RGPD в HR: Обработка на данни на служители

Управлението на човешките ресурси генерира ежедневно значителен обем лични данни: трудови договори, работни листи, данни за здравето, оценки на производителност, банкови реквизити… От влизането в сила на Общия регламент за защита на данните (RGPD) през май 2018 г. отделите HR са станали централни действащи лица на съответствието в организациите. Въпреки това, според докладът за дейност за 2024 г. на CNIL, сектор на човешките ресурси остава един от трите най-често разследвани области при проверки. Тази статия ви ръководи чрез ключови задължения, добри практики и наличните инструменти за обработка на данни на служителите в пълно съответствие.

Кои лични данни обработват HR?

Често срещаните категории данни

HR службите манипулират много широк спектър лични данни. Разграничават се две основни семейства:

Обикновените данни, събирани в контекста на трудовия договор: име, презиме, адрес, номер на социално осигуряване, IBAN, CV, дипломи, професионална история, годишни оценки, работно време, данни за присъствие и отсъствие.

Чувствителни данни, подчинени на усилени ограничения по смисъла на член 9 на RGPD: данни за здравето (болнични отпуски, декларации за трудови злополуки, медицински ограничения), синдикални данни (членство в синдикат, представителни мандати), данни за наказания в определени контексти на наемане.

Последните могат да бъдат обработвани само при наличие на изрично изключение, предвидено в регламента — както изпълнението на правни задължения по трудово право, или изрично съгласие на засегнатото лице.

Специалният случай на наемане

Фазата на наемане генерира специфични обработки, често не регулирани надлежно. Събирането на CV, писма за мотивация и резултати от тестове предполага точни сроковете на съхранение: според препоръките на CNIL, данни на неизбрани кандидати трябва да бъдат изтрити или анонимизирани в максимум два години след последния контакт. Неограничено съхранение на CV в несигурна споделена папка представлява ясна нарушение.

Използването на инструменти за проследяване в ATS (Applicant Tracking Systems) или алгоритми за анализ на поведението трябва да бъдат явно посочени в политиката за поверителност, предоставена на кандидатите, в съответствие с членове 13 и 14 на RGPD.

Правни основания на обработката в HR контекст

Идентифициране на правилната правна основа

RGPD налага всяка обработка на лични данни да почива на една от шестте правни основания, определени в член 6. В HR контекст три основания са главно използвани:

• Изпълнение на трудовия договор (чл. 6.1.b): оправдава обработката на данни, необходими за управление на заплати, отпуски или обучение.

• Правно задължение (чл. 6.1.c): прилага се на задължителни социални декларации (DSN), регистри на персонала или мониторинг на трудови злополуки.

• Законен интерес (чл. 6.1.f): може да бъде призваван за обработки като управление на достъпни карти или видеонаблюдение, при условие на строго тестване на баланс.

Съгласието (чл. 6.1.a) е напротив крехка правна основа в контекста на работата: CNIL и Европейския комитет за защита на данни (EDPB) напомнят, че структурния дисбаланс между работодателя и служителя затруднява доказателството на свободно съгласие. Трябва да се използва само в последна инстанция.

Регистърът на обработките, неизбежно задължение

Всяка организация, наемаща най-малко 250 лица — или обработваща чувствителни данни на по-малък масив — трябва да води регистър на дейностите на обработката (чл. 30 на RGPD). В HR, този регистър трябва да документира, за всяка обработка: целта, категориите данни, получателите, сроковете на съхранение и мерките за сигурност, приложени.

Този документ, достъпен на CNIL в случай на проверка, е също ценен управленски инструмент. Комбиниран със решение за електронен подпис, посвещен на HR, позволява проследяване и отмерване на всяка стъпка от цикъла на живот на HR документ, подсилвайки проверяемостта на процесите.

Права на служителите и задължения на работодателя

Информиране на служителите: незабавно задължение

Член 13 на RGPD налага информиране на засегнатите лица при събиране на техните данни. На практика, HR трябва да предоставят на служителите — идеално при подписване на трудовия договор — известие за информация RGPD, подробно описващо: личността на отговорния за обработката, целите и правни основания, срока на съхранение, наличните права и координати на DPO (Делегат за защита на данните), ако организацията има един.

Дигитализиране и защита на този обмен е съществен. Използване на електронен подпис в предприятието за предоставяне на това известие гарантира доказателство за доставка с отмерване на часа и неоспоримо, подравнено с изискванията на регламента eIDAS.

Правата на служителите, които трябва да се спазват неминуемо

Сътрудниците имат широки права над техните данни:

• Право на достъп (чл. 15): всеки служител може да поиска копие на всички данни, го засягащи, обработвани от работодателя.

• Право на коригиране (чл. 16): коригиране на неправилни данни (напр.: пощенски адрес, IBAN).

• Право на изтриване (чл. 17): прилагаемо в определени случаи, особено след прекратяване на договора и преминаване на установени сроковете на съхранение.

• Право на възражение (чл. 21): служителят може да възрази на обработка, базирана на законния интерес.

