RGPD בניהול משאבים אנושיים: עיבוד נתונים של עובדים

תקנון הגנת הנתונים הכללי (RGPD) אינו חל רק על יחסים מסחריים בין חברה ללקוחותיה: הוא מסדיר גם, בצורה מדויקת מאוד, את עיבוד הנתונים האישיים של עובדים. גיוס כוח אדם, ניהול תשלומי משכורת, בקרת גישה, הערכת ביצועים, פיקוח בווידאו... כל שלב בחיי הסכם העבודה מייצר נתונים בעלי אופי אישי שהמעסיק חייב לעבד בעמידה קפדנית בחוק האירופי. עם קנסות שעלולים להגיע ל-20 מיליון יורו או 4% מהחזקת ההכנסות השנתית בעולם, הנתח הוא משמעותי. מאמר זה מפרט את הבסיסים המשפטיים החלים, ההתחייבויות המעשיות של שירותי משאבים אנושיים, וההנהגות המעולות לאבטחת טיפולכם - כולל במהלך הדיגיטליזציה של מסמכי משאבים אנושיים.

היסודות המשפטיים של עיבוד נתוני משאבים אנושיים

הבסיסים המשפטיים המקובלים בחוק העבודה

ה-RGPD מונה שישה בסיסים משפטיים המאפשרים עיבוד של נתונים אישיים (סעיף 6). בהקשר של משאבים אנושיים, שלוש מהן משמשות כמעט באופן שיטתי:

• ביצוע הסכם העבודה (סעיף 6.1.b): מהווה הבסיס הראשי לניהול תשלומי משכורת, ניקוב זמן עבודה, מסירת דף השכר או ניהול חופשות.

• חובה משפטית (סעיף 6.1.c): מצדיקה טיפולים הנדרשים על ידי קוד העבודה או החקיקה החברתית, כמו הצהרה מוקדמת להעסקה (DPAE), הצהרה נומינלית חברתית (DSN) או ניהול רישום הצוות היחיד.

• עניין לגיטימי (סעיף 6.1.f): יכול להצדיק טיפולים מסוימים בנושא אבטחה ממוחשבת או מניעת הונאה פנימית, בכפוף לכך שהאינטרס זה לא יוחלף על ידי זכויות יסוד של עובדים.

⚠️ בסיס הסכמה הוא לטפל בזהירות רבה בהקשר שכר עבודה. ה-CNIL מזכיר בקביעות שחוסר האיזון שלא יהיה לכל היחסים המעסיקים-עובדים הופך את הסכמה לעתים רחוקות "חופשית" במובן סעיף 7 של RGPD. הסתמכות על הסכמה לטיפולים שעלולים להישען על בסיס משפטי אחר חושפת את המעסיק לסיכון של הסדרה מחדש.

קטגוריות מיוחדות של נתונים: משטר מחוזק

מסוימים נתונים שנאספים על ידי משאבים אנושיים נופלים תחת משטר "נתונים רגישים" שצוין בסעיף 9 של RGPD, שעיבודם הוא בעיקרו אסור למעט חריגים:

• נתוני בריאות: הפסקות חולים, אי התאמות שהוכרזו על ידי רפואת עבודה, התאמות תפקידים לנכות.

• נתונים איגודיים: שייכות לאיגוד עובדים, מנדטים ייצוגיים.

• נתונים ביומטריים: בקרת גישה על ידי טביעת אצבע או זיהוי פנים.

• נתונים הקשורים לעברות: בדיקת רישומי פלילים, המורשים רק בסקטורים מוסדרים (ביטחון, ילדות וכו').

עבור קטגוריות אלה, המעסיק חייב לזהות חריג מפורש (סעיף 9.2), לבצע ניתוח השפעה על הגנת הנתונים (AIPD) ברוב המקרים, ולעתים קרובות להתייעץ עם CNIL לפני פריסה.

