RGPD في الموارد البشرية: معالجة بيانات الموظفين

تولد إدارة الموارد البشرية، كل يوم، حجماً كبيراً جداً من البيانات الشخصية: عقود العمل، كشوف الرواتب، بيانات الصحة، تقييمات الأداء، البيانات البنكية... منذ دخول النظام الأساسي لحماية البيانات (RGPD) حيز التنفيذ في مايو 2018، أصبحت أقسام الموارد البشرية جهات فاعلة مركزية في الامتثال داخل المنظمات. ومع ذلك، وفقاً لتقرير أنشطة CNIL لعام 2024، يبقى قطاع الموارد البشرية من بين ثلاثة مجالات يتم الطعن فيها بشكل متكرر خلال الفحوصات. يرشدك هذا المقال عبر الالتزامات الأساسية والممارسات الفضلى والأدوات المتاحة لمعالجة بيانات موظفيك بكل امتثال.

ما هي البيانات الشخصية التي تعالجها الموارد البشرية؟

فئات البيانات الشائعة

تتعامل أقسام الموارد البشرية مع نطاق واسع جداً من البيانات الشخصية. يمكن التمييز بين عائلتين كبيرتين:

البيانات العادية، التي يتم جمعها في إطار عقد العمل: الاسم والعنوان ورقم الضمان الاجتماعي والحساب البنكي والسيرة الذاتية والشهادات والسجل المهني والتقييمات السنوية وساعات العمل وبيانات الحضور والغياب.

البيانات الحساسة، الخاضعة لقيود معززة بموجب المادة 9 من RGPD: بيانات الصحة (إجازات المرض وتقارير حوادث العمل والقيود الطبية) وبيانات الاتحاد (العضوية في النقابات والتفويضات التمثيلية) وبيانات تتعلق بالإدانات الجنائية في سياقات التوظيف معينة.

لا يمكن معالجة هذه الأخيرة إلا بموجب استثناء صريح ينص عليه النظام - مثل تنفيذ الالتزامات القانونية بموجب قانون العمل أو الموافقة الصريحة من الشخص المعني.

الحالة الخاصة للتوظيف

تولد مرحلة التوظيف معالجات محددة، غالباً ما تكون غير محكومة بشكل صحيح. تتطلب جمع السير الذاتية وخطابات الدافع ونتائج الاختبارات فترات احتفاظ دقيقة: وفقاً لتوصيات CNIL، يجب حذف أو إخفاء بيانات المرشحين غير المختارين خلال فترة أقصاها سنتان بعد آخر اتصال. الاحتفاظ بالسير الذاتية بشكل غير محدود في دليل مشترك غير آمن يشكل انتهاكاً واضحاً.

يجب أن يكون استخدام أدوات التتبع في أنظمة ATS (أنظمة تتبع المتقدمين) أو الخوارزميات لتحليل السلوك موضوع ذكر صريح في سياسة الخصوصية المقدمة للمرشحين، وفقاً للمواد 13 و14 من RGPD.

الأساس القانوني للمعالجة في سياق الموارد البشرية

تحديد الأساس القانوني الصحيح

يفرض RGPD أن تستند أي معالجة للبيانات الشخصية إلى أحد الأسس القانونية الستة المحددة في المادة 6. في سياق الموارد البشرية، يتم تطبيق ثلاثة أسس بشكل أساسي:

• تنفيذ عقد العمل (المادة 6.1.ب): يبرر معالجة البيانات اللازمة لإدارة الرواتب والإجازات أو التدريب.

• الالتزام القانوني (المادة 6.1.ج): ينطبق على الإقرارات الاجتماعية الإلزامية (DSN) والسجلات الموظف أو تتبع حوادث العمل.

• المصلحة المشروعة (المادة 6.1.و): يمكن استدعاؤها لمعالجات مثل إدارة بطاقات الوصول أو المراقبة بالفيديو، مع الخضوع لاختبار توازن صارم.

