رفتن به محتوای اصلی
Certyneo

RGPD در منابع انسانی: مدیریت داده های کارمندان

RGPD بر کارفرمایان قوانین سختی برای جمع‌آوری و پردازش داده های شخصی کارمندان تحمیل می‌کند. نحوه اطمینان از انطباق و جلوگیری از تحریم‌ها را بیاموزید.

تیم Certyneo11 دقیقه مطالعه

تیم Certyneo

نویسنده — Certyneo · درباره Certyneo

قانون عمومی حفاظت از داده‌ها (RGPD) فقط بر روابط تجاری بین یک شرکت و مشتریان آن اعمال نمی‌شود: بلکه پردازش داده‌های شخصی کارمندان را نیز به شکل بسیار دقیق کنترل می‌کند. استخدام، مدیریت دستمزد، کنترل دسترسی، ارزیابی عملکرد، نظارت ویدیویی... هر مرحله‌ای از چرخه حیات قرارداد کار داده‌های شخصی ایجاد می‌کند که کارفرمایا باید با رعایت دقیق قانون اروپایی پردازش کند. با جریمه‌هایی که می‌تواند به 20 میلیون یورو یا 4 درصد از درآمد جهانی سالانه برسد، خطر قابل توجه است. این مقاله مبانی قانونی قابل اعمال، تعهدات عملی خدمات منابع انسانی و بهترین شیوه‌ها برای ایمن‌سازی پردازش‌های شما را تشریح می‌کند — از جمله هنگام دیجیتالی کردن اسناد منابع انسانی.

مبانی حقوقی پردازش داده های منابع انسانی

مبانی قانونی پذیرفته شده در حقوق کار

RGPD شش مبنای قانونی را برای پردازش داده‌های شخصی ذکر می‌کند (ماده 6). در بستر منابع انسانی، سه مورد از آنها تقریباً همیشه به کار گرفته می‌شود:

  • اجرای قرارداد کار (ماده 6.1.ب): مبنای اصلی برای مدیریت دستمزد، نظارت بر زمان کار، تسلیم فیش‌های حقوقی و مدیریت مرخصی‌ها است.
  • تعهد قانونی (ماده 6.1.ج): پردازش‌های الزام‌آور توسط قانون کار یا قانون اجتماعی را توجیه می‌کند، مانند اعلام قبل از استخدام (DPAE)، اعلام نامشخص اجتماعی (DSN) یا نگهداری دفتر منحصر به فرد پرسنل.
  • منافع قانونی (ماده 6.1.ف): می‌تواند برخی پردازش‌های امنیت اطلاعات یا جلوگیری از کلاهبرداری داخلی را توجیه کند، شرطی که این منفعت بر حقوق بنیادی کارمندان غلبه نکند.

⚠️ مبنای رضایت باید با احتیاط شدید در بستر حقوقی کارمندی به کار رود. کمیسیون حفاظت از داده‌های فرانسه (CNIL) به طور منظم یادآوری می‌کند که عدم تعادل ذاتی در رابطه کارفرما-کارمند رضایت را به ندرت « آزاد » به معنای ماده 7 RGPD می‌کند. استفاده از رضایت برای پردازش‌هایی که می‌توانند بر مبنای قانونی دیگری باشند کارفرما را در معرض خطر بازتعریف قرار می‌دهد.

دسته‌های خاص داده‌ها: رژیم تقویت‌شده

برخی داده‌های جمع‌آوری شده توسط منابع انسانی تحت رژیم « داده‌های حساس » مطابق ماده 9 RGPD قرار می‌گیرند، که پردازش آن اساساً ممنوع است مگر استثنائات:

  • داده‌های بهداشتی: غیبت‌های بیماری، عدم‌صلاحیت‌های اعلام شده توسط پزشک کار، تطبیق‌های محل کار برای معلولیت.
  • داده‌های تشکل و اتحادیه: عضویت در اتحادیه، مأموریت‌های نمایندگی.
  • داده‌های بیومتریک: کنترل دسترسی با اثر انگشت یا تشخیص چهره.
  • داده‌های مربوط به تخلفات: بررسی سوابق کیفری، تنها در بخش‌های تنظیم شده مجاز است (امنیت، کودکان و غیره).

