RGPD في الموارد البشرية: معالجة بيانات الموظفين

تولد إدارة الموارد البشرية، يومياً، حجماً كبيراً من البيانات الشخصية: عقود العمل، كشوف الرواتب، بيانات الصحة، تقييمات الأداء، البيانات المصرفية... منذ دخول اللائحة العامة لحماية البيانات (RGPD) حيز التنفيذ في مايو 2018، أصبحت أقسام الموارد البشرية جهات فاعلة مركزية في الامتثال داخل المنظمات. ومع ذلك، وفقاً لتقرير النشاط 2024 الصادر عن CNIL، يظل قطاع الموارد البشرية من بين ثلاثة مجالات يتم التحقيق فيها بشكل متكرر. تدليك هذا المقال بشأن الالتزامات الرئيسية والممارسات الجيدة والأدوات المتاحة لمعالجة بيانات موظفيك بامتثال كامل.

ما هي البيانات الشخصية التي تعالجها أقسام الموارد البشرية؟

فئات البيانات الشائعة

تتعامل أقسام الموارد البشرية مع طيف واسع جداً من البيانات الشخصية. يمكن تمييز عائلتين رئيسيتين:

البيانات العادية، المجمعة في سياق عقد العمل: الاسم واللقب والعنوان ورقم الضمان الاجتماعي والحساب البنكي والسيرة الذاتية والشهادات والتاريخ الوظيفي والتقييمات السنوية وساعات العمل وبيانات الحضور والغياب.

البيانات الحساسة، الخاضعة لقيود معززة بموجب المادة 9 من RGPD: بيانات الصحة (إجازات المرض وإعلانات حوادث العمل والقيود الطبية)، والبيانات النقابية (الانتماء النقابي والولايات النيابية)، والبيانات المتعلقة بالإدانات الجنائية في سياقات التوظيف معينة.

لا يمكن معالجة هذه الأخيرة إلا بموجب استثناء صريح ينص عليه اللائحة - مثل تنفيذ الالتزامات القانونية المتعلقة بقانون العمل، أو الموافقة الصريحة للشخص المعني.

الحالة الخاصة للتوظيف

تولد مرحلة التوظيف معالجات محددة، غالباً ما تكون موضوعة بشكل سيء. يتطلب جمع السيرة الذاتية ورسائل التحفيز ونتائج الاختبارات مدد حفظ دقيقة: وفقاً لتوصيات CNIL، يجب حذف بيانات المرشحين غير المختارين أو إزالة الهوية منها في غضون سنتين كحد أقصى من آخر اتصال. إن حفظ السيرة الذاتية بشكل غير محدود في دليل مشاركة غير آمن يشكل انتهاكاً واضحاً.

يجب أن يكون استخدام أدوات التتبع في أنظمة ATS (Applicant Tracking Systems) أو الخوارزميات التحليلية السلوكية موضوع إشعار صريح في سياسة الخصوصية المرسلة إلى المرشحين، وفقاً للمواد 13 و 14 من RGPD.

أسس قانونية المعالجة في سياق الموارد البشرية

تحديد الأساس القانوني الصحيح

يفرض RGPD أن تستند أي معالجة للبيانات الشخصية إلى أحد الأسس القانونية الستة المحددة في المادة 6. في سياق الموارد البشرية، يتم استخدام ثلاثة أسس بشكل أساسي:

• تنفيذ عقد العمل (المادة 6.1.b): يبرر معالجة البيانات اللازمة لإدارة الرواتب والإجازات أو التدريب.

• الالتزام القانوني (المادة 6.1.c): ينطبق على التصريحات الاجتماعية الإلزامية (DSN) وسجلات الموظفين ومراقبة حوادث العمل.

• المصلحة المشروعة (المادة 6.1.f): يمكن الاستشهاد بها للمعالجات مثل إدارة شارات الوصول أو المراقبة بالفيديو، مع مراعاة اختبار موازنة دقيق.

