RGPD HR:ssä: Työntekijöiden tietojen käsittely

Henkilöstöhallinto tuottaa päivittäin huomattavia määriä henkilötietoja: työsopimuksia, palkkalaskelmia, terveystietoja, suoritusarviointeja, pankkitietoja… Yleisen tietosuoja-asetuksen (RGPD) voimaantulosta toukokuussa 2018 lähtien henkilöstöpalvelut ovat tulleet organisaatioiden vaatimustenmukaisuuden keskeisiksi toimijoiksi. Silti CNIL:in toimintaraportin 2024 mukaan henkilöstöhallinto on yksi kolmesta useimmin valvonnan kohteeksi joutuvista aloista. Tämä artikkeli opastaa sinut keskeisten velvoitteiden, parhaiden käytäntöjen ja saatavilla olevien työkalujen läpi työntekijöiden tietojen käsittelyä varten vaatimustenmukaisesti.

Mitä henkilötietoja HR käsittelee?

Yleisiä tietokategorioita

Henkilöstöpalvelut käsittelevät erittäin laajaa henkilötietojen kirjoa. Voimme erottaa kaksi suurta ryhmää:

Tavalliset tiedot, jotka kerätään työsuhteen puitteissa: nimi, etunimi, osoite, sosiaaliturvatunnus, pankkitili, ansioluettelo, tutkinnot, ammattihistoria, vuosiarvioinnit, työajat, läsnäolo- ja poissaolotiedot.

Arkaluonteiset tiedot, joihin sovelletaan RGPD:n 9 artiklan mukaisia lisärajoituksia: terveystiedot (sairauspoistumat, työturvatapaturmailmoitukset, lääketieteelliset rajoitukset), ammattiliiton jäsenyyteen liittyvät tiedot (ammattiyhdistysliittyminen, edustajamandaatit), tiedot rikostuomioista tietyissä rekrytointikonteksteissa.

Näitä voidaan käsitellä vain asetuksessa nimenomaisen poikkeamisen perusteella — kuten työoikeudellisten lakisääteisten velvoitteiden täyttämisen tai asianomaisen nimenomaisen suostumuksen perusteella.

Rekrytointiprosessin erityispiirteet

Rekrytointivaihe tuottaa usein huonosti säädellyt erityiset käsittelyt. Ansioluetteloiden, saatekirjeiden ja testitulosten kerääminen edellyttää tarkkoja säilytyskestoja: CNIL:in suositusten mukaan hylättyjen hakijoiden tiedot on poistettava tai anonymisoitava enintään kahden vuoden kuluessa viimeisestä yhteydenotosta. Ansioluetteloiden loputon säilyttäminen turvaamisattomassa jaetussa hakemistossa on selkeä loukkausta.

ATS-järjestelmissä (Applicant Tracking Systems) tai käyttäytymisen analyysialgoritmeja käytettäessä on tehtävä nimenomainen maininta hakijoille toimitetussa tietosuojakäytännössä RGPD:n 13. ja 14. artiklan mukaisesti.

Käsittelyn oikeudelliset perusteet HR-kontekstissa

Oikean oikeusperustan tunnistaminen

RGPD edellyttää, että jokainen henkilötietojen käsittely perustuu 6 artiklan mukaisiin kuuteen oikeutsperusteeseen. HR-kontekstissa kolme perusteista ovat pääasiassa käytössä:

• Työsopimuksen täyttäminen (6.1.b artikla): perusttelee tietojen käsittelyn, jotka ovat välttämättömiä palkanlaskennan, loman tai koulutuksen hallinnoimiseksi.

• Laillinen velvoite (6.1.c artikla): koskee pakollisia sosiaalilmoituksia (DSN), henkilöstörekistereitä tai työturvatapaturmien seurantaa.

• Oikeutettu etu (6.1.f artikla): voidaan vedota käsittelyyn kuten kulunvalvontakortit tai videovalvonta, edellyttäen tiukkaa tasapainotusta.

Suostumus (6.1.a artikla) on puolestaan haurasta oikeusperusta työympäristössä: CNIL ja Euroopan tietosuojakomitea (EDPB) korostavat, että työnantajan ja työntekijän välinen rakenteellinen epätasapaino tekee vapaasta suostumuksesta vaikean todistaa. Sitä tulisi käyttää vain viimeisenä keinona.

