GDPR personaliküsimustes: töötajate andmete töötlemine

Sissejuhatus

Alates isikuandmete kaitse üldmääruse (GDPR) jõustumisest 25. mail 2018 on personaliosakonnad olnud nõuetele vastavuse eesliinil. Personalifunktsioonid töötlevad igapäevaselt delikaatseid isikuandmeid: CV-sid, palgalehti, terviseandmeid, hinnanguid, pangarekvisiite. Kehv juhtimine seab ettevõttele sanktsioonid kuni 20 miljonit eurot ehk 4% globaalsest käibest (GDPR artikkel 83). See artikkel tutvustab peamisi kohustusi ja parimaid tavasid töötajate andmete töötlemise turvamiseks kogu personalitsükli jooksul.

Personaliandmete suhtes kohaldatavad aluspõhimõtted

GDPR kehtestab kuus artiklis 5 kodeeritud põhiprintsiipi: seaduslikkus, lojaalsus, läbipaistvus, eesmärkide piiramine, minimeerimine, täpsus, säilitamise piiramine ja terviklikkus/konfidentsiaalsus. Praktikas tähendab see, et personaliosakond saab koguda ainult neid andmeid, mis on kindla eesmärgi saavutamiseks hädavajalikud. Näiteks sotsiaalkindlustuse numbri küsimine kandideerimisel on ebaproportsionaalne: see on õigustatud alles pärast DSN-i tööle võtmist.

CNIL oma aruteluga nr. 2019-160 personalijuhtimise kohta, täpsustab soovitatavad säilitusperioodid: 2 aastat ebaõnnestunud taotluste puhul (kui pole nõusolekut), 5 aastat pärast lahkumist haldustoimiku jaoks, 6 aastat palgalehtede puhul tööandja versioonis.

Õiguslik alus ja teave töötajatele

Vastupidiselt levinud arvamusele on nõusolek harva alluvussuhte tõttu personalivaldkonnas sobiv õiguslik alus. Oluliseks aluseks on pigem töölepingu täitmine (p 6.1.b), seadusest tulenev kohustus (p 6.1.c) või õigustatud huvi (p 6.1.f). Tundlike andmete (tervishoid, ametiühing) puhul nõuab artikkel 9 konkreetset alust, näiteks tööõigusega seotud kohustust.

Tööandja peab andma selget teavet töölevõtmisel edastatava GDPR-i teate kaudu, värskendama töötlemisregistrit (artikkel 30) ja konsulteerima CSE-ga enne mis tahes uut töötlemist, mis mõjutab töötajaid (tööseadustiku artikkel L.2312-38).

Töötajate turvalisus ja õigused

Tehniline ja organisatsiooniline turvalisus (artikkel 32) nõuab: HRIS-i krüpteerimist, juurdepääsu kontrolli profiili järgi, konsultatsioonide jälgitavust, konfidentsiaalsusklausleid palgaarvestuse või värbamise alltöövõtjatega (artikkel 28). Rikkumise korral teavitada CNIL-i 72 tunni jooksul.

Töötajatel on tugevdatud õigused: juurdepääs, parandamine, kustutamine (piiratud seaduslike säilitamiskohustustega), teisaldatavus, vastulause. Sisemenetlus peab võimaldama vastata maksimaalselt ühe kuu jooksul. Distsiplinaartoimikule juurdepääsu andmisest keeldumine peab olema õiguslikult põhjendatud.

Praktilised näited

Näide 1 – Värbamine:VKE on hoidnud kõigi kandidaatide CV-sid 5 aastat jagatud kaustas. Nõuetele mittevastav: liigne kestus, turvalisuse puudumine. Lahendus: automaatne puhastus 2 aasta pärast, värbajatele piiratud juurdepääs, GDPR mainimine tööpakkumises.

Näide 2 – videovalve:Logistikaladu filmib pidevalt tööjaamu. Võimalik sanktsioon (CNIL määras Amazon France Logistique'ile 2024. aastal 32 miljoni euro suuruse sanktsiooni). Lahendus: piirang tundlike aladega, individuaalne teave, konsulteerimine CSE-ga, säilitusaeg maksimaalselt üks kuu.

Näide 3 – koostöötööriistad:Microsoft 365 juurutamiseks on vaja mõjuanalüüsi (AIPD), kui seirefunktsioonid on aktiveeritud, ja ka väljaandjaga kooskõlas olevat alltöövõtuklauslit.

Nõuetele vastavus ja sanktsioonid

Lisaks CNIL-i trahvidele on tööandja suhtes eraelu puutumatuse rikkumise eest algatatud töökohtu hagi (tsiviilseadustiku artikkel 9, tööseadustiku artikkel L.1121-1). Andmekaitseametniku määramine on kohustuslik üksustele, kes töötlevad andmeid ulatuslikult. Iga-aastane personalitöötlemise kaardistamine koos juhikoolitusega on parim õigus- ja tegevuskaitse.

Järeldus

GDPR-i järgimine personalivaldkonnas ei ole ühekordne projekt, vaid pidev täiustamisprotsess. Juriidiliste kohustuste, töötajate õiguste ja tegevuse tulemuslikkuse vahel peavad personalijuhid rangelt haldama andmehaldust. Nõuetele vastavasse HRIS-i investeerimine, meeskondade koolitamine ja iga töötlemise dokumenteerimine muudab regulatiivsed piirangud töötajate usalduse hoovaks.