يعتبر الموافقة (المادة 6.1.a) من ناحية أخرى أساساً قانونياً ضعيفاً في سياق العمل: تذكر CNIL والجنة الأوروبية لحماية البيانات (CEPD) أن عدم التوازن الهيكلي بين صاحب العمل والموظف يجعل من الصعب إثبات موافقة حرة. يجب استخدامه فقط كملاذ أخير.

سجل المعالجة، التزام لا يمكن تجاهله

يجب على أي منظمة توظف ما لا يقل عن 250 شخصاً - أو تعالج بيانات حساسة بحجم أصغر - أن تحتفظ بسجل أنشطة المعالجة (المادة 30 من RGPD). في الموارد البشرية، يجب أن يوثق هذا السجل لكل معالجة: الهدف وفئات البيانات والمستقبلون ومدد الحفظ والتدابير الأمنية المطبقة.

هذه الوثيقة، المتاحة لـ CNIL عند التحقق، هي أيضاً أداة إدارة ثمينة. عند دمجها مع حل التوقيع الإلكتروني المخصص للموارد البشرية، فإنها تتيح تتبع وتوقيت كل مرحلة من دورة حياة المستند البشري، مما يعزز قابلية تدقيق العمليات.

حقوق الموظفين والتزامات صاحب العمل

إعلام الموظفين: التزام فوري

تفرض المادة 13 من RGPD إعلام الأشخاص المعنيين في وقت جمع بياناتهم. عملياً، يجب أن توفر أقسام الموارد البشرية للموظفين - يفضل عند توقيع عقد العمل - إشعار معلومات RGPD يفصل: هوية المسؤول عن المعالجة والأهداف والأسس القانونية ومدة الحفظ والحقوق المتاحة وإحداثيات مسؤول حماية البيانات (DPO) إذا كانت لدى الشركة واحد.

إن تحويل وتأمين هذا التبادل أمر ضروري. يضمن استخدام التوقيع الإلكتروني في المؤسسة لتسليم هذا الإشعار إثباتاً موقوتاً وغير قابل للطعن في التسليم، متوافقاً مع متطلبات نظام eIDAS.

حقوق الموظفين التي يجب احترامها بشكل صارم

يتمتع الموظفون بحقوق واسعة على بياناتهم:

• الحق في الوصول (المادة 15): يمكن لأي موظف طلب نسخة من جميع البيانات المتعلقة به والتي تعالجها الشركة.

• الحق في التصحيح (المادة 16): تصحيح بيان غير دقيق (على سبيل المثال: العنوان البريدي، الحساب المصرفي).

• الحق في الحذف (المادة 17): ينطبق في حالات معينة، لا سيما بعد انتهاء العقد والمرور على آجال الحفظ القانونية.

• الحق في الاعتراض (المادة 21): يمكن للموظف الاعتراض على معالجة تستند إلى المصلحة المشروعة.

• الحق في التقييد (المادة 18): تجميد مؤقت للمعالجة المطعون فيها.

يتمتع صاحب العمل بمهلة شهر واحد للرد على أي طلب لممارسة الحقوق، قابلة للتمديد إلى ثلاثة أشهر في حالة التعقيد (المادة 12 من RGPD).

أمان البيانات الموارد البشرية وإدارة الموردين من الباطن

التدابير التقنية والتنظيمية

تفرض المادة 32 من RGPD تطبيق تدابير أمان "مناسبة للمخاطر". بالنسبة لبيانات الموارد البشرية، تشمل أفضل الممارسات:

• التشفير للملفات التي تحتوي على بيانات حساسة (كشوف الرواتب والملفات الطبية).

• التحكم في الوصول: مبدأ الامتياز الأدنى - لا يحصل مدير الرواتب على وصول إلى البيانات الانضباطية.

• تسجيل الوصول إلى أنظمة الموارد البشرية (SIRH وأدوات الرواتب).

