Politika ochrany údajov zamestnancov

Politika ochrany údajov zamestnancov definuje požiadavky na ochranu súkromia pre osobné údaje zamestnancov v rámci PIMS. Jej rozsah zahŕňa zber, používanie, poskytnutie, väzbu na uchovávanie, oznámenia, vybavovanie žiadostí o uplatnenie práv, monitorovanie, podporu sprostredkovateľov a správu dôkazov týkajúcich sa osobných údajov zamestnancov. Politika sa uplatňuje v kontextoch prevádzkovateľa a spoločného prevádzkovateľa, keď organizácia určuje účely a prostriedky spracúvania osobných údajov zamestnancov, ako aj v kontextoch sprostredkovateľa a ďalšieho sprostredkovateľa, keď organizácia spracúva osobné údaje zamestnancov na základe zdokumentovaných pokynov. Osobné údaje zamestnancov sú definované široko a zahŕňajú informácie týkajúce sa zamestnancov, uchádzačov o zamestnanie, bývalých zamestnancov, zmluvných pracovníkov, dočasného personálu, stážistov, vyslaných pracovníkov a ďalších účastníkov pracovnej sily, ak organizácia spracúva ich osobné údaje na účely riadenia pracovnej sily, náboru, zamestnania, spolupráce, odmeňovania, benefitov, bezpečnosti, súladu, správy pracoviska alebo na súvisiace účely organizácie. Ústredným prvkom politiky je jej dôkazový model. Politika nevytvára samostatný HR register ochrany údajov, register ochrany údajov zamestnancov, register monitorovania zamestnancov, register HR dodávateľov, register žiadostí zamestnancov o uplatnenie práv ani register incidentov zamestnancov. Namiesto toho vyžaduje, aby sa dôkazy o spracúvaní údajov zamestnancov udržiavali v kanonických registroch PIMS: REG02 pre evidenciu spracúvania a väzbu na uchovávanie, REG04 pre riziká ochrany súkromia a spúšťače DPIA, REG06 pre žiadosti zamestnancov o uplatnenie práv, REG07 pre oznámenia o ochrane údajov pre zamestnancov, REG08 pre sprostredkovateľov HR služieb a dodávateľov, REG10 pre incidenty týkajúce sa osobných údajov zamestnancov a REG12 pre výnimky, nezhody, nápravné opatrenia, monitorovanie a dôkazy o zlepšovaní. Táto štruktúra podporuje účel politiky: osobné údaje zamestnancov sa majú spracúvať iba na zdokumentované, schválené, transparentné, primerané a zodpovedné účely riadenia pracovnej sily, pričom sa má predchádzať duplicitnej HR-špecifickej dôkazovej vrstve. Vyhlásenia politiky stanovujú podrobné prevádzkové kontroly pre životný cyklus údajov zamestnancov. Pred zberom, vytvorením, importom, použitím alebo poskytnutím osobných údajov zamestnancov musí vlastník procesu / vlastník organizácie zaznamenať činnosť spracúvania údajov zamestnancov v REG02 vrátane kategórií PII, skupiny zamestnancov, zdroja zberu, účelu spracúvania, systémov, kategórií interných a externých príjemcov a väzby na uchovávanie. Oznámenia o ochrane údajov pre zamestnancov musia byť udržiavané v REG07 pred priamym alebo nepriamym zberom na nový alebo podstatne zmenený účel. Politika vyžaduje, aby sa osobné údaje zamestnancov používali iba na schválené účely zaznamenané v REG02, a vyžaduje, aby boli kategórie interných príjemcov, podmienky potreby organizácie a opakované externé poskytnutia zdokumentované pred začatím poskytnutia. Podozrenie na neoprávnené poskytnutie, prístup, stratu alebo zneužitie údajov z monitorovania musí byť smerované do REG10 do jedného pracovného dňa od identifikácie. Osobitná pozornosť sa venuje žiadostiam zamestnancov o uplatnenie práv, monitorovaniu a správe a riadeniu HR dodávateľov. Žiadosti zamestnancov o uplatnenie práv musia byť zaznamenané alebo smerované v REG06 do dvoch pracovných dní, pričom vstupy vlastníka procesu sa majú poskytnúť do piatich pracovných dní od pridelenia. Komplexné žiadosti zahŕňajúce záznamy z monitorovania, záznamy preverovania minulosti, osobitné kategórie PII, osobné údaje zamestnancov tretích strán, právne obmedzenia alebo automatizované rozhodovanie vyžadujú stanovisko zodpovednej osoby pre ochranu osobných údajov / poradcu pre ochranu súkromia pred odmietnutím, predĺžením lehoty, obmedzením alebo komplexným vybavením. Monitorovanie zamestnancov musí byť zdokumentované v REG02 pred jeho aktiváciou alebo podstatnou zmenou, smerované cez REG04 na posúdenie rizík ochrany súkromia alebo preverenie potreby DPIA, ak vznikne spúšťač, podporené aktuálnymi dôkazmi oznámenia alebo komunikácie v REG07 a vzorkované v REG12 najmenej raz ročne, ak je zahrnuté v REG02. Sprostredkovatelia HR služieb, poskytovatelia mzdových služieb, poskytovatelia HRIS, poskytovatelia benefitov, poskytovatelia preverovania minulosti a poskytovatelia outsourcovaných HR služieb musia byť zaznamenaní v REG08 predtým, ako sa osobné údaje zamestnancov poskytnú poskytovateľovi, sprístupnia poskytovateľovi alebo spracúvajú prostredníctvom poskytovateľa. Ustanovenia správy a riadenia prideľujú opakujúce sa zodpovednosti za dohľad a uplatňovanie politiky. Vedúci ochrany súkromia / manažér PIMS musí štvrťročne vykonávať preskúmania dôkazov ochrany údajov zamestnancov v REG02, REG04, REG06, REG07, REG08, REG10 a REG12, zatiaľ čo vrcholový manažment schvaľuje podstatné zmeny politiky a vysoko rizikové výnimky v oblasti ochrany údajov zamestnancov. Metriky zahŕňajú percento činností spracúvania údajov zamestnancov s aktuálnymi záznamami REG02, aktuálnosť oznámení o ochrane údajov pre zamestnancov, otvorené položky smerovania rizík ochrany súkromia zamestnancov a DPIA, včasnosť žiadostí zamestnancov o uplatnenie práv, dokončenie preskúmania HR dodávateľov a trendy incidentov týkajúcich sa osobných údajov zamestnancov, ak incidenty nastanú. Výnimky musia byť zaznamenané v REG12 pred odchýlkou, musí im byť pridelený dátum uplynutia platnosti nepresahujúci 90 dní a musia byť preskúmané pred uplynutím platnosti. Uplatňovanie politiky vyžaduje zaznamenanie nezhôd v REG12, ak chýbajú požadované dôkazy ochrany údajov zamestnancov, bráni schváleniu monitorovania zamestnancov bez požadovaných dôkazov a umožňuje pozastavenie nových poskytnutí osobných údajov zamestnancov HR dodávateľom, ak chýbajú dôkazy o sprostredkovateľovi, ďalšom sprostredkovateľovi, pokynoch alebo súčinnosti.