RGPD v HR: Zpracování údajů zaměstnanců

Řízení lidských zdrojů vytváří každý den značný objem osobních údajů: pracovní smlouvy, výplatní pásky, zdravotnické údaje, hodnocení výkonu, bankové údaje… Sejčinností Obecného nařízení o ochraně údajů (RGPD) v květnu 2018 se oddělení HR stala centrálním aktérem v oblasti dodržování předpisů v rámci organizací. Přesto podle zprávy o činnosti CNIL za rok 2024 zůstává sektor lidských zdrojů jednou z tří oblastí, která je nejčastěji uvedena při kontrolách. Tento článek vás provede klíčovými povinnostmi, osvědčenými postupy a dostupnými nástroji pro zpracování údajů vašich zaměstnanců v úplné shodě s předpisy.

Jaké osobní údaje oddělení HR zpracovávají?

Běžné kategorie údajů

Oddělení HR manipulují s velmi širokým spektrem osobních údajů. Rozlišujeme dvě hlavní skupiny:

Běžné údaje, shromážděné v rámci pracovní smlouvy: jméno, příjmení, adresa, číslo sociálního pojištění, IBAN, CV, diplomy, pracovní historie, roční hodnocení, pracovní doba, údaje o docházce a absenci.

Citlivé údaje, které podléhají posíleným omezením podle článku 9 RGPD: zdravotnické údaje (nemocenská, oznámení pracovního úrazu, zdravotnická omezení), údaje o odborové činnosti (členství v odborech, reprezentační mandáty), údaje týkající se trestních odsouzení v určitých kontextech náboru.

Ty mohou být zpracovávány pouze na základě výslovné výjimky stanovené v nařízení — např. plnění právních povinností v oblasti pracovního práva nebo výslovný souhlas dotčené osoby.

Zvláštní případ náboru

Fáze náboru vytváří specifické zpracování, které je často špatně řízeno. Sběr CV, motivačních dopisů a výsledků testů znamená přesné doby uchovávání: podle doporučení CNIL musí být údaje o uchazeči, který nebyl vybrán, smazány nebo anonymizovány do maximálně dvou let po posledním kontaktu. Neomezené uchovávání CV v nezabezpečeném sdíleném adresáři představuje zjevné porušení.

Použití nástrojů pro sledování v ATS (Applicant Tracking Systems) nebo algoritmů pro analýzu chování musí být výslovně uvedeno v zásadách ochrany osobních údajů předaných uchazeči, v souladu s články 13 a 14 RGPD.

Právní základ zpracování v kontextu HR

Identifikace správné právní základu

RGPD vyžaduje, aby každé zpracování osobních údajů bylo založeno na jedné ze šesti právních základů definovaných v článku 6. V kontextu HR jsou primárně používány tři základy:

• Plnění pracovní smlouvy (čl. 6.1.b): ospravedlňuje zpracování údajů nezbytných pro správu mezd, dovolené nebo školení.

• Právní povinnost (čl. 6.1.c): vztahuje se na povinná sociální hlášení (DSN), registry zaměstnanců nebo sledování pracovních úrazů.

• Oprávněný zájem (čl. 6.1.f): lze jej uplatnit na zpracování, jako je správa přístupových karet nebo video dohled, s výhradou přísného testu vyváženosti.

Souhlas (čl. 6.1.a) je naopak v pracovním kontextu nestabilní právní základ: CNIL a Evropský výbor pro ochranu údajů (EDPB) připomínají, že strukturální nerovnováha mezi zaměstnavatelem a zaměstnancem ztěžuje prokázání volného souhlasu. Měl by být používán pouze jako poslední možnost.

Registr zpracování, nezbytná povinnost

Každá organizace zaměstnávající alespoň 250 osob — nebo zpracovávající citlivé údaje v menším měřítku — musí vést registr aktivit zpracování (čl. 30 RGPD). V HR musí tento registr dokumentovat pro každé zpracování: účel, kategorie údajů, příjemce, doby uchovávání a implementované bezpečnostní opatření.

Tento dokument, který je k dispozici CNIL v případě kontroly, je také cenným nástrojem řízení. V kombinaci s řešením elektronického podpisu určeným pro HR umožňuje sledovat a ověřit čas každé etapy životního cyklu dokumentu HR, což posiluje auditabilitu procesů.

