RGPD en RH : Traitement des données des salariés

Ο Γενικός Κανονισμός για την Προστασία των Δεδομένων (RGPD) δεν ισχύει μόνο στις εμπορικές σχέσεις μεταξύ μιας εταιρείας και των πελατών της: ρυθμίζει επίσης, και με ιδιαίτερη ακρίβεια, την επεξεργασία των προσωπικών δεδομένων των εργαζομένων. Πρόσληψη, διαχείριση μισθοδοσίας, έλεγχος πρόσβασης, αξιολόγηση επιδόσεων, βιντεοκατοπτρισμός... κάθε στάδιο του κύκλου ζωής της σύμβασης εργασίας δημιουργεί δεδομένα προσωπικού χαρακτήρα που ο εργοδότης πρέπει να επεξεργαστεί σε αυστηρή συμμόρφωση με το ευρωπαϊκό δίκαιο. Με πρόστιμα που μπορούν να φτάσουν τα 20 εκατομμύρια ευρώ ή 4% του παγκόσμιου ετήσιου κύκλου εργασιών, το ζήτημα είναι σημαντικό. Αυτό το άρθρο αναλύει λεπτομερώς τις εφαρμοστέες νομικές βάσεις, τις πρακτικές υποχρεώσεις των υπηρεσιών HR και τις καλύτερες πρακτικές για την ασφάλεια των επεξεργασιών σας — συμπεριλαμβανομένης της ψηφιοποίησης των εγγράφων HR.

Τα νομικά θεμέλια της επεξεργασίας των δεδομένων HR

Οι νομικές βάσεις που αναγνωρίζονται στο εργατικό δίκαιο

Ο RGPD απαριθμεί έξι νομικές βάσεις που επιτρέπουν την επεξεργασία προσωπικών δεδομένων (άρθρο 6). Στο πλαίσιο HR, τρεις από αυτές χρησιμοποιούνται σχεδόν συστηματικά:

• Η εκτέλεση της σύμβασης εργασίας (άρθρο 6.1.β): αποτελεί την κύρια βάση για τη διαχείριση της μισθοδοσίας, την παρακολούθηση του χρόνου εργασίας, τη χορήγηση των μισθολογικών δελτίων ή ακόμη και τη διαχείριση των άδειων.

• Η νομική υποχρέωση (άρθρο 6.1.γ): δικαιολογεί τις επεξεργασίες που επιβάλλονται από τον Κώδικα Εργασίας ή τη νομοθεσία κοινωνικής ασφάλειας, όπως η προκαταρκτική δήλωση πρόσληψης (DPAE), η ονοματιστική κοινωνική δήλωση (DSN) ή η τήρηση του ενιαίου μητρώου του προσωπικού.

• Το νόμιμο συμφέρον (άρθρο 6.1.στ): μπορεί να θεμελιώσει ορισμένες επεξεργασίες πληροφορικής ασφάλειας ή πρόληψης εσωτερικής απάτης, υπό την προϋπόθεση ότι αυτό το συμφέρον δεν υπερκαλύπτεται από τα θεμελιώδη δικαιώματα των εργαζομένων.

⚠️ Η βάση της συγκατάθεσης πρέπει να χειρίζεται με ακραία προσοχή στο πλαίσιο της σχέσης εργασίας. Η CNIL υπενθυμίζει τακτικά ότι η εγγενής ανισορροπία στη σχέση εργοδότη-εργαζομένου καθιστά τη συγκατάθεση σπάνια «ελεύθερη» κατά την έννοια του άρθρου 7 του RGPD. Η αναφορά σε συγκατάθεση για επεξεργασίες που θα μπορούσαν να στηριχθούν σε άλλη νομική βάση εκθέτει τον εργοδότη σε κίνδυνο επαναχαρακτηρισμού.

