Care sunt in viziunea dvs. procedurile care ar trebui obligatoriu implementate in dpt. HR dintr-o instituție publică, unde avem atât angajați cât și candidați? Mulțumesc
Problematica indicată este una complexă și cuprinde întreg procesul de conformare la GDPR al activităților specifice departamentului HR.
Acțiunile întreprinse vor fi similare atât în cazul instituțiilor publice cât și al companiilor private. Singurele diferențe derivă din statutul public al instituțiilor și al obligativității publicării / informării cu privire la o serie de informații: declarații de avere, rezultate concurs, informații cu caracter public etc.
Procedurile si politicile care trebuie aplicate sunt rezultatul unui proces de evaluare al situație existente respectiv al cartografierii prelucrărilor de date.
În urma Cartografierii va rezulta un inventar cu toate tipurile de prelucrări care se fac în interior departamentul de HR, și în funcție de conformitatea acestora va trebuie să întreprindeți câteva acțiuni concrete / punctuale:
- Politici de prelucrarea a datelor la nivelul departamentului (integrate în politica generală de confidențialitate a instituției)
- Modificări la nivel de ROI si ROF
- Proceduri cu privire la manipularea documentelor (clear desk policy, tocător de hârtie, dulapuri încuiate etc.)
- Modificări la nivel de nomenclator arhivistic
- Clauze de confidențialitate la contractele persoanelor care prelucrează date cu caracter personal
- Informarea angajaților cu privire la prelucrările / temeiul legal / si parametri asociați (termenii de stocare, cine are acces, scopul etc …)
- Posibilitate de exercitare a drepturilor peroanelor vizate (în cazul de față angajații instituției sau candidații).
Aceste indicații oferite sunt cu titlu de exemplu și nu reprezintă toate procedurile pentru conformarea departamentului HR.
Ați punctat corect distincția, cu o completare: candidați/angajați/angajați temporar sau ocazionali/pensionari și alte categorii cărora le-a încetat contractul de munca.
Pentru fiecare dintre aceștia se stabilesc distinct prevederi/proceduri referitoare, în special, la datele colectate și la termenul de colectare, precum și la drepturile specifice pe care le au conform RGPD.
Daca au pecat definitiv din firma , se marchează DCP , in funtie de retentia stabilitita de catre IT, si procedura de arhivare electornica cu cryptare pe storage.
Normal trebuie sa existe lista documente GDPR . Manual cu proceduri , note interne ….. Note de informare protectia dateleor pentru angajati, acord privind protectia dateleor pentru angajati, formular si registre maparea dateleor.
Am un manual facut dosar GDPR pe 7 capitole.
Se pot face in etape toate aceste aspecte.
Aceasta ar fi prima faza
Dosar GDPR
Registru de documente/proceduri GDPR
Assessment conformare GDPR
Recomandari in vederea asigurarii conformitatii
Strategia și planificarea activităților GDPR (ca proces continuu) – training angajati, evaluare documentatie, monitorizare si testare controale
Metodologia de Management si Tratare Riscurilor
Evaluarea riscurilor (atât ca impact asupra individului – conform GDPR, dar si a organizației)
Metodologia de Evaluare a Impactului privind Protecția Datelor
Evaluarea de impact a protecției datelor
Registrul de Evidență a Prelucrărilor
Ghid privind Inventarul Datelor cu caracter personal si Maparea activitatilor de procesare
Inventar al datelor cu caracter personal
Inventar al mijloacelor de prelucrare
Inventar destinatarilor/ persoanelor imputernicite
Analiza minimizării datelor pentru formularele / contractele de colectare / etc.
Analiza temeiurilor legale vs. Scopuri și analiza / justificarea interesului legitim, unde este cazul
Politică generală privind protecția datelor.
Politică de confidențialitate / Notă de informare generală
Politica de protectie a datelor cu caracter personal site
Politica de protectie a datelor cu caracter personal a angajatilor
Angajament salariați
……………………
Please login or Register to submit your answer