RGPD في الموارد البشرية: معالجة بيانات الموظفين

تولد إدارة الموارد البشرية يومياً حجماً هائلاً من البيانات الشخصية: عقود العمل، كشوف الراتب، بيانات صحية، تقييمات الأداء، البيانات المصرفية... منذ بدء نفاذ اللائحة العامة لحماية البيانات (RGPD) في مايو 2018، أصبحت أقسام الموارد البشرية جهات فاعلة محورية في الامتثال داخل المؤسسات. ومع ذلك، وفقاً لتقرير نشاط CNIL لعام 2024، يبقى قطاع الموارد البشرية من بين ثلاثة مجالات يتم استهدافها بشكل متكرر أثناء عمليات التفتيش. يرشدك هذا المقال عبر الالتزامات الرئيسية والممارسات الجيدة والأدوات المتاحة لمعالجة بيانات موظفيك بامتثال كامل.

ما البيانات الشخصية التي تعالجها أقسام الموارد البشرية؟

فئات البيانات الشائعة

تتعامل خدمات الموارد البشرية مع طيف واسع جداً من البيانات الشخصية. يمكن التمييز بين عائلتين رئيسيتين:

البيانات العادية، المجمعة في سياق العقد الوظيفي: الاسم، واللقب، والعنوان، ورقم الضمان الاجتماعي، وبيانات الحساب المصرفي، والسيرة الذاتية، والشهادات، والسجل الوظيفي، والتقييمات السنوية، وجداول العمل، وبيانات الحضور والغياب.

البيانات الحساسة، الخاضعة لقيود معززة بموجب المادة 9 من RGPD: بيانات صحية (إجازات مرضية، إشعارات حوادث العمل، القيود الطبية)، بيانات النقابات (العضوية النقابية، الولايات التمثيلية)، بيانات تتعلق بالإدانات الجنائية في سياقات التوظيف معينة.

لا يمكن معالجة هذه الأخيرة إلا بموجب استثناء صريح ينص عليه اللائحة — مثل تنفيذ الالتزامات القانونية بموجب قانون العمل، أو الموافقة الصريحة من الشخص المعني.

الحالة الخاصة للتوظيف

تولد مرحلة التوظيف معالجات محددة، غالباً ما تكون غير محكومة بشكل سليم. تجميع السيرات الذاتية وخطابات التحفيز ونتائج الاختبارات يتطلب فترات احتفاظ دقيقة: وفقاً لتوصيات CNIL، يجب حذف بيانات المرشحين غير المختارين أو إخفاء هويتهم في مدة قصوى قدرها سنتان بعد آخر اتصال. الاحتفاظ بالسيرات الذاتية بشكل غير محدود في مجلد مشترك غير مأمون يشكل انتهاكاً واضحاً.

يجب أن يكون استخدام أدوات التتبع في أنظمة ATS (أنظمة تتبع المرشحين) أو الخوارزميات لتحليل السلوك موضوع إشعار صريح في سياسة الخصوصية المُرسلة إلى المرشحين، وفقاً للمواد 13 و14 من RGPD.

الأساس القانوني للمعالجة في سياق الموارد البشرية

تحديد الأساس القانوني الصحيح

يفرض RGPD أن يستند كل معالجة للبيانات الشخصية على أحد الأسس القانونية الستة المحددة في المادة 6. في سياق الموارد البشرية، يتم تفعيل ثلاثة أسس بشكل أساسي:

• تنفيذ العقد الوظيفي (المادة 6.1.b): يبرر معالجة البيانات الضرورية لإدارة الراتب والإجازات أو التدريب.

• الالتزام القانوني (المادة 6.1.c): ينطبق على الإقرارات الاجتماعية الإلزامية (DSN) وسجلات الموظفين أو متابعة حوادث العمل.

• المصلحة المشروعة (المادة 6.1.f): يمكن استدعاؤها للمعالجات مثل إدارة بطاقات الدخول أو المراقبة بالفيديو، مع مراعاة اختبار موازنة صارم.

