RGPD i RH: Láimhseáil Sonraí na bhFostaithe

Ní bhíonn an Rialachán ar Dhíon Sonraí Ginearálta (RGPD) i bhfeidhm ar chaidreamh tráchtála idir cuideachta agus a custaiméirí amháin: cuireann sé smacht freisin, ar bhealach an-chruinn, ar láimhseáil sonraí pearsanta na bhfostaithe. Earcaíocht, bainistiú tuarastail, rialú rochtana, measúnú feidhmíochta, gréasáin-fhianaise… gineann gach céim den timthriall saolré an chonartha saothair sonraí pearsanta ar chóir don bhriséithe a láimhseáil i gcomhlíonadh docht an dlí Eorpach. Agus a bhfuil fíneálacha ann ar féidir leo 20 milliún euro nó 4% den thrabhdháil dhomhanda bhliantúil a bhaint amach, tá an costas an-mhór. Leagann an t-alt seo amach na bunálacha dlíthiúla is infheidhme, na hoibleagáidí praiticiúla na seirbhísí RH agus na dea-chleachta is fearr chun do chuid láimhseála a dhíon — lena n-áirítear agus na doiciméid RH a bhheith déanmheáite.

Bunús dlíthiúil an láimhseála sonraí RH

Na bunálacha dlíthiúla atá ceadaithe i ndlí an saothair

Listaíonn an RGPD sé bhunálacha dlíthiúla chun sonraí pearsanta a láimhseáil (alt 6). I gcomhthéacs RH, bíonn trí cinn acu in úsáid i ngealadh i ngach cás:

• Forgheal an chonartha saothair (alt 6.1.b): is é seo an bhunbhunálaigh do bhainistiú tuarastail, foluain an ama oibre a bhrath, cur ar aghaidh na mbileoga tuarastail nó bainistiú na bhreathnóga.

• Oibleagáid dhríobhlíochtúil (alt 6.1.c): tugann sé údar do chuid láimhseála a bhforchuireadh an Cód Oibre nó an dlíochtlann shóisialta, mar atá an Dearbhú Réamhúsáide ar Bhreithiúnú (DPAE), an tSonraí Shóisialta Dhríobhlíochtúil (DSN) nó cúmhneachán an fhoirgnímh aonair pearsantúil.

• Ús díreach (alt 6.1.f): is féidir leo a chur ar bhunálaigh chuid láimhseála slándála ríomhaireachta nó cosc ar bhréagadh inmheánach, faoi réir go nach ndéanfaí an t-ús seo a bhréagadh de dheis bunúsacha na bhfostaithe.

⚠️ Ba chóir gur bunálaigh an toiliú a bheith an-chúramach i gcomhthéacs saothair. Cuirtear i gcuimhne an-rialta ag an CNIL go ndéanann an gealadh neamhiomlán atá i nádúr an chaidrimh bhriséithe-fostaithe go nach mbíonn an toiliú go minic « saor » de réir alt 7 an RGPD. Úsáid an toiliú a dhéanamh i láimhseála ar bhféadfadh a bheith ar bhunálaigh eile a nochtann an briséithe do chontúirt athdhúshrú.

Catagóirí sonraí ar leith: córas docht

Dreach sonraí go bhailítear ag RH i nádúr na « sonraí braistinte » ag alt 9 an RGPD, ar a dtarraingítear an láimhseáil i bprionsíbal coiscthe ach go bhfuil eisceachtaí ann:

• Sonraí sláinte: stopadh othair, míchumas ar thug an leigheas oibre briathar, socrú post do bhac.

• Sonraí ceannasach: ballraíochta in aontas, mandáidí ionadaíochta.

• Sonraí biméadrach: rialú rochtana ag barraiceann dhigit nó cur in aithne a dhéanamh ar an éadan.

• Sonraí a bhaineann le drochdhleacht: fíorú ar chlár na mbascach, arna ceadú i réimsí rialaithe (slándáil, leanaí, etc.) amháin.

I leith na gcatagóirí seo, ní mór don bhriséithe eisceacht dhíreach a aimsiú (alt 9.2), anailís tionchar ar dhíon sonraí (AIPD) a dhéanamh i bhformhór na gcás, agus go minic an CNIL a chomhairliú sula ndéantar scáileoir.

