Weisung des Personalamts vom 1. Januar 2013 

Allgemeines

Diese Weisung regelt die Aufgaben, Kompetenzen und Verantwortung im Zusammenhang mit dem Zugriff und der Bewirtschaftung der Daten im Personalmanagement- und Lohnadministrationssystem PULS-ZH sowie dem PULS-Auswertungssystem Cognos. Sie richtet sich an die Dateneigentümer/Zugriffsverantwortlichen, deren Vorgesetzte und die Personalverantwortlichen der Direktionen und der Staatskanzlei. Bestandteil des Datenbewirtschaftungskonzepts sind – ganz oder teilweise - folgende Unterlagen:

• Funktionendiagramm PULS
• Prozessdokumentationen
• Datenschutzkonzept
• Berechtigungs-Matrix (Zugriff PULS, Cognos)
• Handbuch Personalrecht (teilweise)

Als Grundlage dienen die Informatiksicherheitsverordnung vom 17. Dezember 1997 sowie die entsprechenden Bestimmungen des Personalgesetzes, der Personalverordnung sowie der Vollzugsverordnung zum Personalgesetz.

Funktionendiagramm

Das Funktionendiagramm gibt einen schematischen Überblick über die wesentlichsten Tätigkeiten und Zuständigkeiten im Zusammenhang mit der Datenbewirtschaftung und dem Betrieb von PULS. Die Aufgabenteilung zwischen der CC Payroll und den Personaldiensten bzw. der Linie kann variieren und wird mit den Personalbeauftragten der einzelnen Direktionen festgelegt. Abweichungen vom vorliegenden Funktionendiagramm sind zu dokumentieren.

Prozesse

Auf der Basis des Funktionendiagramms werden die wichtigsten Prozesse definiert und schematisch dargestellt. Diese sind bezüglich der vorgegebenen Abläufe mit der CC Payroll verbindlich einzuhalten, können aber bei der Aufgabenteilung zwischen Linie und Personaldienst bereichsweise abweichen. Abweichungen sind zu dokumentieren.

Benutzerprofil und Datenbewirtschaftung

Mit der Genehmigung des Benutzerprofils und damit der Zugriffsberechtigung auf die Daten in PULS für die gemeldeten Mitarbeitenden übernimmt die Amtsstelle (Personalverantwortliche Person für das Amt) als Dateneignerin/Zugriffsverantwortliche die Verantwortung für die Einsichtnahme inklusive Auswertung und/oder Bewirtschaftung der Daten entsprechend dem Benutzerprofil im definierten Bereich. Damit sind die folgenden Verantwortlichkeiten verbunden:

Datenzugriff und Auswertung

• Sicherstellen, dass der Zugriff und die Daten entsprechend der Informatiksicherheitsver¬ordnung, Sicherheitsstufe 3 (hoher Schutz), behandelt werden. Aufgrund der Risikoanalyse ist die Sicherheitsstufe der Daten (Informatiksicherheitsverordnung) festzulegen und zu dokumentieren. Die entsprechende Umsetzung der Sicherheitsstufe ist für die physischen Daten durch die Amtsstelle (Personalverantwortliche Person für das Amt) als Dateneignerin / Zugriffsverantwortliche zu realisieren.
• Sicherstellen, dass die Benutzerprofile den Aufgaben, Kompetenzen und der Verantwortung der Benutzenden entsprechen. Die Berechtigungen sind nach dem Grundsatz «so wenig wie möglich und so viel wie nötig» zu vergeben. Die Mutationen von Benutzenden (z. B. Ein- und Austritte) und Benutzerprofilen sind rechtzeitig dem CC PULS zu melden.
• Bei mehreren Personen mit Zugriffberechtigungen ist eine Person (Super-User) zu bezeichnen, welche bei Passwortverlust Kontakt mit dem CC PULS aufnimmt. (Passwortverluste sind per E-Mail an pulszh@pa.zh.ch (Name, Vorname, User-ID) mit Kopie an die Zugriffsverantwortlichen/ Dateneigentümer zu melden). Die Personalien des Super-Users sind dem CC PULS durch die Dateneigentümer/Zugriffsverantwortlichen zu melden.

