RGPD v HR: Zpracování údajů zaměstnanců

Obecné nařízení o ochraně osobních údajů (RGPD) se neuplatňuje pouze na obchodní vztahy mezi podnikem a jeho zákazníky: reguluje také, a velmi přesně, zpracování osobních údajů zaměstnanců. Nábor, správa mezd, kontrola přístupu, hodnocení výkonu, video dohled… každá etapa životního cyklu pracovní smlouvy generuje osobní údaje, které musí zaměstnavatel zpracovávat v přísném souladu s evropským právem. S pokutami dosahujícími až 20 milionů eur nebo 4 % globálního ročního obratu je na čase jednat. Tento článek podrobně popisuje příslušné právní základy, praktické povinnosti oddělení HR a osvědčené postupy k zabezpečení vašeho zpracování — včetně dematerializace HR dokumentů.

Právní základy zpracování HR údajů

Právní základy přijatelné v pracovním právu

RGPD uvádí šest právních základů pro zpracování osobních údajů (článek 6). V kontextu HR se tři z nich používají téměř systematicky:

• Plnění pracovní smlouvy (čl. 6.1.b): tvoří hlavní základ pro správu mezd, sledování pracovní doby, doručování výpisů mezd nebo správu dovolené.

• Právní povinnost (čl. 6.1.c): odůvodňuje zpracování stanovené Pracovním zákoníkem nebo sociální legislativou, jako je předběžné prohlášení o přijetí do zaměstnání (DPAE), nominální sociální prohlášení (DSN) nebo vedení jednotného registru personálu.

• Oprávněný zájem (čl. 6.1.f): může zdůvodnit určité bezpečnostní zpracování nebo prevenci interních podvodů, za podmínky, že tento zájem není převýšen základními právy zaměstnanců.

⚠️ Právní základ souhlasu je v salarizačním kontextu třeba používat s krajní opatrností. CNIL pravidelně upozorňuje, že nevyváženost vlastní vztahu zaměstnavatel-zaměstnanec činí souhlas zřídka „svobodným" ve smyslu článku 7 RGPD. Použití souhlasu pro zpracování, které by mohlo spočívat na jiném právním základě, vystavuje zaměstnavatele riziku přequalifikace.

Zvláštní kategorie údajů: posílený režim

Určité údaje shromažďované HR spadají do kategorie „citlivých údajů" uvedené v článku 9 RGPD, jejichž zpracování je v zásadě zakázáno s výjimkami:

• Údaje o zdraví: nemocenské, neplatnost diagnostikovaná pracovním lékařem, přizpůsobení pracovního místa pro zdravotní postižení.

• Údaje o odborové činnosti: členství v odborech, funkce v reprezentaci.

• Biometrické údaje: kontrola přístupu pomocí otisků prstů nebo rozpoznávání obličeje.

• Údaje o přestupcích: ověřování rejstříků trestů, povoleno pouze v regulovaných sektorech (bezpečnost, péče o děti atd.).

Pro tyto kategorie musí zaměstnavatel identifikovat výslovnou výjimku (čl. 9.2), provést v převážné většině případů analýzu dopadu na ochranu údajů (AIPD) a často konzultovat CNIL před nasazením.

Praktické povinnosti oddělení HR

Registr aktivit zpracování

Každá organizace zaměstnávající více než 250 zaměstnanců je povinna vést registr aktivit zpracování (čl. 30 RGPD). Pod tímto prahem povinnost přetrvává, pokud nejsou zpracování příležitostné nebo se týkají citlivých údajů — což je v HR téměř vždy případ. Tento registr musí dokumentovat:

• Účel každého zpracování (např. „správa výpisů mezd")

• Kategorie dotčených údajů

• Příjemce (třetí strany, subdodavatelé, orgány)

• Doby uchovávání

• Bezpečnostní opatření

CNIL poskytuje svobodně ke stažení šablonu registru. Pečlivé vedení jej tvoří první linií obrany při kontrole.