الموافقة (المادة 6.1.a) هي بدلاً من ذلك أساس قانوني ضعيف في سياق العمل: تذكر CNIL والجنة الأوروبية لحماية البيانات (EDPB) أن عدم التوازن الهيكلي بين صاحب العمل والموظف يجعل من الصعب إثبات موافقة حرة. يجب استخدامه كملاذ أخير فقط.

سجل المعالجات، التزام لا يمكن تجنبه

يجب على أي مؤسسة توظف 250 شخصاً على الأقل — أو تعالج بيانات حساسة بحجم أصغر — الاحتفاظ بـ سجل أنشطة المعالجة (المادة 30 من RGPD). في الموارد البشرية، يجب أن يوثق هذا السجل، لكل معالجة: الغرض، وفئات البيانات، والمتلقون، وفترات الاحتفاظ، والتدابير الأمنية المنفذة.

هذا المستند، المتاح للـ CNIL في حالة التفتيش، هو أيضاً أداة إدارة قيمة. عند دمجه مع حل التوقيع الإلكتروني المخصص للموارد البشرية، فإنه يسمح بتتبع وتسجيل الوقت لكل مرحلة من دورة حياة مستند الموارد البشرية، مما يعزز قابلية مراجعة العمليات.

حقوق الموظفين والتزامات صاحب العمل

إبلاغ الموظفين: التزام فوري

تفرض المادة 13 من RGPD إبلاغ الأشخاص المعنيين في وقت جمع بياناتهم. من الناحية العملية، يجب أن يزود فريق الموارد البشرية الموظفين — بشكل مثالي عند التوقيع على العقد الوظيفي — بـ إشعار معلومات RGPD يفصل: هوية المسؤول عن المعالجة، والأغراض والأسس القانونية، وفترة الاحتفاظ، والحقوق المتاحة وإحداثيات مسؤول حماية البيانات (DPO) إذا كان لدى الشركة واحد.

إن تحويل هذا التبادل رقمياً وتأمينه أمر ضروري. يضمن استخدام التوقيع الإلكتروني في الشركة لتسليم هذا الإشعار إثبات تسليم مؤقت وغير قابل للطعن، متوافق مع متطلبات لائحة eIDAS.

الحقوق التي يجب احترام الموظفين بها بشكل حتمي

يتمتع الموظفون بحقوق واسعة على بياناتهم:

• حق الوصول (المادة 15): يمكن لأي موظف أن يطلب نسخة من جميع البيانات المتعلقة به والتي تعالجها صاحب العمل.

• حق التصحيح (المادة 16): تصحيح بيانات غير دقيقة (مثل العنوان البريدي أو بيانات الحساب المصرفي).

• حق الحذف (المادة 17): ينطبق في حالات معينة، لا سيما بعد إنهاء العقد وانقضاء الآجال القانونية للاحتفاظ.

• حق الاعتراض (المادة 21): يمكن للموظف الاعتراض على معالجة تستند إلى المصلحة المشروعة.

• حق التقييد (المادة 18): إيقاف مؤقت لمعالجة مطعون فيها.

يتمتع صاحب العمل بمهلة شهر واحد للرد على أي طلب لممارسة الحقوق، قابل للتمديد إلى ثلاثة أشهر في حالة التعقيد (المادة 12 من RGPD).

أمان بيانات الموارد البشرية وإدارة المتعاقدين الفرعيين

التدابير التقنية والتنظيمية

تفرض المادة 32 من RGPD تطبيق تدابير أمان "مناسبة للمخاطر". بالنسبة لبيانات الموارد البشرية، تشمل الممارسات الجيدة:

• التشفير للملفات التي تحتوي على بيانات حساسة (كشوف الراتب والملفات الطبية).

• التحكم في الوصول: مبدأ أقل صلاحية — مدير الرواتب ليس لديه وصول إلى البيانات الانضباطية.

