RGPD en RH: Laneko Datuen Tratamendua

Baliabide Humanoen kudeaketa egunero pertsonen datuaren bolumen kontsiderableak sortu: enpleguaren itzulkaria, soldataren agiria, osasunaren datuak, errendimenduaren ebaluazioak, banku koordenatuak... Datuen Babeslaren Erregulazio Orokorra (RGPD) maiatzean 2018ean indarrean sartu zenean, RH zuzendariak erakundearen barnearen bateragarritasun aktiboetan gelditu dira. Hala ere, CNIL-en 2024ko jardueren txostena bezala, baliabide humanoen sektore bat da hiru domeinu gehienetan kontrolearen azterketetan aipatu denean. Artikulu hau bideratu zaituzten norbere langileen datuen tratamenduan bateragarritasunean osatutako obligazio garrantzitsuenak, aholkularitza onak eta tresnak aurkezten ditu.

Zer datu pertsonalek RH tratatu dituzte?

Datu ordinarien kategoriak

RH zerbitzuak datuaren espektro zabala manipulatzen dituzte pertsonal. Bi familia handiak bereizten dira:

Datu ordinariak, enpleguaren itzulkariaren baitan bilduta: izena, abizenak, helbidea, gizarte segurantza zenbakia, RIB, CV, titulua, profesionalaren historia, urtero ebaluazioak, lantzeko denbora, prezentzien datuak eta ez-presen-datuak.

Datu sentikorrak, RGPD-aren 9. artikuluaren aurrean mugatu zabalduak: osasun datuak (gaixotasun atalak, enplegu istorioak), sindikal datuak (sindikataren txokoa, ordezkoen mandatua), kondenazioaren datua batzuetan kontrata deitzean.

Azken hauak ezin dira tratatu lehen baimena esplizitu batean erautu duen ezetzean - hala nola, enpleguaren lege-agiaren legezko obligazio gabetuak, edo datorren pertsonearen baimena aitortuari.

Kontrata deitzeko berezia kasua

Kontrata deitzea sortu tratamiendua bereziak, askotan gutxi enplegatu. CVen bilketa, motibatzio letra eta pruebaen emaitzak eskaini dituzte denbora guardia zehatza: CNIL-en gomendioen arabera, ez kontratatu diren kandidatuen datuak ezabatzea edo anonimizatzea batu du hartutako kontaktu saila bi urte baino maximan. CVak mugagabeki direktorian gorde ez-seguruan idatzia ez jartzea osoa datorren kasua hala da kalte bat.

ATS-etan (Applicant Tracking Systems) jakintza trakatzea edo jokabidearen algoritmoa erabili behar dira esplizitu aipamena egitea pribatutasun politikan bidali diren kandidatuei, RGPD-aren 13. eta 14. artikuluen arabera.

Tratamenduaren legezko oinarria RH testuinguruan

Bene legezko oinarria identifikatzea

RGPD-ak agintzen du datuaren pertsonal guztiak tratamendua oinarrituta egon behar dute sei legezko oinarri batetik 6. artikuluari. RH testuinguruan, hiru oinarri nagusiki erabiltzen dira:

• Enpleguaren itzulkariaren bidea (art. 6.1.b): justifikatzea datu tratamendua beharrezkoa soldata, atseginaren edo formakuntza kudeaketak.

• Legezko obligazioa (art. 6.1.c): aplikatu diren deklara sozialak (DSN), pertsonen erregistro edo lanean istorioak segitzea.

• Interes legitima (art. 6.1.f): berriketa daiteke kudeaketa ditzaketen badgetaxa sarbidea edo bideoen zaintza, segurrean osatzen proba baten azterketa eskalatua baten.

Baimena (art. 6.1.a) datorren legezko oinarri dekabaila enpleguaren testuinguruan: CNIL-a eta Datuen Babeslaren Komitea europarra (CEPD) gogora ekarritzen dute desorekatura egituralak enpleguilea eta langile-sailak errazten du baimena askeari buruzko proba. Ezartzea bakarrik datorren baliabidearen atzean.

Tratamendu erregistroa, baldintza ezinbestekoa

Erakundeak behintzat 250 pertsona dituzte - edo denbora datua tratatu zabalduari - dute jarri behar erregistro aktibitate tratamendua (RGPD-aren 30. artikulua). RH-en, erregistru hau dokumentu beharko du, tratamendu bakoitzarentzat: helburua, datu kategoriak, hartzaileak, denbora babesa, eta segurtasun neurriak idatzita.

