Politika zasebnosti zaposlenih

Politika zasebnosti zaposlenih določa zahteve glede zasebnosti za PII zaposlenih v okviru sistema upravljanja informacij o zasebnosti. Njeno področje uporabe vključuje zbiranje, uporabo, razkritje, povezavo s hrambo, obvestila, obravnavo zahtev za uveljavljanje pravic, spremljanje, podporo obdelovalcev in upravljanje dokazil za PII zaposlenih. Politika se uporablja v kontekstih upravljavca in skupnega upravljavca, kadar organizacija določa namene in sredstva obdelave PII zaposlenih, ter v kontekstih obdelovalca in podobdelovalca, kadar organizacija obdeluje PII zaposlenih na podlagi dokumentiranih navodil. PII zaposlenih so opredeljeni široko in vključujejo informacije, ki se nanašajo na zaposlene, kandidate za zaposlitev, nekdanje zaposlene, pogodbene izvajalce, začasno osebje, praktikante, napotene delavce in druge osebe, vključene v delo, kadar organizacija njihove PII obdeluje za namene delovne sile, zaposlovanja, delovnega razmerja, sodelovanja, nadomestil, ugodnosti, varnosti, skladnosti, upravljanja delovnega mesta ali povezane poslovne namene. Osrednja značilnost politike je njen model dokazil. Politika ne ustvarja ločenega registra zasebnosti HR, registra zasebnosti zaposlenih, registra spremljanja zaposlenih, registra kadrovskih dobaviteljev, registra pravic zaposlenih ali registra incidentov zaposlenih. Namesto tega zahteva, da se dokazila o obdelavi zaposlenih vzdržujejo v kanoničnih registrih PIMS: REG02 za popis dejavnosti obdelave in povezavo s hrambo, REG04 za privacy risk in sprožitvene pogoje DPIA, REG06 za zahteve zaposlenih za uveljavljanje pravic, REG07 za obvestila o zasebnosti zaposlenih, REG08 za obdelovalce kadrovskih podatkov in dobavitelje, REG10 za incidente v zvezi s PII zaposlenih ter REG12 za izjeme, neskladnosti, korektivne ukrepe, spremljanje in dokazila o izboljšavah. Ta struktura podpira namen politike: PII zaposlenih se smejo obdelovati samo za dokumentirane, odobrene, pregledne, sorazmerne in odgovorne kadrovske namene, ob izogibanju podvojeni dokazilni plasti, specifični za HR. Izjave politike določajo podrobne operativne kontrole za življenjski cikel podatkov zaposlenih. Preden se PII zaposlenih zbirajo, ustvarijo, uvozijo, uporabijo ali razkrijejo, mora lastnik procesa / lastnik podjetja v REG02 evidentirati dejavnost obdelave zaposlenih, vključno s kategorijami PII, populacijo zaposlenih, virom zbiranja, namenom obdelave, sistemi, kategorijami notranjih in zunanjih prejemnikov ter povezavo s hrambo. Obvestila o zasebnosti zaposlenih je treba vzdrževati v REG07 pred neposrednim ali posrednim zbiranjem za nov ali bistveno spremenjen namen. Politika zahteva, da se PII zaposlenih uporabljajo samo za odobrene namene, evidentirane v REG02, ter da se kategorije notranjih prejemnikov, pogoji poslovne potrebe in ponavljajoča se zunanja razkritja dokumentirajo pred začetkom razkritja. Sum nepooblaščenega razkritja, dostopa, izgube ali neprimerne uporabe podatkov spremljanja mora biti v enem delovnem dnevu od identifikacije usmerjen v REG10. Posebna pozornost je namenjena upravljanju pravic zaposlenih, spremljanju zaposlenih in kadrovskim dobaviteljem. Zahteve zaposlenih za uveljavljanje pravic morajo biti evidentirane ali usmerjene v REG06 v dveh delovnih dneh, pri čemer morajo biti prispevki lastnika procesa predloženi v petih delovnih dneh od dodelitve. Kompleksne zahteve, ki vključujejo zapise spremljanja, zapise preverjanja preteklosti, posebne vrste PII, PII zaposlenih tretjih oseb, pravne omejitve ali avtomatizirano sprejemanje odločitev, zahtevajo nasvet pooblaščene osebe za varstvo podatkov / svetovalca za zasebnost pred zavrnitvijo, podaljšanjem, omejitvijo ali kompleksno obravnavo. Spremljanje zaposlenih mora biti pred omogočitvijo ali bistveno spremembo dokumentirano v REG02, usmerjeno prek REG04 za privacy risk ali preverjanje potrebe po DPIA, kadar je sproženo, podprto z veljavnimi dokazili o obvestilu ali komunikaciji iz REG07 ter vzorčeno v REG12 vsaj letno, kadar je vključeno v REG02. Obdelovalci kadrovskih podatkov, obračun plač, HRIS, ugodnosti, preverjanje preteklosti in zunanji izvajalci kadrovskih storitev morajo biti evidentirani v REG08, preden se PII zaposlenih razkrijejo ponudniku, do njih ponudnik dostopa ali se obdelujejo prek ponudnika. Določbe o upravljanju dodeljujejo ponavljajoče se odgovornosti za nadzor in uveljavljanje. Vodja zasebnosti / vodja PIMS mora četrtletno izvajati preglede dokazil o zasebnosti zaposlenih v REG02, REG04, REG06, REG07, REG08, REG10 in REG12, medtem ko najvišje vodstvo odobri bistvene spremembe politike in visoko tvegane izjeme glede zasebnosti zaposlenih. Kazalniki vključujejo odstotek dejavnosti obdelave zaposlenih z aktualnimi zapisi REG02, ažurnost obvestil o zasebnosti zaposlenih, odprte postavke usmerjanja za privacy risk in DPIA, pravočasnost zahtev zaposlenih za uveljavljanje pravic, dokončanje pregleda kadrovskih dobaviteljev ter trende incidentov v zvezi s PII zaposlenih, kadar pride do incidentov. Izjeme morajo biti evidentirane v REG12 pred odstopanjem, imeti določen datum poteka, ki ne presega 90 dni, in biti pregledane pred potekom. Uveljavljanje zahteva evidentiranje neskladnosti v REG12, kadar manjkajo zahtevana dokazila o zasebnosti zaposlenih, preprečuje odobritev spremljanja zaposlenih brez zahtevanih dokazil in omogoča začasno ustavitev novih razkritij PII zaposlenih kadrovskim dobaviteljem, kadar manjkajo dokazila o obdelovalcu, podobdelovalcu, navodilih ali pomoči.