ההתחייבויות המעשיות של שירותי משאבים אנושיים

רישום פעילויות העיבוד

כל הגוף המעסיק יותר מ-250 עובדים חייב לתחזוקה רישום פעילויות עיבוד (סעיף 30 של RGPD). מתחת לסף זה, ההתחייבות נמשכת ברגע שהטיפולים אינם עת או נתונים בנוגע לנתונים רגישים - זה כמעט תמיד המקרה בניהול משאבים אנושיים. רישום זה חייב לתעד:

• מטרתו של כל טיפול (למשל: "ניהול דפי שכר")

• קטגוריות הנתונים הרלוונטיים

• הנמענים (צדדים שלישיים, קבלנים משנה, רשויות)

• תקופות השמירה

• אמצעי הבטיחות שהוטמעו

ה-CNIL מציע טבלת רישום ניתנת להורדה בחופשיות. שמירה קפדנית שלה מהווה קו ההגנה הראשון במקרה של בדיקה.

תקופות השמירה: נקודה המעלה הנשכחת לעתים קרובות

סעיף 5.1.e של RGPD מטיל את העיקרון של הגבלת השמירה: נתונים אינם צריכים להישמר מעבר לתקופה הדרושה לשם שהם נאספו בשבילה. בניהול משאבים אנושיים, תקופות ההתייחסות המשפטיות הן כדלקמן:

| סוג נתונים | תקופת השמירה המומלצת | |---|---| | דף שכר | 5 שנים (התיישנות אזרחית) | | הסכם עבודה | 5 שנים לאחר שבר של הסכם | | נתוני גיוס (מועמד לא נבחר) | מקסימום 2 שנים לאחר יצירת קשר אחרון | | קובץ משמעתי | משך משתנה בהתאם לסנקציה (מקס. 3 שנים להתראה) | | נתוני פיקוח בווידאו | חודש אחד בדרך כלל | | DSN ורישום הצוות | 5 שנים לאחר עזיבת העובד |

תקופות אלה חייבות להיות רשומות ברישום וביצוע בהליכים של ניקוי או שמירה ארכיונית קבועה.

מידע העובדים: התחייבות שהוערכה לעתים קרובות בחסר

סעיף 13 של RGPD מטיל הודעת מידע מלאה לאנשים הנוגעים בדבר בעת אסיפת נתוניהם. בניהול משאבים אנושיים, הודעה זו צריכה באופן אידיאלי להיות מסורה:

• מכתב המועמדות: עבור נתונים שנאספו במהלך תהליך הגיוס.

• בעת העסקה: משולב בחוזה העבודה או מסור בנספח עם חתימת החוזה.

• במהלך יחסי החוזה: בכל טיפול חדש המיושם (למשל: פריסה של כלי נקודה ביומטרי).

הדיגיטליזציה של תהליך ההסכמה, בעיקר דרך חתימה אלקטרונית לניהול משאבים אנושיים, משקדדת את ניתוח הידע של מידע זה: תאריך הקריאה והחתימה של ההודעה מוטבע בזמן אמת באופן משכנע, המהווה אלמנט הוכחה יקר ערך במקרה של סכסוך.

אבטחת נתוני משאבים אנושיים: אמצעים טכניים וארגוניים

הצפנה, בקרת גישה וחלוקה

סעיף 32 של RGPD דורש יישום של אמצעי בטיחות המתאימים לסיכון. עבור נתוני משאבים אנושיים, שהם בטבעם רגישים ומכוונים בעת פריצות, ההנהגות הטובות המינימליות כוללות:

• הצפנת נתונים במנוחה ובנסיעה: קבצי תשלומי משכורת, חוזים וקבצים אישיים חייבים להיות מאוחסנים מוצפנים (AES-256 לפחות) ומועברים דרך פרוטוקולים מאובטחים (TLS 1.3).

• ניהול זכויות גישה בהתבסס על תפקידים (RBAC): רק מנהלי משאבים אנושיים מורשים ניגשים לנתוני משכורת; מנהל הצוות ניגש רק לנתונים הדרושים לניהול.

