RGPD i HR: Behandling af medarbejderdata

Personalledelse genererer dagligt et enormt volumen af persondata: arbejdskontrakter, lønsedler, sundhedsdata, præstationsvurderinger, bankoplysninger… Siden Generel Forordning om Databeskyttelse (GDPR) trådte i kraft i maj 2018, er HR-afdelinger blevet centrale aktører i organisationers overholdelsesindsats. Alligevel viser CNIL's aktivitetsrapport for 2024, at personaleledelsesbranchen stadig er blandt de tre mest omtalte områder under tilsynsbesøg. Denne artikel guider dig gennem nøgleforpligtelser, bedste praksis og tilgængelige værktøjer til at behandle dine medarbejderes data i fuldt overensstemmelse.

Hvilke persondata behandler HR?

Almindelige datakategorier

HR-afdelinger håndterer et meget bredt spektrum af persondata. Man skelner mellem to store familier:

Almindelige data, indsamlet i forbindelse med arbejdsaftalen: navn, fornavn, adresse, CPR-nummer, bankkontonummer, CV, diplomer, professionel historie, årlige vurderinger, arbejdstider, møde- og fraværdata.

Sensitive data, underlagt forstærkede begrænsninger i henhold til GDPR artikel 9: sundhedsdata (sygemelding, arbejdsulykker, medicinske begrænsninger), fagforeningsdata (fagforeningsmedlemskab, repræsentativ hverv), data vedrørende straffedomme i visse ansættelsessammenhænge.

Disse kan kun behandles under forudsætning af en eksplicit undtagelse fastsat i forordningen – som opfyldelse af arbejdsloven eller eksplicit samtykke fra den pågældende person.

Særlige forhold ved rekruttering

Rekrutteringsfasen genererer specifikke behandlinger, som ofte er dårligt reguleret. Indsamling af CV'er, ansøgningsskrivelser og testresultater medfører præcise bevaringskrav: ifølge CNIL's anbefalinger skal data om ikke-valgte kandidater slettes eller anonymiseres inden for maksimalt to år efter sidste kontakt. At opbevare CV'er i det uendelige på en usikret delt disk er en klar overtrædelse.

Brug af sporingsværktøjer i ATS-systemer (Applicant Tracking Systems) eller algoritmer til adfærdsanalyse skal være eksplicit nævnt i databeskyttelsespolitikken transmitteret til kandidater, i overensstemmelse med GDPR artikel 13 og 14.

Retlige grundlag for behandling i HR-sammenhæng

Identificering af det korrekte retlige grundlag

GDPR kræver, at enhver behandling af persondata hviler på et af seks retlige grundlag defineret i artikel 6. I HR-sammenhæng er tre grundlag primært anvendt:

• Opfyldelse af arbejdsaftale (artikel 6.1.b): retfærdiggør behandling af data, der er nødvendige for lønningsadministration, ferie eller træning.

• Juridisk forpligtelse (artikel 6.1.c): gælder obligatoriske sociale erklæringer (DSN), personaleregistre eller arbejdsulykkeovervågning.

• Legitim interesse (artikel 6.1.f): kan påberåbes for behandlinger som badgebehanding eller videoovervågning, under forudsætning af en streng interesseafvejning.

Samtykke (artikel 6.1.a) er derimod et skrøbeligt retligt grundlag i arbejdssammenhænge: CNIL og Det Europæiske Databeskyttelsesudvalg (EDPB) understreger, at strukturel ubalance mellem arbejdsgiver og medarbejder gør det vanskeligt at bevise frit samtykke. Det bør kun bruges som sidste udvej.

Behandlingsregisteret – en uomgængelig forpligtelse

Enhver organisation med mindst 250 ansatte – eller som behandler sensitive data i mindre omfang – skal føre et register over behandlingsaktiviteter (GDPR artikel 30). I HR skal registeret dokumentere for hver behandling: formål, datakategorier, modtagere, bevaringsperioder og sikkerhedsforanstaltninger.

Dette dokument, som skal stilles til CNIL's rådighed ved kontrol, er også et værdifuldt styringsværktøj. Kombineret med en elektronisk signaturløsning dedikeret til HR kan det spore og tidsbestemple hver fase i en HR-dokuments livscyklus, hvilket styrker processernes revisionsparathed.

