GDPR henkilöstöhallinnossa: Työntekijätietojen käsittely

Johdanto

Yleisen tietosuoja-asetuksen (GDPR) voimaantulosta 25. toukokuuta 2018 lähtien HR-osastot ovat olleet vaatimustenmukaisuuden etulinjassa. Henkilöstötoiminnot käsittelevät arkaluonteisia henkilötietoja päivittäin: CV:t, palkkalaskelmat, terveystiedot, arvioinnit, pankkitiedot. Huono johtaminen altistaa yrityksen sanktioille, jotka ovat jopa 20 miljoonaa euroa tai 4 % maailmanlaajuisesta liikevaihdosta (GDPR:n artikla 83). Tässä artikkelissa esitellään tärkeimmät velvoitteet ja parhaat käytännöt työntekijöiden tietojen käsittelyn turvaamiseksi koko HR-syklin ajan.

HR-tietoihin sovellettavat perusperiaatteet

GDPR asettaa kuusi pääperiaatetta, jotka on kodifioitu artiklaan 5: laillisuus, uskollisuus, avoimuus, käyttötarkoitusten rajoittaminen, minimointi, tarkkuus, säilyttämisen rajoitukset ja eheys/luottamuksellisuus. Käytännössä tämä tarkoittaa, että HR-osasto voi kerätä vain tiettyyn tarkoitukseen ehdottoman välttämättömiä tietoja. Esimerkiksi sosiaaliturvatunnuksen kysyminen hakemisen yhteydessä on kohtuutonta: se on perusteltua vasta DSN:n palkkaamisen jälkeen.

CNIL, neuvottelunsa nro. Henkilöstöjohtamiseen liittyvässä 2019-160:ssa määritellään suositellut säilytysajat: 2 vuotta epäonnistuneille hakemuksille (ellei suostumusta), 5 vuotta lähdön jälkeen hallintoasiakirjalle, 6 vuotta palkkalaskelmille työnantajaversiossa.

Oikeusperusta ja tiedot työntekijöille

Toisin kuin yleisesti luullaan, suostumus on harvoin oikea oikeusperusta henkilöstöhallinnossa alisteisuussuhteen vuoksi. Asiaankuuluvia perusteita ovat pikemminkin työsopimuksen täytäntöönpano (6.1.b artikla), lakisääteinen velvoite (6.1.c artikla) ​​tai oikeutettu etu (6.1.f artikla). Arkaluonteisille tiedoille (terveys, ammattiliitto) 9 artiklassa edellytetään erityistä perustaa, kuten työoikeudellista velvoitetta.

Työnantajan on annettava selkeät tiedot työhönottamisen yhteydessä annettavalla GDPR-ilmoituksella, päivitettävä käsittelyrekisteri (30 artikla) ​​ja kuultava CSE:tä ennen kuin uusi käsittely vaikuttaa työntekijöihin (työlain pykälä L.2312-38).

Työntekijöiden turvallisuus ja oikeudet

Tekninen ja organisatorinen turvallisuus (32 artikla) ​​edellyttää: HRIS:n salausta, profiilikohtaista kulunvalvontaa, neuvottelujen jäljitettävyyttä, salassapitolausekkeita palkanlaskennan tai rekrytoinnin alihankkijoiden kanssa (28 artikla). Rikkomustapauksessa ilmoitus CNIL:lle 72 tunnin kuluessa.

Työntekijöillä on vahvistetut oikeudet: pääsy, oikaisu, poistaminen (rajoitettu lakisääteisillä säilytysvelvoitteilla), siirrettävyys, vastustus. Sisäisen menettelyn tulee mahdollistaa vastaus enintään kuukauden kuluessa. Kurinpitoasiakirjaan tutustumisen epääminen on perusteltava oikeudellisesti.

Käytännön esimerkkejä

Esimerkki 1 – Rekrytointi:Pk-yritys on säilyttänyt kaikkien hakijoiden CV:t jaetussa kansiossa 5 vuoden ajan. Ei yhteensopiva: liian pitkä kesto, turvallisuuden puute. Ratkaisu: automaattinen tyhjennys 2 vuoden kuluttua, rajoitettu pääsy rekrytoijille, GDPR maininta työtarjouksessa.

Esimerkki 2 – Videovalvonta:Logistiikkavarasto kuvaa jatkuvasti työasemia. Mahdollinen seuraamus (CNIL määräsi Amazon France Logistiquelle 32 miljoonan euron sanktiot vuonna 2024). Ratkaisu: Rajoitus herkille alueille, yksilöllinen tieto, CSE:n kuuleminen, säilytysaika enintään yksi kuukausi.

Esimerkki 3 – Yhteistyötyökalut:Microsoft 365:n käyttöönotto vaatii vaikutusanalyysin (AIPD), jos valvontatoiminnot on aktivoitu, sekä yhteensopivan alihankintalausekkeen julkaisijan kanssa.

Sääntöjen noudattaminen ja seuraamukset

CNIL-sakkojen lisäksi työnantaja on alttiina työtuomioistuimelle yksityisyyden loukkaamisesta (siviililain 9 §, työlain L.1121-1 §). Tietosuojavastaavan nimeäminen on pakollista yhteisöille, jotka käsittelevät tietoja laajassa mittakaavassa. Vuosittainen HR-käsittelyn kartoitus yhdistettynä esimieskoulutukseen on paras oikeudellinen ja toiminnallinen suoja.

Johtopäätös

GDPR-vaatimustenmukaisuus henkilöstöhallinnossa ei ole kertaluonteinen projekti vaan jatkuva parannusprosessi. Lakisääteisten velvoitteiden, työntekijöiden oikeuksien ja operatiivisen suorituskyvyn välillä henkilöstöjohtajien on hallinnoitava tiukasti tiedonhallintaa. Yhteensopivaan HRIS-järjestelmään investoiminen, ryhmien kouluttaminen ja jokaisen käsittelyn dokumentointi muuttaa lainsäädännölliset rajoitukset työntekijöiden luottamukseksi.