GDPR v HR: Zpracování údajů o zaměstnancích

Úvod

Od 25. května 2018, kdy vstoupilo v platnost obecné nařízení o ochraně osobních údajů (GDPR), jsou personální oddělení v první linii dodržování předpisů. Personalistika denně zpracovává citlivé osobní údaje: životopisy, výplatní pásky, zdravotní údaje, hodnocení, bankovní spojení. Špatné vedení vystavuje společnost sankcím až do výše 20 milionů eur nebo 4 % celosvětového obratu (článek 83 GDPR). Tento článek představuje klíčové povinnosti a osvědčené postupy pro zabezpečení zpracování dat zaměstnanců v celém cyklu HR.

Základní principy platné pro HR údaje

GDPR ukládá šest základních principů kodifikovaných v článku 5: zákonnost, loajalita, transparentnost, omezení účelů, minimalizace, přesnost, omezení uchovávání a integrita/důvěrnost. V praxi to znamená, že HR oddělení může shromažďovat pouze údaje nezbytně nutné pro konkrétní účel. Například žádat při žádosti o číslo sociálního pojištění je nepřiměřené: je to oprávněné až po najmutí pro DSN.

CNIL prostřednictvím svého jednání č. 2019-160 týkající se personálního řízení specifikuje doporučené doby uchování: 2 roky pro neúspěšné žádosti (bez souhlasu), 5 let po odchodu do správního spisu, 6 let pro výplatní pásky ve verzi pro zaměstnavatele.

Právní základ a informace pro zaměstnance

Na rozdíl od všeobecného přesvědčení je souhlas jen zřídka vhodným právním základem v oblasti lidských zdrojů, a to kvůli vztahu podřízenosti. Relevantními základy jsou spíše uzavření pracovní smlouvy (čl. 6 odst. 1 písm. b), právní povinnost (článek 6 odst. 1 písm. c) nebo oprávněný zájem (článek 6 odst. 1 písm. f). Pro citlivé údaje (zdraví, odbory) vyžaduje článek 9 konkrétní základ, jako je povinnost z hlediska pracovního práva.

Zaměstnavatel musí poskytnout jasné informace prostřednictvím oznámení GDPR zaslaného při přijetí do zaměstnání, aktualizovat registr zpracování (článek 30) a konzultovat CSE před jakýmkoli novým zpracováním, které má dopad na zaměstnance (článek L.2312-38 zákoníku práce).

Zabezpečení a práva zaměstnanců

Technické a organizační zabezpečení (článek 32) vyžaduje: šifrování HRIS, řízení přístupu podle profilu, sledovatelnost konzultací, doložky o důvěrnosti se mzdovými nebo náborovými subdodavateli (článek 28). V případě porušení, oznámení CNIL do 72 hodin.

Zaměstnanci mají posílená práva: přístup, opravu, vymazání (omezené zákonnými povinnostmi uchovávat údaje), přenositelnost, odpor. Interní postup musí umožnit odpověď maximálně do jednoho měsíce. Odepření přístupu do kárného spisu musí být právně odůvodněné.

Praktické příklady

Příklad 1 – Nábor:Malý a střední podnik uchovává životopisy všech kandidátů ve sdílené složce po dobu 5 let. Nevyhovující: nadměrné trvání, nedostatek zabezpečení. Řešení: automatická očista po 2 letech, omezený přístup náborářů, zmínka o GDPR v nabídce práce.

Příklad 2 – Video dohled:Logistický sklad nepřetržitě natáčí pracovní stanice. Možná sankce (CNIL sankcionovala Amazon France Logistique v roce 2024 ve výši 32 milionů EUR). Řešení: omezení na citlivé oblasti, individuální informace, konzultace s CSE, doba uchování maximálně jeden měsíc.

Příklad 3 – Nástroje pro spolupráci:Nasazení Microsoft 365 vyžaduje analýzu dopadu (AIPD), pokud jsou aktivovány monitorovací funkce, a také vyhovující subdodavatelskou doložku s vydavatelem.

Dodržování předpisů a sankce

Kromě pokut CNIL je zaměstnavatel vystaven žalobám pracovního soudu za narušení soukromí (článek 9 občanského zákoníku, článek L.1121-1 zákoníku práce). Určení DPO je povinné pro subjekty zpracovávající údaje ve velkém měřítku. Každoroční mapování zpracování lidských zdrojů ve spojení se školením manažerů představuje nejlepší právní a provozní ochranu.

Závěr

Soulad s GDPR v HR není jednorázový projekt, ale neustálý proces zlepšování. Mezi právními povinnostmi, právy zaměstnanců a provozním výkonem musí HR manažeři důsledně řídit správu dat. Investice do vyhovujícího HRIS, školicích týmů a dokumentace každého zpracování transformuje regulační omezení na páku důvěry zaměstnanců.