رفتن به محتوای اصلی
Certyneo

RGPD در منابع انسانی: پردازش داده‌های کارمندان

RGPD تعهدات سختی بر سرویس‌های منابع انسانی برای پردازش داده‌های شخصی کارمندان تحمیل می‌کند. کشف کنید چگونه به طور عملی به این الزامات پاسخ دهید.

تیم Certyneo10 دقیقه مطالعه

تیم Certyneo

نویسنده — Certyneo · درباره Certyneo

مدیریت منابع انسانی هر روز حجم قابل‌توجهی از داده‌های شخصی تولید می‌کند: قراردادهای کار، فیش‌های حقوقی، داده‌های سلامتی، ارزیابی‌های عملکرد، اطلاعات حساب‌های بانکی... از زمان اجرای Regulation General on Personal Data Protection (RGPD) در ماه مه 2018، واحدهای مدیریت منابع انسانی به بازیگران اصلی انطباق قانونی در سازمان‌ها تبدیل شده‌اند. با این حال، بر اساس گزارش فعالیت 2024 CNIL، بخش منابع انسانی یکی از سه حوزه‌ای است که بیشتر در بررسی‌های نظارتی مورد اتهام قرار می‌گیرد. این مقاله شما را در میان تعهدات کلیدی، روش‌های بهترین عمل و ابزارهای دستیاب برای پردازش داده‌های کارمندان به‌طور کامل منطبق با قانون راهنمایی می‌کند.

کدام داده‌های شخصی توسط واحدهای منابع انسانی پردازش می‌شوند؟

دسته‌های داده معمول

سرویس‌های منابع انسانی طیف بسیار گسترده‌ای از داده‌های شخصی را دستکاری می‌کنند. دو خانواده بزرگ وجود دارد:

داده‌های عادی، جمع‌آوری‌شده در چارچوب قرارداد کار: نام، نام خانوادگی، آدرس، شماره تأمین‌اجتماعی، شماره حساب بانکی، رزومه، مدارک تحصیلی، سابقه شغلی، ارزیابی‌های سالانه، برنامه کاری، داده‌های حضور و غیبت.

داده‌های حساس، تحت محدودیت‌های تقویت‌شده برابر ماده 9 RGPD: داده‌های سلامتی (مرخصی‌های بیماری، اعلان‌های حادثه کاری، محدودیت‌های طبی)، داده‌های اتحادیه‌ای (عضویت در اتحادیه، نمایندگی‌های توکیل‌شده)، داده‌های مربوط به محکومیت‌های جنایی در زمینه‌های استخدامی خاص.

این داده‌ها تنها در زیر شرط استثنا آشکار پیش‌بینی‌شده توسط قانونمند می‌توانند پردازش شوند — مانند اجرای تعهدات قانونی در حقوق کار، یا رضایت صریح فرد مربوطه.

مورد خاص فرآیند استخدام

فاز استخدام پردازش‌های خاصی را تولید می‌کند، اغلب بدون نظارت مناسب. جمع‌آوری رزومه، نامه‌های انگیزشی و نتایج آزمون‌ها مدت‌های ذخیره‌سازی دقیقی را متضمن می‌کند: بر اساس توصیه‌های CNIL، داده‌های کاندیداهای عدم‌انتخاب‌شده باید در مدت حداکثر دو سال پس از آخرین تماس حذف یا ناشناخت شوند. نگاه داشتن رزومه‌ها برای مدت نامحدود در دایرکتوری مشترک غیرمحفوظ تخلف آشکار است.

استفاده از ابزارهای ردگیری در ATS (سیستم‌های ردیابی متقاضی) یا الگوریتم‌های تحلیل رفتاری باید اشاره صریح در خط‌مشی حریم خصوصی منتقل به متقاضیان داشته باشد، منطبق بر مواد 13 و 14 RGPD.