• خطة الاستجابة للانتهاكات: في حالة تسرب البيانات، يتمتع صاحب العمل بـ 72 ساعة للإخطار بـ CNIL (المادة 33)، وربما الأشخاص المعنيين إذا كانت المخاطر عالية (المادة 34).

يمكن لـ تدقيق شامل من خلال دليل التوقيع الإلكتروني أن يساعد فريق الموارد البشرية في تحديد المعالجات غير الآمنة المستمرة على الدعم الورقي وتحويلها بطريقة متوافقة.

إطار المقاولين من الباطن للموارد البشرية من خلال DPA

تعتمد خدمات الموارد البشرية على العديد من المقاولين من الباطن: برامج الرواتب ومنصات التدريب وأدوات إدارة الأوقات. يجب أن يكون كل مقاول يوفر الوصول إلى بيانات شخصية موضوع اتفاقية معالجة البيانات (Data Processing Agreement - DPA)، وفقاً للمادة 28 من RGPD. يجب أن تحدد هذه العقد تعليمات المعالجة وضمانات الأمان وطرق استعادة البيانات أو تدميرها والالتزامات في حالة الانتهاك.

يبقى اختيار الموردين الذين يستضيفون بنيتهم التحتية في الاتحاد الأوروبي، أو يكونون مؤطراً بواسطة الشروط التعاقدية النموذجية (CCT) المعتمدة من المفوضية، متطلباً أساسياً لتجنب أي نقل غير قانوني خارج الاتحاد الأوروبي.

مدد الحفظ: مسألة هيكلية

المدد القانونية المطبقة على ملف الموظف

يتم تطويق مدة حفظ بيانات الموارد البشرية بواسطة تراكم من النصوص: RGPD (مبدأ تحديد الحفظ، المادة 5.1.e)، وقانون العمل، وعدد من الأحكام المالية والاجتماعية. عملياً، الآجال الرئيسية المراعاة هي:

| نوع المستند | الحد الأدنى لمدة الحفظ | |---|---| | كشف الراتب | 5 سنوات (الافتقار الاجتماعي) | | عقد العمل | 5 سنوات بعد انتهاء العقد | | بيانات الرواتب (DSN) | 3 سنوات (التحقق من URSSAF) | | سجل الموظفين | 5 سنوات بعد مغادرة الموظف | | البيانات الانضباطية | مدة متناسبة مع الإجراء | | ملف طبي (طب العمل) | 50 سنة (اللوائح المحددة) |

يعتبر تطبيق سياسة الأرشفة والتطهير الآلية في SIRH، مقترنة بسير عمل التوقيع الإلكتروني الذي يؤقت إنشاء المستندات، أفضل ممارسة اليوم لإثبات الامتثال لـ CNIL.

الأخطاء التي يجب تجنبها

الأخطاء الأكثر شيوعاً التي لوحظت أثناء فحوصات CNIL المتعلقة ببيانات الموارد البشرية هي: الحفظ غير المحدود للسيرة الذاتية للمرشحين غير المختارين والحفاظ على الوصول الحاسوبي للموظفين السابقين وغياب تشفير ملفات الرواتب المُصدَّرة وعدم حذف بيانات الشارة بعد الآجال المنظمة. لتأمين هذه النقاط، فإن الاستشارة مقارنة حلول التوقيع الإلكتروني تسمح بتحديد الأدوات التي تدمج بشكل طبيعي وظائف الأرشفة الموثوقة وإدارة دورة حياة المستندات.

الإطار القانوني المطبق على معالجة بيانات الموارد البشرية

يندرج معالجة البيانات الشخصية للموظفين في إطار معياري كثيف يتكامل مع عدة مستويات من اللوائح.

