RGPD в HR: Обработка на данни на служители

Общото разпоредбено на защитата на данните (RGPD) не се прилага само на търговските отношения между предприятие и неговите клиенти: той също така, по много точен начин, регулира обработката на лични данни на служителите. Набиране на персонал, управление на заплати, контрол на достъпа, оценка на производителност, видеонаблюдение… всеки етап от жизненния цикъл на трудовия договор генерира лични данни, които работодателят трябва да обработва в строго съответствие с европейското право. С наказания, които могат да достигнат 20 милиона евро или 4% от годишния световен оборот, залогът е значителен. Тази статия подробно описва приложимите правни основания, практическите задължения на отделите HR и най-добрите практики за сигурност на вашите обработки — включително при дематериализация на HR документи.

Правните основи на обработката на HR данни

Допустимите правни основания в трудовото право

RGPD изброява шест правни основания за обработка на лични данни (член 6). В контекста на HR, три от тях се използват почти систематически:

• Изпълнението на трудовия договор (чл. 6.1.b): представлява основния фундамент за управление на заплати, наблюдение на работното време, издаване на разчетни листове или управление на отпуски.

• Правно задължение (чл. 6.1.c): оправдава обработките, наложени от Кодекса на труда или социалното законодателство, като предварителното уведомление преди наемане (DPAE), номиналната социална декларация (DSN) или ведене на единния регистър на персонала.

• Законният интерес (чл. 6.1.f): може да обоснове някои обработки за информационна сигурност или предотвратяване на вътрешни измами, при условие че този интерес не надвишава основните права на служителите.

⚠️ Основата на съгласието трябва да се боравя с крайната прилежност в трудовия контекст. CNIL редовно припомня, че дисбалансът, присъщ на връзката работодател-служител, прави съгласието рядко "свободно" по смисъла на член 7 на RGPD. Прибягване към съгласието за обработки, които могат да разчитат на друго правно основание, изложи работодателя на риск от преквалификация.

Специалните категории данни: подсилен режим

Някои данни, събрани от HR, попадат под режима на "чувствителни данни" от член 9 на RGPD, чиято обработка е принципно забранена с изключения:

• Здравни данни: болничен лист, неспособност установена от служба по медицина на труда, приспособления на работното място за инвалидност.

• Профсъюзни данни: членство в профсъюз, представителни мандати.

• Биометрични данни: контрол на достъпа с отпечатък на пръст или разпознаване на лице.

• Данни относно нарушенията: проверка на наказателни досиета, разрешена само в регулирани сектори (сигурност, детелинство и т.н.).

За тези категории работодателят трябва да идентифицира явно изключение (чл. 9.2), да проведе оценка на влиянието върху защитата на данните (AIPD) в повечето случаи и често да консултира CNIL преди разгръщане.

Практическите задължения на отделите HR

Регистърът на дейностите по обработка

Всяко организация, наемаща повече от 250 служители, е длъжна да поддържа регистър на дейностите по обработка (чл. 30 на RGPD). Под този праг задължението остава в сила, когато обработките не са случайни или засягат чувствителни данни — което е почти винаги в HR. Този регистър трябва да документира:

• Целта на всяка обработка (напр.: "управление на разчетни листове")

• Категориите на засегнатите данни

• Получателите (трети лица, подизпълнители, органи)

• Периодите на съхранение

• Приложените мерки за сигурност

CNIL предоставя свободно достъпен модел на регистър. Неговото строго поддържане представлява първата линия на отбрана при контрол.

Периодите на съхранение: често пренебрегвана точка

Член 5.1.e на RGPD налага принципа на ограничаване на съхранението: данните не трябва да се съхраняват над периода, необходим за целта, за която са събрани. В HR препоръчаните референтни периоди са следните:

| Тип данни | Препоръчан период на съхранение | |---|---| | Разчетен лист | 5 години (гражданската давност) | | Трудов договор | 5 години след прекратяване на договора | | Данни от набиране (кандидат, който не е преминал) | Максимум 2 години след последния контакт | | Дисциплинарен досие | Различен период selon санкцията (максимум 3 години за предупреждение) | | Данни от видеонаблюдение | 1 месец по общо правило | | DSN и регистър на персонала | 5 години след заминаването на служителя |

Тези периоди трябва да бъдат вписани в регистъра и прилагани чрез процедури за изтриване или окончателно архивиране.