Na hoibleagáidí praiticiúla na seirbhísí RH

Clár ghníomhaíochtaí an láimhseála

Tá gach eagraíochta a bhfostaíonn níos mó ná 250 fostaithe i ndualgais chun clár ghníomhaíochtaí an láimhseála a choinneáil (alt 30 an RGPD). Faoi bhárr an tsolais seo, feidhmíonn an oibleagáid fós go bhfuil an láimhseála neamhthréigthe nó ar sonraí braistinte — go bhfuil sé sin faisnéis i gceist ar bheagnach gach cás i RH. Ní mór don chláir seo a chuid na:

• An chríoch a bhaint as gach láimhseáil (ex. : « bainistiú na mbileog tuarastail »)

• Na catagóirí sonraí a bhaineanns leis

• Na faireolaithe (tríú páirtí, fonfhuighcint, údaráis)

• Na faid choimeádta

• Na bearta slándála a cuireadh i bhfeidhm

Cuireann an CNIL samhail de chlár ar fáil saor ar fhál. Is í a choinneáil go docht i gceist i gcéad líne cosanta i gcás scrúdú.

Na faid choimeádta: pointe fada ó thuaidh

Fhorchuireann alt 5.1.e an RGPD an phrionsabal de theorannu ar choimeádta: ní chóir do na sonraí a bheith coimeádta i bhfad níos faide ná an fhad is gá don chríoch ar baineadh iad as. I RH, is iad seo a leanas na faid dhríobhlíochtúil tagartha:

| Cineál sonraí | Fad coimeádta arna mholadh | |---|---| | Bileog tuarastail | 5 bliana (achtúchán sibhialta) | | Conradh saothair | 5 bliana tar éis briseadh an chonartha | | Sonraí earcaíochta (iarrthóir nach bhfuair dea-rogha) | 2 bhliain ar a fhad tar éis an teagmhála is déanaí | | Comhad smachta | Fad athraitheach de réir an líonraithe (500. 3 bliana i gcás rabhaidh) | | Sonraí fianaise-bhreacadán | 1 mhí i ngnáth-dheis | | DSN agus clár an fhoirgnímh | 5 bliana tar éis fágáil an fhostaithe |

Ní mór na faid seo a bhreacadh san chlár agus a chur i bhfeidhm trí ghealadh gheal nó fúnta críochnaithí.

An fhaisnéis ar na fostaithe: oibleagáid fada a bhraistíodh

Fhorchuireann alt 13 an RGPD bhreachtas faisnéise iomlán a thabhairt do na daoine a bhaineann leis ag an am a bhailítear a n-sonraí. I RH, ba chóir go bhféadfaí an bhreachtas seo a thabhairt:

• Ar an leibhéal an taifeadh: i bhí ar sonraí a bhailítear sa phlé earcaíochta.

• Ar dhúnadh: fúnta an chonartha nó tugtha in iatachán ag síniú an chonartha.

• I gcúrsa an chaidrimh dhríobhlíochtúil: ar gach láimhseáil nua a cuireadh i bhfeidhm (ex. : scáileoir ar bhainistíonn an pointeadh biméadrach).

Is é a déanmheáite ar an phróiseas onboarding, go háirithe trí an síniú leictreonach do RH, chuidíonn sé le rianú an phriontáis seo: an dáta léite agus sínithe den bhreachtas a bhíonn am-stampáilte ar bhealach cruthaitheach, rud a dhéanann eilimint fianaise luachmhar i gcás díobháil.

Slándáil na sonraí RH: bearta teicniúla agus eagraíochtúla

Criptiú, smacht ar rochtain agus scaradh

Fhorchuireann alt 32 an RGPD na bearta slándála oiriúnaithe don chontúirt. Do na sonraí RH, ar bhraistíodh iad i nádúir agus ar tháirgid siad nuair a bhí droch-bhealach, is iad seo a leanas na dea-chleachta is lú:

• Criptiú sonraí ar chóir agus ar thaisc: ní mór do na comhaid thuarastail, conartha agus gealadh pearsanta a bheith stóráilte faoi chriptiú (AES-256 ar a laghad) agus ar thaisc tríd na prótócail dhíonta (TLS 1.3).

• Bainistiú cearta rochtana bunaithe ar na róil (RBAC): ní bhíonn ach na bainisteoirí RH arna cheadú go sochar rochtain ar na sonraí tuarastail; ní bhíonn ach an freagra grúpa go sochar rochtain ar na sonraí is gá don bharrfhostú.

• Logaí na rochtana: ní mór gach tóg nó athrú ar ghealadh fostaithe a bhreacadh leis an aitheantas an úsáideora, an dáta agus an uair.

• Pseudonymization do na láimhseála anailísíochta (boird-dhéileála RH, staidéir thuarastail).

