Beleid inzake privacy van werknemers

Het Beleid inzake privacy van werknemers definieert privacyvereisten voor persoonsgegevens van werknemers binnen het privacy-informatiemanagementsysteem. De reikwijdte omvat de verzameling, het gebruik, de externe verstrekking, de koppeling aan bewaartermijnen, privacyverklaringen, de afhandeling van rechten, monitoring, ondersteuning door verwerkers en het beheer van bewijsmateriaal voor persoonsgegevens van werknemers. Het beleid is van toepassing in contexten van een verwerkingsverantwoordelijke en een gezamenlijke verwerkingsverantwoordelijke waarin de organisatie de verwerkingsdoelen en middelen voor de verwerking van persoonsgegevens van werknemers bepaalt, en ook in contexten van een verwerker en subverwerker waarin de organisatie persoonsgegevens van werknemers verwerkt op basis van gedocumenteerde instructies. Persoonsgegevens van werknemers worden breed gedefinieerd en omvatten informatie met betrekking tot werknemers, sollicitanten, voormalige werknemers, contractanten, tijdelijk personeel, stagiairs, gedetacheerden en andere deelnemers aan het personeelsbestand wanneer de organisatie hun persoonsgegevens verwerkt voor personeelsbeheer, werving, dienstverband, inzet, beloning, arbeidsvoorwaarden, beveiliging, naleving, werkplekbeheer of gerelateerde zakelijke doeleinden. Een centraal kenmerk van het beleid is het bewijsmodel. Het beleid creëert geen afzonderlijk HR-privacyregister, register voor privacy van werknemers, register voor monitoring van werknemers, HR-leveranciersregister, register voor rechten van werknemers of register voor incidenten met werknemersgegevens. In plaats daarvan vereist het dat bewijsmateriaal over de verwerking van werknemersgegevens wordt onderhouden in de canonieke PIMS-registers: REG02 voor verwerkingsinventaris en koppeling aan bewaartermijnen, REG04 voor privacyrisico en DPIA-triggers, REG06 voor verzoeken tot uitoefening van rechten door werknemers, REG07 voor privacyverklaringen voor werknemers, REG08 voor HR-verwerkers en leveranciers, REG10 voor incidenten met betrekking tot persoonsgegevens van werknemers, en REG12 voor uitzonderingen, non-conformiteiten, corrigerende maatregelen, monitoring en bewijsmateriaal voor verbetering. Deze structuur ondersteunt het doel van het beleid: persoonsgegevens van werknemers mogen uitsluitend worden verwerkt voor gedocumenteerde, goedgekeurde, transparante, proportionele en verantwoordbare personeelsdoeleinden, terwijl een dubbele HR-specifieke bewijslaag wordt vermeden. De beleidsverklaringen stellen gedetailleerde operationele beheersmaatregelen vast voor de levenscyclus van werknemersgegevens. Voordat persoonsgegevens van werknemers worden verzameld, gegenereerd, geïmporteerd, gebruikt of verstrekt, moet de proceseigenaar / bedrijfseigenaar de verwerkingsactiviteit voor werknemers vastleggen in REG02, inclusief PII-categorieën, werknemerspopulatie, verzamelbron, verwerkingsdoel, systemen, categorieën interne en externe ontvangers en koppeling aan bewaartermijnen. Privacyverklaringen voor werknemers moeten in REG07 worden onderhouden vóór directe of indirecte verzameling voor een nieuw of wezenlijk gewijzigd doel. Het beleid vereist dat persoonsgegevens van werknemers uitsluitend worden gebruikt voor goedgekeurde doeleinden die in REG02 zijn vastgelegd, en vereist dat categorieën interne ontvangers, voorwaarden op basis van zakelijke noodzaak en terugkerende externe verstrekkingen worden gedocumenteerd voordat de verstrekking begint. Vermoedelijke ongeautoriseerde verstrekking, toegang, verlies of misbruik van monitoringgegevens moet binnen één werkdag na identificatie naar REG10 worden gerouteerd. Rechten van werknemers, monitoring en governance van HR-leveranciers krijgen specifieke aandacht. Verzoeken tot uitoefening van rechten door werknemers moeten binnen twee werkdagen in REG06 worden vastgelegd of daarheen worden gerouteerd, waarbij input van proceseigenaren binnen vijf werkdagen na toewijzing moet worden aangeleverd. Complexe verzoeken met betrekking tot monitoringregistraties, registraties van antecedentenonderzoeken, bijzondere categorieën persoonsgegevens, persoonsgegevens van werknemers van derden, wettelijke beperkingen of geautomatiseerde besluitvorming vereisen advies van de Functionaris voor gegevensbescherming (FG) / privacyadviseur voordat weigering, verlenging, beperking of complexe afhandeling plaatsvindt. Monitoring van werknemers moet vóór inschakeling of wezenlijke wijziging in REG02 worden gedocumenteerd, via REG04 worden gerouteerd voor privacyrisicoscreening of DPIA-screening wanneer dit wordt getriggerd, worden ondersteund door actueel bewijsmateriaal van privacyverklaringen of communicatie in REG07, en ten minste jaarlijks steekproefsgewijs worden beoordeeld in REG12 wanneer dit in REG02 is opgenomen. HR-verwerkers, salarisadministratieleveranciers, HRIS-leveranciers, aanbieders van arbeidsvoorwaarden, aanbieders van antecedentenonderzoeken en uitbestede HR-dienstverleners moeten in REG08 worden vastgelegd voordat persoonsgegevens van werknemers aan de dienstverlener worden verstrekt, door de dienstverlener worden geraadpleegd of via de dienstverlener worden verwerkt. Governancebepalingen wijzen terugkerende verantwoordelijkheden voor toezicht en handhaving toe. De privacyverantwoordelijke / PIMS-manager moet elk kwartaal beoordelingen uitvoeren van bewijsmateriaal over privacy van werknemers in REG02, REG04, REG06, REG07, REG08, REG10 en REG12, terwijl Topmanagement wezenlijke beleidswijzigingen en privacy-uitzonderingen met hoog risico voor werknemers goedkeurt. Metrieken omvatten het percentage verwerkingsactiviteiten voor werknemers met actuele REG02-registraties, de actualiteit van privacyverklaringen voor werknemers, openstaande privacyrisico- en DPIA-routeringsitems voor werknemers, tijdigheid van verzoeken tot uitoefening van rechten door werknemers, voltooiing van HR-leveranciersbeoordelingen en trends in incidenten met betrekking tot persoonsgegevens van werknemers wanneer incidenten zich voordoen. Uitzonderingen moeten vóór afwijking in REG12 worden vastgelegd, een vervaldatum krijgen die niet langer is dan 90 dagen en vóór afloop worden beoordeeld. Handhaving vereist vastlegging van non-conformiteiten in REG12 wanneer vereist bewijsmateriaal over privacy van werknemers ontbreekt, verhindert de goedkeuring van monitoring van werknemers zonder vereist bewijsmateriaal, en staat opschorting toe van nieuwe verstrekkingen van persoonsgegevens van werknemers aan HR-leveranciers wanneer bewijsmateriaal over verwerker, subverwerker, instructie of ondersteuning ontbreekt.