Dokumentu hau, CNIL-en esku egonda kontrol kasuan, datorren pilotazio baliagarri tresna da. Batera RH-ren sinadura elektronikoen emaitza batez, berriz eta dagoen emaitzak horodatuaren zikloa erregistrazioak aipatzen RH dokumen bakoitzean, sakonki aurrera agertzen halatik audienziari.

Langileak, eskubideak eta enpleguilea obligazio

Langile informatzea: berriro obligazioa

RGPD-aren 13. artikulua datorren pertsonak informatzea agintzen du datorren datuen bilketan. Praktikoan, RH-ak baliatu behar duten langileei - idealki kontratuen sinadura momentuan - RGPD informazio notifikazio berriketa ditzaketen: errespotsailuaren nortasuna tratamenduaren, helburuak eta legezko oinarriak, denbora babesa, eskubideak esku egon eta DPO koordenatuak (Datuen Babeslaren Delegutuak) erakundeak duen duen kasuera.

Digitalizatzea eta segurtasunean osoa hori eskainia da. Datorren enpleguaren sinadura elektronika erabiltzea notifikazio erremisioari bermatzen datorren probantzia horodata eta ukaezina, eIDAS erregulazioaren exigentziaketa lerratua.

Langile dagoen datua datorren guztiak respetatzea

Langileak dituzten eskubide sakabanduak datorren datuetan:

• Sarbide eskubidea (art. 15): langile oharkerak datu kopia ask nahi dituzte enplegulea bihaltzera dutenean.

• Zuzenketa eskubidea (art. 16): zehaztapena datuan ez-zehatza (ex.: posta helbidea, RIB).

• Galeraren eskubidea (art. 17): aplikagarria zenbait kasutan, kontratu bukaeraren eta denbora babesa legezko atalaren ondoren behintzat.

• Egintza eskubidea (art. 21): langile bat aurkari egin daiteke interes legitima oinarriaren tratamenduari.

• Mugatu eskubidea (art. 18): geltzea tratamendu gardena eztabaidatua.

Enplegulea du hilabete bat datorren eskubide eskatua baten erantzuna, luzatu daiteke hiru hilabete azterketa kasuan (RGPD-aren 12. artikulua).

Datuaren segurtasuna RH eta azpitratatzaile kudeaketa

Neurriak teknikoak eta antolamenduak

RGPD-aren 32. artikulua ezartzen du segurtasun neurriak "arriskua egokia" inposaturik. RH datuentzat, aholkularitza onak sartzea:

• Zifraketak fitxategi datuak (soldataren agiria, medikuntza karpeta) sentikorrak.

• Sarbide kontrola: gutxienaren printzipioa - pagoaren kudeatzailea ez dautza sarbidea disiplina datua.

• Sistemen erregistroa RH sarbideak (SIRH, pagoaren tresnak).

• Jokaldiaren plana datuen okertzea: datuen filtrazioaren kasuan, enplegulea du 72 ordu CNIL-i notifikatzea (art. 33), eta potentzia langileek duten datua kalte altua duen kasuera (art. 34).

Audite osoa sinadura elektronikaren gidearen bidez abuari baliabideak laguntza daitezke gutxienetan ez-seguru tratamenduak papera batean persistitzen identifikatu eta datorren datorren batera.

Prestariak RH enmaratu DPA bidez

RH zerbitzuak deitzea daude azpitratatzaileetan: paguaren softwareak, prestakearen plataformak, denboraren tresnak. Prestariak sarbidea dituzte pertsonen datuekin baliatu behar duten datuaren kudeaketaren akordio (Data Processing Agreement — DPA), RGPD-aren 28. artikuluaren arabera. Kontratua hau zehaztu behar du tratamenduaren agintzen, segurtasun bermeak, datuen itzulera edo suntzitzea modalitatea, eta obligazioak okertzea kasuan.

Prestariak hautatzea infraestructura europarra Batasunean idatzita, edo CCT kontraatu zuzena (Kontsulei Komisioa berritsua) hartuta, oinarrizko exigentzia da eta okertzea gaur eguna ez UE atean.