Datenbewirtschaftung

Für die Datenbewirtschaftung gilt zusätzlich:

• Sicherstellen, dass die Benutzenden entsprechend ihrer Aufgabe geschult sind bzw. die notwendigen PULS-Kurse (s. Schulungsprogramm Abt. Personalentwicklung) besucht haben.
• Sicherstellen, dass die Prozesse gemäss Vorgaben des Personalamts eingehalten werden. Allfällige Abweichungen sind mit dem Personalamt abzustimmen und zu dokumentieren.
• Sicherstellen, dass die Datenqualität mit entsprechenden regelmässigen Kontroll-Auswertungen überwacht wird. Die vorgesehenen Kontrollmassnahmen sind zu beschreiben und im Rahmen der Stellenbeschreibungen einzelnen Mitarbeitenden zu übertragen.
• Sicherstellen, dass bei der Mutation von Daten das Belegprinzip (autorisiert) sowie die vorgesehenen Massnahmen des Internen Kontrollsystems (IKS) eingehalten werden.
• Sicherstellen, dass bei der Verwendung der Lohnarten insbesondere die personalrechtlichen, steuerrechtlichen sowie sozialversicherungsrechtlichen Vorschriften berücksichtigt werden. Allfällige Unsicherheiten sind mit den Zahlstellenleitenden/CC Payroll /Rechnungsverantwortlichen abzustimmen.

Anzumerken ist, dass die Verantwortung für die materielle Richtigkeit der Daten, insbesondere der Lohndaten und des Versicherungsschutzes, immer bei der Amtsstelle liegt, auch wenn die Mutationen von der CC Payroll vorgenommen werden (vgl. Weisung des Personalamtes über die Kontrolle der Lohnjournale vom 8. Juni 2012; neu: Weisung des Personalamts vom 1. Februar 2019 zur Kontrolle der Lohnauszahlung und -verbuchung).

Die aktuellen Zugriffsrechte werden den Zugriffsverantwortlichen/ Dateneigentümer jährlich zur Kontrolle abgegeben. Deren Richtigkeit sind dem CC PULS schriftlich zu bestätigen.

Die aktuellen Zugriffsrechte werden den Zugriffsverantwortlichen/ Dateneigentümer jährlich zur Kontrolle abgegeben. Deren Richtigkeit sind dem CC PULS schriftlich zu bestätigen.

Lohnausweis - Lohnübersicht

Das Personalamt ist verantwortlich für die formelle Richtigkeit des Lohnausweises.

Die Verantwortung für die korrekte und lückenlose Erfassung von lohnwirksamen und lohnneutralen Vergütungen wie Spesen, Privatanteil Geschäftswagen, Beiträge an die Weiterbildung oder Abgabe von ZVV- oder GA-Abonnements (vgl. Wegleitung zum Ausfüllen des Lohnausweises) usw. liegt bei den Amtsstellen.

Datenschutz – Datenaufbewahrung

Die Dateneigentümer sind verantwortlich dafür, dass aufgrund der rechtlichen Bestimmungen und der Risikoanalyse die Aufbewahrungsfrist der Daten festgelegt wird. Nicht mehr benötigte Daten werden im Rahmen der allgemeinen Regelung zur Archivierung in Absprache mit den Direktionen /Dateneigentümern frühestens 10 Jahre nach Austritt gelöscht. Die Aufbewahrung von über diesen Zeitpunkt hinaus benötigten Daten ist zu begründen.

Verpflichtung

Diese Weisung bildet Bestandteil des Antragsformulars für die Einrichtung eines Benutzerprofils für den Zugriff auf PULS/Cognos und gilt mit der Unterschrift auf dem Formular als verpflichtend.