RGPD in HR: Bhainistiú Sonraí na nEmpowerments

Gineann bhainistiú na n-acmhainní daonna, gach lá, méid suntasach sonraí pearsanta: conarthaí oibre, uscálaí tuarastail, sonraí sláinte, measúnuithe feidhmíochta, sonraí bainc… Ó thús an Rialachán Ginearálta ar Chosaint Sonraí (RGPD) i Bealtaine 2018, tá stiúrthóireachtaí RH ina ngnáthuirlis lárnach a chomhlíonadh laistigh de bhunreachtú. Áfach, de réir thuarascáil ghníomhaíochta 2024 CNIL, fanainn an earnáil acmhainní daonna ar dhá cheann de na trí réimse is minice a bhí i gceist i ngréasáin. Treorann an t-alt seo thú trí na príomhoibleagaidh, an fhiorbheartaise, agus na huirlisí atá ar fáil chun sonraí do chuid comhpháirtithe oibre a bhainistiú go hiomlán i réim.

Cén uachtar sonraí pearsanta a bhainistíonn an RH?

Na catagóirí sonraí a bhíonn coitianta

Manípuláfonn seirbhísí RH speictrim an-leathan sonraí pearsanta. Idirdhealú idir dhá theaghlach mór:

Na sonraí is gnáth, bailithe i gcomhthéacs an chonartha oibre: ainm, sloinne, seoladh, uimhir shochar sóisialta, RIB, CV, diplómaí, stair ghairmiúil, measúnuithe bliantúla, scéimh oibre, sonraí ar láithreachais agus neamhláthaireachtas.

Na sonraí mothúchánach, faoi bhac níos láidire i réim Airteagal 9 an RGPD: sonraí sláinte (stad othanna, dearbhuithe tubaistí oibre, sriantuithe leighis), sonraí aontroma (ballraitheoireacht aontroma, mandáidí ionadaíocha), sonraí a bhaineann le ghealltanais choiriúla i gcomhthéacs earcaíochta áirithe.

Ní féidir a bheith ag déileáil leis an dara cinn ach faoi réir eisceachta soiléir atá beartaithe ag an rialachán — ar nós forghníomhú na n-oibleagaidh dhleathach i ndlí saothair, nó toiligeadh soiléir an duine ábhartha.

An cás áirithe ar fhothaithe

Gineann an chéim earcaíochta a bhí dírithe ar leithéid na gceadúnóireachtaí, go minic droch-dhéanta. Bailiú CV, litreacha tosaighin, agus torthaí thástáil imply déanamh spéisiúla ar feadh ama socraithe: de réir mholta CNIL, ba chóir sonraí na n-iarrthóirí nach bhfuarthas a scriosadh nó a anonómaítíonn laistigh de thréimhse is faide dhá bhliain tar éis an teagmháil dheireanach. A choinneáil CVs go deo i gcomhroinn neamhslógtha is briseadh soiléir.

Úsáid a bhaint as innealra sprioc sa ATS (Systémí Earraí Iarrthóirí) nó algoraim dhúlraí achmhainní ní mór a bheith ainmnithe go soiléir sa bheartas príobháideachta a thugtar d'iarrthóirí, i réim Airteagail 13 agus 14 an RGPD.

Na bonn dlí ar an bhainistiú i gcomhthéacs RH

A aithint ar an mbonndhlí ceart

Imthigheann an RGPD gur thógáil gach bainistiú ar shonraí pearsanta ar bhunús amháin de na sé bhunús dlí atá ar a thuiscint san Airteagal 6. I gcomhthéacs RH, ba ghnách go mbíonn trí bunús á úsáid:

• Forghníomhú an chonartha oibre (art. 6.1.b): a bhreithniú ar bhainistiú sonraí riachtanach do bhainistiú thuarastail, fóillíochta nó traenála.

• Oibleagáid dhleathach (art. 6.1.c): a chur i bhfeidhm ar bhreathnóireacht shóisialta dhíobhálach (DSN), ar chlár pearsanra nó ar bhreithniú ar thurbaistí oibre.

• Leas dlíthúil (art. 6.1.f): is féidir a rá do bhainistiú ar nós bainistiú ar bhréicíonn tochtair nó ar bhreathnaireachta bhraisteoireadh, faoi réir tástála soiléir ar fholuain.

