RGPD en RH : معالجة بيانات الموظفين

لا ينطبق الحكم العام لحماية البيانات (RGPD) فقط على العلاقات التجارية بين المؤسسة وعملائها: بل ينظم أيضاً، وبطريقة دقيقة جداً، معالجة البيانات الشخصية للموظفين. التوظيف، وإدارة الرواتب، والتحكم في الوصول، وتقييم الأداء، والمراقبة بالفيديو... كل مرحلة من مراحل دورة حياة عقد العمل تولد بيانات شخصية يجب على صاحب العمل معالجتها بصارم الامتثال للقانون الأوروبي. مع غرامات قد تصل إلى 20 مليون يورو أو 4% من رقم الأعمال العالمي السنوي، فإن المخاطر كبيرة جداً. تفصل هذه المقالة الأساس القانوني الواجب التطبيق، والالتزامات العملية لأقسام الموارد البشرية، وأفضل الممارسات لتأمين معالجتك — بما في ذلك عند نزع الورقية من الوثائق الإدارية.

الأسس القانونية لمعالجة بيانات الموارد البشرية

الأساس القانوني المقبول في قانون العمل

يسرد RGPD ستة أسس قانونية تسمح بمعالجة البيانات الشخصية (المادة 6). في سياق الموارد البشرية، يتم استخدام ثلاثة منها بشكل منتظم تقريباً:

• تنفيذ عقد العمل (المادة 6.1.b): تشكل الأساس الرئيسي لإدارة الرواتب، ومراقبة وقت العمل، وإعادة بيانات الراتب أو إدارة الإجازات.

• الالتزام القانوني (المادة 6.1.c): يبرر المعالجات المفروضة بموجب قانون العمل أو التشريعات الاجتماعية، مثل الإخطار المسبق بالتوظيف (DPAE)، والإخطار الاجتماعي الاسمي (DSN) أو الحفاظ على سجل الموظفين الفريد.

• المصلحة المشروعة (المادة 6.1.f): يمكن أن تبرر معالجات معينة للأمن السيبراني أو منع الاحتيال الداخلي، شريطة ألا تطغى هذه المصلحة على الحقوق الأساسية للموظفين.

⚠️ أساس الموافقة يجب التعامل معه بحذر شديد في السياق الوظيفي. تذكر CNIL بانتظام أن عدم التوازن الملازم لعلاقة صاحب العمل والموظف يجعل الموافقة نادراً ما تكون "حرة" بالمعنى المقصود في المادة 7 من RGPD. اللجوء إلى الموافقة لمعالجات يمكن أن تستند إلى أساس قانوني آخر يعرض صاحب العمل لخطر إعادة التكييف.

فئات البيانات الخاصة: نظام معزز

تقع بعض البيانات التي تجمعها الموارد البشرية ضمن نظام "البيانات الحساسة" المشار إليه في المادة 9 من RGPD، والتي تكون معالجتها محظورة في الأساس إلا عند الاستثناءات:

• بيانات صحية: حالات المرض، والعجز المعلنة من قبل طب العمل، وتعديلات منصب العمل للإعاقة.

• البيانات النقابية: الانتماء إلى نقابة، والتفويضات التمثيلية.

• البيانات البيومترية: التحكم في الوصول عن طريق بصمة الإصبع أو التعرف على الوجه.

• البيانات المتعلقة بالجرائم: التحقق من السجل الجنائي، والذي يسمح به فقط في القطاعات المنظمة (الأمان، الطفولة، إلخ).

بالنسبة لهذه الفئات، يجب على صاحب العمل تحديد استثناء صريح (المادة 9.2)، وإجراء تقييم تأثير حماية البيانات (AIPD) في معظم الحالات، وغالباً ما يستشير CNIL قبل النشر.