Информиране на служителите: често недооценено задължение

Член 13 на RGPD налага предоставяне на пълна информационна бележка на засегнатите лица в момента на събиране на техните данни. В HR тази бележка трябва да се предоставя идеално:

• При кандидатстване: за данни, събрани по време на процеса на набиране.

• При наемане: включена в трудовия договор или предоставена в приложение при подписване.

• През периода на трудовото съотношение: при всяка нова обработка (напр.: разгръщане на инструмент за биометричен контрол).

Дематериализацията на процеса на онбординг, особено чрез електронен подпис за HR, улеснява проследимостта на това предоставяне на информация: датата на прочитане и подписване на бележката е отбелязана по доказателствен начин, което представлява ценен елемент на доказателство при спор.

Сигурност на HR данни: технически и организационни мерки

Криптиране, контрол на достъпа и разделяне

Член 32 на RGPD изисква изпълнение на мерки за сигурност адаптирани към риска. За HR данни, които по природа са чувствителни и са мишена при нарушения, минималните добри практики включват:

• Криптиране на данни в покой и при преминаване: файлове с заплати, договори и лични досиета трябва да бъдат съхранени криптирани (AES-256 минимум) и предавани чрез защитени протоколи (TLS 1.3).

• Управление на права на достъп, базирано на роли (RBAC): само упълномощени HR управители достъпват данни за заплати; ръководителят на екип достъпва само необходимите данни за управление.

• Регистриране на достъпа: всяко обращение или изменение на служителски досие трябва да бъде проследено с идентификатора на потребителя, дата и час.

• Псевдонимизация за аналитични обработки (HR табла, проучвания на възнаграждението).

Управление на HR подизпълнители

Отделите HR обращаят се към множество подизпълнители: издатели на SIRH, доставчици на екстернализирана заплата, платформи за обучение, онлайн инструменти за набиране. Всеки от тези трети лица трябва да бъде предмет на договор за подизпълнение, съответстващ на член 28 на RGPD, указващ особено:

• Природата и целта на изпълнаваните обработки

• Задълженията на подизпълнителя относно сигурност и поверителност

• Забраната на подподизпълнение без предварително одобрение

• Модалностите на връщане или унищожаване на данни при прекратяване на договора

При избор на доставчик, трябва също да се проверят дали неговите сървъри са разположени в Европейското икономическо пространство (ЕИП) или дали е в сила адекватен механизъм на преводене (типови договорни клаузи, решение за адекватност) за преводене извън ЕИП.

Дематериализация на HR документи и съответствие на RGPD

Нарастващата дигитализация на HR процесите — електронни трудови договори, дематериализирани разчетни листове, приложения, подписани на разстояние — повдига специфични въпроси на RGPD. Макар че електронен подпис в съответствие с eIDAS предоставя несъмнени гаранции за интегритет и аутентичност, работодателят трябва да гарантира, че използваната платформа:

• Не събира излишни данни по време на процеса на подписване (принцип на минимизация, чл. 5.1.c)

• Съхранява доказателства за подписване (одитна пътека) в сигурни условия и през подходящ период

• Позволява упражнението на права на подписващите (достъп, коригиране, изтриване в правни граници)

За допълнителна информация относно съответствието на инструментите за подписване, пълният наръчник за електронен подпис на Certyneo детайлизира техническите и правни критерии за проверка преди внедряване.

Права на служителите и тяхното ефективно упражнение

Преглед на правата, гарантирани от RGPD

Служителите се ползват от всички права, предвидени в членове 15-22 на RGPD. В контекста на HR, най-често упражняваните права са:

• Право на достъп (чл. 15): служителят може да поиска копие на всички данни, които го касаят, държани от работодателя, включително професионална кореспонденция по електронна поща в определени условия.

• Право на коригиране (чл. 16): коригиране на неточни данни (грешка на банковата сметка, неправилно указано дипломирано образование и т.н.).

• Право на изтриване (чл. 17): ограничено в HR от правни задължения за съхранение, но приложимо на данни от набиране на кандидат, който не е преминал.

• Право на възражение (чл. 21): може да се упражни срещу обработка, базирана на законния интерес, като някои наблюдателни обработки.

• Право на преносимост (чл. 20): приложимо на данни, предоставени от самия служител в контекста на изпълнението на договора.