Práva zaměstnanců a povinnosti zaměstnavatele

Informování zaměstnanců: bezprostřední povinnost

Článek 13 RGPD ukládá informovat dotčené osoby v okamžiku sběru jejich údajů. V praxi musí oddělení HR poskytnout zaměstnancům — ideálně při podpisu pracovní smlouvy — oznámení o informacích RGPD s podrobnostmi: totožnost správce zpracování, účely a právní základy, doby uchovávání, dostupná práva a kontaktní údaje DPO (Důstojníka pro ochranu údajů), je-li společnost disponuje.

Digitalizace a zabezpečení této výměny je nezbytné. Použití elektronického podpisu v podniku pro doručení tohoto oznámení zajišťuje nezvratný důkaz doručení s časovým razítkem, v souladu s požadavky nařízení eIDAS.

Práva zaměstnanců, která je třeba bezpodmínečně respektovat

Zaměstnanci mají rozsáhlá práva týkající se svých údajů:

• Právo na přístup (čl. 15): každý zaměstnanec si může vyžádat kopii všech údajů jej týkajících se zpracovávaných zaměstnavatelem.

• Právo na opravu (čl. 16): oprava nepřesných údajů (např. poštovní adresa, IBAN).

• Právo na výmaz (čl. 17): vztahuje se na určité případy, zejména po skončení smlouvy a uplynutí legálních lhůt uchovávání.

• Právo na námitku (čl. 21): zaměstnanec se může vznést námitku proti zpracování založenému na oprávněném zájmu.

• Právo na omezení (čl. 18): dočasné zmrazení zpochybněného zpracování.

Zaměstnavatel má lhůtu jednoho měsíce na odpověď na jakýkoli požadavek na výkon práv, kterou lze prodloužit na tři měsíce v případě složitosti (čl. 12 RGPD).

Bezpečnost údajů HR a řízení subdodavatelů

Technická a organizační opatření

Článek 32 RGPD ukládá implementaci bezpečnostních opatření „vhodných pro riziko". Pro údaje HR zahrnují osvědčené postupy:

• Šifrování souborů obsahujících citlivé údaje (výplatní pásky, zdravotnické spisy).

• Řízení přístupu: princip nejmenšího privilegia — správce mezd nemá přístup k disciplinárním údajům.

• Protokolování přístupu do HR systémů (SIRH, nástroje pro mzdy).

• Plán reakce na porušení: v případě úniku údajů má zaměstnavatel 72 hodin na oznámení CNIL (čl. 33) a potenciálně dotčeným osobám, pokud je riziko vysoké (čl. 34).

Kompletní audit prostřednictvím příručky elektronického podpisu může pomoci HR týmům identifikovat nezabezpečená zpracování, která přetrvávají na papíru, a digitalizovat je v souladu s předpisy.

Regulace poskytovatelů HR pomocí DPA

Oddělení HR využívají mnoho subdodavatelů: software na mzdy, školící platformy, nástroje pro správu časů. Každý dodavatel, který má přístup k osobním údajům, musí být předmětem smlouvy o zpracování údajů (Data Processing Agreement — DPA), v souladu s článkem 28 RGPD. Tato smlouva musí upřesnit pokyny pro zpracování, bezpečnostní záruky, modalitu vrácení nebo zničení údajů a povinnosti v případě porušení.

Výběr poskytovatelů, jejichž infrastruktura je umístěna v Evropské unii, nebo těch, které jsou řízeny standardními smluvními doložkami (SCCs) schválenými Komisí, zůstává základní požadavek, aby se zabránilo jakémukoliv nelegálnímu přenosu mimo EU.

Doby uchovávání: strukturální problém

Právní lhůty platné pro spis zaměstnance

Doba uchovávání údajů HR je upravena vrstvením textů: RGPD (princip omezení uchovávání, čl. 5.1.e), zákonník práce a různá daňová a sociální ustanovení. V praxi jsou hlavní lhůty, které je třeba respektovat:

| Typ dokumentu | Minimální doba uchovávání | |---|---| | Výplatní páska | 5 let (sociální promlčení) | | Pracovní smlouva | 5 let po skončení smlouvy | | Údaje o mzdě (DSN) | 3 roky (kontrola URSSAF) | | Registr zaměstnanců | 5 let po odchodu zaměstnance | | Disciplinární údaje | Trvání úměrné opatření | | Zdravotnický spis (pracovní medicína) | 50 let (specifická regulace) |

Zavedení politiky archivace a automatizované čištění v SIRH, kombinované s pracovními postupy elektronického podpisu, které ověřují čas vytvoření dokumentů, je dnes nejlepší praxe k prokázání souladu s CNIL.