الموافقة (المادة 6.1.أ) هي بدلاً من ذلك أساس قانوني هش في سياق العمل: تذكر CNIL والجنة الأوروبية لحماية البيانات (CEPD) أن عدم التوازن الهيكلي بين صاحب العمل والموظف يجعل من الصعب إثبات موافقة حرة. يجب استخدامه فقط كملاذ أخير.

سجل المعالجات، التزام لا يمكن تجاهله

يجب على أي مؤسسة توظف على الأقل 250 شخصاً - أو تعالج بيانات حساسة على نطاق أصغر - الاحتفاظ برسجل لأنشطة المعالجة (المادة 30 من RGPD). في مجال الموارد البشرية، يجب أن يوثق هذا السجل، لكل معالجة: الغرض والفئات البيانات والمستقبلون والفترات المحتفظ بها والتدابير الأمنية المنفذة.

هذا المستند، المحفوظ تحت تصرف CNIL في حالة الفحص، هو أيضاً أداة إدارة قيمة. عند دمجه مع حل التوقيع الإلكتروني المخصص للموارد البشرية، يسمح بتتبع وتسجيل كل مرحلة من مراحل دورة حياة مستند الموارد البشرية، مما يعزز من قابلية تدقيق العمليات.

حقوق الموظفين والتزامات صاحب العمل

إعلام الموظفين: التزام فوري

تفرض المادة 13 من RGPD إعلام الأشخاص المعنيين في وقت جمع بياناتهم. من الناحية العملية، يجب على الموارد البشرية تقديم الموظفين - يفضل عند توقيع عقد العمل - إشعار معلومات RGPD يوضح: هوية المسؤول عن المعالجة والأغراض والأسس القانونية ومدة الاحتفاظ والحقوق المتاحة وإحداثيات مسؤول حماية البيانات (DPO) إن وجد.

تعتبر رقمنة وتأمين هذا التبادل ضرورياً. يضمن استخدام التوقيع الإلكتروني في المؤسسة لتسليم هذا الإشعار دليل تسليم مؤرخ وغير قابل للطعن، متوافق مع متطلبات نظام eIDAS.

حقوق الموظفين الواجب احترامها بشكل إلزامي

للموظفين حقوق واسعة على بياناتهم:

• حق الوصول (المادة 15): يمكن لأي موظف طلب نسخة من جميع البيانات المتعلقة به والتي تعالجها الشركة.

• حق التصحيح (المادة 16): تصحيح بيانات غير دقيقة (مثل: العنوان البريدي أو رقم الحساب).

• حق الحذف (المادة 17): ينطبق في حالات معينة، خاصة بعد انتهاء العقد انقضاء فترات الاحتفاظ القانونية.

• حق الاعتراض (المادة 21): يمكن للموظف الاعتراض على المعالجة المبنية على المصلحة المشروعة.

• حق التقييد (المادة 18): تجميد مؤقت لمعالجة مثار عليها.

يتمتع صاحب العمل بمهلة شهر واحد للرد على أي طلب لممارسة الحقوق، يمكن تمديده إلى ثلاثة أشهر في حالة التعقيد (المادة 12 من RGPD).

أمان بيانات الموارد البشرية وإدارة المتعاقد معهم

التدابير التقنية والتنظيمية

تفرض المادة 32 من RGPD تطبيق تدابير أمان "مناسبة للخطر". بالنسبة لبيانات الموارد البشرية، تتضمن أفضل الممارسات:

• التشفير للملفات التي تحتوي على بيانات حساسة (كشوف الرواتب والملفات الطبية).

• التحكم في الوصول: مبدأ أقل امتياز - لا يحتوي مسؤول الرواتب على وصول إلى البيانات الانضباطية.

• تسجيل الوصول إلى أنظمة الموارد البشرية (SIRH وأدوات الرواتب).

• خطة الاستجابة للانتهاكات: في حالة تسرب البيانات، يتمتع صاحب العمل بـ 72 ساعة لإخطار CNIL (المادة 33) والأشخاص المتأثرين احتمالياً إذا كان الخطر مرتفعاً (المادة 34).