مبانی قانونی پردازش در زمینه منابع انسانی

شناسایی مبنای قانونی صحیح

RGPD الزامی می‌سازد که هر پردازش داده‌های شخصی بر یکی از شش مبنای قانونی تعریف‌شده در ماده 6 استوار باشد. در زمینه منابع انسانی، سه مبنا عمدتاً فعال هستند:

  • اجرای قرارداد کار (ماده 6.1.b): پردازش داده‌های ضروری برای مدیریت حقوق، مرخصی یا آموزش را توجیه می‌کند.
  • تعهد قانونی (ماده 6.1.c): برای اعلام‌نامه‌های اجتماعی الزام‌آور (DSN)، دفاتر پرسنل یا نظارت بر حادثه‌های کاری اعمال می‌شود.
  • منفعت مشروع (ماده 6.1.f): می‌تواند برای پردازش‌هایی مانند مدیریت نشان‌های ورود یا نظارت با دوربین استحضار شود، تحت شرط آزمون موازنه دقیق.

رضایت (ماده 6.1.a) به‌جای آن مبنای قانونی شکننده‌ای است در زمینه کار: CNIL و کمیته اروپایی حفاظت از داده‌ها (EDPB) یادآوری می‌کنند که عدم‌تعادل ساختاری بین کارفرما و کارمند اثبات رضایت آزاد را دشوار می‌سازد. تنها در آخرین چاره باید استفاده شود.

ثبت پردازش، تعهد اجتناب‌ناپذیر

هر سازمانی که حداقل 250 نفر استخدام می‌کند — یا داده‌های حساس را در مقیاس کوچک‌تر پردازش می‌کند — باید ثبتی از فعالیت‌های پردازش را نگاه داشته باشد (ماده 30 RGPD). در منابع انسانی، این ثبت برای هر پردازش باید مستند کند: مقصد، دسته‌های داده، گیرندگان، مدت‌های ذخیره‌سازی، و اقدامات امنیتی اجرا‌شده.

این سند، نگاه داشته‌شده برای دسترسی CNIL در مورد کنترل، همچنین ابزار ناوبری ارزشمند است. ترکیب‌شده با راه‌حل امضای الکترونیکی اختصاص‌یافته برای منابع انسانی، امکان ردیابی و زمان‌بندی هر مرحله از چرخه حیات سند منابع انسانی را فراهم می‌کند، بنابراین قابل‌بررسی‌پذیری فرآیندها را تقویت می‌کند.

حقوق کارمندان و تعهدات کارفرما

اطلاع‌رسانی به کارمندان: تعهد فوری

ماده 13 RGPD الزامی می‌سازد اطلاع افراد مربوطه در زمان جمع‌آوری داده‌های آن‌ها. در عمل، واحدهای منابع انسانی باید برای کارمندان — ترجیحاً در زمان امضای قرارداد کار — اطلاع‌نامه اطلاع RGPD فراهم کنند که شامل: شناسایی مسئول پردازش، مقاصد و مبانی قانونی، مدت ذخیره‌سازی، حقوق دستیاب و تماس‌های نماینده حفاظت از داده‌ها اگر شرکت چنین نمایندگی داشته باشد.

دیجیتال‌سازی و ایمن‌سازی این تبادل ضروری است. استفاده از امضای الکترونیکی در سازمان برای تحویل این اطلاع‌نامه اثبات تحویل زمان‌بندی‌شده و بحث‌ناپذیری را تضمین می‌کند، منطبق بر الزامات قانون eIDAS.

حقوق کارمندان که باید رعایت شوند

کارمندان حقوق گسترده بر روی داده‌های خود دارند:

  • حق دسترسی (ماده 15): هر کارمند می‌تواند کپی تمام داده‌های خود پردازش‌شده توسط کارفرما را درخواست کند.
  • حق اصلاح (ماده 16): تصحیح داده نادرست (مثال: آدرس پستی، شماره حساب بانکی).
  • حق حذف (ماده 17): قابل‌اجرا در موارد خاصی، به‌خصوص پس از پایان قرارداد و گذر مدت‌های ذخیره قانونی.
  • حق مخالفت (ماده 21): کارمند می‌تواند به پردازشی بر اساس منفعت مشروع مخالفت کند.
  • حق محدود‌سازی (ماده 18): متوقف‌سازی موقتی پردازش مورد اختلاف.

کارفرما یک ماه برای پاسخ به هر درخواست اعمال حقوق دارد، قابل‌تمدید به سه ماه در مورد پیچیدگی (ماده 12 RGPD).

