GDPR in HR: Processing of Employee Data

Εισαγωγή

Από την έναρξη ισχύος του Γενικού Κανονισμού για την Προστασία Δεδομένων (GDPR) στις 25 Μαΐου 2018, τα τμήματα ανθρώπινου δυναμικού βρίσκονται στην πρώτη γραμμή συμμόρφωσης. Οι λειτουργίες ανθρώπινου δυναμικού επεξεργάζονται ευαίσθητα προσωπικά δεδομένα σε καθημερινή βάση: βιογραφικά, εκκαθαριστικά σημειώματα, δεδομένα υγείας, αξιολογήσεις, τραπεζικά στοιχεία. Η κακή διαχείριση εκθέτει την εταιρεία σε κυρώσεις έως και 20 εκατ. ευρώ ή 4% του παγκόσμιου τζίρου (άρθρο 83 του GDPR). Αυτό το άρθρο παρουσιάζει τις βασικές υποχρεώσεις και τις βέλτιστες πρακτικές για τη διασφάλιση της επεξεργασίας των δεδομένων των εργαζομένων σε όλο τον κύκλο ανθρώπινου δυναμικού.

Οι θεμελιώδεις αρχές που ισχύουν για τα δεδομένα ανθρώπινου δυναμικού

Ο GDPR επιβάλλει έξι βασικές αρχές που κωδικοποιούνται στο άρθρο 5: νομιμότητα, πίστη, διαφάνεια, περιορισμός σκοπών, ελαχιστοποίηση, ακρίβεια, περιορισμός διατήρησης και ακεραιότητα/εμπιστευτικότητα. Στην πράξη, αυτό σημαίνει ότι το τμήμα ανθρώπινου δυναμικού μπορεί να συλλέξει μόνο τα δεδομένα που είναι απολύτως απαραίτητα για έναν συγκεκριμένο σκοπό. Για παράδειγμα, το να ζητάτε τον αριθμό κοινωνικής ασφάλισης κατά την υποβολή αίτησης είναι δυσανάλογο: δικαιολογείται μόνο μετά την πρόσληψη για το DSN.

Το CNIL, μέσω της σύσκεψής του με αρ. 2019-160 σχετικά με τη διαχείριση προσωπικού, καθορίζει τις συνιστώμενες περιόδους διατήρησης: 2 χρόνια για αποτυχημένες αιτήσεις (εκτός εάν συναινέσει), 5 χρόνια μετά την αναχώρηση για το διοικητικό φάκελο, 6 χρόνια για εκκαθαριστικά αποδοχών στην έκδοση εργοδότη.

Νομική βάση και πληροφορίες για τους εργαζόμενους

Σε αντίθεση με τη δημοφιλή πεποίθηση, η συναίνεση είναι σπάνια η κατάλληλη νομική βάση στο HR, λόγω της σχέσης υποταγής. Οι σχετικές βάσεις είναι μάλλον η εκτέλεση της σύμβασης εργασίας (άρθρο 6.1.β), η νομική υποχρέωση (άρθρο 6.1.γ) ή το έννομο συμφέρον (άρθρο 6.1.στ). Για ευαίσθητα δεδομένα (υγεία, συνδικάτο), το άρθρο 9 απαιτεί συγκεκριμένη βάση όπως η υποχρέωση από πλευράς εργατικού δικαίου.

Ο εργοδότης πρέπει να παρέχει σαφείς πληροφορίες μέσω μιας ειδοποίησης GDPR που δίνεται κατά την πρόσληψη, να ενημερώνει το μητρώο επεξεργασίας (άρθρο 30) και να συμβουλεύεται το ΧΑΚ πριν από οποιαδήποτε νέα επεξεργασία επηρεάζει τους εργαζόμενους (άρθρο L.2312-38 του Εργατικού Κώδικα).