Medarbejderes rettigheder og arbejdsgiverens forpligtelser

Informering af medarbejdere: en umiddelbar forpligtelse

GDPR artikel 13 stiller krav om at informere de pågældende personer ved dataindsamling. I praksis skal HR give medarbejdere – ideelt set ved underskriftet på arbejdsaftalen – en GDPR-informationsbekendtgørelse med detaljer om: ansvarlig behandlers identitet, formål og retlige grundlag, bevaringsperiode, tilgængelige rettigheder og kontaktoplysninger på databeskyttelsesombudsmanden (DPO), hvis virksomheden har en.

Digitalisering og sikring af denne udveksling er vigtig. Brug af elektronisk signatur i virksomheder til bekendtgørelseslevering garanterer tidsbestemt og ubestridelig bevis for levering, i overensstemmelse med eIDAS-kravene.

Medarbejderes rettigheder at respektere ubetinget

Samarbejdspartnere har omfattende rettigheder over deres data:

• Adgangsret (artikel 15): enhver medarbejder kan anmode om en kopi af alle data vedrørende ham/hende, som arbejdsgiveren behandler.

• Ret til berigtigelse (artikel 16): korrektion af unøjagtige data (f.eks. postadresse, bankkontonummer).

• Ret til sletning (artikel 17): gælder i visse tilfælde, især efter afslutning af kontrakten og udløb af lovlige bevaringsperioder.

• Ret til indsigelse (artikel 21): medarbejdere kan gøre indsigelse mod en behandling baseret på legitim interesse.

• Ret til begrænsning (artikel 18): midlertidig suspension af en omstridt behandling.

Arbejdsgiveren har en måned til at svare på enhver anmodning om udøvelse af rettigheder, hvilket kan forlænges til tre måneder i tilfælde af kompleksitet (GDPR artikel 12).

Sikkerhed af HR-data og management af underleverandører

Tekniske og organisatoriske foranstaltninger

GDPR artikel 32 stiller krav om gennemførelse af sikkerhedsforanstaltninger « passende til risikoen ». For HR-data omfatter bedste praksis:

• Kryptering af filer med sensitive data (lønsedler, medicinske journaler).

• Adgangskontrol: mindste-rettigheds-princippet – en lønbogholding skal ikke have adgang til disciplinær data.

• Logning af adgang til HR-systemer (HRMS, lønningsværktøjer).

• Plan for svar på brud: i tilfælde af datalæk har arbejdsgiveren 72 timer til at underrette CNIL (artikel 33) og potentielt de berørte personer, hvis risikoen er høj (artikel 34).

En fuldstændig revision via elektronisk signatur-guide kan hjælpe HR-teams med at identificere usikre behandlinger, der persisterer på papir, og digitalisere dem korrekt.

Indramning af HR-leverandører via DPA

HR-afdelinger anlægger relationer til mange underleverandører: lønningsoftware, uddannelsesplatforme, tidsregistreringsværktøjer. Hver leverandør med adgang til persondata skal være omfattet af en databehandlingsaftale (Data Processing Agreement – DPA), i overensstemmelse med GDPR artikel 28. Denne kontrakt skal specificere behandlingsinstruktioner, sikkerhedsgarantier, datahåndtering eller destruktion og forpligtelser i tilfælde af brud.

Valg af leverandører, der hoster infrastruktur i EU, eller indrammet af godkendte standardkontraktklausuler (SCC), forbliver en grundlæggende krav for at undgå ulovlige overførsler uden for EU.

Bevaringsperioder: en strukturerende problemstilling

Lovlige bevaringsperioder for medarbejderarkiver

Bevaringen af HR-data er reguleret af en samling af tekster: GDPR (princip om bevaringsbegrænsning, artikel 5.1.e), Arbejdsloven og forskellige skatte- og socialebestemmelser. I praksis er de vigtigste frister:

| Dokumenttype | Minimum bevaringsperiode | |---|---| | Lønseddel | 5 år (social forældelsesfrist) | | Arbejdskontrakt | 5 år efter ansættelsesafslutning | | Løndata (DSN) | 3 år (URSSAF-kontrol) | | Personaleregister | 5 år efter medarbejders afgang | | Disciplinære data | Periode proportional til sanktion | | Medicinaljournal (arbejdsmedicin) | 50 år (særlig regulering) |

Implementering af en automatiseret arkiverings- og sletningspolitik i HRMS'en, kombineret med elektronisk signatur-workflows, som tidsbestempler dokumentoprettelse, er i dag den bedste praksis for at demonstrere CNIL-overensstemmelse.