Bainistiú na bhfon-thuighcint RH

Cuirtear gealadh ar sheirbhísí RH a dhéanamh ar go leor fon-thuighcint: eagarthóir SIRH, prestataires tuarastail ar fáil ar an taobh amuigh, ardáin oiliúna, uirlisí earcaíochta ar líne. Ní mór gach tríú páirtí a bheith faoi réir conartha fon-thuighcint i gcomhlíonadh alt 28 an RGPD, a shonraíonn go háirithe:

• An nádúr agus an chríoch an láimhseála fon-thuighcint

• Oibleagáidí an fhuinn-thuighcint ar shlándáil agus rúndiacht

• Cosc ar fhuinn-thuighcint fon-thuighcint gan údarás réamhúsáide

• Na móid tugtha ar ais nó scriosta ar dheireadh an chonartha

Nuair a roghnaítear prestataire, ba chóir a fhíorú chomh maith ar cibé ar bhí a fhreastalaithe i suíomh san Spás Eacnamaíochta Eorpach (EEE) nó ar bhí meicníochma ar dheis (clasuill i gcomhartha cumhaing, cinneadh oiriúnachtúil) ar fáil do na soláthraí taobh amuigh EEE.

An déanmheáite ar doiciméid RH agus an comhlíonadh RGPD

Is é a dhigitisiú ar dhul i méadú ar phróiseas RH — conartha saothair leictreonach, bileoga tuarastail dhéanmheáite, avenants sínithe i fadó — a thógann gealadh RGPD ar leith. Má bhíonn an síniú leictreonach i gcomhlíonadh eIDAS ar bharraicín ar bharrainn gheal-ghlac agus ar fhíntacht, ní mór don bhriséithe a chinntiú gur:

• Ní bhailítear sonraí ró-bharrainn nuair a bhíonn an phróiseas sínithe (prionsabal íoslaghdú, alt 5.1.c)

• Caomhnú na fianaise sínithe (cosáin-tasc) i gcoinníollacha slándála agus ar feadh fad oiriúnach

• Ligint ar dhúshrú ar na cearta an fhúinn-thuighcint (rochtain, ceartú, scrios i bhfíorachas dhríobhlíochtúil)

Le haghaidh tuilleadh ar an chomhlíonadh na n-uirlisí sínithe, tugann an treoir iomlán ar síniú leictreonach ó Certyneo sonraí ar chritéir theicniúla agus dlíthiúla a fhíorú sula ndéantar scáileoir.

Cearta na bhfostaithe agus a bhfeidhmiú éifeachtach

Radharc ar na cearta a bhí ina ngealadh ag an RGPD

Is iad na fostaithe sláintiúil dá sealann na cearta ar fad ag altanna 15 go 22 an RGPD. I gcomhthéacs RH, is iad seo a leanas na cearta is minice ar a n-fheidhmiú:

• Ceart rochtana (alt 15): is féidir leis an bhfostaithe iarraidh ar chóip ar na sonraí ar fad a bhaineann leis a choinneáil ag an bhriséithe, lena n-áirítear na soláthraí r-phoist oibre i bhformhór na gcás.

• Ceart ceartaithe (alt 16): ceartú sonraí neamhchruinn (earráid ar an RIB, céim nach bhfuil logánaithe i gceart, etc.).

• Ceart ar scriosadh (alt 17): teoranta i RH ag oibleagáidí dlíthiúla coimeádta, ach infheidhmithe do shonraí earcaíochta iarrthóra nach bhfuair dea-rogha.

• Ceart i gcoinne (alt 21): is féidir leis feidhmiú i gcoinne láimhseála bunaithe ar ús díreach, cosúil le cuid láimhseála faireachán.

• Ceart ar iompar (alt 20): ábalta do shonraí a sholáthraigh an fostaithe féin i bhfeidhm an chonartha.

An t-am freagra agus na nósanna imeachta inmheánacha

Tá breis is mhí amháin ag an bhriséithe go freagra a thabhairt ar aon iarraidh ar dhúshrú ar na cearta, am ar féidir a leathnu go trí mhí i gcás castachtúil nó méid ardúil iarrataí (alt 12.3). Chun an próiseas seo a bhainistiú i gcomhlacht, tugtar comhairle:

• Pointe teagmhála aonair a dhíon (DPO nó ionadaí RGPD) chun iarrataí a glacadh

• Foirm dhíon ar leith a chur ar fáil ar an fhostaithe

• Gach iarraidh agus a fhreagra a bhreacadh i nglacadh iarrataí cearta

• Bainisteoir RH a oiliúint ar iarraidh shamhailteach a aimsiú (fostaithe ag iarraidh « a ghealadh pearsanta » ar dúshrú siad air go fírinneach ar chearta rochtana)