Úskalí, kterým se je třeba vyhnout

Nejčastější chyby zaznamenané během kontrol CNIL týkajících se údajů HR jsou: neomezené uchovávání CV nevybraných uchazečů, zachování počítačových přístupů bývalých zaměstnanců, absence šifrování exportovaných mzdových souborů a nezmazání údajů o badgování po legálních lhůtách. Chcete-li zabezpečit tyto body, consulte srovnání řešení elektronického podpisu umožňuje identifikovat nástroje, které nativně integrují funkce archivace s ověřením a správu životního cyklu dokumentů.

Právní rámec vztahující se na zpracování údajů HR

Zpracování osobních údajů zaměstnanců se odehrává v rámci hustého normativního rámce, který artikuluje několik úrovní regulace.

Nařízení (EU) 2016/679 — RGPD je základním kamenem. Jeho články 5 až 11 definují základní principy (zákonnost, poctivost, transparentnost, omezení účelů, minimalizace údajů, přesnost, omezení uchovávání, integrita a důvěrnost). Článek 9 stanoví přísné podmínky platné pro zvláštní kategorie údajů, včetně zdravotnických a odborových údajů, obzvláště časté v HR. Článek 83 stanoví pokuty až 20 milionů eur nebo 4 % celosvětového obratu v případě závažného porušení.

Zákon o informatice a svobodách pozměněný (zákon č. 78-17 ze 6. ledna 1978), v jeho konsolidované verzi, přizpůsobuje RGPD francouzskému právu. Uděluje CNIL její pravomoci dohledu a sankcionování a stanovuje zejména sektorové výjimky pro zdravotnické údaje v pracovní medicíně.

Zákonník práce upravuje zpracování související s dohledem nad zaměstnanci (čl. L. 1121-1 o respektu soukromí), konzultaci zástupců zaměstnanců o digitálních nástrojích (čl. L. 2312-38) a povinných registrů.

Nařízení eIDAS (č. 910/2014), doplněné o eIDAS 2.0 (Nařízení EU 2024/1183), upravuje právní platnost elektronických podpisů připevněných na dokumenty HR. Kvalifikovaný elektronický podpis (QES) odpovídající příloze I nařízení eIDAS a normám ETSI EN 319 132 a ETSI EN 319 122 poskytuje presumpci ekvivalence s ručně psaným podpisem podle článku 1367 francouzského občanského zákoníku.

Článek 1366 francouzského občanského zákoníku stanovuje, že „elektronický dokument má stejnou důkazní hodnotu jako dokument na papírovém nosiči, pokud lze řádně identifikovat osobu, ze které vychází, a je stanoven a veden tak, aby byla zaručena jeho integrita". Toto ustanovení se přímo vztahuje na pracovní smlouvy, dodatky, dohody o důvěrnosti a další digitalizované dokumenty HR.

Směrnice NIS2 (EU 2022/2555), převedená do francouzského práva zákonem ze 26. února 2025, ukládá podstatným a důležitým subjektům (zejména velkým průmyslovým podnikům a poskytovatelům číslicových služeb) posílené požadavky na řízení rizik souvisejících s bezpečností informací, včetně ochrany citlivých údajů HR.

Sankce udělené CNIL jsou v silném nárůstu: v roce 2024 celková výše pokut překročila 100 milionů eur, s několika rozhodnutími přímo zahrnujícími porušení při správě údajů zaměstnanců. Nedodržení dob uchovávání, absence DPA u subdodavatelů HR a nedostatečnost bezpečnostních opatření patří mezi nejčastěji zjišťované vady.