• רישום של גישות: כל הצגה או שינוי של קובץ עובד חייבים להיות עקובים עם מזהה המשתמש, התאריך והזמן.

• פסיודונימיזציה לטיפולים אנליטיים (לוחות מחוונים של משאבים אנושיים, חקירות התחייבות).

ניהול קבלני משנה בניהול משאבים אנושיים

שירותי משאבים אנושיים פונים לעצמאים רבים: עורכי SIRH, ספקי תשלומי משכורת חיצוניים, פלטפורמות הדרכה, כלים לגיוס מקוון. כל אחד מהצדדים השלישיים הללו חייב להיות אובייקט של חוזה שירות משנה עמית לסעיף 28 של RGPD, מפרט בעיקר:

• הטבע והמטרה של הטיפולים שהועברו לקבלן משנה

• החובות של קבלן המשנה בנושא בטיחות וסודיות

• האיסור על העברת קבלן משנה לקבלן משנה ללא הרשאה מוקדמת

• אופני השיבה או ההשמדה של נתונים בסיום החוזה

בעת בחירת ספק, כדאי גם לוודא אם השרתים שלו ממוקמים בתחום הכלכלי האירופי (EEE) או אם קיים מנגנון העברה הולם (סעיפים חוזיים רגילים, החלטת הולמות) להעברות מחוץ ל-EEE.

הדיגיטליזציה של מסמכי משאבים אנושיים וההתאמה של RGPD

הדיגיטליזציה ההולכת וגוברת של תהליכים בניהול משאבים אנושיים - חוזי עבודה אלקטרוניים, דפי שכר דיגיטליים, תיקונים חתומים מרחוק - מעלה סוגיות RGPD ספציפיות. אם חתימה אלקטרונית תואמת eIDAS מביאה בטוחים של שלמות וזהות ודאות, המעסיק חייב להבטיח שהפלטפורמה בשימוש:

• אינה אוספת נתונים עודפים במהלך תהליך החתימה (עיקרון מינימום, סעיף 5.1.c)

• משמרת הוכחות חתימה (עקבות ביקורת) בתנאים מאובטחים ותקופה מתאימה

• מאפשרת את מימוש זכויות החתמים (גישה, תיקון, מחיקה בגבולות חוקיים)

כדי ללמוד עוד על התאמת כלים של חתימה, המדריך השלם של חתימה אלקטרונית של Certyneo מפרט את הקריטריונים הטכניים והחוקיים שיש לאמת לפני כל פריסה.

זכויות העובדים וביצוע אפקטיבי שלהם

סקירת כללית של זכויות המובטחות על ידי RGPD

עובדים נהנים מכל הזכויות שנקבעו בסעיפים 15 עד 22 של RGPD. בהקשר של משאבים אנושיים, הזכויות המתורגמות בתכיפות ביותר הן:

• זכות הגישה (סעיף 15): העובד יכול לבקש עותק מכל הנתונים שלו בשימוש המעסיק, כולל החלפות דוא"ל מקצועיות בתנאים מסוימים.

• זכות תיקון (סעיף 16): תיקון של נתונים לא מדויקים (שגיאה ב-RIB, תואר רע רשום וכו').

• זכות מחיקה (סעיף 17): מוגבל בניהול משאבים אנושיים על ידי חובות משפטיות שמירה, אך ישים לנתוני גיוס של מועמד לא נבחר.

• זכות התנגדות (סעיף 21): יכול להתרגל כנגד טיפול המבוסס על אינטרס לגיטימי, כמו טיפולים מעקב מסוימים.

• זכות ניידות (סעיף 20): חל על נתונים שסופקו על ידי העובד עצמו במסגרת ביצוע החוזה.

