policy ISO 27701 PIMS Policy Pack

Política de Privacidade dos Trabalhadores

Política de Privacidade dos Trabalhadores para o PIMS: governa dados pessoais dos trabalhadores, avisos, direitos, monitorização, fornecedores de RH, incidentes e registos de evidência.

Visão geral

Esta Política de Privacidade dos Trabalhadores governa os dados pessoais da força de trabalho ao longo da recolha, utilização, avisos, direitos, monitorização, fornecedores, ligação ao calendário de retenção, incidentes e evidência. Mantém a evidência de privacidade dos trabalhadores na REG02, REG04, REG06, REG07, REG08, REG10 e REG12, em vez de criar registos de privacidade de RH separados.

Privacidade de RH baseada em evidência

Liga o tratamento de dados pessoais dos trabalhadores à REG02, REG04, REG06, REG07, REG08, REG10 e REG12 sem criar registos de RH duplicados.

Cobertura dos dados pessoais da força de trabalho

Abrange trabalhadores, candidatos, antigos trabalhadores, contratados, estagiários, trabalhadores destacados e outros participantes da força de trabalho.

Controlos de monitorização e fornecedores

Exige aprovações documentadas para monitorização de trabalhadores, subcontratantes de recursos humanos, processamento salarial, HRIS, benefícios e fornecedores de verificação de antecedentes.