Faldgruber at undgå

De hyppigste fejl observeret under CNIL-revisioner vedrørende HR-data er: uendelig opbevaring af CV'er fra ikke-valgte kandidater, opretholdelse af it-adgang for tidligere medarbejdere, mangel på kryptering af eksporterede lønfiler og manglende slettelse af badgedata ud over lovlige perioder. For at sikre disse punkter hjælper konsultation af sammenligningen af elektroniske signaturløsninger med at identificere værktøjer, der indbygget integrerer funktioner til bevisarkivering og dokumentlivscyklusledelse.

Gyldig ramme for behandling af HR-data

Behandling af medarbejderes persondata finder sted inden for en tæt normativ ramme, som artikulerer flere reguleringsniveauer.

Forordning (EU) 2016/679 – GDPR er hjørnestenen. Artiklerne 5-11 definerer grundlæggende principper (lovlighed, loyalitet, transparens, formålsbegrænsning, dataminimering, nøjagtighed, bevaringsbegrænsning, integritet og fortrolighed). Artikel 9 etablerer strenge betingelser for særlige kategorier af data, herunder sundhedsdata og fagforeningsdata, som er særligt hyppige i HR. Artikel 83 foreskriver bøder op til 20 millioner euro eller 4 % af det globale årsomsætning ved alvorlige overtrædelser.

Loven om informationsudveksling og frihed ændret (lov nr. 78-17 af 6. januar 1978), i sin konsoliderede version, tilpasser GDPR til fransk ret. Den tildeler CNIL kontrolkompetencer og sanktionskompetencer og foreskriver blandt andet sektorbundne undtagelser for sundhedsdata inden for arbejdsmedicin.

Arbejdsloven regulerer behandlinger relateret til medarbejderovervågning (artikel L. 1121-1 om respekt for privatlivet), konsultation af medarbejderrepræsentanter om digitale værktøjer (artikel L. 2312-38) og obligatoriske registre.

Forordning eIDAS (nr. 910/2014), suppleret af eIDAS 2.0 (EU-forordning 2024/1183), regulerer juridisk gyldighed af elektroniske signaturer på HR-dokumenter. En kvalificeret elektronisk signatur (QES), i overensstemmelse med eIDAS bilag I og ETSI-standarderne ETSI EN 319 132 og ETSI EN 319 122, giver præsumption om ækvivalens til håndskrevne signaturer under fransk civilret artikel 1367.

Artikel 1366 i den franske civilret fastslår, at « elektronisk dokument har samme bevisstyrke som papirdokument, forudsat at den person, det stammer fra, kan identificeres ordentligt, og at det er oprettet og opbevaret på en måde, der garanterer dets integritet ». Denne bestemmelse gælder direkte for arbejdskontrakter, ændringer, fortrolighedsaftaler og andre digitaliserede HR-dokumenter.

NIS2-direktivet (EU 2022/2555), som skal transposes til fransk ret ved lov af 26. februar 2025, stiller styrket krav til væsentlige og vigtige enheder (herunder store industrielle virksomheder og operatører af digitale tjenester) vedrørende styring af informationssikkerhedsrisici, omfattende beskyttelse af sensitive HR-data.

CNIL-sanktioner er i stigning: i 2024 overstiger det samlede bødevolumen 100 millioner euro, med flere kendelser, der direkte involverer mangler i medarbejderdatastyring. Manglende overholdelse af bevaringsperioder, fravær af DPA med HR-underleverandører og utilstrækkelige sikkerhedsforanstaltninger står blandt de hyppigst påtalte grunde.