Ról an DPO san fhuinn-scéimiú

Fhorchuireann an RGPD Dhréachtóir ar Dhíon Sonraí (DPO) a dhíon i dtrí chásanna (alt 37): údarás poiblí, láimhseáil ar scála mór sonraí braistinte, nó faireachán córasach ar scála mór. Tagann go leor cuideachta ar a bhfuil láimhseáil RH suntasach isteach san oibleagáid seo. Is féidir an DPO a bheith inmheánach nó ar an taobh amuigh; ní mór dó a bheith neamhspleách ar fheidhm agus a bheith i dteangmháil ar an bhféachtas ar na gealadh ar fad a thionchar ar dhíon na sonraí, lena n-áirítear scáileoir ar thuiscint RH nua dhigitíocha. Is comhairleach a róil agus nach tógann comhairliúchán: is é an t-úsáid deireanach atá ag an bhriséithe, ie an briséithe.

Fráma dlíthiúil ar fheidhmiú ar sonraí RH

An RGPD: téacs bunúsach

Is é an Rialachán (AE) 2016/679 den Pharlaimint Eorpach agus den Chomhairle an 27 Aibreán 2016 (RGPD) an sochaí ar bhunúsach dá láimhseáil sonraí pearsanta san Eoraip. Go díreach ann i ngach stát-bhail ó 25 Bealtaine 2018, cuirtear é in iúl do gach briséithe á soláthraí do shonraí fostaithe a chónaíonn san AE, beag ar gheal an náisiúntacht an fhuinn. Is iad seo a leanas na príomhalta is infheidhme i gcomhthéacs RH:

• Alt 5: prionsabail bhunúsacha (dlíthuine, fírinneacht, soiléire, gealadh gealadh, cruinneas, teorannu ar choimeádta, slándáil agus rúndiacht, freagracht)

• Alt 6: bunálacha dlíthiúla láimhseála

• Alt 9: córas sonraí braistinte

• Altanna 12 go 22: cearta na ndaoine a bhaineann leis

• Altanna 24 go 32: oibleagáidí an athrúchán láimhseála agus an fhuinn-thuighcint

• Altanna 33-34: fógra ar ghealadh sonraí (72 uair an chloig go dtí an CNIL, agus faisnéis ar na daoine má bhí contúirt ard ann)

• Alt 35: anailís ar thionchar (AIPD) i ndualgais i láimhseála ar contúirt ard

• Alt 83: pionóis riaracháin (suas go 20 milliún euro nó 4% den iomlán domhanda CA)

An dlíochtlann ar Fhaisnéis agus Saoirse Pearsanta athruithe

I ndlí an Fhraince, tugann an dlí n°78-17 an 6 Eanáir 1978 ar fhaisnéis, ar chomhaid agus ar saoirse pearsanta, athruithe ag dlí n°2018-493 an 20 Meitheamh 2018 agus oirdheachta n°2018-1125 an 12 Nollaig 2018, forlíonadh don RGPD ag oscailt ar spásanna freagartha náisiúnta (« nósanna oscailt »). I measc na ndaoine is tábhachtaí i RH: an bhféidearthacht sonraí ceannasach a láimhseáil i bhfeidhm bhainistiú na n-institiúidí ionadaíochta daoine (alt 9 den dlí), nó fós na rialacha ar leith ar láimhseáil sonraí sláinte an oibre.

An Cód Oibre agus an bhreithiúnacht shóisialta

Fhorchuireann an Cód Oibre oibleagáidí faisnéis agus comhairliú roimh-oileáin an Choiste Shóisialta agus Eacnamaíochta (CSE) sula ndéantar gealadh faireachán nó rialú ar na fostaithe a scáileoir (alt L. 2312-38). Is éigeantach gan comhairliú ar inopposable de na fianaise a bhailítear chomh maith agus ar phionóis pheannúla.

Cuirtear i gcuimhne an-rialta ag an Cúirt Chúirte na Fraince gur ní mór do na huirlisí rialaithe (geo-tháirgid, badgeuse, bogearraí foluain gníomhachta) a bheith comhionann leis an sprioc a chuirtear romhainn agus nach féidir leo a dhéanamh ar thargaidh eile ná na daoine ar bhreachtas ar na fostaithe agus ar an CNIL.