برای این دسته‌ها، کارفرما باید یک استثنای صریح (ماده 9.2) را شناسایی کند، در اکثر موارد تجزیه و تحلیل تأثیر بر حفاظت از داده‌ها (AIPD) انجام دهد، و اغلب قبل از استقرار با CNIL مشورت کند.

تعهدات عملی خدمات منابع انسانی

دفتر فعالیت‌های پردازش

هر سازمانی که بیش از 250 کارمند دارد ملزم به نگهداری دفتر فعالیت‌های پردازش است (ماده 30 RGPD). در زیر این آستانه، تعهد باقی می‌ماند اگر پردازش‌ها گاه‌گاهی نباشند یا داده‌های حساسی را شامل شوند — که تقریباً همیشه در منابع انسانی موارد است. این دفتر باید موارد زیر را مستند کند:

  • هدف هر پردازش (مثلاً: « مدیریت فیش‌های حقوقی »)
  • دسته‌های داده‌های مربوطه
  • دریافت‌کنندگان (طرف‌های سوم، پیمانکاران، مقامات)
  • مدت‌های نگهداری
  • اقدامات امنیتی به کار رفته

CNIL یک الگوی دفتر را برای دانلود رایگان در دسترس قرار می‌دهد. نگهداری دقیق آن اولین خط دفاع در صورت بررسی است.

مدت‌های نگهداری: نکته‌ای که اغلب نادیده گرفته می‌شود

ماده 5.1.ه RGPD اصل محدودیت نگهداری را تحمیل می‌کند: داده‌ها نباید فراتر از مدت‌زمان لازم برای هدفی که برای آن جمع‌آوری شده‌اند نگهداری شوند. در منابع انسانی، مدت‌های قانونی مرجع به شرح زیر است:

| نوع داده | مدت نگهداری پیشنهادی | |---|---| | فیش حقوقی | 5 سال (مرور زمان مدنی) | | قرارداد کار | 5 سال پس از خاتمه قرارداد | | داده‌های استخدام (نامزد نپذیرفته‌شده) | حداکثر 2 سال پس از آخرین تماس | | پرونده انضباطی | مدت متغیر بسته به تنبیه (حداکثر 3 سال برای اخطار) | | داده‌های نظارت ویدیویی | 1 ماه به طور کلی | | DSN و دفتر پرسنل | 5 سال پس از خروج کارمند |

این مدت‌ها باید در دفتر ثبت شوند و از طریق رویه‌های پاک‌سازی یا بایگانی قطعی اعمال شوند.

اطلاع‌رسانی به کارمندان: تعهدی که اغلب دست کم گرفته می‌شود

ماده 13 RGPD الزام می‌دهد اطلاع‌نامه اطلاعات جامع را در زمان جمع‌آوری داده‌ها فراهم کند. در منابع انسانی، این اطلاع‌نامه به طور ایده‌آل باید:

  • از بدو کاندیداتوری: برای داده‌های جمع‌آوری‌شده در طول فرآیند استخدام.
  • هنگام استخدام: ادغام در قرارداد کار یا تسلیم به عنوان پیوست هنگام امضا.
  • در طول رابطه قراردادی: هر بار که پردازش جدیدی به کار گرفته شود (مثلاً: استقرار ابزار نقطه‌ای بیومتریک).

دیجیتالی‌کردن فرآیند جذب، به‌ویژه از طریق امضای الکترونیکی برای منابع انسانی، قابلیت تتبع این اطلاع‌رسانی را تسهیل می‌کند: تاریخ خواندن و امضای اطلاع‌نامه به شکل قابل‌اثبات زمان‌بندی می‌شود، که در صورت نزاع عنصر اثبات ارزشمندی است.