הזמן הגבול ההליכים הפנימיים

המעסיק יש חודש אחד כדי להגיב לכל בקשה להעצמת זכויות, תקופה המיוסדת לשלושה חודשים במקרה של מורכבות או כמות גבוהה של בקשות (סעיף 12.3). כדי לארגן טיפול יעיל זה, מומלץ:

• ייעוד של נקודת יצירת קשר יחידה (DPO או הפניה RGPD) לקבלת בקשות

• הטמעה של טופס ייעודי זמין לעובדים

• תיעוד כל בקשה והתגובה שלה ברישום של בקשות תרגול זכויות

• הדרכה של מנהלי משאבים אנושיים לזיהוי בקשה משתמעת (עובד שדורש "את קובץ הגיבוי הרפואי שלו" מתרגל למעשה את זכות הגישה שלו)

תפקידו של DPO בתאגיד

ה-RGPD מטיל ייעוד של Delegated to Data Protection (DPO) בשלוש מקרים (סעיף 37): סוכנות ציבורית, טיפול ברוחב גדול בנתונים רגישים, או פיקוח שיטתי ברוחב גדול. תאגידים רבים שהטיפול שלהם בניהול משאבים אנושיים משמעותי נופלים בתוך התחייבות זו. ה-DPO יכול להיות פנימי או חיצוני; עליו להיות בעל עצמאות פונקציונלית ויהיה משויך לכל החלטות המשפיעות על הגנת הנתונים, כולל פריסה של כלים חדשים של משאבים אנושיים דיגיטליים. תפקידו הוא ייעוצי ולא החלטוני: האחריות הסופית נשארת זו של אחראי הטיפול, כלומר המעסיק.

מסגרת חוקית החל על עיבוד נתוני משאבים אנושיים

ה-RGPD: טקסט מיסדי

הכללים (UE) 2016/679 של הפרלמנט האירופי והמועצה מ-27 באפריל 2016 (RGPD) מהווה את היסוד הרגולטורי של עיבוד נתונים אישיים באירופה. החל ישירות בכל המדינות החברות מאת 25 במאי 2018, זה מוטל על כל מעסיק מעבד נתונים של עובדים הגרים בתוך האיחוד האירופי, קביעותה של הלאומיות של התאגיד. הסעיפים הראשיים החלים בהקשר של משאבים אנושיים הם:

• ערוץ 5: עקרונות יסודיים (חוקיות, בתמימות, שקיפות, מינימום, דיוק, הגבלת השמירה, שלמות וסודיות, אחריות)

• ערוץ 6: בסיסים משפטיים לטיפול

• ערוץ 9: משטר של נתונים רגישים

• ערוצים 12 עד 22: זכויות האנשים הנוגעים בדבר

• ערוצים 24 עד 32: חובות של אחראי טיפול וקבלן משנה

• ערוצים 33-34: הודעה של הפרות נתונים (72 שעות לקופ"ח, ומידע לאנשים אם סיכון גבוה)

• ערוץ 35: ניתוח השפעה (AIPD) חובה לטיפולים בסיכון גבוה

• ערוץ 83: סנקציות מינהליות (עד ל-20 מ"ש או 4% מחזקת הכנסות בעולם)

חוק המידע והזכויות המשונה

בחוק צרפתי, חוק מ-6 בינואר 1978 על מידע, קבצים וזכויות, השונה על ידי חוק מ-20 ביוני 2018 וההזמנה מ-12 בדצמבר 2018, משלים ה-RGPD בפתיחת שוליים לתמרונים לאומיים ("סעיפי פתיחה"). בין החשובים ביותר בניהול משאבים אנושיים: היכולת לעבד נתונים איגודיים במסגרת ניהול גופי ייצוגיים של צוות (סעיף 9 של החוק), או אם כן הכללים ספציפיים לטיפול בנתוני בריאות בעבודה.

קוד העבודה והשיפוט החברתי

קוד העבודה מטיל התחייבויות מידע וייעוץ מוקדם של ועדת חברתית וכלכלית (CSE) לפני כל פריסה של מכשיר פיקוח או בדיקה של עובדים (סעיף L. 2312-38). היעדר ייעוץ חשף את המעסיק להערכת חוסר סוגיות של הוכחות שנתקבלו וכן סנקציות פליליות.