Οι ειδικές κατηγορίες δεδομένων: ένα ενισχυμένο καθεστώς

Ορισμένα δεδομένα που συλλέγονται από το HR περιλαμβάνονται στο καθεστώς των «ευαίσθητων δεδομένων» που αναφέρεται στο άρθρο 9 του RGPD, η επεξεργασία των οποίων είναι κατ' αρχήν απαγορευμένη εκτός εξαιρέσεων:

• Δεδομένα υγείας: αναρρωτήρια, ανικανότητες που δηλώνονται από την εργασιακή ιατρική, προσαρμογές θέσης για αναπηρία.

• Συνδικαλιστικά δεδομένα: συμμετοχή σε ένωση, αντιπροσωπευτικές εντολές.

• Βιομετρικά δεδομένα: έλεγχος πρόσβασης με δακτυλικά αποτυπώματα ή αναγνώριση προσώπου.

• Δεδομένα σχετικά με παραβάσεις: επαλήθευση μητρώων τακτοποίησης, εξουσιοδοτημένη μόνο σε ρυθμιζόμενους τομείς (ασφάλεια, παιδική ηλικία, κλπ.).

Για αυτές τις κατηγορίες, ο εργοδότης πρέπει να εντοπίσει μια ρητή εξαίρεση (άρθρο 9.2), να διεξάγει ανάλυση επιπτώσεων στην προστασία των δεδομένων (AIPD) στις περισσότερες περιπτώσεις, και συχνά να συμβουλευτεί τη CNIL πριν από την ανάπτυξη.

Οι πρακτικές υποχρεώσεις των υπηρεσιών HR

Το μητρώο των δραστηριοτήτων επεξεργασίας

Κάθε οργανισμός που απασχολεί περισσότερους από 250 εργαζομένους υποχρεούται να τηρεί ένα μητρώο των δραστηριοτήτων επεξεργασίας (άρθρο 30 του RGPD). Κάτω από αυτό το όριο, η υποχρέωση παραμένει όταν οι επεξεργασίες δεν είναι περιστασιακές ή αφορούν ευαίσθητα δεδομένα — κάτι που είναι σχεδόν πάντα η περίπτωση στο HR. Αυτό το μητρώο πρέπει να τεκμηριώνει:

• Ο σκοπός κάθε επεξεργασίας (π.χ.: «διαχείριση μισθολογικών δελτίων»)

• Οι κατηγορίες δεδομένων που εμπλέκονται

• Οι παραλήπτες (τρίτοι, υπεργολάβοι, αρχές)

• Οι περίοδοι κράτησης

• Τα μέτρα ασφάλειας που έχουν θεσπιστεί

Η CNIL διαθέτει ένα πρότυπο μητρώου ελεύθερα κατεβάσιμο. Η αυστηρή τήρησή της αποτελεί την πρώτη γραμμή άμυνας σε περίπτωση ελέγχου.

Οι περίοδοι κράτησης: ένα σημείο που συχνά αγνοείται

Το άρθρο 5.1.ε του RGPD επιβάλλει την αρχή της περιορισμού της κράτησης: τα δεδομένα δεν πρέπει να κρατούνται πέρα από τη διάρκεια που είναι απαραίτητη για το σκοπό για τον οποίο συλλέχθησαν. Στο HR, οι νομικές περίοδοι αναφοράς είναι οι ακόλουθες:

| Τύπος δεδομένων | Προτεινόμενη περίοδος κράτησης | |---|---| | Μισθολογικό δελτίο | 5 χρόνια (πολιτική ημερομηνία παραγραφής) | | Σύμβαση εργασίας | 5 χρόνια μετά τη λήξη της σύμβασης | | Δεδομένα πρόσληψης (υποψήφιος που δεν επιλέχθη) | 2 χρόνια το πολύ μετά την τελευταία επικοινωνία | | Αρχείο πειθαρχικής ποινής | Διάρκεια που ποικίλλει ανάλογα με τη ποινή (το πολύ 3 χρόνια για μια προειδοποίηση) | | Δεδομένα βιντεοκατοπτρισμού | 1 μήνας σε γενικές γραμμές | | DSN και μητρώο προσωπικού | 5 χρόνια μετά την έξοδο του εργαζομένου |

Αυτές οι διάρκειες πρέπει να καταχωρηθούν στο μητρώο και να εφαρμοστούν μέσω διαδικασιών καθαρισμού ή οριστικής αρχειοθέτησης.

