GDPR در منابع انسانی: پردازش داده های کارکنان
نویسنده — Certyneo · درباره Certyneo

مقدمه
از زمان لازمالاجرا شدن مقررات حفاظت از دادههای عمومی (GDPR) در 25 مه 2018، بخشهای منابع انسانی در خط مقدم انطباق بودهاند. کارکردهای منابع انسانی داده های شخصی حساس را به صورت روزانه پردازش می کنند: رزومه، فیش حقوقی، داده های سلامت، ارزیابی ها، جزئیات بانکی. مدیریت ضعیف شرکت را در معرض تحریم هایی تا سقف 20 میلیون یورو یا 4 درصد از گردش مالی جهانی قرار می دهد (ماده 83 GDPR). این مقاله تعهدات کلیدی و بهترین شیوه ها برای ایمن سازی پردازش داده های کارکنان در طول چرخه منابع انسانی را ارائه می کند.
اصول اساسی قابل اعمال برای داده های منابع انسانی
GDPR شش اصل اساسی تدوین شده در ماده 5 را تحمیل می کند: قانونمندی، وفاداری، شفافیت، محدودیت اهداف، به حداقل رساندن، دقت، محدودیت حفظ و یکپارچگی/رازداری. در عمل، این بدان معنی است که بخش منابع انسانی فقط می تواند داده هایی را که به شدت برای یک هدف خاص ضروری است جمع آوری کند. به عنوان مثال، درخواست شماره تامین اجتماعی هنگام درخواست نامتناسب است: فقط پس از استخدام برای DSN قابل توجیه است.
CNIL، از طریق مشورت شماره. 2019-160 مربوط به مدیریت پرسنل، دوره های نگهداری توصیه شده را مشخص می کند: 2 سال برای درخواست های ناموفق (مگر رضایت)، 5 سال پس از خروج برای پرونده اداری، 6 سال برای فیش حقوقی در نسخه کارفرما.
مبانی قانونی و اطلاعات برای کارمندان
برخلاف تصور رایج، رضایت به ندرت مبنای قانونی مناسبی در منابع انسانی است، به دلیل رابطه تابعیت. مبانی مربوطه عبارتند از اجرای قرارداد کار (ماده 6.1.ب)، تعهد قانونی (ماده 6.1.c) یا منافع مشروع (ماده 6.1.f). برای داده های حساس (بهداشتی، صنفی) ماده 9 مبنای خاصی مانند الزام از نظر قانون کار را می طلبد.
کارفرما باید اطلاعات واضحی را از طریق یک اخطار GDPR ارائه کند، ثبت پردازش (ماده 30) را به روز کند و قبل از هر گونه پردازش جدیدی که بر کارکنان تأثیر می گذارد با CSE مشورت کند (ماده L.2312-38 قانون کار).
امنیت و حقوق کارکنان
امنیت فنی و سازمانی (ماده 32) مستلزم: رمزگذاری HRIS، کنترل دسترسی بر اساس مشخصات، قابلیت ردیابی مشاوره ها، بندهای محرمانه با حقوق و دستمزد یا استخدام پیمانکاران فرعی (ماده 28). در صورت تخلف، ظرف 72 ساعت به CNIL اطلاع دهید.
کارکنان دارای حقوق تقویت شده هستند: دسترسی، اصلاح، پاک کردن (محدود شده توسط تعهدات قانونی نگهداری)، قابلیت حمل، مخالفت. یک رویه داخلی باید حداکثر ظرف مدت یک ماه اجازه پاسخگویی را بدهد. امتناع از دسترسی به پرونده انضباطی باید توجیه قانونی داشته باشد.
مثالهای کاربردی
مثال 1 - استخدام:یک SME رزومه همه نامزدها را به مدت 5 سال در یک پوشه مشترک نگه داشته است. ناسازگار: مدت زمان زیاد، عدم امنیت. راه حل: پاکسازی خودکار پس از 2 سال، دسترسی محدود به استخدام کنندگان، ذکر GDPR در پیشنهاد شغلی.
مثال 2 - نظارت تصویری:یک انبار تدارکات به طور مداوم از ایستگاه های کاری فیلم می گیرد. تحریم احتمالی (CNIL آمازون فرانسه لجستیک را به مبلغ 32 میلیون یورو در سال 2024 تحریم کرد). راه حل: محدودیت به مناطق حساس، اطلاعات فردی، مشاوره CSE، مدت زمان نگهداری حداکثر یک ماه.
مثال 3 - ابزارهای مشارکتی:اگر عملکردهای نظارت فعال شده باشند، استقرار Microsoft 365 به تجزیه و تحلیل تأثیر (AIPD) و همچنین یک بند قرارداد فرعی مطابق با ناشر نیاز دارد.
تبعیت و تحریم
علاوه بر جریمه های CNIL، کارفرما در معرض اقدامات دادگاه صنعتی برای تجاوز به حریم خصوصی است (ماده 9 قانون مدنی، ماده L.1121-1 قانون کار). تعیین یک DPO برای نهادهایی که داده ها را در مقیاس بزرگ پردازش می کنند اجباری است. نقشه برداری سالانه پردازش منابع انسانی، همراه با آموزش مدیران، بهترین حفاظت قانونی و عملیاتی را تشکیل می دهد.
نتیجه گیری
انطباق با GDPR در منابع انسانی یک پروژه یکباره نیست، بلکه یک فرآیند مداوم بهبود است. بین تعهدات قانونی، حقوق کارمندان و عملکرد عملیاتی، مدیران منابع انسانی باید به شدت مدیریت داده ها را مدیریت کنند. سرمایهگذاری در یک HRIS سازگار، تیمهای آموزشی و مستندسازی هر پردازش، محدودیتهای نظارتی را به اهرم اعتماد کارکنان تبدیل میکند.
Certyneo را به صورت رایگان امتحان کنید
اولین پاکت امضای خود را در کمتر از 5 دقیقه ارسال کنید. 5 پاکت رایگان در ماه، بدون کارت بانکی.
عمیقتر شدن در موضوع
مقالات مرجع در مورد این موضوع.
عمیقتر شدن در موضوع
راهنماهای جامع ما برای تسلط بر امضای الکترونیکی.
خواندن خود را ادامه دهید در Sécurité
دانش خود را با این مقالات مرتبط با موضوع تعمیق دهید.