Периодът на отговор и вътрешните процедури

Работодателят разполага с един месец за отговор на всяко поискване за упражнение на права, период, който може да се продължи до три месеца в случай на сложност или голям обем искания (чл. 12.3). За организиране на това лечение ефективно, препоръчва се:

• Обозначаване на един единствен контактен пункт (DPO или RGPD референт) за получаване на искания

• Поставяне на наличност на целевилен формуляр за служителите

• Документиране на всяко искане и неговия отговор в регистър на исканията за упражнение на права

• Обучение на HR мениджъри за идентификуване на неявно искане (служител, който поиска "своя личен досие", упражнява de facto своето право на достъп)

Ролята на DPO в предприятието

RGPD налага обозначаване на Делегат по защита на данни (DPO) в три случая (чл. 37): публичен орган, обработка в голям мащаб на чувствителни данни или системното наблюдение в голям мащаб. Много предприятия, чиято HR обработка е значителна, попадат в това задължение. DPO може да бъде вътрешен или екстернализиран; трябва да разполага с функционална независимост и да бъде включен във всички решения, засягащи защитата на данните, включително разгръщане на нови цифрови инструменти на HR. Неговата роля е консултативна, а не решаваща: крайната отговорност остава на отговорния за обработката, тоест работодателя.

Приложимо правно рамка за обработка на HR данни

RGPD: основният текст

Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 (RGPD) представлява нормативната основа за обработка на лични данни в Европа. Директно приложим във всички държави-членки от 25 май 2018, той се налага на всеки работодател, който обработва данни на служители, живеещи в ЕС, независимо от националността на предприятието. Основните приложими членове в контекста на HR са:

• Чл. 5: основни принципи (законност, честност, прозрачност, минимизация, точност, ограничаване на съхранението, интегритет и поверителност, отговорност)

• Чл. 6: правни основания за обработка

• Чл. 9: режим на чувствителни данни

• Чл. 12-22: права на засегнатите лица

• Чл. 24-32: задължения на отговорния за обработката и подизпълнителя

• Чл. 33-34: уведомяване на нарушения на данни (72 часа към CNIL, и информиране на лица при висок риск)

• Чл. 35: оценка на влиянието (AIPD) задължителна за обработки с висок риск

• Чл. 83: административни санкции (до 20 млн. евро или 4% от световния оборот)

Закона за информатика и свободи, изменен

В namnet право закона № 78-17 от 6 януари 1978, отнасящ се до информатика, файлове и свободи, изменен със закон № 2018-493 от 20 юни 2018 и указ № 2018-1125 от 12 декември 2018, дополва RGPD, откривайки национални полета на маневриране ("клаузи за отваряне"). Сред най-важните в HR: възможността да се обработват профсъюзни данни в контекста на управление на представителните институции на персонала (чл. 9 на закона), или специфичните правила за обработка на данни за здравеопазване на работното място.

Кодекса на труда и социалната jurisprudence

Кодекса на труда налага задължения за информиране и консултирането преди внедряване на устройство за наблюдение или контрол на служителите (чл. L. 2312-38). Липсата на консултация експозира работодателя на неприложимост на събраните доказателства, както и на наказания.

Jurisprudence на Касационния съд редовно припомня, че контролните инструменти (геолокализиране, бадж, софтуер за проследяване на активност) трябва да бъдат пропорционални на целта и не могат да бъдат отклонени към други цели от декларираните служителям и на CNIL.

Електронен подпис на HR документи: eIDAS и Гражданския кодекс

При дематериализация на трудови договори, приложения или дисциплинарни документи, работодателят трябва да спазва Регламент (ЕС) № 910/2014 eIDAS, който определя три нива на електронен подпис. За документи, толкова структурни колкото CDI трудов договор или документ на конвенционален разрив, авансиран електронен подпис (или дори квалифициран) се препоръчва, за да гарантира идентичността на подписващия и интегритета на документа. Гражданския кодекс в членове 1366 и 1367 установява доказателствената стойност на електронния писмен текст и електронния подпис, при условие надежна идентификация на подписващия и гарантиране на интегритет.

Наказания, произнесени от CNIL в материята на HR

CNIL е произнесла няколко значителни наказания в материята на обработка на HR данни: през 2022 г. компания е осъдена на 400 000 евро глоба за прекомерно наблюдение на служители в дистанционна работа чрез софтуер за улавяне на екран. През 2023 г. охранна фирма е получила санкция от 200 000 евро за прекомерна събиране на биометрични данни без валидно правно основание. Тези решения илюстрират нарастващата внимателност на регулатора върху този периметър.

