GDPR в областта на човешките ресурси: Обработка на данни на служители

Въведение

От влизането в сила на Общия регламент за защита на данните (GDPR) на 25 май 2018 г., отделите по човешки ресурси са на първа линия в съответствие. Отделите по човешки ресурси обработват чувствителни лични данни ежедневно: автобиографии, фишове за заплати, здравни данни, оценки, банкови данни. Лошото управление излага компанията на санкции до 20 милиона евро или 4% от глобалния оборот (член 83 от GDPR). Тази статия представя основните задължения и най-добрите практики за осигуряване на обработката на данни на служителите през целия цикъл на човешките ресурси.

Основните принципи, приложими към данните за човешките ресурси

GDPR налага шест основни принципа, кодифицирани в член 5: законосъобразност, лоялност, прозрачност, ограничаване на целите, минимизиране, точност, ограничаване на запазването и цялостност/поверителност. На практика това означава, че отделът по човешки ресурси може да събира само тези данни, които са строго необходими за конкретна цел. Например искането за номер на социална осигуровка при кандидатстване е непропорционално: то е оправдано само след наемане за DSN.

CNIL, чрез своето съвещание №. 2019-160 относно управлението на персонала, уточнява препоръчителните периоди на съхранение: 2 години за неуспешни кандидатури (освен при съгласие), 5 години след заминаване за административната преписка, 6 години за фишове за заплати във версията на работодателя.

Правно основание и информация за служителите

Противно на общоприетото схващане, съгласието рядко е подходящото правно основание в HR, поради връзката на подчинение. Съответните основания са по-скоро изпълнението на трудовия договор (член 6.1.b), правното задължение (член 6.1.c) или законния интерес (член 6.1.f). За чувствителни данни (здраве, профсъюз) член 9 изисква конкретно основание, като например задължението по отношение на трудовото право.

Работодателят трябва да предостави ясна информация чрез GDPR известие, дадено при наемане, да актуализира регистъра за обработка (член 30) и да се консултира с CSE преди всяка нова обработка, засягаща служителите (член L.2312-38 от Кодекса на труда).

Сигурност и права на служителите

Техническата и организационна сигурност (член 32) изисква: криптиране на HRIS, контрол на достъпа по профил, проследимост на консултациите, клаузи за поверителност с ведомости за заплати или подизпълнители за набиране на персонал (член 28). В случай на нарушение, уведомление до CNIL в рамките на 72 часа.

Служителите имат подсилени права: достъп, коригиране, изтриване (ограничено от законови задължения за задържане), преносимост, противопоставяне. Вътрешна процедура трябва да позволява отговор в рамките на максимум един месец. Отказът за достъп до дисциплинарната преписка трябва да бъде правно обоснован.

Практически примери

Пример 1 – Набиране на персонал:МСП съхранява автобиографиите на всички кандидати в споделена папка в продължение на 5 години. Несъответствие: прекомерна продължителност, липса на сигурност. Решение: автоматизирано изчистване след 2 години, ограничен достъп до служители, споменаващи GDPR в офертата за работа.

Пример 2 – Видеонаблюдение:Логистичен склад непрекъснато заснема работните станции. Възможна санкция (CNIL санкционира Amazon France Logistique за 32 милиона евро през 2024 г.). Решение: ограничение до чувствителни зони, индивидуална информация, консултация с CSE, период на съхранение максимум един месец.

Пример 3 – Инструменти за сътрудничество:Внедряването на Microsoft 365 изисква анализ на въздействието (AIPD), ако функциите за наблюдение са активирани, както и съвместима клауза за подизпълнение с издателя.

Спазване и санкции

В допълнение към глобите от CNIL, работодателят е изложен на съдебни дела за намеса в неприкосновеността на личния живот (член 9 от Гражданския кодекс, член L.1121-1 от Кодекса на труда). Определянето на DPO е задължително за субекти, обработващи данни в голям мащаб. Годишното картографиране на обработката на човешките ресурси, съчетано с обучение на мениджъри, представлява най-добрата правна и оперативна защита.

Заключение

Съответствието с GDPR в областта на човешките ресурси не е еднократен проект, а непрекъснат процес на подобрение. Между правните задължения, правата на служителите и оперативното представяне, мениджърите по човешки ресурси трябва стриктно да управляват управлението на данните. Инвестирането в съвместим HRIS, обучението на екипи и документирането на всяка обработка превръща регулаторните ограничения в лост за доверие на служителите.