Ασφάλεια και δικαιώματα εργαζομένων

Η τεχνική και οργανωτική ασφάλεια (άρθρο 32) απαιτεί: κρυπτογράφηση του HRIS, έλεγχο πρόσβασης κατά προφίλ, ιχνηλασιμότητα των διαβουλεύσεων, ρήτρες εμπιστευτικότητας με μισθοδοσία ή υπεργολάβους πρόσληψης (άρθρο 28). Σε περίπτωση παραβίασης, ειδοποίηση στο CNIL εντός 72 ωρών.

Οι εργαζόμενοι έχουν ενισχυμένα δικαιώματα: πρόσβαση, διόρθωση, διαγραφή (περιορίζεται από νομικές υποχρεώσεις διατήρησης), φορητότητα, αντίθεση. Μια εσωτερική διαδικασία πρέπει να επιτρέπει την απάντηση εντός ενός μηνός κατ' ανώτατο όριο. Η άρνηση πρόσβασης στον πειθαρχικό φάκελο πρέπει να αιτιολογείται νομικά.

Πρακτικά παραδείγματα

Παράδειγμα 1 – Πρόσληψη:Μια ΜΜΕ έχει διατηρήσει τα βιογραφικά όλων των υποψηφίων σε έναν κοινό φάκελο για 5 χρόνια. Μη συμμορφούμενο: υπερβολική διάρκεια, έλλειψη ασφάλειας. Λύση: αυτοματοποιημένη εκκαθάριση μετά από 2 χρόνια, περιορισμένη πρόσβαση σε υπεύθυνους προσλήψεων, αναφορά GDPR στην προσφορά εργασίας.

Παράδειγμα 2 – Βιντεοπαρακολούθηση:Μια αποθήκη logistics κινηματογραφεί συνεχώς σταθμούς εργασίας. Πιθανή κύρωση (το CNIL επέβαλε κυρώσεις στην Amazon France Logistique ύψους 32 εκατομμυρίων ευρώ το 2024). Λύση: όριο σε ευαίσθητες περιοχές, μεμονωμένες πληροφορίες, διαβούλευση με το ΧΑΚ, περίοδος διατήρησης έως ένα μήνα.

Παράδειγμα 3 – Εργαλεία συνεργασίας:Η ανάπτυξη του Microsoft 365 απαιτεί ανάλυση επιπτώσεων (AIPD) εάν είναι ενεργοποιημένες οι λειτουργίες παρακολούθησης, καθώς και μια συμβατή ρήτρα υπεργολαβίας με τον εκδότη.

Συμμόρφωση και κυρώσεις

Εκτός από τα πρόστιμα CNIL, ο εργοδότης εκτίθεται σε αγωγές βιομηχανικού δικαστηρίου για παραβίαση της ιδιωτικής ζωής (άρθρο 9 Αστικού Κώδικα, άρθρο L.1121-1 του Εργατικού Κώδικα). Ο ορισμός ενός ΥΠΔ είναι υποχρεωτικός για οντότητες που επεξεργάζονται δεδομένα σε μεγάλη κλίμακα. Η ετήσια χαρτογράφηση της επεξεργασίας ανθρώπινου δυναμικού, σε συνδυασμό με την εκπαίδευση των στελεχών, αποτελεί την καλύτερη νομική και λειτουργική προστασία.

Συμπέρασμα

Η συμμόρφωση με τον GDPR στο HR δεν είναι ένα εφάπαξ έργο αλλά μια συνεχής διαδικασία βελτίωσης. Μεταξύ των νομικών υποχρεώσεων, των δικαιωμάτων των εργαζομένων και της λειτουργικής απόδοσης, οι διευθυντές ανθρώπινου δυναμικού πρέπει να διαχειρίζονται αυστηρά τη διακυβέρνηση δεδομένων. Η επένδυση σε ένα συμβατό HRIS, η εκπαίδευση ομάδων και η τεκμηρίωση κάθε επεξεργασίας μετατρέπουν τους ρυθμιστικούς περιορισμούς σε μοχλό εμπιστοσύνης των εργαζομένων.