Ler visão geral completa (click to expand)
A Política de Privacidade dos Trabalhadores define requisitos de privacidade para dados pessoais dos trabalhadores no âmbito do Sistema de Gestão de Informação de Privacidade. O seu âmbito inclui a recolha, utilização, divulgação, ligação ao calendário de retenção, aviso, tratamento dos direitos dos titulares dos dados, monitorização, apoio por subcontratantes e gestão de evidência relativos aos dados pessoais dos trabalhadores. A política aplica-se a contextos de responsável pelo tratamento e de responsável conjunto pelo tratamento quando a organização determina as finalidades e os meios do tratamento de dados pessoais dos trabalhadores, bem como a contextos de subcontratante e subcontratante subsequente quando a organização trata dados pessoais dos trabalhadores segundo instruções documentadas. Os dados pessoais dos trabalhadores são definidos de forma ampla para incluir informações relativas a trabalhadores, candidatos a emprego, antigos trabalhadores, contratados, pessoal temporário, estagiários, trabalhadores destacados e outros participantes da força de trabalho quando a organização trata os seus dados pessoais para finalidades relativas à força de trabalho, recrutamento, emprego, colaboração, remuneração, benefícios, segurança, conformidade, administração do local de trabalho ou finalidades de negócio relacionadas. Uma característica central da política é o seu modelo de evidência. A política não cria um registo separado de privacidade de RH, registo de privacidade dos trabalhadores, registo de monitorização de trabalhadores, registo de fornecedores de RH, registo de direitos dos trabalhadores ou registo de incidentes dos trabalhadores. Em vez disso, exige que a evidência do tratamento de dados dos trabalhadores seja mantida nos registos canónicos do PIMS: REG02 para inventário de tratamento e ligação ao calendário de retenção, REG04 para risco de privacidade e desencadeadores de AIPD, REG06 para pedidos de exercício de direitos dos trabalhadores, REG07 para avisos de privacidade dos trabalhadores, REG08 para subcontratantes de recursos humanos e fornecedores, REG10 para incidentes relativos a dados pessoais dos trabalhadores, e REG12 para exceções, não conformidades, ações corretivas, monitorização e evidência de melhoria. Esta estrutura apoia a finalidade da política: os dados pessoais dos trabalhadores devem ser tratados apenas para finalidades documentadas, aprovadas, transparentes, proporcionadas e responsabilizáveis relativas à força de trabalho, evitando uma camada de evidência duplicada específica de RH. As declarações da política estabelecem controlos operacionais detalhados para o ciclo de vida dos dados dos trabalhadores. Antes de os dados pessoais dos trabalhadores serem recolhidos, gerados, importados, utilizados ou divulgados, o Proprietário do processo / Proprietário do negócio deve registar a atividade de tratamento dos trabalhadores na REG02, incluindo categorias de dados pessoais, população de trabalhadores, fonte de recolha, finalidade do tratamento, sistemas, categorias de destinatários internos e externos e ligação ao calendário de retenção. Os avisos de privacidade dos trabalhadores devem ser mantidos na REG07 antes da recolha direta ou indireta para uma finalidade nova ou materialmente alterada. A política exige que os dados pessoais dos trabalhadores sejam utilizados apenas para finalidades aprovadas registadas na REG02 e exige que as categorias de destinatários internos, as condições de necessidade de negócio e as divulgações externas recorrentes sejam documentadas antes do início da divulgação. Qualquer suspeita de divulgação não autorizada, acesso não autorizado, perda ou utilização indevida de dados de monitorização deve ser encaminhada para a REG10 no prazo de um dia útil após a identificação. A governação dos direitos dos trabalhadores, da monitorização e dos fornecedores de RH recebe atenção específica. Os pedidos de exercício de direitos dos trabalhadores devem ser registados ou encaminhados na REG06 no prazo de dois dias úteis, devendo os contributos dos proprietários de processos ser apresentados no prazo de cinco dias úteis após a atribuição. Pedidos complexos que envolvam registos de monitorização, registos de verificação de antecedentes, categorias especiais de dados pessoais, dados pessoais de trabalhadores de terceiros, restrições legais ou decisões automatizadas exigem parecer do Encarregado da Proteção de Dados / Assessor de Privacidade antes de recusa, prorrogação, restrição ou tratamento complexo. A monitorização de trabalhadores deve ser documentada na REG02 antes da ativação ou alteração material, encaminhada através da REG04 para avaliação de riscos de privacidade ou triagem para AIPD quando acionada, suportada por aviso ou evidência de comunicação atual na REG07 e amostrada na REG12 pelo menos anualmente quando incluída na REG02. Subcontratantes de recursos humanos, processamento salarial, HRIS, benefícios, verificação de antecedentes e prestadores de serviços de RH externalizados devem ser registados na REG08 antes de os dados pessoais dos trabalhadores serem divulgados ao prestador, acedidos pelo prestador ou tratados através do prestador. As disposições de governação atribuem responsabilidades recorrentes de supervisão e aplicação. O Responsável de Privacidade / Gestor do PIMS deve realizar revisões trimestrais da evidência de privacidade dos trabalhadores na REG02, REG04, REG06, REG07, REG08, REG10 e REG12, enquanto a Alta direção aprova alterações materiais da política e exceções de privacidade dos trabalhadores de alto risco. As métricas incluem a percentagem de atividades de tratamento dos trabalhadores com registos REG02 atuais, a atualidade dos avisos de privacidade dos trabalhadores, itens em aberto de risco de privacidade dos trabalhadores e de encaminhamento para AIPD, tempestividade dos pedidos de exercício de direitos dos trabalhadores, conclusão da revisão de fornecedores de RH e tendências de incidentes relativos a dados pessoais dos trabalhadores quando ocorram incidentes. As exceções devem ser registadas na REG12 antes do desvio, receber uma data de expiração não superior a 90 dias e ser revistas antes da expiração. A aplicação exige o registo de não conformidades na REG12 quando a evidência de privacidade dos trabalhadores exigida esteja em falta, impede a aprovação da monitorização de trabalhadores sem a evidência exigida e permite suspender novas divulgações de dados pessoais dos trabalhadores a fornecedores de RH quando esteja em falta evidência relativa a subcontratantes, subcontratantes subsequentes, instruções ou assistência.