• Право на ограничение (чл. 18): временно замразяване на оспорвана обработка.

Работодателят разполага с период от един месец за отговор на всяка заявка за упражняване на права, разширяемо до три месеца при сложност (чл. 12 на RGPD).

Сигурност на HR данни и управление на поддоставчици

Технически и организационни мерки

Член 32 на RGPD налага внедряване на мерки за сигурност „подходящи на риска". За HR данни, добрите практики включват:

• Криптиране на файлове, съдържащи чувствителни данни (работни листи, медицински дневници).

• Контрол на достъпа: принцип на най-малкия привилегий — управител на заплати нямат достъп до дисциплинарни данни.

• Регистриране на достъпа до HR системи (SIRH, инструменти за заплащане).

• План за отговор при нарушения: в случай на течове на данни, работодателят разполага с 72 часа за известяване на CNIL (чл. 33), и потенциално засегнатите лица, ако рискът е висок (чл. 34).

Пълен одит чрез ръководството на електронния подпис може да помогне на HR екипите да идентифицират незащитени обработки, все още съществуващи на хартиен носител, и да ги дигитализират в съответствие.

Регулиране на HR поддоставчици чрез DPA

HR услугите разчитат на много поддоставчици: софтуер за заплащане, платформи за обучение, инструменти за управление на времето. Всеки поддоставчик, получавш достъп до лични данни, трябва да бъде предмет на споразумение за обработка на данни (Data Processing Agreement — DPA), в съответствие с член 28 на RGPD. Този договор трябва да уточни инструкциите за обработка, гаранциите за сигурност, модалностите на връщане или унищожаване на данни, и задълженията при нарушение.

Избиране на поддоставчици, хостващи своите инфраструктури в Европейския съюз, или регулирани чрез типови договорни клаузули (SCC), одобрени от Комисията, остава фундаментално изискване за избягване на незаконни трансфери извън ЕС.

Сроковете на съхранение: estruturен проблем

Установените сроковете за дневника на служител

Сроката на съхранение на HR данни е ограничена от стекване на текстове: RGPD (принцип на ограничение на съхранението, чл. 5.1.e), Трудовия кодекс и различни фискални и социални разпоредби. На практика, основните сроковете, които трябва да се спазват, са:

| Тип документ | Минимален срок на съхранение | |---|---| | Работен лист | 5 години (социално застраховане давност) | | Трудов договор | 5 години след прекратяване на договора | | Данни за заплащане (DSN) | 3 години (контрол URSSAF) | | Регистър на персонала | 5 години след заминаване на служителя | | Дисциплинарни данни | Срок пропорционален на мерката | | Медицински досие (работно здравеопазване) | 50 години (специфична регулация) |

Внедряване на политика на архивиране и автоматизирана почистване в SIRH, съчетана с работни потоци на електронния подпис, които отмеряват създаването на документи, представлява днес най-добрата практика за демонстриране на съответствието на CNIL.

Клопките, които трябва да се избегнат

Най-честите грешки, наблюдавани при CNIL проверки по отношение на HR данни, са: неограничено съхранение на CV на неизбрани кандидати, запазване на компютърни достъпи на бивши служители, отсъствие на криптиране на експортирани заплатни файлове, и неизтриване на данни за издаване на бадж отвъд установените периоди. За защита на тези точки, консултация с сравнение на решения за електронен подпис позволява идентифициране на инструменти, интегриращи аутентичното архивиране и управление на цикъла на живот на документ.

Приложен правен рамка за обработка на HR данни

Обработката на лични данни на сътрудници се вписва в плътен нормативен контекст, артикулиращ няколко нива на регулация.

Регламент (ЕС) 2016/679 — RGPD е краъгълният камък. Членове 5 до 11 определят основните принципи (законност, честност, прозрачност, ограничение на целите, минимизиране на данни, точност, ограничение на съхранението, интегритет и конфиденциалност). Член 9 установява строги условия за специални категории данни, включително данни за здравето и синдикални данни, особено чести в HR. Член 83 предвижда наказания, достигащи 20 милиона евро или 4% от световния оборот в случай на тежко нарушение.

Законът за информатика и свободи, изменен (закон № 78-17 от 6 януари 1978 г.), в консолидиранния му вид, приспособява RGPD към френското право. Той предоставя на CNIL нейни правомощия за контрол и санкциониране, и предвижда особено секторни дерогации за данни за здравето в работното здравеопазване.

Трудовия кодекс регулира обработките, свързани с мониторинг на служителите (чл. L. 1121-1 за уважение на личния живот), консултация с представители на персонала по цифрови инструменти (чл. L. 2312-38), и задължителни регистри.

Регламент eIDAS (№ 910/2014), дополнен с eIDAS 2.0 (Регламент ЕС 2024/1183), регулира правната стойност на електронни подписи, наложени на HR документи. Квалифициран електронен подпис (QES), съответствуващ на приложение I на eIDAS и норми ETSI EN 319 132 и ETSI EN 319 122, предоставя презумпция на еквивалентност към ръкописния подпис по смисъла на член 1367 от френския Гражданския кодекс.

