GDPR i HR: Behandling af medarbejderdata

Introduktion

Siden den generelle databeskyttelsesforordning (GDPR) trådte i kraft den 25. maj 2018, har HR-afdelinger været i frontlinjen af ​​compliance. Personalefunktioner behandler følsomme personoplysninger på daglig basis: CV'er, lønsedler, helbredsdata, evalueringer, bankoplysninger. Dårlig ledelse udsætter virksomheden for sanktioner på op til 20 millioner euro eller 4 % af den globale omsætning (artikel 83 i GDPR). Denne artikel præsenterer de vigtigste forpligtelser og bedste praksis for at sikre behandlingen af ​​medarbejderdata gennem hele HR-cyklussen.

De grundlæggende principper gældende for HR-data

GDPR pålægger seks kardinalprincipper kodificeret i artikel 5: lovlighed, loyalitet, gennemsigtighed, begrænsning af formål, minimering, nøjagtighed, begrænsning af opbevaring og integritet/fortrolighed. I praksis betyder det, at HR-afdelingen kun kan indsamle de data, der er strengt nødvendige til et bestemt formål. For eksempel er det uforholdsmæssigt at bede om cpr-nummeret ved ansøgning: Det er først berettiget efter ansættelse til DSN.

CNIL har via sin rådslagning nr. 2019-160 vedrørende personaleledelse, specificerer de anbefalede opbevaringsperioder: 2 år for mislykkede ansøgninger (medmindre samtykke), 5 år efter afrejse til den administrative sagsgang, 6 år for lønsedler i arbejdsgiverversionen.

Retsgrundlag og information til medarbejdere

I modsætning til hvad folk tror, ​​er samtykke sjældent det passende retsgrundlag i HR, på grund af underordnelsesforholdet. De relevante grundlag er snarere udførelsen af ​​ansættelseskontrakten (artikel 6.1.b), den juridiske forpligtelse (artikel 6.1.c) eller den legitime interesse (artikel 6.1.f). For følsomme data (sundhed, fagforening) kræver artikel 9 et specifikt grundlag, såsom forpligtelsen i forhold til arbejdsretten.

Arbejdsgiveren skal give klare oplysninger via en GDPR-meddelelse, der gives ved ansættelsen, opdatere behandlingsregistret (artikel 30) og konsultere CSE før enhver ny behandling, der påvirker medarbejdere (artikel L.2312-38 i arbejdsloven).

Sikkerhed og rettigheder for medarbejdere

Teknisk og organisatorisk sikkerhed (artikel 32) kræver: kryptering af HRIS, adgangskontrol efter profil, sporbarhed af konsultationer, fortrolighedsklausuler hos løn- eller rekrutteringsunderleverandører (artikel 28). I tilfælde af en overtrædelse, underretning til CNIL inden for 72 timer.

Medarbejdere har forstærkede rettigheder: adgang, berigtigelse, sletning (begrænset af lovlige tilbageholdelsesforpligtelser), portabilitet, opposition. En intern procedure skal give mulighed for svar inden for højst en måned. Afslaget på aktindsigt i disciplinærsagen skal være juridisk begrundet.

Praktiske eksempler

Eksempel 1 – Rekruttering:En SMV har opbevaret CV'erne for alle kandidater i en delt mappe i 5 år. Ikke-kompatibel: overdreven varighed, mangel på sikkerhed. Løsning: automatiseret udrensning efter 2 år, begrænset adgang til rekrutterere, GDPR-omtale i jobtilbuddet.

Eksempel 2 – Videoovervågning:Et logistiklager filmer løbende arbejdsstationer. Mulig sanktion (CNIL sanktionerede Amazon France Logstique på 32 millioner euro i 2024). Løsning: begrænsning til følsomme områder, individuel information, høring af CSE, opbevaringsperiode på maksimalt en måned.

Eksempel 3 – Samarbejdsværktøjer:Implementeringen af ​​Microsoft 365 kræver en konsekvensanalyse (AIPD), hvis overvågningsfunktioner er aktiveret, samt en kompatibel underleverandørklausul med udgiveren.

Overholdelse og sanktioner

Ud over CNIL-bøder er arbejdsgiveren udsat for faglige domstolssager for krænkelse af privatlivets fred (artikel 9 i Civil Code, artikel L.1121-1 i Labor Code). Udpegningen af ​​en DPO er obligatorisk for enheder, der behandler data i stor skala. En årlig kortlægning af HR-behandling, kombineret med lederuddannelse, udgør den bedste juridiske og operationelle beskyttelse.

Konklusion

GDPR-overholdelse i HR er ikke et enkeltstående projekt, men en kontinuerlig forbedringsproces. Mellem juridiske forpligtelser, medarbejderrettigheder og operationelle præstationer skal HR-ledere nøje styre datastyring. Investering i en kompatibel HRIS, træning af teams og dokumentation af hver behandling forvandler regulatoriske begrænsninger til en løftestang for medarbejdernes tillid.