اللائحة (الاتحاد الأوروبي) 2016/679 - RGPD تشكل حجر الزاوية. تحدد المواد 5 إلى 11 المبادئ الأساسية (الشرعية والأمانة والشفافية وتحديد الأهداف وتقليل البيانات والدقة وتحديد الحفظ والسلامة والسرية). تحدد المادة 9 الشروط الصارمة المطبقة على فئات معينة من البيانات، بما في ذلك بيانات الصحة والنقابية، والتي تكثر بشكل خاص في الموارد البشرية. تنص المادة 83 على غرامات يمكن أن تصل إلى 20 مليون يورو أو 4٪ من رقم الأعمال العالمي في حالة الانتهاك الجسيم.

قانون المعلوماتية والحريات المعدل (القانون رقم 78-17 من 6 يناير 1978)، في نسخته المراجعة، يتكيف مع RGPD للقانون الفرنسي. يمنح CNIL سلطات المراقبة والعقوبات الخاصة بها، وينص على وجه الخصوص على استثناءات قطاعية لبيانات الصحة في طب العمل.

قانون العمل يؤطر المعالجات المتعلقة برقابة الموظفين (المادة L. 1121-1 بشأن احترام الخصوصية)، واستشارة ممثلي الموظفين حول الأدوات الرقمية (المادة L. 2312-38)، والسجلات الإلزامية.

نظام eIDAS (رقم 910/2014)، مكمل بـ eIDAS 2.0 (اللائحة الاتحادية 2024/1183)، يحكم القيمة القانونية للتوقيعات الإلكترونية المرسومة على مستندات الموارد البشرية. التوقيع الإلكتروني المؤهل (SEQ)، وفقاً للملحق الأول من eIDAS والمعايير ETSI EN 319 132 و ETSI EN 319 122، يوفر افتراض التكافؤ مع التوقيع المكتوب بخط اليد بموجب المادة 1367 من القانون المدني الفرنسي.

المادة 1366 من القانون المدني تنص على أن "الوثيقة الإلكترونية لها نفس قوة الإثبات مثل الوثيقة على دعم ورقي، شريطة أن يكون من الممكن التعرف بشكل صحيح على الشخص الذي تنبثق عنه وتم إنشاؤها والاحتفاظ بها بطريقة تضمن سلامتها". ينطبق هذا الحكم بشكل مباشر على عقود العمل والتعديلات والاتفاقيات السرية والمستندات الأخرى للموارد البشرية التي تم نقلها إلكترونياً.

توجيه NIS2 (الاتحاد الأوروبي 2022/2555)، المنقول إلى القانون الفرنسي بموجب القانون الصادر في 26 فبراير 2025، يفرض على الكيانات الأساسية والمهمة (لا سيما الشركات الصناعية الكبرى ومشغلي خدمات البيانات الرقمية) متطلبات معززة في إدارة المخاطر المتعلقة بأمان المعلومات، بما في ذلك حماية بيانات الموارد البشرية الحساسة.

الغرامات التي توقعها CNIL في ارتفاع حاد: في عام 2024، يتجاوز المبلغ الإجمالي للغرامات 100 مليون يورو، مع عدد من القرارات التي تنطوي بشكل مباشر على نقاط ضعف في إدارة بيانات الموظفين. يُرجع عدم الامتثال لمدد الحفظ والافتقار إلى DPA مع موردي الموارد البشرية وعدم كفاية التدابير الأمنية من بين الاتهامات الأكثر تكراراً.

سيناريوهات الاستخدام: الامتثال RGPD في الموارد البشرية في الممارسة

السيناريو 1 - شركة صناعية متوسطة بـ 450 موظفاً تحول عمليات الإدراج الخاصة بها

كانت شركة صناعية بحجم متوسط، موزعة على ثلاثة مواقع في فرنسا، تدير عقود عملها والتعديلات على الدعم الورقي. لم يتم نقل ملفات المتقدمين إلى قسم الرواتب إلا بعد تأخير يبلغ متوسطه 12 يوماً عملياً، مما تسبب في حدوث أخطاء في الرواتب بنسبة حوالي 8٪ من الحالات. علاوة على ذلك، لم تتم معاملة إشعار RGPD بشكل رسمي للموظفين الجدد: كانت المعلومات موجودة فقط في الجزء السفلي من لائحة العمل، لم توقع بشكل منفصل.