Anvendelsesscenarier: GDPR-overensstemmelse i HR i praksis

Scenario 1 – En mellemstor industrivirksomhed med 450 medarbejdere digitaliserer onboarding

En mellemstor industrivirksomhed spredt over tre steder i Frankrig håndterede arbejdskontrakter og ændringer på papir. Nye medarbejderes dossier blev først sendt til lønafdelingen efter i gennemsnit 12 arbejdsdage, hvilket forårsagede lønfejl i ca. 8 % af tilfældene. Desuden blev ingen GDPR-bekendtgørelse formelt overgivet til nye medarbejdere: informationen stod kun i bunden af forretningsordenen, som ikke blev underskrevet separat.

Efter implementering af en elektronisk signaturløsning integreret i HRMS'en, med samtidig levering af en GDPR-bekendtgørelse co-underskrevet af medarbejderen og HR-direktøren, reducerede virksomheden onboarding-dokumenttidsspannet til 2 arbejdsdage (reduktion på 83 %). Lønfejl på grund af manglende data faldt til under 1 %. Hvert underskrevet dokument arkiveres med kvalificeret tidsbestempling og giver uafvendelig bevis ved CNIL-kontrol eller tvisteag.

Scenario 2 – En distributionsgruppe med 1.200 medarbejdere sikrer sin bevaringspolitik

En distributionsgruppe styrede data på medarbejdere, der var gået væk for mere end 8 år siden, og de var stadig tilgængelige på en uencrypteret delt server. En CNIL-inspektion fandt Excel-filer med lønsdata, der ikke var sikret eller krypterede. En formel advarsel blev udstedt med instruks om konformitet inden for 3 måneder.

Gruppen gennemførte derefter en komplet revision af sine HR-behandlinger, kortlagde sine 23 behandlingsaktiviteter og implementerede automatisk sletteplaner. De elektronisk signerede dokumenter blev migreret til et digitalt boks-værktøj med konfigurerede retentionperioder efter lovlige krav. DPO'en producerede et komplet HR-behandlingsregister, præsenteret under en anden CNIL-kontrol 18 måneder senere, som blev afsluttet uden følger. Konformitetsomkostningerne var mindre end 60 % af en potentiel bødestraf.

Scenario 3 – Et HR-konsulentbureau med 35 medarbejdere sikrer sine egens og kunders data

Et specialized HR-konsulentbureau administrerer både data for sine egne konsulenter og for kandidater/medarbejdere hos sine klientvirksomheder (inden for assessment- eller outplacement-missioner). Det befinder sig således i dobbelt position: ansvarlig behandler for eget HR og underleverandør (eller co-ansvarlig) for tredjeparts data.

Bureauet implementerede en differentieret dokumentarkitektur: simple elektroniske signaturer til almindelig intern kommunikation, avancerede signaturer til missionskontrakter med kunder og systematisk indlemmede databehandlingsaftaler (DPA) i missionsbrevene. Alle konsulenter modtog en opdateret GDPR-charter, elektronisk underskrevet og opbevaret i et dedikeret register. Denne organisation tillod bureauet at præsentere sin overensstemmelse som kommercielt argument over for store kunder med streng leverandørevindinger, hvilket reducerede gennemsnitlig aftaleindgåelse fra 7 til 2 uger.

Konklusion

GDPR påtvinger HR-direktioner en dyb transformation af deres praksis: streng identifikation af retlige grundlag, effektiv information til medarbejdere, rettigheds-management, kontraktlig indramning af underleverandører, datasikkerhed og overholdelse af bevaringsperioder. Disse forpligtelser er ikke blot administrative formaliteter – de bestemmer virksomhedens evne til at undgå bøder på flere millioner euro og opretholde tilliden fra sine teams.

Digitalisering af HR-processer via eIDAS-kompatible elektroniske signaturløsninger er en af de mest effektive håndtag til at kombinere operationel effektivitet med lovgivningsmæssig overensstemmelse. Certyneo ledsager HR-teams gennem denne omstilling, fra arbejdskontrakt-signering til sikker arkivering af medarbejderdossiers.

Opdag, hvordan Certyneo kan sikre dine HR-processer ved at konsultere vores dedikeret HR-tilbud eller ved at starte gratis for at teste løsningen uden tilsagn.