Η ενημέρωση των εργαζομένων: μια υποεκτιμημένη υποχρέωση

Το άρθρο 13 του RGPD επιβάλλει την παροχή μιας ολοκληρωμένης ειδοποίησης πληροφοριών στα εν λόγω πρόσωπα κατά τη στιγμή της συλλογής των δεδομένων τους. Στο HR, αυτή η ειδοποίηση θα πρέπει ιδανικά να παραδοθεί:

• Από τη στιγμή της υποψηφιότητας: για τα δεδομένα που συλλέγονται κατά τη διαδικασία πρόσληψης.

• Κατά την πρόσληψη: ενσωματωμένη στη σύμβαση εργασίας ή παραδοθεί ως παράρτημα κατά την υπογραφή.

• Κατά τη διάρκεια της σχέσης σύμβασης: σε κάθε νέα επεξεργασία που εφαρμόζεται (π.χ.: ανάπτυξη ενός εργαλείου βιομετρικής υπογραφής).

Η ψηφιοποίηση της διαδικασίας boarding, ιδίως μέσω της ηλεκτρονικής υπογραφής για HR, διευκολύνει τη δυνατότητα παρακολούθησης αυτής της παράδοσης πληροφοριών: η ημερομηνία ανάγνωσης και υπογραφής της ειδοποίησης καταγράφεται με αποδεικτικό τρόπο, κάτι που αποτελεί πολύτιμο στοιχείο απόδειξης σε περίπτωση διαφοράς.

Η ασφάλεια των δεδομένων HR: τεχνικά και οργανωτικά μέτρα

Κρυπτογράφηση, έλεγχος πρόσβασης και χωρισμός

Το άρθρο 32 του RGPD απαιτεί τη θέσπιση μέτρων ασφάλειας προσαρμοσμένων στον κίνδυνο. Για τα δεδομένα HR, τα οποία είναι εξ ορισμού ευαίσθητα και στοχευόμενα κατά τις διαβρώσεις, οι ελάχιστες καλές πρακτικές περιλαμβάνουν:

• Κρυπτογράφηση δεδομένων σε ηρεμία και κατά τη διαδρομή: τα αρχεία μισθοδοσίας, οι συμβάσεις και τα προσωπικά δεδομένα πρέπει να αποθηκεύονται κρυπτογραφημένα (ελάχιστον AES-256) και να μεταδίδονται μέσω ασφαλών πρωτοκόλλων (TLS 1.3).

• Διαχείριση δικαιωμάτων πρόσβασης βάσει ρόλων (RBAC): μόνο οι εξουσιοδοτημένοι διαχειριστές HR έχουν πρόσβαση στα δεδομένα μισθοδοσίας. ο υπεύθυνος της ομάδας έχει πρόσβαση μόνο στα δεδομένα που είναι απαραίτητα για τη διαχείριση.

• Καταγραφή πρόσβασης: κάθε αναφορά ή τροποποίηση ενός αρχείου εργαζομένου πρέπει να ανιχνεύεται με τον αριθμό ταυτότητας του χρήστη, την ημερομηνία και την ώρα.

• Ψευδώνυμοποίηση για αναλυτικές επεξεργασίες (πίνακες ελέγχου HR, μελέτες αποδοχών).

