Politica de confidențialitate a angajaților

Politica de confidențialitate a angajaților definește cerințele de confidențialitate pentru PII ale angajaților în cadrul Sistemului de management al informațiilor privind confidențialitatea. Domeniul său de aplicare include colectarea, utilizarea, divulgarea, corelarea cu retenția, notele de informare, gestionarea drepturilor, monitorizarea, asistența oferită de persoana împuternicită și gestionarea dovezilor pentru PII ale angajaților. Politica se aplică în contexte de operator de date și operator asociat în care organizația stabilește scopurile și mijloacele prelucrării PII ale angajaților, precum și în contexte de persoană împuternicită și persoană subîmputernicită în care organizația prelucrează PII ale angajaților pe baza unor instrucțiuni documentate. PII ale angajaților sunt definite larg pentru a include informații referitoare la angajați, candidați la posturi, foști angajați, contractanți, personal temporar, stagiari, personal detașat și alți participanți la forța de muncă atunci când organizația prelucrează PII ale acestora în scopuri legate de forța de muncă, recrutare, ocuparea postului, angajare, remunerație, beneficii, securitate, conformitate, administrarea locului de muncă sau scopuri organizaționale conexe. O caracteristică centrală a politicii este modelul său de dovezi. Politica nu creează un registru HR separat privind confidențialitatea, un registru privind confidențialitatea angajaților, un registru de monitorizare a angajaților, un registru al furnizorilor HR, un registru al drepturilor angajaților sau un registru al incidentelor angajaților. În schimb, aceasta impune menținerea dovezilor privind prelucrarea datelor angajaților în registrele PIMS canonice: REG02 pentru inventarul prelucrărilor și corelarea cu retenția, REG04 pentru riscurile privind confidențialitatea și declanșatoarele DPIA, REG06 pentru cereri ale angajaților de exercitare a drepturilor, REG07 pentru note de informare privind confidențialitatea angajaților, REG08 pentru persoanele împuternicite pentru datele de resurse umane și furnizori, REG10 pentru incidente privind PII ale angajaților și REG12 pentru excepții, neconformități, acțiuni corective, monitorizare și dovezi de îmbunătățire. Această structură susține scopul politicii: PII ale angajaților trebuie prelucrate numai pentru scopuri privind forța de muncă documentate, aprobate, transparente, proporționale și responsabile, evitând în același timp un strat de dovezi duplicat specific HR. Declarațiile de politică stabilesc controale operaționale detaliate pentru ciclul de viață al datelor angajaților. Înainte ca PII ale angajaților să fie colectate, generate, importate, utilizate sau divulgate, proprietarul de proces / proprietarul activității trebuie să înregistreze activitatea de prelucrare a angajaților în REG02, inclusiv categoriile de PII, populația de angajați, sursa colectării, scopul prelucrării, sistemele, categoriile de destinatari interni și externi și corelarea cu retenția. Notele de informare privind confidențialitatea angajaților trebuie menținute în REG07 înainte de colectarea directă sau indirectă pentru un scop nou sau modificat semnificativ. Politica impune ca PII ale angajaților să fie utilizate numai pentru scopurile aprobate înregistrate în REG02 și impune documentarea categoriilor de destinatari interni, a condițiilor bazate pe necesitatea organizațională și a divulgărilor externe recurente înainte de începerea divulgării. Suspiciunile de divulgare neautorizată, acces neautorizat, pierdere sau utilizare abuzivă a datelor de monitorizare trebuie direcționate către REG10 în termen de o zi lucrătoare de la identificare. Drepturile angajaților, monitorizarea și guvernanța furnizorilor HR primesc atenție specifică. Cererile angajaților de exercitare a drepturilor trebuie înregistrate sau direcționate în REG06 în termen de două zile lucrătoare, iar contribuțiile proprietarului de proces trebuie furnizate în termen de cinci zile lucrătoare de la atribuire. Cererile complexe care implică înregistrări de monitorizare, evidențe ale verificărilor de antecedente, PII din categorii speciale, PII ale angajaților aparținând terților, restricții juridice sau proces decizional automatizat necesită avizul Responsabilului cu protecția datelor / consilierului pentru confidențialitate înainte de refuz, prelungire, restricționare sau gestionare complexă. Monitorizarea angajaților trebuie documentată în REG02 înainte de activare sau de o modificare semnificativă, direcționată prin REG04 pentru evaluarea riscurilor privind confidențialitatea sau o evaluare preliminară DPIA atunci când se declanșează, susținută de dovezi curente privind notele de informare sau comunicările din REG07 și eșantionată în REG12 cel puțin anual atunci când este inclusă în REG02. Furnizorii care acționează ca persoane împuternicite pentru datele de resurse umane, furnizorii de salarizare, HRIS, beneficii, verificări de antecedente și servicii externalizate de resurse umane trebuie înregistrați în REG08 înainte ca PII ale angajaților să fie divulgate către furnizor, accesate de acesta sau prelucrate prin intermediul acestuia. Prevederile de guvernanță atribuie responsabilități recurente de supraveghere și aplicare. Responsabilul pentru confidențialitate / Managerul PIMS trebuie să efectueze revizuiri trimestriale ale dovezilor privind confidențialitatea angajaților în REG02, REG04, REG06, REG07, REG08, REG10 și REG12, în timp ce Conducerea de vârf aprobă modificările semnificative ale politicii și excepțiile cu risc ridicat privind confidențialitatea angajaților. Metricile includ procentul activităților de prelucrare a angajaților cu înregistrări REG02 curente, actualitatea notelor de informare privind confidențialitatea angajaților, elementele deschise de direcționare privind riscurile de confidențialitate ale angajaților și DPIA, respectarea termenelor pentru cererile angajaților de exercitare a drepturilor, finalizarea revizuirii furnizorilor HR și tendințele incidentelor privind PII ale angajaților atunci când apar incidente. Excepțiile trebuie înregistrate în REG12 înainte de abatere, trebuie să primească o dată de expirare care să nu depășească 90 de zile și trebuie revizuite înainte de expirare. Aplicarea impune înregistrarea neconformităților în REG12 atunci când lipsesc dovezile necesare privind confidențialitatea angajaților, împiedică aprobarea monitorizării angajaților fără dovezile necesare și permite suspendarea noilor divulgări de PII ale angajaților către furnizorii HR atunci când lipsesc dovezile privind persoana împuternicită, persoana subîmputernicită, instrucțiunile sau asistența.