Käsittelyrekisteri, välttämätön velvoite

Jokainen organisaatio, jolla on vähintään 250 työntekijää – tai joka käsittelee arkaluonteisia tietoja pienemmässä mittakaavassa – on pidettävä käsittelytoimintojen rekisteri (RGPD 30. artikla). HR:ssä tämä rekisteri on dokumentoitava jokaiselle käsittelylle: tarkoitus, tietokategoriat, vastaanottajat, säilytyskestot ja käytössä olevat turvatoimet.

Tämä asiakirja, jonka organisaatio pitää CNIL:in käytettävissä valvonnan yhteydessä, on myös arvokas johtamistyökalu. Yhdessä HR:lle erityisesti tarkoitetun sähköisen allekirjoitusratkaisun kanssa se mahdollistaa HR-asiakirjan elinkaareen liittyvän jokaisen vaiheen jäljittämisen ja aikaleimaaamisen, vahvistaen siten prosessien auditointia.

Työntekijöiden oikeudet ja työnantajan velvoitteet

Työntekijöiden informointi: välitön velvoite

RGPD:n 13. artikla edellyttää henkilöille tiedon antamista niiden tietojen keräämisen yhteydessä. Käytännössä henkilöstöpalvelut on annettava työntekijöille – mieluiten jo työsopimusten allekirjoittamisen yhteydessä – RGPD-tietokunnan, joka erityisesti sisältää: vastuullisen käsittelyorganisaation tunnistetiedot, käsittelyn tarkoitukset ja oikeudelliset perusteet, säilytyskesto, saatavilla olevat oikeudet ja DPO:n (tietosuojavastaavan) yhteystiedot, jos organisaatiolla sellainen on.

Tämän vaihdon digitalisointi ja turvaaminen on olennaista. Yrityksen sähköisen allekirjoituksen käyttö tämän ilmoituksen toimittamiseen takaa aikaleimatun ja kiistattoman toimittamisen todisteen, joka on yhdenmukainen eIDAS-asetuksen vaatimusten kanssa.

Työntekijöiden oikeudet, jotka on kunnioitettava ehdottomasti

Työntekijöillä on laajat oikeudet tietoihinsa liittyen:

• Pääsyoikeus (15. artikla): jokainen työntekijä voi pyytää kopion kaikista häntä koskevista tiedoista, joita työnantaja käsittelee.

• Oikeaus oikaisuun (16. artikla): virheellisen tiedon korjaaminen (esim. postiosoite, pankkitili).

• Oikeus poistoon (17. artikla): soveltuu tietyissä tapauksissa erityisesti sopimuksen päättymisen jälkeen ja säilytysmääräysten umpeuduttua.

• Vastustamisoikeus (21. artikla): työntekijä voi vastustaa oikeutettuun etuun perustuvaa käsittelyä.

• Rajoitusoikeus (18. artikla): kiistetyn käsittelyn väliaikainen keskeyttäminen.

Työnantajalla on yksi kuukausi vastausaika mihin tahansa oikeuksien käyttöpyyntöön, jota voidaan jatkaa kolmella kuukaudella monimutkaisuuden tapauksessa (RGPD 12. artikla).

HR-tietojen turvallisuus ja alihankkijoiden hallinta

Tekniset ja organisatoriset toimenpiteet

RGPD:n 32. artikla edellyttää "riskiin sopivien" turvatoimien toteuttamista. HR-tiedoille hyviin käytäntöihin kuuluvat:

• Salaus riskin sisältävistä tiedoista koostuvien tiedostojen osalta (palkkalaskelmat, lääketieteelliset asiakirjat).

• Pääsynhallinta: vähimmäisoikeus-periaate – palkanlaskija ei pääse kurinpitotietoihin.

• Käyttöjäljitys HR-järjestelmiin (SIRH, palkanlaskentavälineet).

• Tietomurron reagointisuunnitelma: tietomurron yhteydessä työnantajalla on 72 tuntia CNIL:ille ilmoittamiseen (33. artikla) ja mahdollisesti asianomaisten henkilöiden ilmoittamiseen, jos riski on korkea (34. artikla).