امنیت داده های منابع انسانی: اقدامات فنی و سازمانی

رمزگذاری، کنترل دسترسی و جدایی

ماده 32 RGPD اجرای اقدامات امنیتی متناسب با خطر را الزام می‌کند. برای داده‌های منابع انسانی، که به لحاظ طبیعت حساس و هدف‌گذاری در هنگام نفوذ هستند، بهترین شیوه‌های حداقلی شامل می‌شود:

  • رمزگذاری داده‌ها در حالت ایستا و دریحال انتقال: فایل‌های حقوقی، قرارداد و پرونده‌های شخصی باید رمزگذاری‌شده (AES-256 حداقل) و از طریق پروتکل‌های امن (TLS 1.3) منتقل شوند.
  • مدیریت دسترسی مبتنی بر نقش (RBAC): تنها مدیران منابع انسانی مجاز به داده‌های حقوقی دسترسی دارند؛ مدیر تیم تنها به داده‌های لازم برای مدیریت دسترسی دارد.
  • ثبت‌وقایع دسترسی: هر مشاهده یا تغییر پرونده کارمند باید با شناسه کاربر، تاریخ و زمان ثبت شود.
  • شبه‌نام‌سازی برای پردازش‌های تحلیلی (داشبوردهای منابع انسانی، مطالعات دستمزد).

مدیریت پیمانکاران منابع انسانی

خدمات منابع انسانی به بسیاری از پیمانکاران متوسل می‌شوند: ویراستاران SIRH، ارائه‌دهندگان دستمزد خارج‌شده، پلتفرم‌های آموزش، ابزارهای استخدام آنلاین. هر یک از این طرف‌های سوم باید مشمول قرارداد پیمانکاری منطبق با ماده 28 RGPD باشد، به‌خصوص با تعیین:

  • ماهیت و هدف پردازش‌های پیمانکاری‌شده
  • تعهدات پیمانکار در زمینه امنیت و محرمانگی
  • ممنوعیت پیمانکاری دوباره بدون اجازه قبلی
  • روش‌های بازگرداندن یا نابود کردن داده‌ها پس از اتمام قرارداد

هنگام انتخاب ارائه‌دهندگی، باید بررسی کرد که آیا سرورهای آن در منطقه اقتصادی اروپا (EEE) واقع‌اند یا مکانیسم انتقال مناسب (بندهای قراردادی استاندارد، تصمیم‌گیری کافی) برای انتقالات خارج از EEE وجود دارد.

دیجیتالی‌کردن اسناد منابع انسانی و انطباق RGPD

دیجیتالی‌سازی فزاینده فرآیند‌های منابع انسانی — قرارداد‌های کار الکترونیکی، فیش‌های حقوقی دیجیتال، اصلاحات امضا شده از راه دور — مسائل RGPD خاصی را مطرح می‌کند. اگرچه امضای الکترونیکی منطبق با eIDAS ضمانت‌های یکپارچگی و اعتبار سازندگی قطعی را فراهم می‌کند، کارفرما باید اطمینان حاصل کند که پلتفرم استفاده شده:

  • داده‌های اضافی را در طول فرآیند امضا جمع‌آوری نمی‌کند (اصل کمینه‌سازی، ماده 5.1.ج)
  • شواهد امضا (پی‌گیری ردیابی) را در شرایط ایمن و برای مدتی مناسب نگهداری می‌کند
  • اعمال حقوق امضاکنندگان را ممکن می‌سازد (دسترسی، اصلاح، حذف در محدوده‌های قانونی)

برای اطلاعات بیشتر درباره انطباق ابزارهای امضا، راهنمای جامع امضای الکترونیکی سرتینئو معیارهای فنی و قانونی را به تفصیل شرح می‌دهد که باید قبل از هر استقرار بررسی شوند.

حقوق کارمندان و اعمال مؤثر آن

مروری بر حقوق تضمین‌شده توسط RGPD

کارمندان از کل حقوق پیش‌بینی‌شده در مواد 15 تا 22 RGPD برخوردار هستند. در بستر منابع انسانی، حقوقی که بیشتر اعمال می‌شوند عبارت‌اند از:

  • حق دسترسی (ماده 15): کارمند می‌تواند نسخه‌ای از کل داده‌های مربوط به خود را که کارفرما نگهداری می‌کند درخواست کند، از جمله رایانامه‌های حرفه‌ای در شرایط معینی.
  • حق اصلاح (ماده 16): تصحیح داده‌های نادرست (خطا در شماره حساب، مدرک تحصیلی نادرست، و غیره).
  • حق حذف (ماده 17): محدود به منابع انسانی توسط تعهدات قانونی نگهداری، اما برای داده‌های استخدام یک نامزد نپذیرفته‌شده قابل اعمال است.
  • حق مخالفت (ماده 21): می‌تواند در برابر پردازشی مبتنی بر منافع قانونی اعمال شود، مانند برخی پردازش‌های نظارتی.
  • حق قابلیت حمل (ماده 20): برای داده‌های فراهم‌شده توسط خود کارمند در بستر اجرای قرارداد قابل اعمال است.

