RGPD en RH : Επεξεργασία Δεδομένων Συνεργατών

Η διαχείριση των ανθρώπινων πόρων δημιουργεί, κάθε ημέρα, ένα σημαντικό όγκο προσωπικών δεδομένων: συμβάσεις εργασίας, μισθολόγια, δεδομένα υγείας, αξιολογήσεις απόδοσης, τραπεζικές συντεταγμές... Από την έναρξη ισχύος του Γενικού Κανονισμού για την Προστασία Δεδομένων (RGPD) τον Μάιο του 2018, οι διευθύνσεις ανθρώπινου δυναμικού έχουν γίνει κύριοι παίκτες της συμμόρφωσης εντός των οργανισμών. Ωστόσο, σύμφωνα με την έκθεση δραστηριότητας 2024 της CNIL, ο τομέας των ανθρώπινων πόρων παραμένει ένας από τους τρεις τομείς που έχουν ενοχοποιηθεί συχνότερα κατά τον έλεγχο. Αυτό το άρθρο σας καθοδηγεί μέσα από τις κύριες υποχρεώσεις, τις βέλτιστες πρακτικές και τα διαθέσιμα εργαλεία για να επεξεργάζεστε τα δεδομένα των συνεργατών σας με πλήρη συμμόρφωση.

Ποια προσωπικά δεδομένα επεξεργάζονται οι υπηρεσίες RH;

Κατηγορίες δεδομένων που χρησιμοποιούνται συνήθως

Οι υπηρεσίες ανθρώπινου δυναμικού χειρίζονται ένα πολύ ευρύ φάσμα προσωπικών δεδομένων. Διακρίνουμε δύο κύριες κατηγορίες:

Τα συνηθισμένα δεδομένα, που συλλέγονται στο πλαίσιο της σύμβασης εργασίας: όνομα, επώνυμο, διεύθυνση, αριθμό κοινωνικής ασφάλισης, RIB, CV, διπλώματα, ιστορικό εργασίας, ετήσιες αξιολογήσεις, ωράριο εργασίας, δεδομένα παρουσίας και απουσίας.

Τα ευαίσθητα δεδομένα, που υπόκεινται σε ενισχυμένες περιορισμούς σύμφωνα με το άρθρο 9 του RGPD: δεδομένα υγείας (ασθενειακές άδειες, δηλώσεις εργατικών ατυχημάτων, ιατρικοί περιορισμοί), συνδικαλιστικά δεδομένα (συμμετοχή σε συνδικάτο, εκπροσωπευτικές θέσεις), δεδομένα σχετικά με ποινικές καταδίκες σε ορισμένα πλαίσια εξέλιξης επαγγελματικής σταδιοδρομίας.

Τα τελευταία μπορούν να επεξεργαστούν μόνο υπό την προϋπόθεση ρητής εξαίρεσης προβλεπόμενης από τον κανονισμό — όπως η εκτέλεση νομικών υποχρεώσεων σε θέματα εργατικού δικαίου, ή η ρητή συναίνεση του ενδιαφερόμενου.

Η ιδιαίτερη περίπτωση της πρόσληψης

Η φάση πρόσληψης δημιουργεί ειδικές επεξεργασίες, συχνά κακώς ρυθμιζόμενες. Η συλλογή CV, επιστολών κινητοποίησης και αποτελεσμάτων δοκιμών συνεπάγεται ακριβή διάρκεια διατήρησης: σύμφωνα με τις συστάσεις της CNIL, τα δεδομένα μη επιλεγμένων υποψηφίων πρέπει να διαγραφούν ή να ανωνυμοποιηθούν εντός μέγιστης περιόδου δύο ετών μετά την τελευταία επαφή. Η διατήρηση CV σε απόλυτο όγκο σε μη ασφαλή κοινόχρηστο φάκελο αποτελεί χαρακτηρισμένη παραβίαση.