Η διαχείριση των υπεργολάβων HR

Οι υπηρεσίες HR ανατίθενται σε πολλούς υπεργολάβους: επεξεργαστές SIRH, παρέχοντες εξωτερικευμένης μισθοδοσίας, πλατφόρμες κατάρτισης, εργαλεία online πρόσληψης. Καθένας από αυτούς τους τρίτους πρέπει να υπόκειται σε σύμβαση υπεργολαβίας που συμμορφώνεται με το άρθρο 28 του RGPD, που καθορίζει ιδίως:

• Η φύση και ο σκοπός των επεξεργασιών που υπεργολαβιάζονται

• Οι υποχρεώσεις του υπεργολάβου σε ζητήματα ασφάλειας και εμπιστευτικότητας

• Η απαγόρευση της υπο-υπεργολαβίας χωρίς προηγούμενη ρητή έγκριση

• Τις δυνατότητες επιστροφής ή καταστροφής δεδομένων κατά το τέλος της σύμβασης

Κατά την επιλογή ενός παρόχου, συνιστάται επίσης να επαληθευθεί αν οι διακομιστές του βρίσκονται στον Ευρωπαϊκό Οικονομικό Χώρο (ΕΟΧ) ή εάν υπάρχει κατάλληλος μηχανισμός μεταφοράς (τυπικές συμβατικές ρήτρες, απόφαση επάρκειας) για μεταφορές εκτός ΕΟΧ.

Η ψηφιοποίηση των εγγράφων HR και η συμμόρφωση RGPD

Η αυξανόμενη ψηφιοποίηση των διαδικασιών HR — ηλεκτρονικές συμβάσεις εργασίας, ψηφιοποιημένα μισθολόγια, τροποποιήσεις που υπογράφονται εξ αποστάσεως — θέτει ειδικά ζητήματα RGPD. Εάν η ηλεκτρονική υπογραφή που συμμορφώνεται με το eIDAS παρέχει αδιαμφισβήτητες εγγυήσεις ακεραιότητας και γνησιότητας, ο εργοδότης πρέπει να βεβαιωθεί ότι η χρησιμοποιούμενη πλατφόρμα:

• Δεν συλλέγει περιττά δεδομένα κατά τη διαδικασία υπογραφής (αρχή ελαχιστοποίησης, άρθρο 5.1.γ)

• Διατηρεί τις αποδείξεις υπογραφής (ίχνος ελέγχου) υπό ασφαλείς συνθήκες και για κατάλληλη διάρκεια

• Επιτρέπει την άσκηση των δικαιωμάτων των υπογράφοντων (πρόσβαση, διόρθωση, διαγραφή στα όρια που ορίζονται από τη νομοθεσία)

Για περισσότερα σχετικά με τη συμμόρφωση των εργαλείων υπογραφής, ο ολοκληρωμένος οδηγός ηλεκτρονικής υπογραφής του Certyneo λεπτολογεί τα τεχνικά και νομικά κριτήρια που πρέπει να επαληθευθούν πριν από κάθε ανάπτυξη.

Τα δικαιώματα των εργαζομένων και η ουσιαστική άσκησή τους

Ανασκόπηση των δικαιωμάτων που εγγυώνται από το RGPD

Οι εργαζόμενοι επωφελούνται από όλα τα δικαιώματα που προβλέπονται στα άρθρα 15 έως 22 του RGPD. Στο πλαίσιο του HR, τα δικαιώματα που ασκούνται συχνότερα είναι:

• Δικαίωμα πρόσβασης (άρθρο 15): ο εργαζόμενος μπορεί να ζητήσει ένα αντίγραφο όλων των δεδομένων που τον αφορούν που ο εργοδότης διαθέτει, συμπεριλαμβανομένης της αλληλογραφίας email σε ορισμένες συνθήκες.

• Δικαίωμα διόρθωσης (άρθρο 16): διόρθωση ανακριβών δεδομένων (σφάλμα στο IBAN, λανθασμένα καταχωρημένο δίπλωμα κλπ.).