Täydellinen auditointi sähköisen allekirjoitusoppaan kautta voi auttaa HR-tiimejä tunnistamaan turvattomiksi jääneet käsittelyt paperilla ja digitalisoimaan ne vaatimuksenmukaisesti.

HR-palveluntarjoajien säätely DPA-sopimuksilla

HR-palvelut käyttävät monia alihankkijoita: palkanlaskentaohjelmistot, koulutusalustat, aikaenhallintavälineet. Jokaisen alihankkijan, jolla on pääsy henkilötietoihin, on oltava tietojenkäsittelysopimus (Data Processing Agreement – DPA), RGPD:n 28. artiklan mukaisesti. Sopimuksessa on määriteltävä käsittelyohjeet, turvajärjestelyt, tietojen palautus- tai tuhoamismenettelyt ja velvoitteet tietomurron tapauksessa.

Alihankkijoiden valinta, jotka ylläpitävät palvelinrakennettaan Euroopan unionissa tai joita säätelevät komission hyväksymät vakiosopimusklaasit (SCT), on olennaista välttämään laitonta tietojensiirtoa EU:n ulkopuolelle.

Säilytyskestot: rakenteellinen näkökohta

Työntekijän tietuseeseen sovellettavat lailliset kestot

HR-tietojen säilytyskesto on säädelty RGPD:n (säilytyksen rajoitusperiaate, 5.1.e artikla), työoikeuslain ja erilaisten verotus- ja sosiaalisten säännösten sekalain. Käytännössä pääasiassa noudatettavat määräajat ovat:

| Asiakirjan tyyppi | Vähimmäissäilytyskesto | |---|---| | Palkkalaskelma | 5 vuotta (sosiaalinen vanhentuminen) | | Työsopimus | 5 vuotta sopimuksen päättymisen jälkeen | | Palkkatiedot (DSN) | 3 vuotta (URSSAF-valvonta) | | Henkilöstörekisteri | 5 vuotta työntekijän poistumisen jälkeen | | Kurinpitotiedot | Toimenpiteeseen verrannollinen kesto | | Lääketieteellinen asiakirja (työterveys) | 50 vuotta (erityinen sääntely) |

Automaattisen arkistointi- ja puhdistuspolitiikan käyttöönotto SIRH:ssä, yhdistettynä sähköisen allekirjoituksen työnkulkuihin, jotka aikaleimaavat asiakirjojen luomisen, on nykyään paras tapa osoittaa CNIL:ille vaatimustenmukaisuus.

Välttävät virheet

CNIL:in HR-tietojen valvonnassa tavallisimmat havaitsemansa virheet ovat: hylättyjen hakijoiden ansioluetteloiden loputon säilyttäminen, entisten työntekijöiden pääsy-oikeuksien ylläpitäminen, palkkatiedostojen salauksettomaus, ja kulunvalvontatietojen poistamatta jättäminen säilytysmääräysten umpeuduttua. Näiden riskien turvaksi sähköisen allekirjoitusratkaisujen vertailu auttaa tunnistamaan välineet, joissa on natiiveja arkistointi-todisteen ja asiakirjojen elinkaarenhallinnan toimintoja.

HR-tietojen käsittelyyn sovellettava oikeudellinen kehys

Työntekijöiden henkilötietojen käsittely liittyy tiheään oikeudellisen kehyksen osaksi, joka yhdistää usean tason sääntelyä.

Asetus (EU) 2016/679 – RGPD on kulmakivi. Sen 5.-11. artikla määrittelevät perusperiaatteet (laillisuus, vilpittömyys, läpinäkyvyys, tarkoituksen rajoitus, tietojen minimointi, tarkkuus, säilytyksen rajoitus, eheys ja luottamuksellisuus). 9. artikla asettaa tiukat ehdot erityisille tietokategorioille, joihin kuuluvat terveystiedot ja ammattiyhdistystiedot, jotka ovat HR:ssä erityisen tavallisia. 83. artikla määrää, että sakot voivat olla enintään 20 miljoonaa euroa tai 4 % maailmanlaajuisesta liikevaihdosta vakavien loukkausten yhteydessä.