Η χρήση εργαλείων παρακολούθησης στα ATS (Applicant Tracking Systems) ή αλγορίθμων ανάλυσης συμπεριφοράς πρέπει να αναφερθεί ρητά στην πολιτική απορρήτου που μεταδίδεται στους υποψηφίους, σύμφωνα με τα άρθρα 13 και 14 του RGPD.

Οι νομικές βάσεις της επεξεργασίας στο πλαίσιο των RH

Προσδιορίστε τη σωστή νομική βάση

Το RGPD καθορίζει ότι κάθε επεξεργασία προσωπικών δεδομένων πρέπει να στηρίζεται σε μία από τις έξι νομικές βάσεις που ορίζονται στο άρθρο 6. Στο πλαίσιο των RH, τρεις βάσεις είναι κυρίως χρησιμοποιούμενες:

• Η εκτέλεση της σύμβασης εργασίας (άρθρο 6.1.β): δικαιολογεί την επεξεργασία δεδομένων που είναι απαραίτητα για τη διαχείριση της μισθοδοσίας, των άδειων ή της κατάρτισης.

• Η νομική υποχρέωση (άρθρο 6.1.γ): ισχύει για υποχρεωτικές κοινωνικές δηλώσεις (DSN), καταγραφές προσωπικού ή παρακολούθηση εργατικών ατυχημάτων.

• Το νόμιμο συμφέρον (άρθρο 6.1.στ): μπορεί να επικαλεστεί για επεξεργασίες όπως η διαχείριση διακριτικών πρόσβασης ή η παρακολούθηση βίντεο, υπό την προϋπόθεση αυστηρής δοκιμής εξισορρόπησης.

Η συναίνεση (άρθρο 6.1.α) είναι αντ' αυτού μια εύθραυστη νομική βάση στο πλαίσιο της εργασίας: η CNIL και η Ευρωπαϊκή Επιτροπή Προστασίας Δεδομένων (EDPB) υπενθυμίζουν ότι η δομική ανισορροπία μεταξύ του εργοδότη και του εργαζομένου καθιστά δύσκολη την απόδειξη ελεύθερης συναίνεσης. Θα πρέπει να χρησιμοποιείται μόνο ως τελευταία λύση.

Το αρχείο δραστηριοτήτων επεξεργασίας, αναπόδρακτη υποχρέωση

Κάθε οργανισμός που απασχολεί τουλάχιστον 250 άτομα — ή επεξεργάζεται ευαίσθητα δεδομένα σε μικρότερη κλίμακα — πρέπει να τηρεί ένα αρχείο δραστηριοτήτων επεξεργασίας (άρθρο 30 του RGPD). Στο πλαίσιο των RH, αυτό το αρχείο πρέπει να τεκμηριώνει, για κάθε επεξεργασία: τον σκοπό, τις κατηγορίες δεδομένων, τους παραλήπτες, τις διάρκειες διατήρησης και τα μέτρα ασφάλειας που έχουν εφαρμοστεί.

Αυτό το έγγραφο, διατεθειμένο στη διάθεση της CNIL σε περίπτωση ελέγχου, είναι επίσης ένα πολύτιμο εργαλείο διοίκησης. Σε συνδυασμό με μια λύση ηλεκτρονικής υπογραφής αφιερωμένη στις RH, επιτρέπει την παρακολούθηση και την ημερομηνία και ώρα σφράγισης κάθε σταδίου του κύκλου ζωής ενός εγγράφου RH, ενισχύοντας έτσι την κατανοησιμότητα των διαδικασιών.

