che i dati personali dei dipendenti siano comunicati al fornitore, accessibili dal fornitore o trattati tramite il fornitore. Le disposizioni di governance assegnano responsabilità ricorrenti di supervisione e applicazione della politica. Il Privacy Lead / Responsabile del PIMS deve eseguire riesami trimestrali delle evidenze privacy dei dipendenti in REG02, REG04, REG06, REG07, REG08, REG10 e REG12, mentre l’alta direzione approva le modifiche sostanziali della politica e le eccezioni privacy ad alto rischio relative ai dipendenti. Le metriche includono la percentuale di attività di trattamento dei dipendenti con registrazioni REG02 aggiornate, l’aggiornamento delle informative privacy dei dipendenti, gli elementi aperti relativi al rischio privacy dei dipendenti e all’instradamento DPIA, la tempestività delle richieste di esercizio dei diritti dei dipendenti, il completamento del riesame dei fornitori HR e le tendenze degli incidenti relativi ai dati personali dei dipendenti quando si verificano incidenti. Le eccezioni devono essere registrate in REG12 prima della deviazione, avere una data di scadenza assegnata non superiore a 90 giorni ed essere riesaminate prima della scadenza. L’applicazione della politica richiede la registrazione di non conformità in REG12 quando mancano le evidenze privacy dei dipendenti richieste, impedisce l’approvazione del monitoraggio dei dipendenti senza le evidenze richieste e consente la sospensione di nuove comunicazioni di dati personali dei dipendenti a fornitori HR quando mancano evidenze relative al responsabile del trattamento, al sub-responsabile, all’istruzione o all’assistenza.