يمكن لـ تدقيق شامل عبر دليل التوقيع الإلكتروني أن يساعد فريق الموارد البشرية على تحديد المعالجات غير الآمنة المستمرة على الدعم الورقي وتحويلها إلى شكل رقمي بطريقة متوافقة.

تنظيم مزودي خدمات الموارد البشرية من خلال اتفاقيات معالجة البيانات

تستعين أقسام الموارد البشرية بعدد كبير من المتعاقد معهم: برامج الرواتب ومنصات التدريب وأدوات إدارة الوقت. يجب أن يكون كل مزود خدمة لديه وصول إلى البيانات الشخصية موضوع اتفاقية معالجة البيانات (DPA)، وفقاً للمادة 28 من RGPD. يجب أن تحدد هذه العقود تعليمات المعالجة وضمانات الأمان وشروط إعادة البيانات أو حذفها والالتزامات في حالة الانتهاك.

يبقى اختيار مزودي الخدمة الذين يستضيفون البنية التحتية في الاتحاد الأوروبي أو المشمولين بشروط تعاقدية قياسية معتمدة من المفوضية (CCT) متطلباً أساسياً لتجنب أي نقل غير قانوني خارج الاتحاد الأوروبي.

مدد الاحتفاظ: قضية هيكلية

المدد القانونية المعمول بها لملف الموظف

تحكم مدة الاحتفاظ بيانات الموارد البشرية مجموعة متراصة من النصوص: RGPD (مبدأ تحديد الاحتفاظ، المادة 5.1.ه) والقانون العمل وأحكام مختلفة ضريبية واجتماعية. من الناحية العملية، الآجال الرئيسية الواجب احترامها هي:

| نوع الوثيقة | الحد الأدنى لمدة الاحتفاظ | |---|---| | كشف الرواتب | 5 سنوات (الحد من المسؤولية الاجتماعية) | | عقد العمل | 5 سنوات بعد انتهاء العقد | | بيانات الرواتب (DSN) | 3 سنوات (فحص URSSAF) | | سجل الموظفين | 5 سنوات بعد رحيل الموظف | | بيانات انضباطية | مدة متناسبة مع الإجراء | | ملف طبي (الطب المهني) | 50 سنة (لوائح محددة) |

يعتبر تنفيذ سياسة أرشفة وتطهير آلية في SIRH، مقترنة بسير عمل التوقيع الإلكتروني الذي يسجل إنشاء المستندات، أفضل ممارسة اليوم لإثبات الامتثال لـ CNIL.

الأخطاء الواجب تجنبها

أكثر الأخطاء شيوعاً الملاحظة خلال فحوصات CNIL بشأن بيانات الموارد البشرية هي: الاحتفاظ غير المحدود بالسير الذاتية للمرشحين غير المختارين والحفاظ على الوصول الحاسوبي للموظفين السابقين وعدم تشفير ملفات الرواتب المُصدَّرة وعدم حذف بيانات التحقق من الهوية بتجاوز الآجال القانونية. لتأمين هذه النقاط، استشارة مقارنة حلول التوقيع الإلكتروني تسمح بتحديد الأدوات التي تتكامل بشكل أصلي مع وظائف الأرشفة الثابتة وإدارة دورة حياة المستندات.

الإطار القانوني المعمول به لمعالجة بيانات الموارد البشرية

تندرج معالجة البيانات الشخصية للموظفين في إطار معياري كثيف يجمع بين عدة مستويات تنظيمية.

النظام (EU) 2016/679 - RGPD يشكل حجر الأساس. تحدد المواد 5 إلى 11 المبادئ الأساسية (الشرعية والنزاهة والشفافية وتقييد الأغراض وتقليل البيانات والدقة وتحديد الاحتفاظ والسلامة والسرية). تحدد المادة 9 الشروط الصارمة المعمول بها على الفئات الخاصة من البيانات، بما في ذلك بيانات الصحة والنقابية، وهي متكررة بشكل خاص في الموارد البشرية. توفر المادة 83 غرامات قد تصل إلى 20 مليون يورو أو 4٪ من معدل الدوران العالمي في حالة انتهاك جسيم.