Denbora babesa: egiturazko arazo

Denbora legalak datorren langile karpeta

Datorren datuen denbora babesa enkondatuta dago testua pilatzean: RGPD (denbora babeslaren mugatzea printzipioa, art. 5.1.e), Enpleguaren Kodea, eta honako disposizio sozialen eta fiskalen datuak. Praktikoan, printzeipalen denbora datorren osatzea dira:

| Dokumentu mota | Denbora babesa gutxieneko | |---|---| | Soldataren agiria | 5 urte (gizarte reszetak) | | Enpleguaren itzulkaria | 5 urte kontratua bukatu ondoren | | Pagoaren datuak (DSN) | 3 urte (URSSAF kontrola) | | Pertsonen erregistroa | 5 urte langile ondoren joaten den | | Disiplina datuak | Denbora proportzionala neurtzea | | Medikuntza karpeta (lanean medikuntza) | 50 urte (legezko erregulazio) |

Politika idaztearen eta garbitzearen automatizazio SIRH-ean, honako sinadura elektronikoen fluxuak batean horodatuaren dokumentuen sorketa, datorren oinarrizko praktika da bateragarritasun CNIL-en frogatzea.

Arazoen pasatzea

CNIL kontrolean RH datuan askotan ikusi diren arazoak dira: ez-hartutako kandidatuen CV-en kontserbazioa mugagabea, enpleguaren ordenaturako aurreko sarbide-ez betetzea, fitxategien zifrakezioa gabetuak exportatua paguean, eta gogorra-denbora datuen ezabatzea badegea.Datuak segurtzeko, kontsultatu sinadura elektronikaren entzuketa osoa tresnak idatzia daukaten automatismorik funkzio etengabean eta dokumen zikloa kudeaketan.

Legezko markoa datorren RH datuen tratamendua

Langile pertsonen datuen tratamendua hazi normatibo dentsoan, erregelazio dauden mailaren artikulazio.

Erregulazio (UE) 2016/679 — RGPD osatzea. 5etik 11. artikuluak zehazten dituzte oinarrizko printzipioak (legalak, zintzo, gardena, helburuaren mugatzea, datuaren minimizioa, zehaztapena, denbora babeslaren mugatzea, integritateari eta sekretaria). 9. artikulua ezartzen du baldintzak zorrotzak kategorian dituzten datuetan, osasunaren eta sindikal datuetan, bereziki ohikoak RH-en. 83. artikulua aurresatzen du 20 milioi euroa edo munduko salgaien % 4 kalte zorrotzaren kasuan.

**Informatika eta Libertateen legea aldatu (lege n° 78-17 6ko urtarrilean 1978), konsolidatu bertsioan, RGPD adokela frantsesari. Baimendu CNIL-en kontrola eta santzioen neurriak, eta aurresatzen berezitan deslege sector osasunaren datuenak lanean medikuntzan.

Enpleguaren Kodea enmarau dituzte langileen segitzea (art. L. 1121-1 pribatutasunaren errespetuaren gainean), pertsonen ordezkariak kontsulta (art. L. 2312-38), eta obligazio erregistro.

eIDAS Erregulazio (n° 910/2014), osatuari eIDAS 2.0 (Erregulazio UE 2024/1183), erregulatzen sinadura elektronikoen balioaren duina RH dokumentuetan. Sinadura elektroniko kualifikatua (SEQ), eIDAS I. eranskinaren eta ETSI EN 319 132 eta ETSI EN 319 122** normaren arabera, ematen du presunsioaren berdina sinadura eskuzkoan Frantsesaren Kodiko zibilaren 1367. artikuluaren sen.

1366. artikulu zibileko kodea ezartzen du "idatzia elektronikoa liter balioduina oinarri papera, hala bada nola dena identifikatu pertsona nondik datorkena eta nola ezarri segurtatua baldintzetan edukia integritatearen ziurtatzean". Direktibahik aplikagarria datorren enpleguaren itzulkaria, abenduak, segretariaren akordio eta beste RH dokuenta desmaterializatuak.

**NIS2 direktiba (UE 2022/2555), transporutatua frantsesaren legeari 2025ean 26ko otsailaren lege, inposatzen gaur-eta-aste diren ezinbestekoak (bereziki industriaren enpresaketa handiak eta zerbitzuen operadorak digitala) baldintzak sakonduak segurtasun informatikari lotutako arriskua kudeaketan, sartitzen RH datuen babesa sensiblea.

CNIL-ek pronuntziatu dituzte santzioak gora igo: 2024an, santzioen denda zenbakia gainditia 100 milioi euroa, askotariko erabakietan zuzenean langileak diren datuen kudeaketa okertzea sartzea. Denbora babeslaren ez-osatua, DPA-ren ez itxaroa azpitratatzaileak RH, eta ez-seguru neurriak ez-osatuena dituzte gehienetan zabaltzen arrazoia.