Is bealach dlí lag an toiligeadh (art. 6.1.a) i gcomhthéacs oibre: cuirtear i gcuimhne ag CNIL agus ag Coiste Eorpach ar Chosaint Sonraí (CEPD) go ndéanann an neamhcothroime struchtúrtha idir an bhriugu agus an fhostú deacair a bhaint amach de thoiligeadh saor. Ní ba chóir a úsáid ach an deireadh thógáil.

An chlárliste a dhéanamh ar na gníomhaíochtaí, oibleagáid gan bhearna

Gach eagraíochta dhéanann 250 duine ar a laghad — nó a bhainistíonn sonraí mothúchánach ar scála níos lú — caithfidh sé a thuaiscint chlárliste ar ghníomhaíochtaí bainistithe (art. 30 RGPD). In RH, ba chóir don chlárliste seo a bhunú, i gcás gach bainistithe: an fhiontúr, na catagóirí sonraí, na roghnóirí, na fad-choinníolacha, agus na bearta slándála curtha i bhfeidhm.

Tá an t-ábhar seo, a choimeádtar i gceannarchuig CNIL i gcás drochmhéin, ina uirlis bainistithe breise. I gcomhroinnt leis an thuairim a bhaineann le síniú leictreach runda RH, ceadaíonn sé gach céim a rianú agus a bhreacadh den thréimhse i saol chéimníochta doiciméad RH, a láidríonn an iní-shúile ar phróisis.

Cearta comhpháirtithe agus oibleagaidí an bhriugu

A bhreachú ar na fostaithe: oibleagáid láithreach

Imthigheann Airteagal 13 an RGPD go bhféadfaí na daoine ar bith a thuaiscint ag am bailiú a sonraí. Go praiticiúil, ba chóir do RH a thabhairt do shalaí — is fearr ag sínithe an chonartha oibre — fógra eolais RGPD ar a dearbhu: aitheantals an chéisteanna ar an drochmhéid, an fiontúr agus boinn dlí, an fad-choinníolacha, na cearta a bhí ar fáil, agus sonraí an DPO (Dearbhaitheoirí Cosaint Sonraí) má bhí dáileachas aici.

Dochtar agus a chur ar ghlor an t-idirmhalartú seo riachtanach. Is léir gur séidiú ar an síniú leictreach i gcomhlachtaí ar ar sheachadadh an fhógra seo a bhaint a fhógraithigh agus doshúathanaithe, ag teacht le riachtanais an rialachán eIDAS.

Na cearta a bhí ag fostaithe a choinneáil go docht

Is féidir le comhpháirtithe a bheith ann a bhaint ar a sonraí:

• Ceart rochtana (art. 15): is féidir le gach fostaithe iarratas a dhéanamh ar chóip gach sonraí ina leith a bhainistíonn an briugu.

• Ceart ceartaithe (art. 16): ceartú sonraí neamhfhíor (ex.: seoladh poist, RIB).

• Ceart ar fholuain (art. 17): in ord i gcásanna áirithe, ina dhiaidh sin deireadh an chonartha agus an fhad dlí.

• Ceart ar dhúbhaoil (art. 21): is féidir leis an bhfostaithe a dhéanamh ar bhainistí ar bhunús ar an leas dlíthúil.

• Ceart ar theorannú (art. 18): fé-bhunus ar bhainistí a raibh leisce air.

Tá 1 mí ar a bhfúil don bhriugu chun cur ar ais ar aon iarratas ar fheidhmiú cearta, sínte chun 3 mhí i gcás domhain (art. 12 RGPD).

Slándála sonraí RH agus bainistiú ar fhothaithe

Bearta teicniúla agus eagraíochtúla

Imthigheann Airteagal 32 an RGPD go ndéanfaidh an chur i bhfeidhm ar bhearta slándála "oiriúnach don riosca". I gcás sonraí RH, baineann na fiorbeartaise:

• Criptiú ar chomhaidleach ar shonraí mothúchánach (tuarastal, comhaid dhleathach).

• Rialú rochtana: prionsabal an chuid is lú ar maithe — ní léir do bainistiú tuarastail rochtain ar shonraí carachtar.

• Dialann ar rochtana ar chóras RH (SIRH, uirlisí tuarastail).