امنیت داده‌های منابع انسانی و مدیریت تحت‌قراردادکنندگان

اقدامات فنی و سازمانی

ماده 32 RGPD اجرای اقدامات امنیتی "متناسب با خطر" را اجباری می‌سازد. برای داده‌های منابع انسانی، روش‌های بهترین عمل شامل:

  • رمزگذاری فایل‌های حاوی داده‌های حساس (فیش‌های حقوقی، پرونده‌های پزشکی).
  • کنترل دسترسی: اصل کمترین توانایی — مدیر حقوق‌الزحمه دسترسی به داده‌های انضباطی ندارد.
  • ثبت‌سازی دسترسی‌ها به سیستم‌های منابع انسانی (SIRH، ابزارهای حقوق‌الزحمه).
  • طرح پاسخ به نقض: در مورد نشت داده‌ها، کارفرما 72 ساعت برای اطلاع CNIL دارد (ماده 33)، و احتمالاً اشخاص مربوطه اگر خطر بالا باشد (ماده 34).

بررسی کامل از طریق راهنمای امضای الکترونیکی می‌تواند به تیم‌های منابع انسانی کمک کند تا پردازش‌های غیرمحفوظ مانند در حال حاضر بر روی کاغذ را شناسایی کنند و آن‌ها را به‌طور مطابق دیجیتال‌سازی کنند.

تنظیم تحت‌قراردادکنندگان منابع انسانی از طریق DPA

سرویس‌های منابع انسانی به بسیاری از تحت‌قراردادکنندگان متوسل می‌شوند: نرم‌افزارهای حقوق‌الزحمه، پلت‌فرم‌های آموزش، ابزارهای مدیریت زمان. هر تحت‌قراردادکنندگی که به داده‌های شخصی دسترسی دارد باید موضوع توافق پردازش داده‌ها (DPA) باشد، منطبق بر ماده 28 RGPD. این قرارداد باید دستور‌العمل‌های پردازش، تضمین‌های امنیتی، روش‌های بازگرداندن یا حذف داده‌ها، و تعهدات در مورد نقض را مشخص کند.

انتخاب تحت‌قراردادکنندگانی که زیرساخت‌های خود را در اتحادیه اروپایی میزبانی می‌کنند، یا توسط بندهای قراردادی استاندارد (CCT) تصویب‌شده توسط کمیسیون تنظیم شده‌اند، الزام بنیادی باقی می‌ماند تا انتقال غیرقانونی بیرون EU را جلوگیری کند.

مدت‌های ذخیره‌سازی: مسأله‌ای ساختاری

مدت‌های قانونی قابل‌اجرا برای پرونده کارمند

مدت ذخیره‌سازی داده‌های منابع انسانی توسط انباشتی از متون تنظیم می‌شود: RGPD (اصل محدود‌سازی ذخیره‌سازی، ماده 5.1.e)، کد کار، و تنظیمات مختلف مالیاتی و اجتماعی. در عمل، مهم‌ترین مهل‌های رعایت عبارتند از:

| نوع سند | حداقل مدت ذخیره‌سازی | |---|---| | فیش حقوقی | 5 سال (تجویز اجتماعی) | | قرارداد کار | 5 سال پس از پایان قرارداد | | داده‌های حقوق‌الزحمه (DSN) | 3 سال (کنترل URSSAF) | | دفتر پرسنل | 5 سال پس از خروج کارمند | | داده‌های انضباطی | مدتی متناسب با تدبیر | | پرونده پزشکی (پزشکی کار) | 50 سال (تنظیم خاص) |

اجرای خط‌مشی بایگانی و پاکسازی خودکار در SIRH، ترکیب‌شده با جریان‌های کاری امضای الکترونیکی که زمان ایجاد اسناد را ثبت می‌کنند، امروز بهترین عمل برای نشان‌دادن انطباق با CNIL است.