Doby uchovávání: často zanedbaný bod

Článek 5.1.e RGPD ukládá zásadu omezení uchovávání: údaje nesmí být uchovávány déle, než je nezbytné pro účel, pro který byly shromážděny. V HR jsou referenční právní doby následující:

| Typ údajů | Doporučená doba uchovávání | |---|---| | Výpis mzdy | 5 let (občanská promlčecí lhůta) | | Pracovní smlouva | 5 let po skončení smlouvy | | Údaje o náboru (kandidát nevybraný) | Maximálně 2 roky po posledním kontaktu | | Disciplinární spis | Variabilní podle trestu (max. 3 roky za varování) | | Údaje video dohledu | Obecně 1 měsíc | | DSN a registr personálu | 5 let po odchodu zaměstnance |

Tyto doby musí být uvedeny v registru a uplatňovány prostřednictvím postupů mazání nebo konečné archivace.

Informování zaměstnanců: často podceňovaná povinnost

Článek 13 RGPD ukládá poskytnutí úplné informační přílohy dotčeným osobám v okamžiku sběru jejich údajů. V HR by měla být tato příloha ideálně poskytována:

• Již při kandidatuře: pro údaje shromážděné během procesu náboru.

• Při náboru: zapojena do pracovní smlouvy nebo poskytntuta v příloze při podpisu.

• V průběhu vztahu: při každém novém zpracování (např. nasazení biometrického nástroje).

Dematerializace procesu onboardingu, zejména prostřednictvím elektronického podpisu pro HR, usnadňuje sledování poskytování informací: datum přečtení a podpisu přílohy je opatřeno časovým razítkem důkazní formou, což je v případě sporu cenný důkazní prvek.

Bezpečnost HR údajů: technická a organizační opatření

Šifrování, řízení přístupu a oddělení

Článek 32 RGPD vyžaduje implementaci bezpečnostních opatření přiměřených riziku. Pro HR údaje, které jsou ze své podstaty citlivé a cílené při vniknutích, minimální osvědčené postupy zahrnují:

• Šifrování údajů v klidovém stavu a při přenosu: soubory mezd, smlouvy a osobní spisy musí být uloženy šifrované (minimálně AES-256) a přenášeny bezpečnými protokoly (TLS 1.3).

• Řízení přístupu na základě rolí (RBAC): přístup k údajům mezd mají pouze oprávnění správcové HR; vedoucí týmu má přístup pouze k údajům nezbytným pro řízení.

• Protokolování přístupu: jakákoli konzultace nebo úprava osobního spisu musí být sledována s identifikátorem uživatele, datem a časem.

• Pseudonymizace pro analytické zpracování (HR dashboardy, studie odměňování).

Správa HR subdodavatelů

Oddělení HR se spolupodílí na mnoha subdodavatelích: editory SIRH, poskytovateli outsourcované mezdy, platformami školení, nástroji náboru online. Každý z těchto třetích stran musí být předmětem smlouvy o subdodávce shodné s článkem 28 RGPD, která zejména stanovuje:

• Povahu a účel zpracování outsourcovaného

• Povinnosti subdodavatele v oblasti bezpečnosti a důvěrnosti

• Zákaz subdodávky bez předchozího povolení

• Způsoby vrácení nebo zničení údajů na konci smlouvy

Při výběru poskytovatele je také vhodné ověřit, zda jsou jeho servery umístěny v Evropském hospodářském prostoru (EHP) nebo zda je zavedený odpovídající mechanismus přenosu (standardní smluvní klauzule, rozhodnutí o přiměřenosti) pro přenosy mimo EHP.