• Plean ar dhul i ngleic le bhristeanna: i gcás scaipthe sonraí, is féidir leis an bhriugu 72 uair go bhfógra CNIL (art. 33), agus go poitéinseal na daoine ar bith má bhí an riosca ard (art. 34).

Is féidir le iniúch iomlán trí threoir ar síniú leictreach cabhrú le foireann RH a aithint ar bhainistiú neamhslógtha a fhanainn ar an taca páipéir agus iad a dhigitalithe ar bhealach iomlánaithithe.

Dhéanamh ar fhostaithe RH le DPA

Gníomhaíonn seirbhísí RH ar go leor fothaithe: bogearraí tuarastail, ardáin oideachais, uirlisí bainistithe ama. Gach fothaithe ag rochtain ar shonraí pearsanta ba chóir a bheith i chomhaontú ar bhainistiú sonraí (Data Processing Agreement — DPA), i réim art. 28 RGPD. Ba chóir don chonradh seo a bheith soiléir ar threoir bainistithe, ar bharántaí slándála, ar dhréachtaí ar ais nó scriosadh sonraí, agus ar oibleagaidh i gcás bhristeanna.

A aithint ar fhostaithe le bonneagar a dhíobháil in aonachta an Aontais Eorpach, nó a bheith i nglacadh le clasuili conarthacha caighdeánacha (CCT) atá ceadaithe ag an Choimisiún, fanainn riachtanach chun aon tharchur neamhdhleathaigh a sheachaint lasmuigh d'AE.

Fadálchoinniollacha: ábhar suntasach

Na fadálchoinníollacha dleathacha ar fhad an pháirc oibre

Tá an fad-choinníoll ar shonraí RH faoi bhac ar thaobh ar nós ár leithéid an RGPD (prionsabal ar theorannú ar choinneáil, art. 5.1.e), an Cód Oibre, agus forálacha éagsúla fiosrúcháin agus sóisialta. Go praiticiúil, is iad na príomh-théimhrí a bhí le maithí:

| Cineál doiciméid | Fad-choinníoll caomhnaithe | |---|---| | Tuarastal líon | 5 bhliain (faisnéis sóisialta) | | Conradh oibre | 5 bhliain i ndiaidh deireadh an chonartha | | Sonraí tuarastail (DSN) | 3 bhliain (rialúchán URSSAF) | | Clár pearsanra | 5 bhliain i ndiaidh imirt an chomhpháirtí | | Sonraí cearta agus díobháile | Fad comhréireach do bheart | | Comhad leighis (leighis oibre) | 50 bhliain (rialachán speisialta) |

Dáil ar **bheartas ar chomhlíonadh agus glan-uachtar a bhogadh sa SIRH, i gcomhar le sreabhadh sínithe leictreach a bhreacadh ar chruthú doiciméad, is í an fhiorbheartaise inniu chun fíorú ar chomhlíonadh ar CNIL.

Na gréasáin ar chosaint

Is iad na hearraigh is coitanta a fhacthas le linn na ggreasán CNIL i ndéanamh ar shonraí RH: a choimeádtar i bpáirt CVs ar iarrthóirí nach raibh tuiscint, a choinneáil rochtain ríomhaire ar sheanfhostaithe, easpa criptiú ar chomhaid tuarastail ar dhóibhshodas, agus neamhghníomhú ar shonraí badgeola tar éis choinníoll. Chun a chéasadh na pointí seo, féach an comparáid a dhéanamh ar thuairimí ar síniú leictreach a aithint ar uirlisí a bhí a chur ar fheidhm go nádúrtha ar dhóibh d'athbhreachú prochain agus bainistiú an tséimh shaol ar doiciméad.

Creatlach dleathacha ar bhainistiú sonraí RH

Tá bainistiú ar shonraí pearsanta an chomhpháirtí oibre i gcomhar rátaithe déanamh ar an bhonn rialúcháin, ag teacht le leibhéil iomadúla rialúcháin.

Rialachán (AE) 2016/679 — RGPD a tháinig sa fhuinn. Bhunú a dhéanamh ar Airteagail 5 go 11 ar an bprionsabal bunúsach (dlíthúilacht, tromantóireacht, soiléire, teorannú fiontúr, giotairí ar an taobh, fírinne, teorannú ar choinneáil, ionracas agus rúnda). Bunaigh Airteagal 9 na coinníollacha docht ar dhóibh de chatagóirí speisialta sonraí, lena n-áirítear sonraí sláinte agus aontrom, go háirithe gnáth in RH. Leagann Airteagal 83 amach bocsanna d'fhine 20 milliún euro nó 4% den omnibíochóireacht dhomhanda i gcás briseadh tromchúiseach.