Scénáře využití: RGPD soulad v HR v praxi

Scénář 1 — Střední průmyslový podnik se 450 zaměstnanci digitalizuje své procesy náboru zaměstnanců

Střední průmyslový podnik rozptýlený na třech místech ve Francii spravoval své pracovní smlouvy a dodatky na papírovém nosiči. Spisy nově příchozích zaměstnanců byly předány oddělení mezd až po průměrné prodlevě 12 pracovních dní, což vedlo k chybám mezd v přibližně 8 % případů. Kromě toho nebyla nově příchozím zaměstnancům formálně doručena žádná oznámení RGPD: informace se objevovaly pouze dole v pracovním řádu, který nebyl samostatně podepsán.

Po nasazení řešení elektronického podpisu integrovaného do HR systému se současným doručením oznámení RGPD podepsaného jak zaměstnancem, tak ředitelem HR, se podařilo podniku zkrátit dobu onboardingové dokumentace na 2 pracovní dny (snížení o 83 %). Chyby mezd související s chybějícími údaji klesly na méně než 1 %. Každý podepsaný dokument je archivován s kvalifikovaným časovým razítkem, které poskytuje důkaz oponível v případě kontroly CNIL nebo pracovněprávního sporu.

Scénář 2 — Distribuční skupina se 1 200 zaměstnanci přivede do souladu svou politiku uchovávání

Skupina působící v distribuci se speciálním zaměřením podstoupila kontrolu CNIL následující stížnosti bývalého zaměstnance. Inspekce odhalila, že tabulky obsahující mzdové údaje zaměstnanců, kteří odešli před více než 8 lety, byly stále dostupné na nezabezpečeném sdíleném serveru bez šifrování. Bylo vydáno formální varování, spolu s pokyny na uvedení do souladu do 3 měsíců.

Skupina pak zahájila kompletní audit svých HR zpracování, zmapovala svých 23 aktivit zpracování a zavedla automatizovaný plán čištění spouštěný HR systémem. Elektronicky podepsané dokumenty byly migrovány do digitálního sejfu s dobami uchovávání nakonfigurovanými podle právních povinností. DPO vyprodukoval kompletní registr HR zpracování, který byl předložen při následující kontrole CNIL 18 měsíců později, která skončila bez dalších opatření. Náklady na uvedení do souladu byly odhadnuty na méně než 60 % potenciální pokuty.

Scénář 3 — Poradenská firma HR se 35 osobami zabezpečuje údaje vlastních poradců a klientů

Poradenská firma specialista na lidské zdroje spravuje jak údaje svých vlastních poradců, tak údaje uchazečů a zaměstnanců svých klientů (v rámci misí posuzování nebo péče o zaměstnance opouštějícího firmu). Ocitá se tak v duální pozici: správce zpracování pro své vlastní HR a subdodavatel (nebo spolusprávce) pro údaje třetích stran.

Poradenská firma zavedly diferencovanou dokumentární architekturu: jednoduché elektronické podpisy pro běžnou vnitřní komunikaci, pokročilé podpisy pro smlouvy o misích s klienty a dohody o zpracování údajů (DPA) systematicky integrované do dopisů o misích. Všichni poradci obdrželi aktualizovanou chartu RGPD, podepsanou elektronicky a uchovávanou v dedikovaném registru. Tato organizace umožnila poradenské firmě prezentovat svou soulad jako obchodní argument vůči velkým účtům podrobujícím se přísným auditům dodavatelů, čímž se zkrátila průměrná doba sjednávání ze 7 na 2 týdny.

Závěr

RGPD ukládá oddělením lidských zdrojů hlubokou transformaci jejich postupů: důsledné identifikování právních základů, efektivní informování zaměstnanců, správa práv, smluvní regulace subdodavatelů, zabezpečení údajů a dodržování dob uchovávání. Tyto povinnosti nejsou pouhými administrativními formalitami — určují schopnost podniku vyhnout se pokutám, které mohou dosáhnout několika milionů eur, a udržet si důvěru svých týmů.

Digitalizace HR procesů prostřednictvím řešení elektronického podpisu kompatibilních s eIDAS je jedním z nejúčinnějších nástrojů pro sladění operační efektivity a souladu s regulací. Certyneo doprovází HR týmy v této transformaci, od podpisu pracovní smlouvy až k zabezpečenému archivaci spisu zaměstnance.

Zjistěte, jak Certyneo může zabezpečit vaše HR procesy konzultací našeho nabídky určené HR týmům nebo bezplatným spuštěním na vyzkoušení řešení bez zavazujících podmínek.