بعد نشر حل التوقيع الإلكتروني المدمج مع SIRH الخاص به، مع تسليم متزامن لإشعار RGPD يوقعه الموظف ومدير الموارد البشرية معاً، قلصت الشركة تأخير التوثيق الموارد البشرية إلى يومين عملين (انخفاض بنسبة 83٪). انخفضت أخطاء الرواتب المرتبطة ببيانات مفقودة إلى أقل من 1٪. يتم أرشفة كل مستند موقع مع طابع وقت معتمد، مما يوفر إثباتاً معارضاً في حالة فحص CNIL أو نزاع عمل.

السيناريو 2 - مجموعة توزيع بـ 1200 موظفاً تعدل سياسة الحفظ الخاصة بها

خضعت مجموعة تعمل في التوزيع المتخصص للفحص من قبل CNIL بعد شكوى من موظف سابق. كشف التفتيش أن ملفات Excel التي تحتوي على بيانات رواتب الموظفين الذين رحلوا منذ أكثر من 8 سنوات كانت لا تزال متاحة على خادم مشترك غير آمن، بدون تشفير. تم إصدار تحذير رسمي، مع أمر بالالتزام في غضون 3 أشهر.

شرعت المجموعة بعد ذلك في تدقيق شامل لمعالجاتها الموارد البشرية، ورسمت خريطة لـ 23 نشاطاً معالجة، وطبقت خطة تطهير آلية يتم تشغيلها بواسطة SIRH. تم نقل المستندات الموقعة إلكترونياً إلى خزينة رقمية بفترات احتفاظ مكونة وفقاً للالتزامات القانونية. قدم مسؤول حماية البيانات سجل المعالجة الكاملة للموارد البشرية، المقدم في فحص CNIL ثانٍ بعد 18 شهراً، والذي انتهى بدون متابعة. تم تقدير تكلفة الامتثال بأقل من 60٪ من مبلغ الغرامة المحتملة.

السيناريو 3 - شركة استشارات الموارد البشرية بـ 35 شخصاً تأمن بيانات استشاريها الخاصين وعملائها

تدير شركة متخصصة في الموارد البشرية بيانات استشاريها الخاصين والمرشحين والموظفين في شركاتها العميلة (في سياق مهام التقييم أو التوظيف الخارجي). بذلك تجد نفسها في موضع مزدوج: المسؤول عن المعالجة لموارد بشرية خاصة، والمقاول من الباطن (أو المسؤول المشترك) لبيانات الغير.

طبقت الشركة الاستشارية معمارية مستندات مختلفة: التوقيعات الإلكترونية البسيطة للتبادلات الداخلية الروتينية، والتوقيعات المتقدمة لعقود المهام مع العملاء، واتفاقيات معالجة البيانات (DPA) المدمجة بشكل منهجي في رسائل المهام. تلقى جميع الاستشاريين ميثاق RGPD محدثاً، وقعوه إلكترونياً والاحتفاظ به في سجل مخصص. سمحت هذه التنظيم للشركة الاستشارية بعرض امتثالها كحجة تجارية لدى الحسابات الكبرى الخاضعة لتدقيقات الموردين الصارمة، مما قلل متوسط مدة التعاقد من 7 إلى أسبوعين.

الخلاصة

يفرض RGPD على أقسام الموارد البشرية تحولاً عميقاً في ممارساتهم: تحديد صارم للأسس القانونية، إعلام فعلي للموظفين، إدارة الحقوق، الإطار التعاقدي للموردين من الباطن وتأمين البيانات واحترام مدد الحفظ. هذه الالتزامات ليست مجرد طقوس إدارية - فهي تشترط قدرة الشركة على تجنب عقوبات قد تصل إلى عدة ملايين يورو والحفاظ على ثقة فريقها.

يشكل تحويل عمليات الموارد البشرية، من خلال حلول التوقيع الإلكتروني المتوافقة م