השיפוט של בית המשפט העליון מזכיר בקביעות שכלים בדיקה (גיאולוקציה, דלתיים סיס, תוכנות ניקוב פעילות) חייבות להיות עקביות לפי היעד המרוודה וחוקים לא להיות מוטים לכל מטרות אחרות מאילו הוכרזו לעובדים וה-CNIL.

חתימה אלקטרונית של מסמכי משאבים אנושיים: eIDAS וקוד אזרחי

בעת דיגיטליזציה של חוזי עבודה, תיקונים או מסמכים משמעתיים, המעסיק חייב לציית ל-כללים (UE) מ-910/2014 eIDAS, המגדיר שלוש רמות של חתימה אלקטרונית. עבור מסמכים כמו חוזה עבודה CDI או מסמך שבירה קונוונציונלית, חתימה אלקטרונית מתקדמת (או שהוקצתה) מומלצת כדי להבטיח את זהות החתום ואת שלמות המסמך. קוד אזרחי בסעיפים 1366 ו-1367 משדר את ערך הראיות של כתיבה אלקטרונית וחתימה אלקטרונית, בכפוף לזיהוי אמין של החתום והבטחון שלמות.

סנקציות שהוטלו על ידי CNIL בטיפול בנתוני משאבים אנושיים

ה-CNIL הטיל סנקציות משמעותיות בטיפול בנתוני משאבים אנושיים: ב-2022, חברה הוטלה על 400,000 יורו קנס לפיקוח עודף של עובדים בעבודה מרחוק דרך תוכנות לכידת מסך. ב-2023, חברת ביטחון נענשה קנס של 200,000 יורו לאסיפה יתרה של נתונים ביומטריים ללא בסיס משפטי תקף. החלטות אלה מדגימות את הבחינה הגוברת של המשנה בתחום זה.

תרחישים של שימוש: RGPD משאבים אנושיים בפועל

תרחיש 1 - ETI תעשייתית של 450 עובדים עם התאמה של תהליך גיוס שלה

חברה תעשייתית בגודל ביניים, המעסיקה כ-450 משקיפים על שלוש אתרים, קיבלה מדי שנה יותר מ-3,000 בקשות עצמאיות וענתה לעשיריים של הצעות עבודה. קבצי עיתוני העט וספרי הזהויות הושמרו ללא הגבלת משך ללא יצור בתוך תא דואר משותף בין שישה אחראי שירות. הודעת מידע לא הוצעה למועמדים בנוגע להשימוש בנתוניהם.

בעקבות ביקורת RGPD, הפעולות הבאות הוטמעו בשישה חודשים:

• נדידה לכיוון ATS (מערכת מעקב של מועמדות) מוצהרת כממלאת RGPD, עם ניקוי אוטומטי של קבצים לאחר 24 חודשים של אי-פעילות

• תוספת של הודעת מידע RGPD בכל טופס בקשה מקוון

• חתימה אלקטרונית של מכתבי שכ"א וחוזים עבודה דרך פלטפורמה עמית eIDAS, הפחתת פרק הזמן של החזרת חוזים חתומים מ-8 ימים בממוצע לפחות מ-48 שעות

• עדכון של רישום פעילויות עיבוד עם 12 טבליות טיפול משאבים אנושיים חדשות

תוצאה: שום בקשת CNIL לא נקבלה ב-18 חודשים לאחר מכן; קנייה משוערת של 1.2 ETP על ניהול משמעתי של גיוס בגלל הדיגיטליזציה.

תרחיש 2 - קבוצת חלוקה של 1,200 עובדים מגנה על עדכון פיקוח בווידאו שלה

קבוצה בנקודת ביולי בהפצה של מזון העסקה הוטמעה מערכת פיקוח