Polityka prywatności pracowników

Polityka prywatności pracowników określa wymagania dotyczące prywatności dla PII pracowników w ramach systemu zarządzania informacjami o prywatności. Jej zakres obejmuje gromadzenie, wykorzystywanie, ujawnianie, powiązanie z retencją, klauzule informacyjne, obsługę praw, monitorowanie, wsparcie podmiotów przetwarzających oraz zarządzanie dowodami dotyczącymi PII pracowników. Polityka ma zastosowanie w kontekstach administratora i współadministratora, w których organizacja określa cele i sposoby przetwarzania PII pracowników, a także w kontekstach podmiotu przetwarzającego i podwykonawcy przetwarzania, w których organizacja przetwarza PII pracowników na podstawie udokumentowanych poleceń. PII pracowników zdefiniowano szeroko jako informacje dotyczące pracowników, kandydatów do pracy, byłych pracowników, wykonawców, personelu tymczasowego, stażystów, pracowników oddelegowanych i innych osób uczestniczących w środowisku pracy, gdy organizacja przetwarza ich PII na potrzeby zarządzania personelem, rekrutacji, zatrudnienia, zaangażowania, wynagrodzeń, świadczeń, bezpieczeństwa, zgodności, administracji miejsca pracy lub powiązanych celów biznesowych. Centralnym elementem polityki jest jej model dowodowy. Polityka nie tworzy odrębnego rejestru prywatności HR, rejestru prywatności pracowników, rejestru monitorowania pracowników, rejestru dostawców HR, rejestru praw pracowników ani rejestru incydentów pracowniczych. Zamiast tego wymaga, aby dowody dotyczące przetwarzania danych pracowników były utrzymywane w kanonicznych rejestrach PIMS: REG02 dla inwentaryzacji przetwarzania i powiązania z retencją, REG04 dla oceny ryzyka dla prywatności i kryteriów obowiązku przeprowadzenia DPIA, REG06 dla wniosków pracowników o realizację praw, REG07 dla klauzul informacyjnych dla pracowników, REG08 dla podmiotów przetwarzających HR i dostawców, REG10 dla incydentów PII pracowników oraz REG12 dla wyjątków, niezgodności, działań korygujących, monitorowania i dowodów doskonalenia. Taka struktura wspiera cel polityki: PII pracowników powinny być przetwarzane wyłącznie w udokumentowanych, zatwierdzonych, przejrzystych, proporcjonalnych i rozliczalnych celach dotyczących personelu, przy jednoczesnym unikaniu zduplikowanej, specyficznej dla HR warstwy dowodowej. Postanowienia polityki określają szczegółowe kontrole operacyjne dla cyklu życia danych pracowników. Zanim PII pracowników zostaną zebrane, wygenerowane, zaimportowane, wykorzystane lub ujawnione, właściciel procesu / właściciel biznesowy musi zarejestrować czynność przetwarzania danych pracowników w REG02, w tym kategorie PII, populację pracowników, źródło gromadzenia, cel przetwarzania, systemy, kategorie odbiorców wewnętrznych i zewnętrznych oraz powiązanie z retencją. Klauzule informacyjne dla pracowników muszą być utrzymywane w REG07 przed bezpośrednim lub pośrednim gromadzeniem danych w nowym lub istotnie zmienionym celu. Polityka wymaga, aby PII pracowników były wykorzystywane wyłącznie w zatwierdzonych celach zapisanych w REG02, oraz wymaga udokumentowania kategorii odbiorców wewnętrznych, warunków potrzeby biznesowej i cyklicznych ujawnień zewnętrznych przed rozpoczęciem ujawniania. Podejrzenie nieuprawnionego ujawnienia, dostępu, utraty lub niewłaściwego użycia danych z monitorowania musi zostać skierowane do REG10 w ciągu jednego dnia roboczego od identyfikacji. Szczególną uwagę poświęcono prawom pracowników, monitorowaniu i nadzorowi nad dostawcami HR. Wnioski pracowników o realizację praw muszą być zarejestrowane lub skierowane w REG06 w ciągu dwóch dni roboczych, a wkład właściciela procesu jest wymagany w ciągu pięciu dni roboczych od przypisania. Złożone wnioski obejmujące zapisy monitoringu, zapisy sprawdzania przeszłości, PII szczególnych kategorii, PII pracowników stron trzecich, ograniczenia prawne lub zautomatyzowane podejmowanie decyzji wymagają opinii Inspektora Ochrony Danych / doradcy ds. ochrony danych przed odmową, przedłużeniem, ograniczeniem lub złożoną obsługą. Monitorowanie pracowników musi być udokumentowane w REG02 przed uruchomieniem lub istotną zmianą, skierowane przez REG04 do obsługi oceny ryzyka dla prywatności lub oceny potrzeby przeprowadzenia DPIA, jeżeli wystąpią przesłanki, poparte aktualnymi dowodami klauzuli informacyjnej lub komunikacji w REG07 oraz próbkowane w REG12 co najmniej raz w roku, jeżeli jest ujęte w REG02. Podmioty przetwarzające HR, dostawcy naliczania wynagrodzeń, dostawcy HRIS, dostawcy świadczeń, dostawcy sprawdzania przeszłości oraz dostawcy usług HR realizowanych w outsourcingu muszą być zapisani w REG08, zanim PII pracowników zostaną ujawnione dostawcy, udostępnione mu lub przetwarzane za jego pośrednictwem. Postanowienia dotyczące ładu zarządczego przypisują cykliczny nadzór oraz odpowiedzialności w zakresie stosowania polityki. Osoba odpowiedzialna za prywatność / Menedżer PIMS musi przeprowadzać kwartalne przeglądy dowodów dotyczących prywatności pracowników w REG02, REG04, REG06, REG07, REG08, REG10 i REG12, natomiast najwyższe kierownictwo zatwierdza istotne zmiany polityki oraz wyjątki wysokiego ryzyka dotyczące prywatności pracowników. Metryki obejmują odsetek czynności przetwarzania danych pracowników z aktualnymi zapisami REG02, aktualność klauzul informacyjnych dla pracowników, otwarte pozycje dotyczące ryzyka dla prywatności pracowników i ścieżki DPIA, terminowość wniosków pracowników o realizację praw, ukończenie przeglądu dostawców HR oraz trendy incydentów PII pracowników, gdy wystąpią incydenty. Wyjątki muszą być zapisane w REG12 przed odstępstwem, mieć przypisaną datę wygaśnięcia nieprzekraczającą 90 dni i zostać poddane przeglądowi przed wygaśnięciem. Stosowanie polityki wymaga rejestrowania niezgodności w REG12, gdy brakuje wymaganych dowodów dotyczących prywatności pracowników, uniemożliwia zatwierdzenie monitorowania pracowników bez wymaganych dowodów oraz pozwala zawiesić nowe ujawnienia PII pracowników dostawcom HR, gdy brakuje dowodów dotyczących podmiotu przetwarzającego, podwykonawcy przetwarzania, poleceń lub wsparcia.