الالتزامات العملية لأقسام الموارد البشرية

سجل أنشطة المعالجة

يُطلب من أي مؤسسة توظف أكثر من 250 موظفاً الحفاظ على سجل أنشطة المعالجة (المادة 30 من RGPD). أقل من هذا الحد، يستمر الالتزام طالما لم تكن المعالجات عرضية أو تتعلق ببيانات حساسة — وهذا هو الحال تقريباً في الموارد البشرية. يجب أن يوثق هذا السجل:

• الغرض من كل معالجة (على سبيل المثال: "إدارة بيانات الراتب")

• فئات البيانات المعنية

• المتلقون (أطراف ثالثة، معالجات فرعية، سلطات)

• مدد الاحتفاظ

• تدابير الأمان المطبقة

توفر CNIL نموذج سجل متاح مجاناً للتحميل. يشكل الحفاظ الصارم عليه خط الدفاع الأول في حالة الفحص.

مدد الاحتفاظ: نقطة غالباً ما يتم إهمالها

تفرض المادة 5.1.e من RGPD مبدأ تحديد الاحتفاظ: لا يجب الاحتفاظ بالبيانات لفترة أطول من المدة اللازمة لتحقيق الغرض الذي تم جمعها من أجله. في الموارد البشرية، مدد الحفظ القانونية المرجعية هي كما يلي:

| نوع البيانات | مدة الاحتفاظ الموصى بها | |---|---| | بيانات الراتب | 5 سنوات (التقادم المدني) | | عقد العمل | 5 سنوات بعد إنهاء العقد | | بيانات التوظيف (المرشح غير المختار) | سنتان بحد أقصى بعد آخر اتصال | | ملف التأديب | مدة متغيرة حسب العقوبة (3 سنوات كحد أقصى للتحذير) | | بيانات المراقبة بالفيديو | شهر واحد كقاعدة عامة | | DSN وسجل الموظفين | 5 سنوات بعد انصراف الموظف |

يجب إدراج هذه المدد في السجل وتطبيقها من خلال إجراءات الحذف أو الأرشفة النهائية.

إبلاغ الموظفين: التزام غالباً ما يتم التقليل من شأنه

تفرض المادة 13 من RGPD تقديم إشعار معلومات شامل للأشخاص المعنيين في وقت جمع بياناتهم. في الموارد البشرية، يجب تسليم هذا الإشعار بشكل مثالي:

• منذ المرحلة الأولية من التقديم: للبيانات المجمعة أثناء عملية التوظيف.

• عند التوظيف: المدرجة في عقد العمل أو المسلمة كملحق عند التوقيع.

• أثناء العلاقة التعاقدية: في كل مرة يتم فيها نشر معالجة جديدة (على سبيل المثال: نشر أداة نقاط البيع البيومترية).

يسهل نزع الورقية من عملية الإعداد، خاصة عبر التوقيع الإلكتروني للموارد البشرية، تتبع تسليم المعلومات هذا: يتم تسجيل تاريخ قراءة وتوقيع الإشعار بطريقة يمكن إثباتها، وهو ما يشكل عنصر إثبات قيماً في حالة النزاع.

أمان بيانات الموارد البشرية: التدابير التقنية والتنظيمية

التشفير والتحكم في الوصول والفصل

تتطلب المادة 32 من RGPD تطبيق تدابير أمان مناسبة للخطر. بالنسبة لبيانات الموارد البشرية، التي تكون بطبيعتها حساسة والمستهدفة أثناء الاختراقات، تتضمن أفضل الممارسات الدنيا:

• تشفير البيانات في وقت السكون والنقل: يجب تخزين ملفات الرواتب والعقود والملفات الشخصية مشفرة (AES-256 على الأقل) وإرسالها عبر بروتوكولات آمنة (TLS 1.3).

• إدارة حقوق الوصول على أساس الأدوار (RBAC): فقط مديرو الموارد البشرية المخولون يصلون إلى بيانات الرواتب؛ مدير الفريق يصل فقط إلى البيانات اللازمة للإدارة.