• Δικαίωμα διαγραφής (άρθρο 17): περιορισμένο στο HR από τις νομικές υποχρεώσεις κράτησης, αλλά ισχύει στα δεδομένα πρόσληψης ενός υποψηφίου που δεν επιλέχθη.

• Δικαίωμα αντίρρησης (άρθρο 21): μπορεί να ασκηθεί ενάντια σε επεξεργασία που θεμελιώνεται στο νόμιμο συμφέρον, όπως ορισμένες επεξεργασίες παρακολούθησης.

• Δικαίωμα μεταφορότητας (άρθρο 20): ισχύει για δεδομένα που παρέχει ο ίδιος ο εργαζόμενος στο πλαίσιο της εκτέλεσης της σύμβασης.

Η προθεσμία απάντησης και οι εσωτερικές διαδικασίες

Ο εργοδότης διαθέτει έναν μήνα για να απαντήσει σε οποιοδήποτε αίτημα άσκησης δικαιωμάτων, με παράταση έως τρεις μήνες σε περίπτωση πολυπλοκότητας ή υψηλού όγκου αιτημάτων (άρθρο 12.3). Για να οργανώσει αποτελεσματικά αυτή την επεξεργασία, συνιστάται να:

• Ορίσει ένα ενιαίο σημείο επαφής (DPO ή σημείο αναφοράς RGPD) για τη λήψη των αιτημάτων

• Θέσπει μια αποκλειστική φόρμα προσβάσιμη στους εργαζομένους

• Τεκμηριώνει κάθε αίτημα και την απάντησή του σε ένα μητρώο αιτημάτων άσκησης δικαιωμάτων

• Εκπαιδεύει τους διαχειριστές HR να αναγνωρίσουν ένα άρρητο αίτημα (ένας εργαζόμενος που απαιτεί « το προσωπικό του αρχείο» ασκεί de facto το δικαίωμά του πρόσβασης)

Ο ρόλος του DPO στην επιχείρηση

Το RGPD επιβάλλει τον ορισμό ενός Υπεύθυνου Προστασίας Δεδομένων (DPO) σε τρεις περιπτώσεις (άρθρο 37): δημόσιες αρχές, επεξεργασία σε μεγάλα δεδομένα ευαίσθητων δεδομένων, ή συστηματική παρακολούθηση σε μεγάλα δεδομένα. Πολλές εταιρείες των οποίων η επεξεργασία HR είναι σημαντική εμπίπτουν σε αυτή την υποχρέωση. Ο DPO μπορεί να είναι εσωτερικός ή εξωτερικευμένος· πρέπει να διαθέτει λειτουργική ανεξαρτησία και να συμμετέχει σε όλες τις αποφάσεις που επηρεάζουν την προστασία δεδομένων, συμπεριλαμβανομένης της ανάπτυξης νέων ψηφιακών εργαλείων HR. Ο ρόλος του είναι συμβουλευτικός και όχι αποφασιστικός: η τελική ευθύνη παραμένει εκείνη του υπευθύνου επεξεργασίας, δηλαδή του εργοδότη.

Νομικό πλαίσιο που ισχύει στην επεξεργασία δεδομένων HR

Το RGPD: κείμενο θεμελίωσης

Ο Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 (RGPD) αποτελεί το κύριο ρυθμιστικό σύνολο για την επεξεργασία προσωπικών δεδομένων στην Ευρώπη. Άμεσα εφαρμόσιμος σε όλα τα κράτη μέλη από την 25η Μαΐου 2018, ισχύει για κάθε εργοδότη που επεξεργάζεται δεδομένα εργαζομένων που διαμένουν στην ΕΕ, ανεξάρτητα από την εθνικότητα της εταιρείας. Τα κύρια εφαρμοστέα άρθρα στο πλαίσιο του HR είναι:

• Άρθρο 5: θεμελιώδεις αρχές (νομιμότητα, αξιοπιστία,