• تسجيل الوصول إلى أنظمة الموارد البشرية (SIRH وأدوات الرواتب).

• خطة الاستجابة للانتهاكات: في حالة تسرب البيانات، يتمتع صاحب العمل بـ 72 ساعة لإبلاغ CNIL (المادة 33)، وربما الأشخاص المعنيين إذا كانت المخاطرة عالية (المادة 34).

يمكن لـ تدقيق كامل عبر دليل التوقيع الإلكتروني أن يساعد فرق الموارد البشرية على تحديد المعالجات غير المأمونة المستمرة على دعم ورقي والتحويل الرقمي لها بشكل متوافق.

تنظيم مزودي الموارد البشرية من خلال اتفاقيات معالجة البيانات

تستعين خدمات الموارد البشرية بعدد كبير من المتعاقدين الفرعيين: برامج الرواتب ومنصات التدريب وأدوات إدارة الوقت. يجب أن يكون كل مزود يدخل البيانات الشخصية موضوع اتفاقية معالجة البيانات (Data Processing Agreement — DPA)، وفقاً للمادة 28 من RGPD. يجب أن توضح هذه العقود تعليمات المعالجة والضمانات الأمنية وطرق استرجاع أو حذف البيانات والالتزامات في حالة الانتهاك.

يبقى اختيار مزودي الخدمات الذين يستضيفون بنيتهم التحتية في الاتحاد الأوروبي أو المحكومة باتفاقيات العقود النموذجية (CCT) الموافقة عليها من قبل المفوضية متطلباً أساسياً لتجنب أي نقل غير قانوني خارج الاتحاد الأوروبي.

فترات الاحتفاظ: قضية هيكلية

الفترات القانونية المعمول بها لملف الموظف

يتم تنظيم مدة الاحتفاظ ببيانات الموارد البشرية من خلال تراكم النصوص: RGPD (مبدأ تحديد الاحتفاظ، المادة 5.1.e)، وقانون العمل، وأحكام ضريبية واجتماعية مختلفة. من الناحية العملية، الآجال الرئيسية الواجب احترامها هي:

| نوع المستند | الحد الأدنى لفترة الاحتفاظ | |---|---| | كشف الراتب | 5 سنوات (التقادم الاجتماعي) | | العقد الوظيفي | 5 سنوات بعد انتهاء العقد | | بيانات الرواتب (DSN) | 3 سنوات (مراقبة URSSAF) | | سجل الموظفين | 5 سنوات بعد رحيل الموظف | | البيانات الانضباطية | المدة المتناسبة مع التدابير | | الملف الطبي (طب العمل) | 50 سنة (اللوائح المحددة) |

يشكل تنفيذ سياسة أرشفة وتنظيف مؤتمتة في SIRH، مقترنة بسير عمل التوقيع الإلكتروني الذي يسجل وقت إنشاء المستندات، أفضل ممارسة اليوم لإثبات الامتثال لـ CNIL.

الأخطاء الشائعة التي يجب تجنبها

الأخطاء الأكثر تكراراً التي لوحظت أثناء فحوصات CNIL فيما يتعلق ببيانات الموارد البشرية هي: الاحتفاظ غير المحدود بالسيرات الذاتية للمرشحين غير المختارين، والحفاظ على الوصول الحاسوبي للموظفين السابقين، وعدم تشفير ملفات الرواتب المُصدرة، وعدم حذف بيانات البطاقة بعد الآجال المنظمة. لتأمين هذه النقاط، استشارة مقارنة حلول التوقيع الإلكتروني تتيح تحديد الأدوات التي تتضمن بشكل أصلي وظائف الأرشفة الموثوقة وإدارة دورة حياة المستندات.

الإطار القانوني المعمول به لمعالجة بيانات الموارد البشرية

يندرج معالجة البيانات الشخصية للموظفين في إطار معياري كثيف، يربط عدة مستويات من التنظيم.