Diagrama da Política

Fluxograma de processo que mostra a governação dos dados pessoais dos trabalhadores desde o inventário REG02 e verificações de avisos REG07, passando pelo encaminhamento de risco/AIPD na REG04, controlos de fornecedores de RH na REG08, tratamento de direitos na REG06, encaminhamento de incidentes na REG10 e monitorização, exceções e melhoria na REG12.

Clique no diagrama para visualizar em tamanho completo

Conteúdo

Inventário de tratamento dos trabalhadores e controlos de finalidades de RH

Requisitos de avisos de privacidade dos trabalhadores e de tratamento dos direitos dos titulares dos dados

Regras de monitorização de trabalhadores e de tratamento de RH de alto impacto

Evidência de subcontratantes de recursos humanos, processamento salarial, HRIS, benefícios e fornecedores de verificação de antecedentes

Ligação ao calendário de retenção, divulgação e encaminhamento de incidentes

Requisitos de governação, métricas, exceções, aplicação e revisão

Conformidade com frameworks

🛡️ Padrões e frameworks suportados

Este produto está alinhado com os seguintes frameworks de conformidade, com mapeamentos detalhados de cláusulas e controles.

Framework Cláusulas / Controles cobertos
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.2Annex A.1.2.3Annex A.1.2.6Annex A.1.2.8Annex A.1.2.9Annex A.1.2.7Annex A.2.2.2Annex A.2.2.3Annex A.2.2.6Annex A.2.2.7Annex A.1.3.2Annex A.1.3.6Annex A.1.3.7Annex A.1.3.10Annex A.1.3.11Annex A.1.4.2Annex A.1.4.3Annex A.1.4.5Annex A.1.4.8Annex A.1.4.9Annex A.1.5.4Annex A.1.5.5Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6Annex A.3.14Annex A.3.25
EU GDPR
Article 5(1)(a)Article 5(1)(b)Article 5(1)(c)Article 5(1)(e)Article 5(2)Article 6Article 9Article 10Article 12Article 13Article 14Article 15Article 16Article 17Article 18Article 21Article 22Article 24Article 26Article 28Article 30Article 32Article 35Article 39
ISO/IEC 29100:2020
Clause 5.3Clause 5.4Clause 5.5Clause 5.6Clause 5.8Clause 5.9Clause 5.10Clause 5.11Clause 5.12
ISO/IEC 29151:2022
Annex A.3Annex A.4Annex A.5Annex A.7Annex A.10Clause 7.1.2Clause 7.1.3Clause 7.2.4Clause 7.3.2Clause 15.1.2Clause 15.2.2Clause 15.2.3
ISO/IEC 29134:2020
Clause 5.1Clause 6.2
ISO/IEC 27002:2022
Controls 5.34Controls 6.1Controls 6.2Controls 6.5Controls 6.6Controls 8.15Controls 8.16

Políticas relacionadas

Política de Inventário de Tratamento e Fundamento de Licitude

As atividades de tratamento dos trabalhadores, finalidades, categorias de dados pessoais, fontes, sistemas, destinatários e ligação ao calendário de retenção são registados na REG02 ao abrigo desta política relacionada.

Política de Aviso de Privacidade e Transparência

Os avisos de privacidade dos trabalhadores e os registos de transparência são mantidos na REG07 antes de nova recolha de dados pessoais dos trabalhadores ou de recolha materialmente alterada.

Política de Gestão dos Direitos dos Titulares dos Dados

Os pedidos de exercício de direitos dos trabalhadores são encaminhados através da REG06 e exigem contributos de suporte provenientes de registos de tratamento, sistemas, fornecedores e assessores de privacidade.

Política de Avaliação de Riscos de Privacidade e AIPD

O tratamento de alto impacto dos trabalhadores, a monitorização de trabalhadores e os dados sensíveis da força de trabalho são encaminhados através da REG04 para avaliação de riscos de privacidade ou tratamento de AIPD.