تله‌های اجتناب‌پذیر

خطاهای رایج مشاهده‌شده در کنترل‌های CNIL در خصوص داده‌های منابع انسانی عبارتند از: ذخیره نامحدود رزومه‌های کاندیداهای عدم‌انتخاب‌شده، حفظ دسترسی‌های رایانه‌ای کارمندان سابق، عدم رمزگذاری فایل‌های حقوق‌الزحمه صادرشده، و عدم حذف داده‌های ورود تجاوزی فراتر از مهل‌های تنظیمی. برای ایمن‌کردن این نکات، مشورت مقایسه راه‌حل‌های امضای الکترونیکی امکان شناسایی ابزارهای ادغام‌شده بومی با عملکرد بایگانی قابل‌اثبات و مدیریت چرخه حیات اسناد را فراهم می‌کند.

چارچوب قانونی قابل‌اجرا برای پردازش داده‌های منابع انسانی

پردازش داده‌های شخصی کارمندان در چارچوب تنظیمی متراکم، متحد‌کننده چندین سطح تنظیم، قرار می‌گیرد.

Regulation (EU) 2016/679 — RGPD سنگ بنای اصلی است. مواد 5 تا 11 آن اصول بنیادی را تعریف می‌کند (قانونی‌بودن، وفاداری، شفافیت، محدود‌سازی مقصد، کاهش داده، دقت، محدود‌سازی ذخیره‌سازی، یکپارچگی و محرمانگی). ماده 9 شرایط سختی را برای دسته‌های خاصی از داده‌ها، از جمله داده‌های سلامتی و اتحادیه‌ای، به‌خصوص در منابع انسانی رایج، تعیین می‌کند. ماده 83 جریمه‌هایی را از 20 میلیون یورو یا 4% گردش درآمد جهانی در مورد نقض جدی فراهم می‌کند.

قانون اطلاعات و آزادی‌ها تعدیل‌شده (قانون n° 78-17 مورخ 6 ژانویه 1978)، در نسخه تجمیع‌شده، RGPD را با حقوق فرانسه سازگار می‌کند. CNIL را با قدرت کنترل و تنبیه برخوردار می‌کند، و به‌خصوص استثناهای بخشی برای داده‌های سلامتی در پزشکی کار را فراهم می‌کند.

کد کار پردازش‌های مرتبط با نظارت بر کارمندان (ماده L. 1121-1 بر احترام به زندگی خصوصی)، مشورت نمایندگان پرسنل بر روی ابزارهای رقمی (ماده L. 2312-38)، و دفاتر الزام‌آور را تنظیم می‌کند.

Regulation eIDAS (شماره 910/2014)، تکمیل‌شده توسط eIDAS 2.0 (Regulation EU 2024/1183), ارزش قانونی امضاهای الکترونیکی اعمال‌شده بر روی اسناد منابع انسانی را تنظیم می‌کند. امضای الکترونیکی شامل (SEQ)، منطبق با ضمیمه I eIDAS و استانداردهای ETSI EN 319 132 و ETSI EN 319 122، فرض برابری با امضای دست‌نویس به‌معنی ماده 1367 کد مدنی فرانسه را فراهم می‌کند.

ماده 1366 کد مدنی تأسیس می‌کند که « اسناد الکترونیکی اعتبار یکسانی با اسناد بر روی کاغذ دارند، تحت شرط آن‌که شخصی که از آن سرچشمه می‌گیرد را بتوان درستی شناسایی کرد و آن را در شرایطی ایجاد و محفوظ کند که تمامیت آن را تضمین کند ». این حکم مستقیماً برای قراردادهای کار، تعدیل‌نامه، توافق‌های محرمانگی و سایر اسناد منابع انسانی دیجیتال‌سازی‌شده قابل‌اجرا است.

Directive NIS2 (EU 2022/2555)، تحت‌گذاری‌شده در حقوق فرانسه توسط قانون 26 فوریه 2025، بر موجودات ضروری و مهم (به‌خصوص شرکت‌های صنعتی بزرگ و اپراتورهای خدمات رقمی) الزامات تقویت‌شده در مورد مدیریت ریسک‌های مرتبط با امنیت اطلاعات، شامل حفاظت از داده‌های حساس منابع انسانی را تحمیل می‌کند.