Dematerializace HR dokumentů a soulad s RGPD

Rostoucí digitalizace HR procesů — elektronické pracovní smlouvy, dematerializované výpisy mezd, dodatky podepsané na dálku — vynáší specifické otázky RGPD. Zatímco elektronický podpis v souladu s eIDAS přináší nepochybné záruky integrity a autenticity, zaměstnavatel musí zajistit, aby použitá platforma:

• Neshromažďovala zbytečné údaje během procesu podepisování (zásada minimalizace, čl. 5.1.c)

• Uchovávala důkazy podpisů (audit trail) v bezpečných podmínkách a po příslušnou dobu

• Umožňovala výkon práv podepisujících (přístup, oprava, smazání v rámci právních limitů)

Pro hlubší pohled na soulad nástrojů podpisování viz kompletní průvodce elektronickým podpisem od Certyneo, který podrobně popisuje technická a právní kritéria k ověření před jakýmkoli nasazením.

Práva zaměstnanců a jejich efektivní výkon

Přehled práv garantovaných RGPD

Zaměstnanci těží ze všech práv stanovených v článcích 15 až 22 RGPD. V kontextu HR jsou nejčastěji uplatňovanými právy:

• Právo přístupu (čl. 15): zaměstnanec si může vyžádat kopii všech údajů jej týkajících se uchovávaných zaměstnavatelem, včetně výměny e-mailů v určitých podmínkách.

• Právo na opravu (čl. 16): oprava nepřesných údajů (chyba v RIB, špatně vyplněném diplomu atd.).

• Právo na smazání (čl. 17): v HR omezené právními povinnostmi uchovávání, ale uplatnitelné na údaje náboru nevybraného kandidáta.

• Právo namítat (čl. 21): lze jej vykonávat proti zpracování založenému na oprávněném zájmu, jako je určitý dohled.

• Právo na přenositelnost (čl. 20): uplatnitelné na údaje poskytnuté zaměstnancem v rámci plnění smlouvy.

Lhůta odpovědi a interní postupy

Zaměstnavatel má jeden měsíc na odpověď na jakoukoli žádost o výkon práv, přičemž lhůta je prodlužitelná na tři měsíce v případě složitosti nebo vysokého objemu žádostí (čl. 12.3). K efektivní organizaci tohoto zpracování se doporučuje:

• Určit jediný kontaktní bod (DPO nebo referent RGPD) pro příjem žádostí

• Zavést vyhrazený formulář přístupný zaměstnancům

• Zdokumentovat každou žádost a její odpověď v registru žádostí o výkon práv

• Školit manažery HR identifikovat implicitní žádost (zaměstnanec požadující „svůj osobní spis" fakticky vykonává své právo na přístup)

Role DPO v podniku

RGPD ukládá určit Pověřence pro ochranu údajů (DPO) ve třech případech (čl. 37): veřejná autorita, zpracování v rozsáhlém měřítku citlivých údajů nebo systematické sledování v rozsáhlém měřítku. Mnoho podniků, jejichž HR zpracování je významné, spadá pod tuto povinnost. DPO může být interní nebo externalizovaný; musí mít funkční nezávislost a být zapojen do všech rozhodnutí ovlivňujících ochranu údajů, včetně nasazení nových digitálních nástrojů HR. Jeho role je poradní a nikoli rozhodující: konečná odpovědnost zůstává u správce zpracování, kterým je zaměstnavatel.

Právní rámec pro zpracování HR údajů

RGPD: zakládající text

Nařízení (EU) 2016/679 Evropského parlamentu a Rady ze 27. dubna 2016 (RGPD) tvoří základ právní regulace zpracování osobních údajů v Evropě. Přímo použitelné ve všech členských státech od 25. května 2018 se vztahuje na každého zaměstnavatele zpracovávajícího údaje zaměstnanců sídlících v EU, bez ohledu na národnost podniku. Hlavní články aplikovatelné v kontextu HR jsou:

• Čl. 5: základní zásady (zákonnost, poctivost, průhlednost, minimalizace, přesnost, omezení uchovávání, integrita a důvěrnost, odpovědnost)