Política de Gestão de Privacidade de Subcontratantes, Subcontratantes Subsequentes e Terceiros

Subcontratantes de recursos humanos, processamento salarial, HRIS, benefícios, verificação de antecedentes e serviços de RH externalizados são governados através dos requisitos de evidência de fornecedores na REG08.

Política de Gestão de Incidentes e Violações

A suspeita de acesso não autorizado, divulgação, perda, comprometimento ou utilização indevida de dados de monitorização relativos a dados pessoais dos trabalhadores é encaminhada para a REG10 para tratamento de incidentes.

Sobre as Políticas Clarysec - Política de Privacidade dos Trabalhadores

A governação da privacidade falha quando é tratada como um conjunto de avisos, formulários e declarações legais desconectados. Uma implementação eficaz da ISO/IEC 27701 exige um Sistema de Gestão de Informação de Privacidade que ligue o tratamento de dados pessoais, fundamento de licitude, papéis de responsável pelo tratamento e subcontratante, risco de privacidade, AIPD, evidência, monitorização e melhoria contínua. Este conjunto de políticas foi concebido como um quadro operacional de privacidade, e não como um pacote genérico de documentação. Define responsabilização clara do PIMS em papéis empresariais práticos, como a Alta direção, o Responsável de Privacidade / Gestor do PIMS, Proprietários de processos, Proprietários de sistemas, Proprietários de Fornecedores / Aquisição, Segurança da Informação e revisores independentes. Cada requisito é redigido como uma cláusula auditável, com numeração única, e ligado a objetos de evidência definidos, como REG01, REG02, REG03, REG04, REG08, REG11 e REG12. A estrutura suporta contextos de responsável pelo tratamento, responsável conjunto pelo tratamento, subcontratante e subcontratante subsequente, ajudando as organizações a demonstrar uma gestão responsabilizável, baseada no risco e orientada por evidência do tratamento de dados pessoais ao longo de todo o ciclo de vida do PIMS.

Modelo canónico de evidência

A evidência de privacidade dos trabalhadores é mantida nos registos existentes do PIMS, em vez de registos separados específicos de RH.

Salvaguardas de monitorização

A monitorização de trabalhadores exige finalidade documentada, encaminhamento de risco, evidência de aviso e amostragem anual quando incluída no âmbito.

Âmbito amplo da força de trabalho

Aplica-se a trabalhadores, candidatos, contratados, estagiários, trabalhadores destacados e outros participantes da força de trabalho.

Controlos de evidência de fornecedores

Subcontratantes de recursos humanos, processamento salarial, HRIS, benefícios e fornecedores de verificação de antecedentes devem ser documentados na REG08.

Perguntas frequentes

Criado para Líderes, por Líderes

Esta política foi elaborada por um líder de segurança com mais de 25 anos de experiência na implementação e auditoria de frameworks ISMS em organizações globais. Foi concebida não apenas como um documento, mas como um framework defensável que resiste ao escrutínio de auditores.

Elaborado por um especialista com as seguintes qualificações:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Cobertura e tópicos

🏢 Departamentos alvo

Privacidade Jurídico Conformidade Recursos Humanos Gabinete do EPD

🏷️ Cobertura temática

Gestão de informação de privacidade Tratamento de dados pessoais Gestão dos direitos dos titulares dos dados Avaliação de impacto sobre a privacidade Registos de tratamento Gestão de terceiros Retenção e eliminação de dados
€49

Compra única

Download instantâneo
Atualizações vitalícias

Esta política é 1 de 25 no Pacote PIMS ISO/IEC 27701 completo

Poupe 52%

Obtenha todas as 25 políticas PIMS, o conjunto completo de registos e um plano de implementação detalhado por €799, em vez de €1.675 individualmente.

Ver Pacote 27701 completo →
Employee Privacy Policy

Detalhes do produto

Tipo: policy
Categoria: ISO 27701 PIMS Policy Pack
Padrões: 6