قانون المعلومات والحريات المعدل (القانون رقم 78-17 المؤرخ 6 يناير 1978)، في نسخته المعدلة، يقتبس RGPD في القانون الفرنسي. يمنح CNIL صلاحيات الرقابة والعقوبة، ويوفر خاصة استثناءات قطاعية لبيانات الصحة في الطب المهني.

قانون العمل ينظم المعالجات المتعلقة برقابة الموظفين (المادة L. 1121-1 على احترام الحياة الخاصة) واستشارة ممثلي الموظفين على الأدوات الرقمية (المادة L. 2312-38) والسجلات الإلزامية.

نظام eIDAS (الرقم 910/2014)، مكمل بـ eIDAS 2.0 (Regulation EU 2024/1183)، ينظم القيمة القانونية للتوقيعات الإلكترونية المرسومة على وثائق الموارد البشرية. التوقيع الإلكتروني المعترف به (SEQ)، المتوافق مع الملحق الأول من eIDAS والمعايير ETSI EN 319 132 و ETSI EN 319 122، يوفر افتراض التكافؤ للتوقيع اليدوي بمعنى المادة 1367 من القانون المدني الفرنسي.

المادة 1366 من القانون المدني تنص على أن "الكتابة الإلكترونية لها نفس قوة الكتابة على الورق، شريطة أن يمكن تحديد الشخص الذي ينبع منه بشكل صحيح وأنه يتم وضعه والحفاظ عليه بطريقة لضمان سلامته". ينطبق هذا الحكم مباشرة على عقود العمل والتعديلات والاتفاقيات السرية والمستندات الأخرى لـ الموارد البشرية المرقمنة.

توجيه NIS2 (EU 2022/2555)، المنقول إلى القانون الفرنسي بموجب القانون المؤرخ 26 فبراير 2025، يفرض على الكيانات الأساسية والمهمة (خاصة الشركات الصناعية الكبيرة والعاملون في خدمات رقمية) متطلبات معززة فيما يتعلق بإدارة المخاطر المتعلقة بأمان المعلومات، بما في ذلك حماية البيانات الحساسة للموارد البشرية.

تتزايد العقوبات الصادرة عن CNIL بشكل كبير: في عام 2024، يتجاوز المبلغ الإجمالي للغرامات 100 مليون يورو، مع عدة قرارات تتضمن بشكل مباشر انتهاكات في إدارة بيانات الموظفين. يشكل عدم الامتثال لمدد الاحتفاظ وغياب DPA مع مزودي خدمات الموارد البشرية وعدم كفاية التدابير الأمنية من بين الادعاءات الأكثر شيوعاً.

سيناريوهات الاستخدام: الامتثال لـ RGPD في الموارد البشرية عملياً

السيناريو الأول - شركة صناعية متوسطة الحجم بـ 450 موظفاً تقوم برقمنة عمليات الإعداد

كانت شركة صناعية متوسطة الحجم، موزعة على ثلاثة مواقع في فرنسا، تدير عقود عملها والتعديلات على الدعم الورقي. تم نقل ملفات الموظفين الجدد إلى قسم الرواتب فقط بعد تأخير متوسط يبلغ 12 يوم عمل، مما أدى إلى حدوث أخطاء في الرواتب في حوالي 8٪ من الحالات. علاوة على ذلك، لم يتم تقديم إشعار RGPD رسمي للموظفين الجدد: ظهرت المعلومات فقط في الجزء السفلي من لائحة العمل، التي لم توقع بشكل منفصل.