• Čl. 6: právní základy zpracování

• Čl. 9: režim citlivých údajů

• Čl. 12 až 22: práva dotčených osob

• Čl. 24 až 32: povinnosti správce zpracování a subdodavatele

• Čl. 33-34: hlášení porušení údajů (72 hodin CNIL a informace osob v případě vysokého rizika)

• Čl. 35: analýza dopadu (AIPD) povinná pro vysokorizikové zpracování

• Čl. 83: správní sankce (až 20 mil. € nebo 4 % globálního obratu)

Zákon o informatice a svobodách, změněný

V francouzském právě zákon č. 78-17 ze 6. ledna 1978 týkající se informatiky, spisů a svobod, změněný zákonem č. 2018-493 ze 20. června 2018 a nařízením č. 2018-1125 ze 12. prosince 2018, doplňuje RGPD otevřením národních manévrovacích prostorů (« otevírací klauzule »). Mezi nejdůležitější v HR patří: možnost zpracovávat údaje o odborové činnosti v rámci správy reprezentativních institucí zaměstnanců (čl. 9 zákona) či zvláštní pravidla pro zpracování údajů o zdraví v práci.

Pracovní zákoník a soudní rozhodování

Pracovní zákoník ukládá povinnosti informování a předchozí konzultace Výboru sociálního a hospodářského partnerství (CSE) před nasazením jakéhokoli dohledu nebo kontrolního zařízení na zaměstnance (čl. L. 2312-38). Absence konzultace vystavuje zaměstnavatele neopravnění důkazů shromážděných a trestnímu stíhání.

Judikatura Kasačního soudu pravidelně zdůrazňuje, že kontrolní nástroje (geolokalizace, čípové karty, software sledování aktivity) musí být přiměřené sledovanému cíli a nemohou být zneužívány k jiným účelům, než jakým byly deklarovány zaměstnancům a CNIL.

Elektronický podpis HR dokumentů: eIDAS a Občanský zákoník

Při dematerializaci pracovních smluv, dodatků nebo disciplinárních dokumentů musí zaměstnavatel respektovat Nařízení (EU) č. 910/2014 eIDAS, které definuje tři úrovně elektronického podpisu. Pro tak strukturující dokumenty jako CDI smlouva nebo dokument rozvinutí smlouvy je doporučena pokročilá elektronická podpis (či kvalifikovaná), aby se zaručila identita podepisujícího a integrita dokumentu. Občanský zákoník v článcích 1366 a 1367 potvrzuje důkazní sílu elektronického písma a elektronického podpisu, pokud je zajištěna spolehlivá identifikace podepisujícího a integrity.

Sankce CNIL za HR zpracování

CNIL uložila několik významných sankcí za zpracování HR údajů: v 2022 byla společnost odsouzena k pokutě 400 000 € za nadměrný dohled zaměstnanců v home office prostřednictvím softwaru zachycování obrazovky. V 2023 bezpečnostní společnost dostala pokutu 200 000 € za nadměrný sběr biometrických údajů bez platného právního základu. Tato rozhodnutí ilustrují rostoucí pozornost regulátora vůči tomuto okruhu.

Scénáře používání: RGPD HR v praxi

Scénář 1 — Průměrný průmyslový podnik s 450 zaměstnanci standardizuje svůj nábor

Průmyslový podnik střední velikosti zaměstnávající přibližně 450 osob na třech místech přijímal ročně více než 3 000 spontánních přihlášek a odpovídal na zhruba 60 pracovních nabídek. CV a motivační dopisy byly uloženy bez omezení doby v sdílené poštovní schránce mezi šesti vedoucími odborů. Kandidátům nebyla poskytnuta žádná informační příloha o používání jejich údajů.