جریمه‌های صادرشده توسط CNIL در افزایش شدید است: در 2024، مجموع جریمه‌ها از 100 میلیون یورو تجاوز می‌کند، با چندین تصمیم مستقیماً شامل تخلفات در مدیریت داده‌های کارمندان. عدم رعایت مدت ذخیره‌سازی، عدم DPA با تحت‌قراردادکنندگان منابع انسانی، و ناکافی‌بودن اقدامات امنیتی در میان گرفتاری‌های بیشتر مورد احتمال است.

سناریوهای استفاده: انطباق RGPD در منابع انسانی در عمل

سناریو 1 — شرکت صنعتی متوسط‌بزرگ با 450 کارمند فرآیندهای آغاز کار را دیجیتال‌سازی می‌کند

شرکت صنعتی متوسط‌بزرگ، پراکنده بر روی سه سایت در فرانسه، قراردادهای کار و تعدیل‌نامه را بر روی کاغذ مدیریت می‌کرد. پرونده‌های افراد جدید تنها پس از تاخیر میانگین 12 روز کاری تا سرویس حقوق‌الزحمه منتقل می‌شدند، خطاهای حقوق‌الزحمه را در حدود 8% موارد ایجاد می‌کردند. علاوه‌براین، هیچ اطلاع‌نامه RGPD به‌طور رسمی به ورودی‌های جدید تحویل نمی‌داده شد: اطلاع تنها در انتهای دستورالعمل داخلی، غیرامضا‌شده جداگانه، وجود داشت.

پس از استقرار راه‌حل امضای الکترونیکی ادغام‌شده در SIRH، با تحویل همزمان اطلاع‌نامه RGPD همسو‌امضا شده توسط کارمند و مدیر منابع انسانی، شرکت تاخیر بایگانی آغاز کار اسنادی را به 2 روز کاری کاهش داد (کاهش 83%). خطاهای حقوق‌الزحمه مرتبط با داده‌های کم‌شده به کمتر از 1% کاهش یافتند. هر سند امضا‌شده با زمان‌بندی شامل بایگانی می‌شود، اثباتی مخالف‌کننده در مورد کنترل CNIL یا مراجعه پرونده‌های قضایی کارگری را فراهم می‌کند.

سناریو 2 — گروهی با توزیع 1200 کارمند خط‌مشی ذخیره‌سازی خود را منطبق می‌سازد

گروهی فعال در توزیع تخصصی تحت کنترل CNIL به دنبال شکایت کارمند سابقی قرار گرفت. بررسی آشکار کرد که فایل‌های Excel حاوی داده‌های حقوق‌الزحمه کارمندانی که بیش از 8 سال سابقه داشتند هنوز بر روی سرور مشترک بدون رمزگذاری قابل‌دسترسی بودند. هشدار رسمی، همراه با اجبار انطباق در مدت 3 ماه صادر شد.

گروه سپس بررسی کامل پردازش‌های منابع انسانی خود را انجام داد، 23 فعالیت پردازش را نقشه‌برداری کرد، و طرح پاکسازی خودکار را که توسط SIRH آغاز می‌شد اجرا کرد. اسناد امضا‌شده الکترونیکی به یک صندوق رقمی مهاجرت داد با مدت نگاه‌داشت‌های تنظیم‌شده طبق تعهدات قانونی. نماینده حفاظت از داده‌ها دفتر پردازش منابع انسانی کاملی تولید کرد، در کنترل دوم CNIL 18 ماه بعد ارائه‌شده، که بدون نتیجه به پایان رسید. هزینه انطباق تخمین 60% کمتر از مبلغ جریمه احتمالی بود.

سناریو

Certyneo را به صورت رایگان امتحان کنید

اولین پاکت امضای خود را در کمتر از 5 دقیقه ارسال کنید. 5 پاکت رایگان در ماه، بدون کارت بانکی.

عمیق‌تر شدن در موضوع

راهنماهای جامع ما برای تسلط بر امضای الکترونیکی.

团体 Certyneo

سوالی در مورد امضای الکترونیکی دارید؟

انضم به جامعه Certyneo: سوالات خود را پرسیدید، پاسخ‌ها خود را به اشتراک بگذارید و با هزاران کاربران و تیم ما در ارتباط باشید.