Erabileraren eszenak: bateragarritasun RGPD RH praktikan

Eszenari 1 — ETI industriala 450 langile dituzte onboarding prozesuak digitalizatzen

Enpresu industriala tartea, hiru tokitan banatu Frantsesean, enpleguaren itzulkaria eta abenduak papera baitan kudeaturik. Sarrera diren karpetak soldataren zerbitzura bidali zituzten 12 lan-egun batean, datorren ez-zuzentasunak % 8 kasutan sortzen zituena. Gainera, RGPD notifikazio bakanik ez ziren langile berriei ematen: informazioa figuratu zen orduan-orduan arau barne, bakarik sinatu denean.

Ondoren datorren SIRH-en sinadura elektronikoen emaitza batean, notifikazio RGPD erremisioaren batera enplegulea eta DRH-ak, enpresuak gutxitu du onboarding dokumentuen denbora 2 lan-egun (% 83 gutxitzea). Paguean gabetuaren datuen arazoak azaldu zuten % 1 baino gutxiago. Sinaturik dokumentu bakoitza archiva duin horodatuarekin, froga audentzia egitea CNIL kontrol o prud'homal lizearen kasuan.

Eszenari 2 — 1 200 langileak baitu taldea kontserbazioa politika bateragarritasun jartzea

Taldeak datorren sektore espezializatuetan ontzat berritzeak CNIL kontrol baten ondoren enplegulea lehenago etsaien datorren datorren. Etxean aurkitu du Excel fitxategiak paguea datuen soldataren joaten da 8 urtetan orain ere sarbidean ez-zifratu gabe, segurik gabe. Formala oharra idatzia, datorren obligazioa egitea 3 hilabeteari azpian.

Taldea orduan zerbitzua osatzea datuaren auditorioa RH, mapan datorren 23 aktibitate tratamenduaren, eta ezarri purge automatikoa SIRH-ak direkzioa du. Sinaturik dokumentuak elektronikoa migratua dituzte datorren denbora babesleriaren konfigu kasuan 18 hilabete gehiago kontrol CNIL batean, amaitu gabea. Bateragarritasunaren kostua estimatu zen gutxiago datorren % 60 danda-aldartzea.

Eszenari 3 — 35 pertsona kontsulta RH kabineta bere kontsulta datua eta bezeroaren segurtzea

Kabinatean RH-en espezializatuari dauden datorren bere kontsulta datua eta kandidatua datorren eta enpresu langileak (beren baratuaren assessment edota outplacement misioekin). Datorren bi posiziora hala: tratamendu errespotsaila datorren bere RH, eta azpitratatzaile (edo coresponsable) hirugarrenaren dagoen datuen.

Kabinateak ezarri du dokumentu egiturazko diferenziado: sinadura elektronikoak sinpleak barrene ohikoak, sinadura aurreratua kontrata-misin bezeroaren, eta datuen kudeaketaren akordio (DPA) sistematikoki integratu misioen letrei. Kontsultaak hartu dituzte RH charte eguneratu, sinaturik elektronikoki eta gordetzen registroa deditkatua. Egiturazko hau ahalbidetu du kabinateak erakusteko bere bateragarritasun argudio komertzial handian Kontuaren audienzian kontrol zorrotzarekin, gehitzea datorren denbora kontratuen batean 7etik 2 astera.

Ondorio

RGPD-ak RH zuzendaritzaren transformazio sakonera inposatzen: legezko oinarri zorrotzen identifikazio, langileak eragiketa, datuen arabera, azpitratatzaileak enmaratzea kontratu bidez, datuak segurtzea eta denbora babeslaren osatua. Obligazio hauek ez diren administratibo soilak formalitate - baldintzatzen enpregulea emaitzak ahal batzuen saria datorren denbora milioi eta bere enpleguean fiduziaren kontserbatu.

Digitalización RH prozesuak, sinadura elektronikoen eIDAS konplexuak emaitzaz, osatzea dagoen barika eragikuntza bat eta bateragarritasun erregulazioaren osatua. Certyneo laguntza RH enplegulea datorren trantizio hau, kontrata sorrera langileen karpeten seguru archiba arte.

Aurkitu nola Certyneo ahal du segurtzea zure RH prozesua kontsultatu gure RH enplegulea dedikatu edo abiatu libreki sartzea emaitzarekin engagegiberik.