اللائحة (EU) 2016/679 — RGPD تشكل حجر الزاوية. تحدد مواده 5 إلى 11 المبادئ الأساسية (الشرعية والإنصاف والشفافية وتحديد الأغراض وتقليل البيانات والدقة وتحديد الاحتفاظ والنزاهة والسرية). تضع المادة 9 الشروط الصارمة المعمول بها على فئات معينة من البيانات، بما في ذلك البيانات الصحية والنقابية، وهي شائعة بشكل خاص في الموارد البشرية. توفر المادة 83 غرامات يمكن أن تصل إلى 20 مليون يورو أو 4% من رقم الأعمال العالمي في حالة الانتهاك الخطير.

قانون المعلومات والحريات المعدّل (القانون رقم 78-17 المؤرخ في 6 يناير 1978)، في نسخته الموحدة، يكيّف RGPD مع القانون الفرنسي. يمنح CNIL سلطاتها للمراقبة والعقوبة، ويتوخى بشكل خاص استثناءات قطاعية لبيانات الصحة في طب العمل.

قانون العمل ينظم المعالجات المرتبطة بمراقبة الموظفين (المادة L. 1121-1 بشأن احترام الحياة الخاصة)، والتشاور مع ممثلي الموظفين على الأدوات الرقمية (المادة L. 2312-38)، والسجلات الإلزامية.

اللائحة eIDAS (رقم 910/2014)، التي تم تكميلها بـ eIDAS 2.0 (اللائحة UE 2024/1183)، تنظم القيمة القانونية للتوقيعات الإلكترونية الموقعة على مستندات الموارد البشرية. يوفر التوقيع الإلكتروني المؤهل (SEQ)، الممتثل للملحق الأول من eIDAS والمعايير ETSI EN 319 132 وETSI EN 319 122، افتراض التكافؤ بالتوقيع اليدوي بموجب المادة 1367 من القانون المدني الفرنسي.

المادة 1366 من القانون المدني تنص على أن "الكتابة الإلكترونية لها نفس قوة الكتابة على دعم ورقي، شريطة أن يكون بإمكاننا التعرف بشكل صحيح على الشخص الذي يصدر عنه وأنه قد تم إنشاؤه والحفاظ عليه بطريقة تضمن سلامته". ينطبق هذا الحكم مباشرة على عقود العمل والتعديلات والاتفاقيات السرية ومستندات الموارد البشرية الأخرى المرقمنة.

توجيهية NIS2 (UE 2022/2555)، التي تم نقلها إلى القانون الفرنسي بموجب القانون المؤرخ في 26 فبراير 2025، تفرض على الكيانات الأساسية والمهمة (خاصة الشركات الصناعية الكبرى وقطاع خدمات الإنترنت) متطلبات معززة فيما يتعلق بإدارة المخاطر المتعلقة بأمن المعلومات، بما في ذلك حماية البيانات الحساسة للموارد البشرية.

تشهد العقوبات التي تفرضها CNIL ارتفاعاً حاداً: في عام 2024، يتجاوز المبلغ الإجمالي للغرامات 100 مليون يورو، مع عدة قرارات تتضمن مباشرة انتهاكات في إدارة بيانات الموظفين. عدم احترام فترات الاحتفاظ وغياب اتفاقيات معالجة البيانات مع المتعاقدين الفرعيين للموارد البشرية وعدم كفاية تدابير الأمان يندرج ضمن الأسباب الأكثر تكراراً.

سيناريوهات الاستخدام: الامتثال RGPD في الموارد البشرية عملياً

السيناريو 1 — شركة صناعية متوسطة الحجم بـ 450 موظفاً تعتمد عمليات الإدماج الرقمية

كانت شركة صناعية متوسطة الحجم، موزعة على ثلاثة مواقع في فرنسا، تدير عقود العمل والتعديلات على دعم ورقي. لم يتم نقل ملفات الموظفين الجدد إلى قسم الرواتب إلا بعد تأخير بمتوسط 12 يوم عمل، مما أدى إلى أخطاء في الرواتب في حوالي 8% من الحالات. علاوة على ذلك، لم يتم تسليم أي إشعار RGPD رسمي للموظفين الجدد: المعلومات كانت موجودة فقط في أسفل النظام الداخلي، غير موقعة بشكل منفصل.

