Policy för integritetsskydd för anställda

Policy för integritetsskydd för anställda definierar integritetskrav för personuppgifter om anställda inom ledningssystem för hantering av integritetsinformation. Dess omfattning innefattar insamling, användning, utlämnande, bevarandekoppling, integritetsmeddelanden, hantering av rättigheter, övervakning, stöd från personuppgiftsbiträden och underlagshantering av personuppgifter om anställda. Policyn gäller både i sammanhang där organisationen är personuppgiftsansvarig eller gemensamt personuppgiftsansvarig och fastställer ändamålen och medlen för behandling av personuppgifter om anställda, samt i sammanhang med personuppgiftsbiträden och underbiträden där organisationen behandlar personuppgifter om anställda enligt dokumenterade instruktioner. Personuppgifter om anställda definieras brett och omfattar information som rör anställda, arbetssökande, tidigare anställda, uppdragstagare, tillfälligt anställda, praktikanter, utsända medarbetare och andra deltagare i arbetsstyrkan när organisationen behandlar deras personuppgifter för ändamål som rör arbetsstyrka, rekrytering, anställning, engagemang, ersättning, förmåner, säkerhet, regelefterlevnad, arbetsplatsadministration eller relaterade verksamhetsändamål. En central del av policyn är dess underlagsmodell. Policyn skapar inte ett separat HR-integritetsregister, register för integritetsskydd för anställda, register för övervakning av anställda, HR-leverantörsregister, register för anställdas rättigheter eller register över incidenter som rör anställda. I stället kräver den att underlag för behandling av personuppgifter om anställda upprätthålls i de kanoniska PIMS-registren: REG02 för behandlingsinventering och bevarandekoppling, REG04 för integritetsrisker och DPIA-utlösare, REG06 för rättighetsbegäranden från anställda, REG07 för integritetsmeddelanden till anställda, REG08 för HR-personuppgiftsbiträden och leverantörer, REG10 för personuppgiftsincidenter som rör anställda samt REG12 för undantag, avvikelser, korrigerande åtgärder, övervakning och förbättringsunderlag. Denna struktur stödjer policyns syfte: personuppgifter om anställda ska endast behandlas för dokumenterade, godkända, transparenta, proportionerliga och ansvarsskyldiga ändamål som rör arbetsstyrkan, samtidigt som ett dubblerat HR-specifikt underlagslager undviks. Policyuttalandena anger detaljerade operativa kontroller för livscykeln för personuppgifter om anställda. Innan personuppgifter om anställda samlas in, genereras, importeras, används eller lämnas ut ska processägaren / verksamhetsägaren registrera behandlingsaktiviteten för anställda i REG02, inklusive kategorier av personuppgifter, population av anställda, insamlingskälla, behandlingsändamål, system, interna och externa mottagarkategorier samt bevarandekoppling. Integritetsmeddelanden till anställda ska upprätthållas i REG07 före direkt eller indirekt insamling för ett nytt eller väsentligt ändrat ändamål. Policyn kräver att personuppgifter om anställda endast används för godkända ändamål som registrerats i REG02, och den kräver att interna mottagarkategorier, villkor utifrån verksamhetsbehov och återkommande externa utlämnanden dokumenteras innan utlämnandet inleds. Misstänkt obehörigt röjande, obehörig åtkomst, förlust eller missbruk av övervakningsdata ska styras till REG10 inom en arbetsdag från identifiering. Anställdas rättigheter, övervakning och HR-leverantörsstyrning ges särskild uppmärksamhet. Rättighetsbegäranden från anställda ska registreras i eller styras till REG06 inom två arbetsdagar, och processägarens underlag ska lämnas inom fem arbetsdagar från tilldelning. Komplexa begäranden som rör övervakningsposter, register från bakgrundskontroller, särskilda kategorier av personuppgifter, tredjepartsuppgifter om anställda, rättsliga begränsningar eller automatiserat beslutsfattande kräver råd från dataskyddsombud / integritetsrådgivare före avslag, förlängning, begränsning eller komplex hantering. Övervakning av anställda ska dokumenteras i REG02 före aktivering eller väsentlig ändring, styras via REG04 för screening av integritetsrisker eller DPIA-screening när detta utlöses, stödjas av aktuellt underlag för integritetsmeddelande eller kommunikation i REG07 och ingå i stickprov i REG12 minst årligen när den ingår i REG02. HR-personuppgiftsbiträden, löneleverantörer, HRIS, förmåner, bakgrundskontroller och utlagda HR-tjänsteleverantörer ska registreras i REG08 innan personuppgifter om anställda lämnas ut till, nås av eller behandlas genom leverantören. Styrningsbestämmelserna tilldelar återkommande tillsyns- och tillämpningsansvar. Privacy Lead / PIMS Manager ska genomföra kvartalsvisa granskningar av integritetsunderlag för anställda över REG02, REG04, REG06, REG07, REG08, REG10 och REG12, medan högsta ledningen godkänner väsentliga policyändringar och högriskundantag avseende integritetsskydd för anställda. Mätetal omfattar andelen behandlingsaktiviteter för anställda med aktuella REG02-poster, aktualitet för integritetsmeddelanden till anställda, öppna poster för integritetsrisker och DPIA-styrning för anställda, punktlighet för rättighetsbegäranden från anställda, slutförd HR-leverantörsgranskning och trender för personuppgiftsincidenter som rör anställda när incidenter inträffar. Undantag ska registreras i REG12 före avvikelse, tilldelas ett utgångsdatum som inte överstiger 90 dagar och granskas före utgång. Tillämpningen kräver att avvikelser registreras i REG12 när nödvändigt integritetsunderlag för anställda saknas, förhindrar godkännande av övervakning av anställda utan nödvändigt underlag och tillåter tillfälligt stopp för nya utlämnanden av personuppgifter om anställda till HR-leverantörer när underlag om personuppgiftsbiträde, underbiträde, instruktioner eller assistans saknas.