Muutettu tieto- ja yksityisyyslaki (laki n° 78-17 6 tammikuuta 1978), sen konsolidoidussa muodossa, sovittaa RGPD:n Ranskan oikeuteen. Se antaa CNIL:ille valvonta- ja sanktiovaltansa, ja määrää muun muassa sektorikohtaiset vapautukset terveystietoille työterveyshoidossa.

Työoikeuskoodi säätelee työntekijöiden valvontaan liittyviä käsittelyjä (1121-1 artikla yksityiselämän kunnioittamisesta), henkilöstöedustajien kuulemisesta digitaalisten välineiden osalta (2312-38 artikla), ja pakollisia rekistereitä.

Asetus eIDAS (n° 910/2014), täydennetty eIDAS 2.0:lla (EU:n asetus 2024/1183), säätelee HR-asiakirjoihin merkittyjen sähköisten allekirjoitusten oikeudellista arvoa. Pätevä sähköinen allekirjoitus (SEQ), joka on yhdenmukainen eIDAS:n liitteen I kanssa ja standardien ETSI EN 319 132 ja ETSI EN 319 122 kanssa, tarjoaa katsottavuuden olevan vastaava käsinkirjoitettuun allekirjoitukseen nähden Ranskan koodeksin 1367 artiklan merkityksessä.

Koodeksin 1366. artikla määrää, että "sähköinen asiakirja on samanarvoinen paperille kirjoitetun asiakirjan kanssa edellyttäen, että voidaan asianmukaisesti osoittaa sen lähettäjän henkilöllisyys ja että se on laadittu ja säilytetty tavalla, joka takaa sen eheyden". Tämä säännös on suoraan sovellettavissa dematerialisoituihin HR-asiakirjoihin, kuten työsopimuksiin, muutoksiin, salassapitosopimuksiin ja muihin digitalisoiduihin HR-asiakirjoihin.

NIS2-direktiivi (EU 2022/2555), joka on otettu vastaan Ranskan lailla 26. helmikuuta 2025, edellyttää olennaisille ja tärkeille yksiköille (erityisesti suurille teollisuusyrityksille ja digitaalipalvelun tarjoajille) lisääntyneitä vaatimuksia tietoturvallisuuden riskien hallinnasta, mukaan lukien arkaluonteisten HR-tietojen suojaus.

CNIL:in määräämat sakot ovat jyrkässä nousussa: vuonna 2024 sakkoja määrätty yhteensä yli 100 miljoonaa euroa, ja useat päätökset liittyvät suoraan työntekijöiden tietojen hallinnon laiminlyönteihin. Säilytyskestojen noudattamatta jättäminen, DPA:n puutuminen HR-alihankkijoiden kanssa, ja riittämättömät turvatoimet ovat yleisimmin otettuja väitteitä.

Käyttötapaukset: RGPD-vaatimustenmukaisuus HR:ssä käytännössä

Tapaus 1 – 450 työntekijän teollisuus-ETI digitalisoi onboarding-prosessinsa

Kolmella Ranskan paikkakunnalla sijaitseva teollisuusyritys hallinnoi sopimuksia ja muutoksia paperilla. Uusien työntekijöiden asiakirjoja ei toimitettu palkkaosastolle ennen keskimäärin 12 päivää, mikä aiheutti virheitä palkanlaskennassa noin 8 %:ssa tapauksista. Lisäksi uusille työntekijöille ei toimitettu RGPD-ilmoitusta muodollisesti: tieto oli vain muistin lopussa, jota ei allekirjoitettu erikseen.

Sähköisen allekirjoitusratkaisun käyttöönottamisen jälkeen SIRH-järjestelmään integroituna, samalla toimittaen RGPD-ilmoitus, jonka työntekijä ja henkilöstöjohtaja allekirjoittivat yhdessä, yritys alensi dokumentaarisen onboarkingin keston 2 päivään (83 % vähennys). Palkanlaskennassa olevia virheitä puuttuvista tiedoista johtuen putosi alle 1 %:iin. Jokainen allekirjoitettu asiakirja arkistoidaan aikaleimatulla pätevällä tavalla, antaen todisteen, jota voidaan vastustaa CNIL:in valvonnassa tai työoikeusjutussa.