Po auditu RGPD byly v průběhu šesti měsíců nasazeny následující kroky:

• Migrace na ATS (Applicant Tracking System) certifikovaný pro soulad s RGPD s automatickým mazáním souborů po 24 měsících nečinnosti

• Přidání informační přílohy RGPD do každého online formuláře kandidatury

• Elektronické podepisování nabídek zaměstnání a pracovních smluv prostřednictvím platformy v souladu s eIDAS, zkrácení doby návratu podepsaných smluv z průměrně 8 dnů na méně než 48 hodin

• Aktualizace registru aktivit zpracování s 12 novými HR zpracovávajícími se

Výsledek: během následujících 18 měsíců bez žádostí CNIL; odhadovaný zisk 1,2 FTE na správě náboru díky dematerializaci.

Scénář 2 — Distribuční skupina s 1 200 zaměstnanci standardizuje svou politiku video dohledu

Skupina se specializující na distribuci potravin nasadila systém video dohledu pokrývající 34 obchodních míst. Záznamy byly uchovávány 45 dnů na některých místech bez informace zaměstnancům. Několik kamer pokrývalo pokladny permanentně, generující riziko neproporcionálního dohledu.

Následující stisku zaměstnance u CNIL podnikla společnost znovu standardizaci včetně:

• Snížení doby uchovávání na maximálně 30 dnů na všech místech

• Přemístění kamer pro vyloučení trvalého dohledu na jednotlivých pracovních místech

• Konzultace a souhlas CSE před jakýmkoli novým nasazením

• Informování zaměstnanců prostřednictvím pracovních smluv a vnitřní charty vyvěšené

Výsledek: uzavření stížnosti CNIL bez sankce; zlepšení sociálního klimatu měřené v následující roční anketě spokojenosti (+11 bodů na položce „důvěra vůči zaměstnavateli").

Scénář 3 — Poradenská HR firma externalizuje bezpečnost při přenosech údajů se zákazníky

Firma specializující se na externalizaci mezd a správy personálu spravovala osobní spisy zaměstnanců pro dvacet malých a středních podniků klientů, představujících přibližně 1 800 výpisů mezd měsíčně. Soubory mezd byly přenášeny nešifrovanou e-mailem bez formalizované subdodavatelské smlouvy ve smyslu článku 28 RGPD.

Firma provvedla úplnou reformu svých postupů:

• Podpis Dohod o zpracování údajů (DPA) shodných s článkem 28 s každým z klientů prostřednictvím platformy pro pokročilý elektronický podpis umožňující sledování

• Nasazení bezpečného portálu klienta (šifrování TLS + dvojfaktorová autentizace) pro ukládání a vyzvedávání souborů mezd

• Hostování údajů na serverech umístěných ve Francii, certifikovaných HDS pro údaje o zdraví v práci

• Formulace politiky subdodávky řídící recourse na třetí strany (editor software mezd, archivátor)

Výsledek: 100% snížení přenosů HR údajů nešifrovanou e-mailem; získání dvou nových smluv klientů, které učinily soulad RGPD povinným kritériem výběru ve svém veřejném obchodě.

Závěr

RGPD v HR se neomezuje na další administrativní zatížení: jedná se o páku důvěry mezi zaměstnavatelem a kolaboranty a faktorem konkurenceschopnosti na trhu práce, kde je transparentnost stále více oceňována. Registr zpracování udržovaný v aktuálním stavu, doby uchovávání pod kontrolou, informování zaměstnanců formalizované, zvýšená bezpečnost citlivých údajů a subdodavatelé smluvně vázáni: každý z těchto pilířů přispívá k vytvoření HR politiky, která je současně právní i odpovědná.

Dematerializace HR dokumentů — smluvy, dodatky, výpisy mezd, informační přílohy — nabízí jedinečnou příležitost kombinovat soulad RGPD s operační účinností, za podmínky, že se opíráme o certifikované nástroje. Certyneo vás v tomto úsilí doprovází s řešením elektronického podpisu v souladu s eIDAS, určeným pro HR týmy. Objevte naše ceny a spusťte bezplatné vyzkoušení na Certyneo pro zabezpečení vašich HR dokumentů již dnes.