Член 1366 от Гражданския кодекс установява, че „електронният документ има същата доказателствена сила като документ на хартиен носител, при условие че личността, от която произлиза, може да бъде надлежно идентифицирана и че е създаден и съхранен при условия, способни да гарантират неговата интегритет". Това разпоредение е преки приложима към трудови договори, допълнения, споразумения за поверителност и други дематериализирани HR документи.

Директива NIS2 (ЕС 2022/2555), транспонирана във френско право чрез закона от 26 февруари 2025 г., налага на съществени и важни образувания (особено големи индустриални предприятия и оператори на цифрови услуги) усилени изисквания по управление на рисковете, свързани със сигурността на информацията, включително защита на чувствителни HR данни.

Санкциите, наложени от CNIL, са в резкий растеж: през 2024 г., общата сума на глобите надвишава 100 милиона евро, с няколко решения, пряко включващи нарушения при управление на данни на служители. Неуважение на сроковете на съхранение, отсъствие на DPA с HR поддоставчици, и недостатъчност на мерките за сигурност фигурират между най-честите обвинения.

Сценарии на употреба: RGPD съответствие в HR на практика

Сценарий 1 — ETI индустриално предприятие от 450 служители дигитализира своите процеси на въвеждане

Индустриално предприятие от среден размер, разпределено на три места във Франция, управляваше своите трудови договори и допълнения на хартиен носител. Досиетата на новите служители не бяха предадени на служба заплата до средно 12 работни дни, генерирайки грешки при заплащане в около 8% на случаи. Освен това, никакво известие RGPD не беше редовно предоставено на новите служители: информацията фигурираше само в края на вътрешния регламент, неподписан отделно.

След внедряване на решение за електронен подпис, интегрирано в SIRH, със едновременна предоставка на известие RGPD, съподписано от служителя и DRH, предприятието намали периода на онбордиране от документи на 2 работни дни (намаление от 83%). Грешки при заплащане, свързани с липсващи данни, паднаха на по-малко от 1%. Всеки подписан документ е архивиран с квалифициран отмерване, предоставляйки доказателство, противодействащо при контрол на CNIL или трудово съдебно разбирателство.

Сценарий 2 — Група от 1 200 служители в дистрибуцията приводит своята политика на съхранение в съответствие

Група, оперираща в специализирана дистрибуция, претърпя контрол на CNIL следвайки жалба на бивш служител. Инспекцията показа, че Excel файлове, съдържащи данни за заплащане на служители, напуснали повече от 8 години преди, все още бяха достъпни на несигурен споделен сървър, без криптиране. Официално предупреждение беше издадено, придружено с директива за приводност в рамките на 3 месеца.

Група последва пълен одит на своите HR обработки, картографира своите 23 дейности на обработката, и внедри план на автоматизирана почистване, триггериран от SIRH. Електронно подписани документи бяха мигрирани към цифров сейф с настроени сроковете на задържане според правните задължения. DPO произведе пълен регистър на HR обработките, представен при втори контрол на CNIL 18 месеца по-късно, който се завърши без последствия. Цената на приводност беше преценена на по-малко от 60% на потенциална глоба.

Сценарий 3 — HR консултантски кабинет от 35 лица защитава данни на своите собствени консултанти и клиенти

Кабинет, специализиран в човешки ресурси, управляваше данни на своите собствени консултанти и на кандидати и служители на своите клиентски компании (в контекста на мисии по оценка или преквалификация). Така той се оказва в двойна позиция: отговорен за обработка за свои HR, и поддоставчик (или съответговорен) за данни на трети лица.

Кабинетът внедри диференцирана документална архитектура: прости електронни подписи за обичайни вътрешни обмени, усилени подписи за договори на мисия с клиентите, и споразумения за обработка на данни (DPA) систематично интегрирани в писма на мисия. Консултантите всички получиха актуализирана RGPD хартия, електронно подписана и съхранена в посветен регистър. Този организационен подход позволи кабинету да демонстрира своята съответствие като търговски аргумент пред големи компании, подложени на строги одити на поддоставчици, намалявайки средния период на договаряне от 7 на 2 седмици.

Заключение

RGPD налага на отделите на човешки ресурси дълбока трансформация на техните практики: строгото идентифициране на правни основания, ефективно информиране на сътрудници, управление на права, договорно регулиране на поддоставчици, защита на данни и уважение на сроковете на съхранение. Тези задължения не са просто административни формалности — те определят способността на предприятието да избегне наказания, достигащи няколко милиона евро, и да поддържа доверието на своите екипи.

Дигитализирането на HR процесите чрез решения за електронен подпис, съответстващи на eIDAS, представлява един от най-ефективните лостове за съчетаване на оперативна ефективност и нормативна съответствие. Certyneo придружава HR екипи при тази преход, от подписване на трудовия договор до защитено архивиране на служебни досиета.

Откройте как Certyneo може да защити вашите HR процеси чрез консултация на нашата оферта, посвещена на HR екипи или чрез поемане на бесплатен старт за тестване на решението без ангажимент.