Síniú leictreonach doiciméid RH: eIDAS agus an Cód Sibhialta

Nuair a déanmheáite ar chonarthaí saothair, avenants nó doiciméid smachta, ní mór don bhriséithe an Rialachán (AE) n°910/2014 eIDAS, a shainmhíníonn trí leibhéal sínithe leictreonach. I gcás doiciméid atá chomh bunúsach is conradh saothair CDI nó doiciméad ar bhriseadh coinbhinsiúnach, tugtar comhairle ar síniú leictreonach fhorbartha (nó ar a laghad i gcríoch) chun aitheantas an tsínithe agus slándáil an doiciméid a chinntiú. Is é an Cód Sibhialta ag altanna 1366 agus 1367 ar fhíoruiú na luach-fianaise an dhéanmheáite agus ar síniú leictreonach, faoi réir aitheantas iontaoibh an tsínithe agus cinntí ar slándáil.

Pionóis ar dhíon ag an CNIL ar shaitheoraí RH

Dhíon an CNIL go leor pionóis ar leith ar shaitheora ar láimhseáil sonraí RH: in 2022, bhí fíneálacha ar cuideachta ar 400 000 € do fhaireachán ró-dhubh ar fhostaithe i gcúrsa tele-oibre trí bhogearraí spréachta scáileán. In 2023, bhí fíneálacha ar 200 000 € ar chuideachta ar slándáil i bhfaoi bhailí ar sonraí biméadrach gan bhunálaigh bhailí RGPD. Solas na cinneadh seo ar fhaireachán fhás an rialú ar an shaitheoirí seo.

Scéalta úsáide: RGPD RH i ndóchas

Scéal 1 — Triú an imréiteach (ETI) ar 450 fostaithe ar a leith a ghinealach nó mar a éigeantach

Bhí cuideachta imréiteach méid, ag fostú tuairim 450 daoine ar thrí áit, ag glacadh gach bliain níos mó ná 3 000 iarratais spréachta agus ag freastal ar tuairim 60 oifig oibre. Stóráilte ar bhogéarphoibhthe agus ar chógais chuardaigh a chuaigh ó dhéanamh do bhogchóichéadh ar bhealach neamh-theorantach i mbosca r-phoist rointe idir sé úinéara seirbhísí. Níorbh fhoghlaid fhaisnéis ar an gcinneadh sonraí don iarrthóir a thabhairt.

I ndiaidh a scrúdú RGPD, bhí na gníomhaíochtaí a leanas a scáileoir i gceartacht measartha:

• Bogadh go dtí an ATS (Córas Áit Iarratais) arna dhíon le RGPD, le purga uathríoláin doiciméid tar éis 24 mhí gan ghníomhaíochta

• Breachtas faisnéise RGPD a chur le gach fhoirm iarratais ar líne

• Síniú leictreonach ar an litreacha briseachta agus conartha saothair trí dhán comhlíonadh eIDAS, ag laghdú ar dhéanamh ar ais ar chonarthaí sínithe ó 8 lá ar an meán go níos lú ná 48 uaire an chloig

• Nuashonrú ar ghealadh ar ghníomhaíochtaí an láimhseála le 12 bhreachtas ar láimhseála RH nua

Toradh: gan iarraidh CNIL a fháil in 18 mí ina dhiaidh sin; athghnóthú tuillte ar 1,2 ETP ar bhainistiú riaracháin earcaíochta a bhí mar thoradh ar dhéanmheáite.

Scéal 2 — Grúpa dáileacháin ar 1 200 fostaithe ar a leith a thug smacht ar a pholasaí fianaise-bhreacadáin

Bhí an spréachta ar spréachta bhaileachta ábhar áileanna déanta ar 34 pointe díola ar bhealach neamh-leathuaithe. Coimeádta ar 45 lá ar roinnt áiteanna ar leith, gan fhaisnéis ar thaispeáin do na fostaithe. Bhí go leor scannán a chloí an faireachán ar na fhostaithe ar a agus go daingean.

I ndiaidh gearán fostaithe roimh an CNIL, bhí an cuideachta ar thosaigh ar a leith a chur i gcomhlíonadh:

• Laghdú ar an fhad ar coimeádta go 30 lá ar a fhad ar na taobh ar fad

• Athlonrú na gceamara chun an faireachán ar dheis ar na fhostaithe aonair a dhíchur

• Comhairliú agus toiliú an CSE ar a leith sula ndéantar gealadh nua a scáileoir

• Faisnéis dhréachtóirí ar na fostaithe trí chonarthaí saothair agus cairt inmheánach ar thaispeáin

Toradh: dún ar an ghearán CNIL gan phionóis; feabhas ar an ghealadh sóisialta ar mhéadú ar an staidéar sásamh bhliantúil ina dhiaidh sin (+11 pointe ar an earra « muinín i gcoinne an bhriséithe »).

Scéal 3 — Gabháil comhairliúcháin RH ar an taobh amuigh ar a leith a dhíonn