Сценарии на използване: RGPD HR в практиката

Сценарий 1 — ETI промишлена компания с 450 служители приводи в съответствие своя процес на набиране

Промишлена компания със среден размер, наемаща около 450 душ в три места, получаваше годишно повече от 3 000 спонтанни кандидатури и отговаряше на около 60 позиции. CV-та и писма на мотивация бяха съхранявани без ограничение на продължителност в обща кутия за почта между шест ръководители на отдели. Никаква информационна бележка не се предоставяше на кандидати за използване на техните данни.

След одит на RGPD, следните действия бяха разгърнати за шест месеца:

• Миграция към ATS (Applicant Tracking System), сертифициран като съответстващ на RGPD, с автоматично изтриване на досиета след 24 месеца неактивност

• Добавяне на информационна бележка на RGPD във всяка онлайн форма за кандидатстване

• Електронен подпис на писма за наемане и трудови договори чрез платформа, съответстваща на eIDAS, намалявайки периода за връщане на подписани договори от средно 8 дни до по-малко от 48 часа

• Актуализиране на регистъра на дейностите по обработка с 12 нови карти за обработка на HR

Резултат: никакво искане от CNIL, получено в следващите 18 месеца; прогнозна печалба от 1,2 служителя в управлението на набиранската администрация благодарение на дематериализацията.

Сценарий 2 — Дистрибутивна група с 1 200 служители регулира своята политика на видеонаблюдение

Група, специализирана в хранителната дистрибуция, беше разгърнала система на видеонаблюдение, покриваща 34 търговски точки. Снимките бяха съхранявани 45 дни на някои места, без информация за служителите. Няколко сензора покриваха касовите постове по непрекъснат начин, генерирайки риск от непропорционално наблюдение.

След оплаква на служител към CNIL, компанията ангажира привеждане в съответствие, включително:

• Намаляване на периода на съхранение до максимум 30 дни на всички места

• Преместване на камерите, за да се изключи непрекъснатото наблюдение на индивидуални работни постове

• Консултиране и съгласие на CSE преди всяко ново разгръщане

• Систематично информиране на служителите чрез трудови договори и вътрешна хартия, поставена на видно място

Резултат: закриване на оплакта на CNIL без наказание; подобрение на социалния климат, измерено при следващото годишно проучване на удовлетворение (+11 пункта по елемент "доверие към работодателя").

Сценарий 3 — HR консултантски кабинет, екстернализиран, защитава преводене на данни с неговите клиенти

Кабинет, специализиран в екстернализиране на заплат и администрация на персонал, управляваше служителските досиета за около 20 малки и средни клиенти, представляващи около 1 800 разчетни листа месечно. Файловете с заплати бяха предавани чрез не-криптирана електронна поща, без формализиран договор за подизпълнение по смисъла на член 28 на RGPD.

Кабинетът ангажира пълна преформулировка на своите практики:

• Подписване на Data Processing Agreements (DPA), съответстващи на член 28 с всеки един от своите клиенти, чрез платформа за електронен подпис, консистентна с отследяване

• Поставяне на наличност на защитен портал на клиенти (криптиране TLS + двуфакторна аутентификация) за депозиране и събиране на файлове с заплати

• Хостване на данни на сървъри, разположени във Франция, сертифицирани HDS за данни на здравеопазване на труда

• Редакция на политика на подизпълнение, регулираща обращение към трети лица (издател на софтуер за заплати, архивер)

Резултат: намаляване на 100% на преводене на HR данни чрез не-защитена електронна поща; получаване на два нови договора на клиенти, направили съответствие на RGPD задължителен критерий за избор при техния тендер.

Заключение

RGPD в HR не се свежда до допълнително административно ограничение: това е лост на доверие между работодателя и сътрудниците му, и фактор на конкурентност на пазар на труда, където прозрачност е все повече оценявана. Регистър на обработките, поддържан актуален, управлявани периоди на съхранение, формализирана информация на служителите, подсилена сигурност на чувствителни данни и договорни подизпълнители: всеки един от тези стълбове допринася за изграждане на HR политика, която е едновременно правна и отговорна.

Дематериализацията на HR документи — договори, приложения, разчетни листове, информационни бележки — предоставя уникална възможност да се комбинира съответствие на RGPD и операционна ефективност, при условие че разчитане на сертифицирани инструменти. Certyneo ви придружава в този процес със решение за електронен подпис, съответствуващо на eIDAS, разработено за HR екипи. Открийте нашите цени и стартирайте безплатния пробен период на Certyneo, за да защитите своите HR документи още днес.