• تسجيل الوصول: يجب تتبع أي استشارة أو تعديل لملف موظف مع معرف المستخدم والتاريخ والوقت.

• إخفاء الهوية للمعالجات التحليلية (لوحات معلومات الموارد البشرية، دراسات التعويض).

إدارة معالجات فرعية للموارد البشرية

تستخدم أقسام الموارد البشرية العديد من المعالجات الفرعية: محررو نظام معلومات الموارد البشرية، مزودو خدمات الرواتب الخارجية، منصات التدريب، أدوات التوظيف عبر الإنترنت. يجب أن يكون كل طرف ثالث موضوع عقد معالجة فرعية مطابق للمادة 28 من RGPD، مع تحديد:

• طبيعة وغرض المعالجات الموكلة

• التزامات المعالج الفرعي بشأن الأمان والسرية

• حظر المعالجة الفرعية الثانية بدون إذن مسبق

• طرق إعادة البيانات أو تدميرها في نهاية العقد

عند اختيار مزود خدمة، يجب أيضاً التحقق مما إذا كانت خوادمه موجودة في منطقة المنطقة الاقتصادية الأوروبية (EEA) أو ما إذا كانت هناك آلية نقل كافية (شروط العقد الموحدة، قرار الكفاية) للنقل خارج منطقة المنطقة الاقتصادية الأوروبية.

نزع الورقية من وثائق الموارس البشرية والامتثال إلى RGPD

يثير التحديث المتزايد لعمليات الموارد البشرية — عقود العمل الإلكترونية، وبيانات الراتب المنزوعة من الورق، والتعديلات الموقعة عن بعد — مسائل RGPD محددة. إذا كان التوقيع الإلكتروني المتوافق مع eIDAS يوفر ضمانات لا يمكن إنكارها للنزاهة والأصالة، يجب على صاحب العمل التأكد من أن المنصة المستخدمة:

• لا تجمع بيانات إضافية أثناء عملية التوقيع (مبدأ التقليل، المادة 5.1.c)

• تحتفظ بأدلة التوقيع (درب التدقيق) في ظروف آمنة ولمدة مناسبة

• تسمح بممارسة حقوق الموقعين (الوصول والتصحيح والحذف ضمن الحدود القانونية)

لمزيد من المعلومات حول امتثال أدوات التوقيع، فإن الدليل الشامل للتوقيع الإلكتروني من Certyneo يفصل المعايير التقنية والقانونية المراد التحقق منها قبل أي نشر.

حقوق الموظفين وممارستها الفعالة

نظرة عامة على الحقوق المضمونة بموجب RGPD

يستفيد الموظفون من جميع الحقوق المنصوص عليها في المواد 15 إلى 22 من RGPD. في السياق الإداري، الحقوق الأكثر استخداماً بشكل متكرر هي:

• حق الوصول (المادة 15): يمكن للموظف طلب نسخة من جميع البيانات المتعلقة به التي يحتفظ بها صاحب العمل، بما في ذلك تبادل رسائل البريد الإلكتروني المهنية في ظروف معينة.

• حق التصحيح (المادة 16): تصحيح البيانات غير الدقيقة (خطأ في الحساب البنكي، شهادة مسجلة بشكل غير صحيح، إلخ).

• حق الحذف (المادة 17): محدود في الموارد البشرية بالالتزامات القانونية بالاحتفاظ، لكنه ينطبق على بيانات التوظيف للمرشح غير المختار.

• حق الاعتراض (المادة 21): يمكن أن يمارس ضد معالجة تقوم على المصلحة المشروعة، مثل معالجات المراقبة معينة.

• حق النقل (المادة 20): ينطبق على البيانات المقدمة من الموظف نفسه في سياق تنفيذ العقد.