بعد نشر حل التوقيع الإلكتروني المدمج في SIRH الخاص به، مع التسليم المتزامن لإشعار RGPD موقع بشكل مشترك من قبل الموظف ومدير الموارد البشرية، قللت الشركة من تأخير الإعداد الوثائقي إلى يومي عمل (تخفيض 83٪). انخفضت أخطاء الرواتب المرتبطة بالبيانات المفقودة إلى أقل من 1٪. يتم أرشفة كل مستند موقع مع طابع زمني مؤهل، مما يوفر دليل قابل للاعتراض به في حالة فحص CNIL أو نزاع عمل.

السيناريو الثاني - مجموعة توزيع بـ 1200 موظفاً تضع سياسة الاحتفاظ الخاصة بها في الامتثال

خضعت مجموعة تعمل في التوزيع المتخصص لفحص CNIL بعد شكوى من موظف سابق. كشف الفحص أن ملفات Excel التي تحتوي على بيانات رواتب موظفين رحلوا منذ أكثر من 8 سنوات كانت لا تزال يمكن الوصول إليها على خادم مشترك غير آمن، بدون تشفير. تم إصدار تحذير رسمي، مقترناً بأمر الامتثال في غضون 3 أشهر.

قامت المجموعة بعد ذلك بإجراء تدقيق شامل لمعالجات الموارد البشرية الخاصة بها، وأنشأت خريطة لـ 23 نشاطاً معالجة، وأنشأت خطة تطهير آلية يتم تشغيلها بواسطة SIRH. تم نقل المستندات الموقعة إلكترونياً إلى خزنة رقمية بفترات احتفاظ مكونة وفقاً للالتزامات القانونية. أنتج DPO سجل معالجات الموارد البشرية كاملاً، قدم خلال فحص CNIL ثانٍ بعد 18 شهراً، والذي انتهى بدون متابعة. تم تقدير تكلفة الامتثال بأقل من 60٪ من مبلغ عقوبة محتملة.

السيناريو الثالث - مكتب استشارات الموارد البشرية بـ 35 شخصاً يؤمن بيانات استشاريه وعملائه

يدير مكتب متخصص في الموارد البشرية بيانات كل من استشاريه الخاصين والمرشحين والموظفين لديه شركات عملائه (في سياق مهام التقييم أو إعادة التوظيف). يجد نفسه بالتالي في موقع مزدوج: مسؤول معالجة لموارده البشرية الخاصة، وتحت مقاول (أو مسؤول مشترك) لبيانات الطرف الثالث.

نفذ المكتب بنية وثائقية مختلفة: توقيعات إلكترونية بسيطة للتبادلات الداخلية العادية، وتوقيعات متقدمة لعقود المهام مع العملاء، واتفاقيات معالجة البيانات (DPA) المدمجة بشكل منهجي في خطابات المهام. تلقى جميع الاستشاريين ميثاق RGPD محدث، موقع إلكترونياً ومحفوظ في سجل مخصص. سمحت هذه الترتيبات للمكتب بعرض امتثاله كحجة تجارية لدى الحسابات الكبرى الخاضعة لتدقيقات الموردين الصارمة، مما قلل متوسط وقت التعاقد من 7 إلى أسبوعين.

الخلاصة

يفرض RGPD على مديريات الموارد البشرية تحولاً عميقاً في ممارساتهم: تحديد صارم للأسس القانونية، إعلام فعلي للموظفين، إدارة الحقوق، التأطير التعاقدي للمتعاقد معهم، تأمين البيانات واحترام فترات الاحتفاظ. ليست هذه الالتزامات مجرد شكليات إدارية بسيطة - فهي تحدد قدرة الشركة على تجنب عقوبات قد تصل إلى عدة ملايين يورو والحفاظ على ثقة فريقها.

تعتبر رقمنة عمليات الموارد البشرية، عبر حلول التوقيع الإلكتروني المتوافقة مع eIDAS، من أكثر الروافع فعالية للجمع بين الكفاءة التشغيلية والامتثال التنظيمي. يرافق Certyneo فريق الموارد البش