Tapaus 2 – 1 200 työntekijän jakelaryhmä asettaa säilytyspolitiikkaansa vaatimuksenmukaiseksi

Erikoistuneessa jakelussa toimiva ryhmä joutui CNIL:in valvontaan entisen työntekijän valituksen seurauksena. Tarkastus paljasti, että palkkioita sisältävät Excel-tiedostot yli 8 vuotta sitten lähteneistä työntekijöistä olivat edelleen saatavilla turvaamisattomalla jaetulla palvelimella, ilman salausta. Virallinen varoitus annettiin yhdessä vaatimuksenmukaisuusvaatimuksella 3 kuukauden kuluessa.

Ryhmä aloitti sitten täydellisen HR-käsittelyjensä tarkistuksen, kartoitti 23 käsittelytoimintoa ja otti käyttöön automaattisen puhdistussuunnitelman, jonka SIRH käynnisti. Allekirjoitetut asiakirjat siirrettiin digitaaliseen kassakaappiin, jonka säilytysajat määritettiin lakisääteisten vaatimusten perusteella. DPO:n HR-käsittelyrekisteri täytettiin kokonaisuudessaan, esitettävän seuraavassa CNIL:in tarkastuksessa 18 kuukauden kuluttua, joka päättyi ilman seurauksia. Vaatimuksenmukaisuuden varmistamisen kustannusarvio oli alle 60 % mahdollisen sakon summasta.

Tapaus 3 – 35 henkilön HR-konsultointipalvelu turvaa omien konsultanttien ja asiakkaiden tiedot

Henkilöstöhallintoon erikoistunut palvelu hallinnoi sekä omien konsultanttien tietoja että asiakasyritystensä hakijoiden ja työntekijöiden tietoja (assessment- tai uudelleensijoittelutehtävissä). Se joutuu näin kaksoisrooliin: vastuullinen käsittelyorganisaatio omille RH:lle ja alihankkija (tai yhteisvastuullinen) muiden tietoihin.

Palvelu otti käyttöön erilaisen asiakirjarakentamisen: yksinkertaiset sähköiset allekirjoitukset sisäisiin tavallisiin vaihtoihin, kehittyneet allekirjoitukset asiakkaiden kanssa tehtäviin tehtäväkirjeisiin, ja tietokäsittelysopimukset (DPA) integroitiin systemaattisesti tehtäväkirjeisiin. Kaikki konsultantit saivat päivitetyn RGPD-peruskirjan, jonka allekirjoitus oli sähköinen ja jota säilytettiin erityisessä rekisterissä. Tämän järjestelyn ansiosta palvelu pystyi esittelemään vaatimuksenmukaisuuden myyntiargumenttina suurille asiakkaille, joilla oli tiukkoja toimittajatarkastuksia, lyhentäen sopimisajan keskimäärin 7 viikosta 2 viikkoon.

Johtopäätös

RGPD edellyttää henkilöstöpalvelun johdolta syvällistä muutosta heidän käytäntöihinsä: oikeudenmukaisten oikeusperustojen tiukka tunnistaminen, tehokas työntekijöiden informointi, oikeuksien hallinta, alihankkijoiden sopimuspohjaisuus, tietojen turvaaminen ja säilytyskestojen noudattaminen. Nämä velvoitteet eivät ole vain hallinnollisia muodollisuuksia – ne määrittävät organisaation kyvyn välttää sanktioita, jotka voivat saavuttaa useita miljoonia euroja, ja säilyttää tiimien luottamus.

HR-prosessien digitalisointi sähköisten allekirjoitusratkaisujen kautta, jotka ovat eIDAS-yhteensopivia, on yksi tehokkaimista vipuista, joilla voidaan yhdistää operatiivinen tehokkuus ja sääntelyvaatimustenmukaisuus. Certyneo auttaa HR-tiimejä tässä siirtymässä, työsopimuksen allekirjoittamisesta työntekijätietueiden turvalliseen arkistointiin.

Ota selvää, kuinka Certyneo voi turvata HR-prosesseja tutustumalla HR-tiimeille tarkoitettuun tarjontaamme tai aloittamalla ilmaisesti testaamaan ratkaisua ilman sitoutumista.