Δικαιώματα των συνεργατών και υποχρεώσεις του εργοδότη

Πληροφόρηση των εργαζομένων: άμεση υποχρέωση

Το άρθρο 13 του RGPD επιβάλλει να πληροφορήσετε τους ενδιαφερόμενους κατά τη στιγμή της συλλογής των δεδομένων τους. Στην πράξη, οι υπηρεσίες RH πρέπει να παρέχουν στους εργαζομένους — ιδανικά κατά τη σύναψη της σύμβασης εργασίας — μια ειδοποίηση πληροφοριών RGPD που να δηλώνει: την ταυτότητα του υπεύθυνου επεξεργασίας, τους σκοπούς και τις νομικές βάσεις, τη διάρκεια διατήρησης, τα διαθέσιμα δικαιώματα και τα στοιχεία επικοινωνίας του DPO (Αντιπροσώπου Προστασίας Δεδομένων) εάν ο οργανισμός διαθέτει έναν.

Η ψηφιοποίηση και ασφάλιση αυτής της ανταλλαγής είναι σημαντική. Η χρήση ηλεκτρονικής υπογραφής στην επιχείρηση για την παράδοση αυτής της ειδοποίησης εγγυάται απόδειξη ημερομηνίας και ώρας παράδοσης και αναμφισβήτητη, ευθυγραμμισμένη με τις απαιτήσεις του κανονισμού eIDAS.

Τα δικαιώματα των εργαζομένων που πρέπει να τηρούνται υποχρεωτικά

Οι συνεργάτες έχουν εκτεταμένα δικαιώματα επί των δεδομένων τους:

• Δικαίωμα πρόσβασης (άρθρο 15): κάθε εργαζόμενος μπορεί να ζητήσει ένα αντίγραφο όλων των δεδομένων που τον αφορούν που επεξεργάζονται από τον εργοδότη.

• Δικαίωμα διόρθωσης (άρθρο 16): διόρθωση ανακριβούς δεδομένου (π.χ.: ταχυδρομική διεύθυνση, RIB).

• Δικαίωμα διαγραφής (άρθρο 17): ισχύει σε ορισμένες περιπτώσεις, ιδίως μετά την τερματισμό της σύμβασης και τη λήξη των νομικών προθεσμιών διατήρησης.

• Δικαίωμα αντίρρησης (άρθρο 21): ο εργαζόμενος μπορεί να αντιταχθεί σε επεξεργασία που βασίζεται σε νόμιμο συμφέρον.

• Δικαίωμα περιορισμού (άρθρο 18): προσωρινή ανάσχεση της επεξεργασίας που αμφισβητείται.

Ο εργοδότης έχει περίοδο ενός μήνα για να απαντήσει σε οποιοδήποτε αίτημα άσκησης δικαιωμάτων, επεκτατέα σε τρεις μήνες σε περίπτωση πολυπλοκότητας (άρθρο 12 του RGPD).

Ασφάλεια δεδομένων RH και διαχείριση υπεργολάβων

Τεχνικά και οργανωτικά μέτρα

Το άρθρο 32 του RGPD επιβάλλει την εφαρμογή μέτρων ασφάλειας «κατάλληλα στον κίνδυνο». Για τα δεδομένα RH, οι βέλτιστες πρακτικές περιλαμβάνουν:

• Κρυπτογράφηση αρχείων που περιέχουν ευαίσθητα δεδομένα (μισθολόγια, ιατρικοί φάκελοι).

• Έλεγχος πρόσβασης: αρχή της ελάχιστης δικαιοδοσίας — ένας υπεύθυνος μισθοδοσίας δεν έχει πρόσβαση σε πειθαρχικά δεδομένα.

• Καταγραφή προσβάσεων σε συστήματα RH (SIRH, εργαλεία μισθοδοσίας).

• Σχέδιο αντιμετώπισης παραβιάσεων: σε περίπτωση διαρροής δεδομένων, ο εργοδότης διαθέτει 72 ώρες για ενημέρωση της CNIL (άρθρο 33), και δυνητικά τους ενδιαφερόμενους εάν ο κίνδυνος είναι υψηλός (άρθρο 34).

Ένας πλήρης έλεγχος μέσω του οδηγού ηλεκτρονικής υπογραφής μπορεί να βοηθήσει τις ομάδες RH να εντοπίσουν τις επεξεργασίες που δεν είναι ασφαλείς και παραμένουν σε χαρτί και να τις ψηφιοποιήσουν με συμμόρφωση.