مهلت پاسخ و رویه‌های داخلی

کارفرما یک ماه فرصت دارد برای پاسخ به هر درخواست اعمال حقوق، مهلت قابل‌تمدید به سه ماه در صورت پیچیدگی یا حجم بالای درخواست‌ها (ماده 12.3). برای سازماندهی این پردازش به‌طور موثر، توصیه‌شده است:

  • یک نقطه تماس منحصر‌به‌فرد (DPO یا مرجع RGPD) برای دریافت درخواست‌ها تعیین کنید
  • یک فرم اختصاصی قابل دسترس برای کارمندان ایجاد کنید
  • هر درخواست و پاسخ آن را در دفتر درخواست‌های اعمال حقوق مستند کنید
  • مدیران منابع انسانی را برای شناسایی درخواست ضمنی آموزش دهید (کارمندی که « پرونده شخصی خود را » درخواست می‌کند به طور موثر حق دسترسی خود را اعمال می‌کند)

نقش DPO در شرکت

RGPD تعیین مأمور حفاظت از داده‌ها (DPO) را در سه مورد الزام می‌کند (ماده 37): مقام عمومی، پردازش در مقیاس بزرگ داده‌های حساس، یا نظارت سیستماتیک در مقیاس بزرگ. بسیاری از شرکت‌های که پردازش منابع انسانی آن‌ها قابل‌توجه است در این تعهد قرار می‌گیرند. DPO می‌تواند داخلی یا بیرونی باشد؛ باید دارای استقلال عملیاتی باشد و در تمام تصمیمات مؤثر بر حفاظت از داده‌ها، از جمله استقرار ابزارهای منابع انسانی دیجیتال جدید، شامل شود. نقش آن مشاوره‌ای و تصمیم‌گیری‌ای نیست: مسئولیت نهایی بر عهده مسئول پردازش، یعنی کارفرما است.

چارچوب قانونی قابل اعمال بر پردازش داده های منابع انسانی

RGPD: متن تأسیس‌کننده

مقررات (EU) 2016/679 پارلمان اروپا و شورای 27 آوریل 2016 (RGPD) مبنای نظارتی پردازش داده‌های شخصی در اروپا را تشکیل می‌دهد. از 25 مه 2018 مستقیماً در تمام ایالات عضو قابل اجرا، بر هر کارفرمایی که داده‌های کارمندان اقامت‌کننده در اتحادیه اروپا را پردازش می‌کند اعمال می‌شود، صرف‌نظر از ملیت شرکت. بخش‌های اصلی قابل اعمال در بستر منابع انسانی عبارت‌اند از:

  • ماده 5: اصول بنیادی (قانون‌پذیری، حسن‌نیت، شفافیت، کمینه‌سازی، دقت، محدودیت نگهداری، یکپارچگی و محرمانگی، پاسخ‌گویی)
  • ماده 6: مبانی قانونی پردازش
  • ماده 9: رژیم داده‌های حساس
  • مواد 12 تا 22: حقوق افراد مربوطه
  • مواد 24 تا 32: تعهدات مسئول پردازش و پیمانکار
  • مواد 33-34: اطلاع‌رسانی نقض‌های داده (72 ساعت برای CNIL، و اطلاع افراد اگر خطر بالا باشد)
  • ماده 35: تحلیل تأثیر (AIPD) اجباری برای پردازش‌های خطرناک
  • ماده 83: تحریم‌های اداری (تا 20 میلیون یورو یا 4 درصد درآمد جهانی سالانه)