الموعد النهائي للرد والإجراءات الداخلية

لدى صاحب العمل شهر واحد للرد على أي طلب لممارسة الحقوق، مدة قابلة للتمديد إلى ثلاثة أشهر في حالة التعقيد أو الحجم الكبير للطلبات (المادة 12.3). لتنظيم معالجة فعالة، يوصى بما يلي:

• تعيين نقطة اتصال واحدة (DPO أو مرجع RGPD) لاستقبال الطلبات

• إعداد نموذج مخصص متاح للموظفين

• توثيق كل طلب وردها في سجل طلبات ممارسة الحقوق

• تدريب مديري الموارس البشرية على تحديد الطلب الضمني (موظف يطلب "ملفه الشخصي" يمارس فعلياً حقه في الوصول)

دور DPO في المؤسسة

يفرض RGPD تعيين مفوض حماية البيانات (DPO) في ثلاث حالات (المادة 37): سلطة عامة أو معالجة واسعة النطاق للبيانات الحساسة أو المراقبة المنهجية على نطاق واسع. تدخل العديد من المؤسسات التي تعالج الموارد البشرية بشكل كبير ضمن هذا الالتزام. يمكن أن يكون DPO داخلياً أو موكلاً بالخارج؛ يجب أن يتمتع باستقلالية وظيفية وأن يكون مرتبطاً بجميع القرارات التي تؤثر على حماية البيانات، بما في ذلك نشر أدوات الموارس البشرية الرقمية الجديدة. دوره استشاري وليس قراراً: تقع المسؤولية النهائية على عاتق المسؤول عن المعالجة، أي صاحب العمل.

الإطار القانوني المنطبق على معالجة بيانات الموارد البشرية

RGPD: النص الأساسي

يشكل اللائحة (EU) 2016/679 للبرلمان الأوروبي والمجلس بتاريخ 27 أبريل 2016 (RGPD) الأساس التنظيمي لمعالجة البيانات الشخصية في أوروبا. مباشرة قابلة للتطبيق في جميع الدول الأعضاء منذ 25 مايو 2018، تفرض نفسها على أي صاحب عمل يعالج بيانات الموظفين المقيمين في الاتحاد الأوروبي، بغض النظر عن جنسية المؤسسة. المواد الرئيسية المنطبقة في سياق الموارد البشرية هي:

• المادة 5: المبادئ الأساسية (الشرعية والولاء والشفافية والتقليل والدقة وتحديد الاحتفاظ والنزاهة والسرية والمسؤولية)

• المادة 6: أساس قانوني للمعالجة

• المادة 9: نظام البيانات الحساسة

• المواد 12 إلى 22: حقوق الأشخاص المعنيين

• المواد 24 إلى 32: التزامات المسؤول عن المعالجة والمعالج الفرعي

• المواد 33-34: إخطار انتهاكات البيانات (72 ساعة إلى CNIL، وإبلاغ الأشخاص في حالة المخاطر العالية)

• المادة 35: تقييم التأثير (AIPD) إلزامي للمعالجات ذات المخاطر العالية

• المادة 83: عقوبات إدارية (حتى 20 مليون يورو أو 4% من رقم الأعمال العالمي)

قانون المعلوماتية والحرية المعدل

في القانون الفرنسي، القانون رقم 78-17 المؤرخ في 6 يناير 1978 المتعلق بالمعلوماتية والملفات والحرية، المعدل بموجب القانون رقم 2018-493 المؤرخ في 20 يونيو 2018 والمرسوم رقم 2018-1125 المؤرخ في 12 ديسمبر 2018، يكمل RGPD بفتح هوامش المناورة الوطنية ("بنود الفتح"). من بين الأكثر أهمية في الموارد البشرية: إمكانية معالجة البيانات النقابية في سياق إدارة المؤسسات التمثيلية للأفراد (المادة 9 من القانون)، أو القواعس المحددة لمعالجة بيانات صحة العمل.

قانون العمل والاجتهاد القضائي الاجتماعي

يفرض قانون العمل التزامات المعلومات والاستشارة المسبقة للجنة الاجتماعية والاقتصادية (CSE) قبل نشر أي جهاز مراقبة أو تحكم في الموظفين (المادة L. 2312-38). عدم الاستشارة يعرض صاحب العمل لعدم معارضة الأدلة المجمعة وكذلك للعقوبات الجنائية.