Έλεγχος παρόχων RH μέσω DPA

Οι υπηρεσίες ανθρώπινου δυναμικού καταφεύγουν σε πολλούς υπεργολάβους: λογισμικό μισθοδοσίας, πλατφόρμες κατάρτισης, εργαλεία διαχείρισης ωρών. Κάθε πάροχος που έχει πρόσβαση σε προσωπικά δεδομένα πρέπει να υπόκειται σε συμφωνία επεξεργασίας δεδομένων (Data Processing Agreement — DPA), σύμφωνα με το άρθρο 28 του RGPD. Αυτό το συμβόλαιο πρέπει να προσδιορίσει τις οδηγίες επεξεργασίας, τις εγγυήσεις ασφάλειας, τις τρόπους επιστροφής ή καταστροφής δεδομένων και τις υποχρεώσεις σε περίπτωση παραβίασης.

Η επιλογή παρόχων που φιλοξενούν τις υποδομές τους στην Ευρωπαϊκή Ένωση, ή που καλύπτονται από τυπικές συμβατικές ρήτρες (CCT) που εγκρίθησαν από την Επιτροπή, παραμένει ένα θεμελιώδες απαίτημα για την αποφυγή αθέμιτης μεταφοράς εκτός ΕΕ.

Διάρκειες διατήρησης: ζήτημα δομής

Οι νόμιμες διάρκειες που ισχύουν στο αρχείο εργαζόμενου

Η διάρκεια διατήρησης των δεδομένων RH καλύπτεται από μια στοίβα κειμένων: το RGPD (αρχή περιορισμού διατήρησης, άρθρο 5.1.ε), ο Κώδικας Εργασίας και διάφορες φορολογικές και κοινωνικές διατάξεις. Στην πράξη, οι κύριες προθεσμίες που πρέπει να τηρούνται είναι:

| Τύπος εγγράφου | Ελάχιστη διάρκεια διατήρησης | |---|---| | Μισθολόγιο | 5 χρόνια (κοινωνική παραγραφή) | | Σύμβαση εργασίας | 5 χρόνια μετά τη λήξη της σύμβασης | | Δεδομένα μισθοδοσίας (DSN) | 3 χρόνια (έλεγχος URSSAF) | | Μητρώο προσωπικού | 5 χρόνια μετά την αποχώρηση του εργαζόμενου | | Πειθαρχικά δεδομένα | Διάρκεια ανάλογη με το μέτρο | | Ιατρικό αρχείο (ιατρική του εργασίας) | 50 χρόνια (ειδική κανονιστική) |

Εφαρμογή αυτοματοποιημένης πολιτικής αρχειοθέτησης και καθαρισμού στο SIRH, σε συνδυασμό με ροές εργασίας ηλεκτρονικής υπογραφής που σφραγίζουν την ημερομηνία και ώρα δημιουργίας των εγγράφων, αποτελεί σήμερα την καλύτερη πρακτική για να καταδειχθεί η συμμόρφωση με την CNIL.

Οι παγίδες που πρέπει να αποφύγετε

Τα πιο συχνά σφάλματα που παρατηρούνται κατά τους ελέγχους της CNIL σε θέματα δεδομένων RH είναι: η αιώνια διατήρηση CV μη επιλεγμένων υποψηφίων, η διατήρηση της πληροφοριακής πρόσβασης πρώην εργαζομένων, η απουσία κρυπτογράφησης των αρχείων μισθοδοσίας που εξάγονται και η μη διαγραφή δεδομένων σφράγισης πέραν των νόμιμων προθεσμιών. Για να ασφαλίσετε αυτά τα σημεία, συμβουλεύστε το σύγκριση λύσεων ηλεκτρονικής υπογραφής για να προσδιορίσετε τα εργαλεία που ενσωματώνουν εγγενώς λειτουργίες αρχειοθέτησης απόδειξης και διαχείρισης του κύκλου ζωής εγγράφων.