قانون اطلاعات و آزادی‌های تعدیل‌شده

در حقوق فرانسه، قانون شماره 78-17 مورخ 6 ژانویه 1978 مربوط به اطلاعات و فایل‌ها و آزادی‌ها، تعدیل‌شده توسط قانون شماره 2018-493 مورخ 20 ژوئن 2018 و فرمان شماره 2018-1125 مورخ 12 دسامبر 2018، RGPD را بر حاشیه‌های ملی کامل می‌کند (« بند‌های گشایشی »). از مهم‌ترین‌های آن در منابع انسانی: امکان پردازش داده‌های تشکل در چارچوب مدیریت نهادهای نمایندگی پرسنل (ماده 9 قانون)، یا قوانین خاص پردازش داده‌های بهداشتی در محل کار.

قانون کار و حقوق‌قضایی اجتماعی

قانون کار اطلاع‌رسانی و مشورت قبلی کمیته اجتماعی و اقتصادی (CSE) قبل از هر استقرار دستگاه نظارتی یا کنترل کارمندان را الزام می‌کند (ماده L. 2312-38). عدم مشورت کارفرما را در معرض عدم‌توانایی اثبات اثبات جمع‌آوری‌شده و تحریم‌های جزایی قرار می‌دهد.

حقوق‌قضایی دادگاه تدقیق فرانسه به طور منظم یادآوری می‌کند که ابزارهای کنترل (جغرافیایی، نشانه، نرم‌افزار نظارتی) باید متناسب با هدف باشند و نمی‌تواند برای اهدافی دیگر از آن‌چه اعلام‌شده به کارمندان و CNIL استفاده شود.

امضای الکترونیکی اسناد منابع انسانی: eIDAS و قانون مدنی

در دیجیتالی‌کردن قرارداد‌های کار، اصلاحات یا اسناد انضباطی، کارفرما باید مقررات (EU) شماره 910/2014 eIDAS را رعایت کند، که سه سطح امضای الکترونیکی را تعریف می‌کند. برای اسنادی ساختاری مانند قرارداد کار CDI یا سند شکست قراردادی، امضای الکترونیکی پیشرفته (یا شاید صلاحیت‌یافته) توصیه‌شده است تا هویت امضاکننده و یکپارچگی سند را تضمین کند. قانون مدنی مواد 1366 و 1367 ارزش اثبات نوشتار الکترونیکی و امضای الکترونیکی را تأیید می‌کند، تحت شرط شناسایی قابل‌اعتماد امضاکننده و اطمینان یکپارچگی.

تحریم‌های CNIL در زمینه منابع انسانی

CNIL چندین تحریم قابل‌توجهی را در زمینه پردازش داده‌های منابع انسانی وضع کرده است: در سال 2022، یک شرکت به جریمه 400،000 یورو برای نظارت بیش‌ازحد بر کارمندان در تله‌کار از طریق نرم‌افزار ضبط صفحه‌کلید محکوم شد. در سال 2023، یک شرکت امنیتی 200،000 یورو جریمه شد برای جمع‌آوری بیش‌ازحد داده‌های بیومتریک بدون مبنای قانونی معتبر. این تصمیمات نظارت فزاینده ناظر این حوزه را نشان می‌دهد.

سناریوهای کاربردی: RGPD منابع انسانی در عمل

سناریو 1 — یک شرکت صنعتی متوسط 450 کارمندی فرآیند استخدام خود را متطابق می‌کند

یک شرکت صنعتی متوسط‌الحجم با تقریباً 450 نفر در سه سایت هر سال بیش از 3000 درخواست خودجوش

Certyneo را به صورت رایگان امتحان کنید

اولین پاکت امضای خود را در کمتر از 5 دقیقه ارسال کنید. 5 پاکت رایگان در ماه، بدون کارت بانکی.

عمیق‌تر شدن در موضوع

راهنماهای جامع ما برای تسلط بر امضای الکترونیکی.

团体 Certyneo

سوالی در مورد امضای الکترونیکی دارید؟

انضم به جامعه Certyneo: سوالات خود را پرسیدید، پاسخ‌ها خود را به اشتراک بگذارید و با هزاران کاربران و تیم ما در ارتباط باشید.