GDPR HR in: Langileen Datuen tratamendua

Sarrera

2018ko maiatzaren 25ean Datuak Babesteko Erregelamendu Orokorra (GDPR) indarrean jarri zenetik, HR sailak betetzeko lehen lerroan egon dira. Giza baliabideen funtzioek datu pertsonal sentikorrak lantzen dituzte egunero: CVak, ordainagiriak, osasun datuak, ebaluazioak, banku datuak. Kudeaketa txarrak 20 milioi euro edo fakturazio globalaren % 4rainoko zigorrak jartzen ditu konpainia (GDPRren 83. artikulua). Artikulu honek langileen datuen tratamendua ziurtatzeko betebehar nagusiak eta jardunbide egokiak aurkezten ditu HR zikloan zehar.

HR datuei aplikagarri zaizkien oinarrizko printzipioak

GDPRk 5. artikuluan kodetutako sei printzipio kardinal ezartzen ditu: legezkotasuna, leialtasuna, gardentasuna, helburuen mugatzea, minimizazioa, zehaztasuna, atxikipenaren muga eta osotasuna/konfidentzialtasuna. Praktikan, horrek esan nahi du HR sailak helburu zehatz baterako behar diren datuak soilik bildu ditzakeela. Esaterako, eskaera egiterakoan gizarte segurantzako zenbakia eskatzea neurrigabea da: DSNrako kontratatu ondoren bakarrik justifikatzen da.

CNILk, bere deliberazioaren zk. 2019-160 langileen kudeaketari buruzkoa, gomendatutako atxikipen-epeak zehazten ditu: 2 urte eskabide onarengatik (adostasunik izan ezean), administrazio-espedienterako irten eta 5 urte, 6 urte nominak enpresaburuaren bertsioan.

Langileentzako lege-oinarria eta informazioa

Uste denaren aurka, baimena oso gutxitan da legezko oinarri egokia HR-n, menpekotasun harremana dela eta. Dagokion oinarriak lan-kontratuaren betearazpena (6.1.b artikulua), legezko betebeharra (6.1.c artikulua) edo interes legitimoa (6.1.f artikulua). Datu sentikorretarako (osasuna, sindikala), 9. artikuluak oinarri espezifiko bat eskatzen du, hala nola lan-zuzenbideari dagokion betebeharra.

Enpresaburuak informazio argia eman behar du kontratazioan emandako GDPR jakinarazpen baten bidez, izapideen erregistroa eguneratu (30. artikulua) eta langileei eragiten dien izapide berriren aurretik CSEri kontsultatu (Lan Kodearen L.2312-38 artikulua).

Langileen segurtasuna eta eskubideak

Segurtasun teknikoak eta antolakuntzakoak (32. artikulua) eskatzen ditu: HRISen enkriptatzea, sarbideen kontrola profilaren arabera, kontsulten trazabilitatea, isilpeko klausulak nominak edo kontratazio azpikontratekin (28. artikulua). Arau-hausterik gertatuz gero, CNILri jakinaraztea 72 orduko epean.

Langileek eskubideak indartu dituzte: sarbidea, zuzentzea, ezabatzea (legea atxikitzeko betebeharrak mugatuta), eramangarritasuna, oposizioa. Barne prozedura batek gehienez hilabeteko epean erantzuna eman behar du. Diziplina-espedientean sartzeari uko egiteak legez justifikatu beharko du.

Adibide praktikoak

1. adibidea – Kontratazioa:ETE batek hautagai guztien CVak karpeta partekatu batean gorde ditu 5 urtez. Ez-betetzea: gehiegizko iraupena, segurtasun falta. Irtenbidea: garbiketa automatizatua 2 urteren buruan, kontratatzaileentzako sarbide mugatua, GDPR aipamena lan eskaintzan.

2. adibidea – Bideozaintza:Logistika-biltegi batek etengabe filmatzen ditu lan-estazioak. Zigor posiblea (CNILek 32 milioi euroko zigorra jarri zion Amazon France Logistique 2024an). Irtenbidea: eremu sentikorretara mugatzea, banakako informazioa, CSEren kontsulta, gehienez hilabeteko atxikipen epea.

3. adibidea – Lankidetza-tresnak:Microsoft 365 inplementatzeak inpaktuaren analisia (AIPD) behar du monitorizazio-funtzioak aktibatzen badira, baita argitaletxearekin bete beharreko azpikontratazio klausula bat ere.

Betetzea eta zehapenak

CNILen isunez gain, enpresaburuak intimitatea inbaditzeko lan-arloko akzioen menpe dago (Kode Zibilaren 9. artikulua, Lan Kodeko L.1121-1 artikulua). DPO izendapena derrigorrezkoa da datuak eskala handian tratatzen dituzten entitateentzat. HR prozesatzeko urteko mapak, kudeatzaileen prestakuntzarekin batera, babes juridiko eta operatiborik onena da.

Ondorioa

RGPD betetzea HRetan ez da proiektu puntual bat, etengabeko hobekuntza prozesu bat baizik. Lege betebeharren, langileen eskubideen eta errendimendu operatiboaren artean, HR kudeatzaileek zorroztasunez kudeatu behar dute datuen gobernantza. HRIS betetzen duen batean inbertitzeak, taldeak prestatzeak eta prozesamendu bakoitza dokumentatzeak arauzko mugak langileen konfiantzaren palanka bihurtzen ditu.