بعد نشر حل التوقيع الإلكتروني المتكامل مع SIRH الخاص بها، مع تسليم متزامن لإشعار RGPD موقع بالمشاركة من قبل الموظف والمدير، قللت الشركة تأخير الإدماج الموثقي إلى يومي عمل (تقليل بنسبة 83%). انخفضت أخطاء الرواتب الناجمة عن بيانات ناقصة إلى أقل من 1%. يتم أرشفة كل مستند موقع مع ختم زمني مؤهل، مما يوفر إثباتاً قابلاً للمعارضة في حالة فحص CNIL أو نزاع عمل.

السيناريو 2 — مجموعة توزيع بـ 1200 موظف تضع سياسة الاحتفاظ في الامتثال

خضعت مجموعة تعمل في التوزيع المتخصص لفحص CNIL أثناء شكوى من موظف سابق. كشفت الفحوصات أن ملفات Excel تحتوي على بيانات الرواتب للموظفين الذين غادروا منذ أكثر من 8 سنوات كانت لا تزال قابلة للوصول على خادم مشترك غير آمن، بدون تشفير. تم إصدار تحذير رسمي، مصحوباً بأمر بالامتثال في غضون 3 أشهر.

بدأت المجموعة بعد ذلك بتدقيق شامل لمعالجاتها في الموارد البشرية، وقامت بتخطيط 23 نشاط معالجة، وتنفيذ خطة حذف مؤتمتة يتم تفعيلها بواسطة SIRH. تم نقل المستندات الموقعة إلكترونياً إلى خزانة رقمية آمنة مع فترات احتفاظ مكونة وفقاً للالتزامات القانونية. قام مسؤول حماية البيانات بإنتاج سجل كامل لمعالجات الموارد البشرية، تم تقديمه أثناء فحص CNIL ثانٍ بعد 18 شهراً، الذي انتهى بدون تتبع. تم تقدير تكلفة الامتثال بأقل من 60% من مبلغ الغرامة المحتملة.

السيناريو 3 — شركة استشارات موارد بشرية بـ 35 موظفاً تأمن بيانات مستشاريها والعملاء

تدير شركة متخصصة في الموارد البشرية بيانات مستشاريها الخاصة وبيانات المرشحين والموظفين لشركاتها العميلة (في سياق مهام التقييم أو إعادة التوظيف). وهكذا تجد نفسها في موقف مزدوج: مسؤولة عن المعالجة لموارد بشريتها الخاصة، ومتعاقدة فرعية (أو حتى مسؤولة مشتركة) لبيانات الغير.

طبقت الشركة هندسة معمارية موثقة مختلفة: توقيعات إلكترونية بسيطة للتبادلات الداخلية الروتينية، توقيعات متقدمة لعقود المهام مع العملاء، واتفاقيات معالجة البيانات (DPA) مدمجة بشكل منتظم في خطابات المهام. تلقى جميع المستشارين ميثاق RGPD محدثاً، موقعاً إلكترونياً ومحفوظاً في سجل مخصص. سمحت هذه المنظمة للشركة بإبراز امتثالها كحجة تسويقية مع العملاء الكبار الخاضعين لعمليات تدقيق المورد الصارمة، مما قلل متوسط وقت الدمج من 7 إلى أسبوعين.

الخلاصة

يفرض RGPD على أقسام الموارد البشرية تحولاً عميقاً في ممارساتها: تحديد صارم للأسس القانونية، إبلاغ فعلي للموظفين، إدارة الحقوق، الإشراف التعاقدي على المتعاقدين الفرعيين، تأمين البيانات واحترام فترات الاحتفاظ. هذه الالتزامات