Κανονιστικό πλαίσιο ισχύον στην επεξεργασία δεδομένων RH

Η επεξεργασία των προσωπικών δεδομένων των συνεργατών εντάσσεται σε ένα πυκνό κανονιστικό πλαίσιο, που αρθρώνει πολλά επίπεδα κανονισμού.

Ο Κανονισμός (ΕΕ) 2016/679 — RGPD αποτελεί τη θεμελιώδη αιτία. Τα άρθρα 5 έως 11 καθορίζουν τις θεμελιώδεις αρχές (νομιμότητα, ευσέβεια, διαφάνεια, περιορισμός των σκοπών, ελαχιστοποίηση δεδομένων, ακρίβεια, περιορισμός διατήρησης, ακεραιότητα και εμπιστευτικότητα). Το άρθρο 9 θέτει τις αυστηρές συνθήκες που ισχύουν για τις ειδικές κατηγορίες δεδομένων, συμπεριλαμβανομένων των δεδομένων υγείας και συνδικαλιστικών, ιδιαίτερα συχνές στις RH. Το άρθρο 83 προβλέπει πρόστιμα που μπορούν να φθάσουν 20 εκατομμύρια ευρώ ή 4% του παγκόσμιου κύκλου εργασιών σε περίπτωση σοβαρής παραβίασης.

Ο νόμος Πληροφορικής και Ελευθεριών που τροποποιήθηκε (νόμος αρ. 78-17 της 6ης Ιανουαρίου 1978), στην ενοποιημένη εκδοχή του, προσαρμόζει το RGPD στο γαλλικό δίκαιο. Παρέχει στην CNIL τις αρμοδιότητές της ελέγχου και κυρώσεων, και προβλέπει ιδίως τομεακές εξαιρέσεις για δεδομένα υγείας στην ιατρική του εργασίας.

Ο Κώδικας Εργασίας καθορίζει τις επεξεργασίες που σχετίζονται με την παρακολούθηση των εργαζομένων (άρθρο L. 1121-1 για το σεβασμό της ιδιωτικής ζωής), τη διαβούλευση των αντιπροσώπων του προσωπικού σχετικά με τα ψηφιακά εργαλεία (άρθρο L. 2312-38) και τα υποχρεωτικά μητρώα.

Ο Κανονισμός eIDAS (αρ. 910/2014), συμπληρωμένος από eIDAS 2.0 (Κανονισμός ΕΕ 2024/1183), ρυθμίζει την νομική αξία των ηλεκτρονικών υπογραφών που τοποθετούνται σε έγγραφα RH. Μια ηλεκτρονική υπογραφή που ταξιδεύει (SEQ), σύμφωνα με το Παράρτημα I του eIDAS και τα πρότυπα ETSI EN 319 132 και ETSI EN 319 122, παρέχει την εκτίμηση ισοδυναμίας με την χειρόγραφη υπογραφή κατά την έννοια του άρθρου 1367 του Γαλλικού Κώδικα Πολιτών.

Το άρθρο 1366 του Γαλλικού Κώδικα Πολιτών θέτει ότι «το ηλεκτρονικό κείμενο έχει την ίδια ισχύ με το κείμενο σε χαρτί, υπό την προϋπόθεση ότι μπορεί να προσδιοριστεί κατάλληλα το πρόσωπο από το οποίο προέρχεται και ότι καταρτίζεται και διατηρείται υπό τέτοιες συνθήκες ώστε να εγγυάται την ακεραιότητά του». Αυτή η διάταξη ισχύει άμεσα στις συμβάσεις εργασίας, τροποποιήσεις, συμφωνίες εμπιστευτικότητας και άλλα ψηφιοποιημένα έγγραφα RH.

Η οδηγία NIS2 (ΕΕ 2022/2555), που μεταφ