An tslí Faisnéise agus Saorlathas a athrú (dlí n° 78-17 6 Eanáir 1978), ina leagan dhúnta, a shainiú RGPD ar dhlí Fraince. Tabhair CNIL a cumhacht ar rialúchán agus pionós, agus a bhunú sainíochtaí eitinn ar shonraí sláinte i bhleachtóireacht oibre.

An Cód Oibre a choinneáil ar bhainistiú a bhaineann le bhreathnaireachta ar fhostaithe (art. L. 1121-1 ar spéis i saol príobháideach), ar choinneáil ionadaí daoine ar uirlisí digiteach (art. L. 2312-38), agus ar chlár dhíobhálacha.

Rialachán eIDAS (n° 910/2014), déanta ar gnéithe ar leithéid ar síniú leictreach agus tosú saor in aisce ar léamh an doiciméad RH. Tá síniú leictreach iomlánaithithe (SEQ), i réim leis an Aguisín I d'eIDAS agus ar na normála ETSI EN 319 132 agus ETSI EN 319 122, ar chláraigh an t-ionannúlachta ar síniú lámh i réim Airteagal 1367 Cód sibhialta Fraince.

Airteagal 1366 an Chóid Sibhialta a bhunú go bhfuil "an scríobh leictreach ar an bhfoirceadal céanna ar nós an tscríobh ar thaca páipéir, faoi réir go bhféadfaí a dhéanamh ar bheith ar an duine a sídíodh uaidh agus go bhfuil sé socraithe agus coimeádtar ar dhóibh de nádúr agus ionracas a bhaint é a ráiteas". Is léir go bhfuil an fógraícheanúnaochtanna ar dhóibh seo ar bhunú oibre, aguisíní, comhaontuithe farasoiléire agus doiciméid RH dematérialísaithe eile.

Treoir NIS2 (AE 2022/2555), an bhunleabhar i ndlí Fraince ag an dlí 26 Feabhra 2025, a bhunú ar ainmnithe agus tábhachtach (go háirithe fionrarc tionscalaíocha móra agus oibrí seirbhísí digiteach) ar riachtanais threisithe i mbainistiú ar riosca a bhaineann le slándála faisnéise, lena n-áirítear cosaint sonraí RH mothúchánach.

Tá na pionósanna a raibh spréacharnach ag CNIL i bhfoirceadal ard: i 2024, sárú an t-iomlán bhocsanna thíos 100 milliún euro, le roinnt cinneadh a raibh gníomh i mbainistiú sonraí fostaithe. An neamhchuimsiú ar fhad-choinníollacha, easpa DPA le fóntaithe RH, agus easpa ar bhearta slándála a bhí i gceist is minic ag an CNIL.

Spréacharnach úsáide: comhlíonadh RGPD in RH go praiticiúil

Spréacharnach 1 — ETI tionscal 450 fostaithe a thabhairt ar a chuid próisis onboarding

Bhí gníomhaireacht bhainistíochta meáide-dhíobháile, a raibh a fhair ar thrí láithreán in Fraince, ag an bhainistiú ar chomhaid ar taca páipéir. Ní raibh doiciméid na n-iontrála ar sheirbhís tuarastail ach i ndiaidh fhostir ar a bhfuil 12 lá agus oibre de dhíobháil, a ghéarú earraigh tuarastail i beagán 8% de chásanna. Ar ndó sin, bhí fógra RGPD ar bith á tabhairt ar bhealach foirmiúil d'iontrála ní bhfuil. Bhí an faisnéis ar réamhsheol amháin ar rialachán intreach, neamhchríochnaithe go leor.

Tar éis a chur in iúl ar thuairim sínithe leictreach i gcomhar a SIRH, le seachadadh comhéigeantach fógra RGPD a raibh síniú ag an fhostaithe agus an DRH, bhí an gníomhaireacht ábalta fad an onboarding doiciméad a bhaint go 2 lá agus oibre (gealadh 83%). Chuaigh earraigh tuarastail bainteach le sonraí ar dhíth a dhíspleáil go níos lú 1%. Gach doiciméad sínithe a bhí stóráilte le hoireann iomlánaithithe, tabhair fíor i gcás rialáil CNIL nó ar bhréagnú prudhomal.