تذكر سوابق محكمة النقض بانتظام أن أدوات التحكم (الموقع الجغرافي والباج والبرامج الرقمية) يجب أن تكون متناسبة مع الهدف المنشود ولا يمكن تحويلها إلى أغراض أخرى غير المعلنة للموظفين و CNIL.

التوقيع الإلكتروني لوثائق الموارس البشرية: eIDAS والقانون المدني

عند نزع الورقية من عقود العمل والتعديلات أو الوثائق التأديبية، يجب على صاحب العمل الامتثال للائحة (EU) n°910/2014 eIDAS، التي تحدد ثلاث مستويات من التوقيع الإلكتروني. بالنسبة لوثائق مهمة مثل عقد عمل CDI أو وثيقة انفصال اتفاقية، يوصى بتوقيع إلكتروني متقدم (أو حتى مؤهل) لضمان هوية الموقّع وسلامة الوثيقة. يؤكد القانون المدني في المواد 1366 و 1367 على القيمة الإثباتية للكتابة الإلكترونية والتوقيع الإلكتروني، شريطة التعريف الموثوق بالموقع وضمان النزاهة.

العقوبات التي فرضتها CNIL بشأن الموارس البشرية

فرضت CNIL عدة عقوبات كبيرة بشأن معالجة بيانات الموارس البشرية: في 2022، تمت مدانة شركة بغرامة 400000 يورو لمراقبة مفرطة للموظفين في العمل عن بعد من خلال برامج التقاط الشاشة. في 2023، حصلت شركة أمنية على عقوبة بقيمة 200000 يورو لجمع بيانات بيومترية مفرطة بدون أساس قانوني صحيح. توضح هذه القرارات اليقظة المتزايدة للمنظم على هذا المحيط.

سيناريوهات الاستخدام: RGPD للموارس البشرية في الممارسة

السيناريو 1 - شركة صناعية متوسطة الحجم يعمل بها 450 موظفاً تحسّن عملية التوظيف الخاصة بها

استقبلت شركة صناعية متوسطة الحجم يعمل بها حوالي 450 شخصاً في ثلاثة مواقع أكثر من 3000 طلب توظيف سنوياً وردت على ستين عرض عمل تقريباً. تم تخزين السيرة الذاتية ورسائل التحفيز بدون حد زمني في صندوق بريد إلكتروني مشترك بين ستة مسؤولي خدمة. لم يتم تسليم أي إشعار معلومات RGPD للمرشحين حول استخدام بيانتهم.

بعد تدقيق RGPD، تم نشر الإجراءات التالية على مدى ستة أشهر:

• الهجرة إلى نظام ATS (نظام تتبع المرشحين) معتمد من قبل RGPD، مع حذف تلقائي للملفات بعد 24 شهراً من عدم النشاط

• إضافة إشعار معلومات RGPD في كل نموذج توظيف عبر الإنترنت

• التوقيع الإلكتروني على رسائل التوظيف والعقود من خلال منصة موافقة على eIDAS، مما يقلل من وقت العودة للعقود الموقعة من 8 أيام في المتوسط إلى أقل من 48 ساعة

• تحديث سجل أنشطة المعالجة مع 12 بطاقة معالجة جديدة للموارس البشرية

النتيجة: لم تتلق أي طلب CNIL في الأشهر الـ 18 التالية؛ يقدر الربح من خلال نزع الورقية بـ 1.2 ETP على إدارة التوظيف.

السيناريو 2 - مجموعة توزيع يعمل بها 1200 موظفاً تنظم سياستها في المراقبة بالفيديو

نشرت مجموعة متخصصة في توزيع المواد الغذائية نظام مراقبة بالفيديو يغطي 34 نقطة بيع. تم الاحتفاظ بالصور لـ 45