Spréacharnach 2 — Grúpa 1 200 comhpháirtí á chur ar a bheartas ar choinneáil

Bhí grúpa ag gníomhú sa dháileachas speisialta ag seasamh ar rialúchán CNIL tar éis gearáin ar shean-fhostaithe. Bhí an bhreithniú ar léiriú go raibh comhaid Excel ar sonraí tuarastail de fhostaithe ó bhádh thar 8 mbliain fós inrochtain ar fhreastalaí páirt neamhslógtha, gan criptiú. Bhí rabhadh foirmiúil pronúnaithe, le dorú ar dhul chun comhlíonadh laistigh de 3 mhí.

Bhí an grúpa ansin ag dul i ngleic le iniúch iomlán ar bhainistiú RH, cartlíniú a 23 ghníomhaíochta bhainistithe, agus leabh ar phlean ar ghal-uachtar a fhorghníomh sa SIRH. Ba doiciméad sínithe leictreach a bhíodh ar imirt go rún agus stór-rúnda le fad-choinníollacha cumraithe de réir oibleaguidh dleathacha. Thug an DPO ar clár iomlán ar bhainistiú RH, curtha ar fáil le linn rialúchán dara CNIL 18 mí níos faide ar aghaidh, go raibh críoch air gan cheist. Bhí cost ar chomhlíonadh meastaithe níos lú 60% ar an méid do fhine ionchasúil.

Spréacharnach 3 — Caibinéad comhairleachta RH 35 daoine slándála ar shonraí a chur ar a chuid comhairlithe agus cliant

Bhí caibinéad speisialta i bhainistiú acmhainní daonna ag bainistiú ar shonraí ar a chuid comhairlithe agus ar shonraí ar iarrthóirí agus fostaithe a chuid gníomhaireacht cliant (i ngach dála de thuairim nó imirt ar dhíobháil). Bhí sé i gcás dara pointe: freagracht ar bhainistiú ar a chuid féin RH, agus fothaithe (nó co-fhreagracht) ar shonraí tríú páirt.

Bhí an caibinéad ag cur i bhfeidhm ar ailtireacht doiciméad idir-dhealaithe: síniú leictreach simplí ar idirmhalartuithe intreach gnáth, síniú chun críche ar chonarthaí dála le cliant, agus comhaontuithe ar bhainistiú sonraí (DPA) go córmheac i gcomhroinn ar theachtaireachtaí. Fuair gach comhairlithe clár RGPD nuashonraithe, sínithe go leictreach agus coimeádtar i gclárliosta dédhoinithe. Bhí an eagraíochta seo ábalta a bhí ar an chaibinéad ag taispeáint a iomlánaithithe ar bhríondúid dhigreasc másmór i mbeirt iarbhír ar thuairim, ag gearradh an mhéid ar mheán a bhainistiú a bhí 7 go 2 sheachtain.

Críoch

Imthigheann an RGPD ar dhír reachtúlachta acmhainní daonna ar athrú domhain a bheith ag a sonraí: sainíthochtaint docht ar bhoinn dlí, eolais éifeachtach ar chomhpháirtí, bainistiú ar chearta, imlitir conarthacha ar fhostaithe, slándála agus fad ar choinneáil. Níl na hoibleaguidh seo ar simplí formalití riaracháin — iad a bhainistiú ar acmhainní beag an gníomhaireacht a sheachaint fhine a raibh ar a laghad go leor euro agus a bhreithniú i spéis a chuid thímthe.

Tá dochtar ag próisis RH, trí thuairimí síniú leictreach i réim eIDAS, ar an aer an chuid is éifeachtaí chun éifeachtúlacht oibríochta agus comhlíonadh rialúcháin a chomhcheangal. Tugann Certyneo cabhrú do fhoireann RH sa athrú seo, ó síniú an chonartha oibre go stóráil slógtha ar shamhlíochtaí fostaithe.

A fhad cén chaoi ar féidir le Certyneo do próisis RH a chur ar fhéachaint trí ár thaibhsiú ar thaobh oibre a fhiosrú nó ag tosú saor in aisce chun an tuairim a thástáil gan tiomantas.