GDPR ב-HR: עיבוד נתוני עובדים
צוות Certyneo
כותב — Certyneo · אודות Certyneo
מבוא
מאז כניסתה לתוקף של תקנת הגנת המידע הכללית (GDPR) ב-25 במאי 2018, מחלקות משאבי אנוש עמדו בחזית הציות. פונקציות משאבי אנוש מעבדות מידע אישי רגיש על בסיס יומי: קורות חיים, תלושי שכר, נתוני בריאות, הערכות, פרטי בנק. הנהלה לקויה חושפת את החברה לסנקציות של עד 20 מיליון יורו או 4% מהמחזור העולמי (סעיף 83 ל-GDPR). מאמר זה מציג את החובות העיקריות ושיטות העבודה המומלצות לאבטחת עיבוד נתוני העובדים לאורך מחזור משאבי אנוש.
העקרונות הבסיסיים החלים על נתוני משאבי אנוש
ה-GDPR כופה שישה עקרונות קרדינליים שנקבעו בסעיף 5: חוקיות, נאמנות, שקיפות, הגבלת מטרות, מזעור, דיוק, הגבלת שמירה ויושרה/סודיות. בפועל, המשמעות היא שמחלקת משאבי אנוש יכולה לאסוף רק את הנתונים הנחוצים למטרה מסוימת. לדוגמה, לבקש את מספר תעודת זהות בעת הגשת הבקשה היא לא מידתית: היא מוצדקת רק לאחר שכירה ל-DSN.
ה-CNIL, באמצעות הדיון שלו מס. 2019-160 הנוגע לניהול כוח אדם, מפרט את תקופות השמירה המומלצות: שנתיים לבקשות שלא הצליחו (אלא אם הסכמה), 5 שנים לאחר היציאה לתיק המנהלי, 6 שנים לתלושי השכר בגרסת המעסיק.
בסיס משפטי ומידע לעובדים
בניגוד לאמונה הרווחת, הסכמה היא רק לעתים נדירות הבסיס המשפטי המתאים ב-HR, בשל יחסי כפיפות. הבסיסים הרלוונטיים הם דווקא ביצוע חוזה העבודה (סעיף 6.1.ב), החובה המשפטית (סעיף 6.1.ג) או האינטרס הלגיטימי (סעיף 6.1.ו). עבור נתונים רגישים (בריאות, איגוד), סעיף 9 דורש בסיס ספציפי כמו החובה מבחינת דיני העבודה.
המעסיק חייב לספק מידע ברור באמצעות הודעת GDPR שניתנה עם העסקה, לעדכן את מרשם העיבודים (סעיף 30) ולהתייעץ עם ה-CSE לפני כל עיבוד חדש המשפיע על עובדים (סעיף L.2312-38 של קוד העבודה).
אבטחה וזכויות עובדים
אבטחה טכנית וארגונית (סעיף 32) מחייבת: הצפנת HRIS, בקרת גישה לפי פרופיל, מעקב אחר התייעצויות, סעיפי סודיות מול קבלני משנה של שכר או גיוס (סעיף 28). במקרה של הפרה, הודעה ל-CNIL תוך 72 שעות.
לעובדים יש זכויות מחוזקות: גישה, תיקון, מחיקה (מוגבל על ידי חובות שמירה חוקיות), ניידות, התנגדות. נוהל פנימי חייב לאפשר מענה תוך חודש לכל היותר. סירוב הגישה לתיק המשמעתי חייב להיות מוצדק מבחינה משפטית.
דוגמאות מעשיות
דוגמה 1 – גיוס:SME שמר את קורות החיים של כל המועמדים בתיקייה משותפת במשך 5 שנים. לא תואם: משך זמן מופרז, חוסר אבטחה. פתרון: טיהור אוטומטי לאחר שנתיים, גישה מוגבלת למגייסים, אזכור GDPR בהצעת העבודה.
דוגמה 2 – מעקב וידאו:מחסן לוגיסטי מצלם באופן רציף תחנות עבודה. סנקציה אפשרית (ה-CNIL אישר את אמזון צרפת לוגיסטיקה בסך 32 מיליון אירו ב-2024). פתרון: הגבלה לאזורים רגישים, מידע אישי, התייעצות עם ה-CSE, תקופת שמירה של חודש לכל היותר.
דוגמה 3 – כלים משותפים:הפריסה של Microsoft 365 דורשת ניתוח השפעה (AIPD) אם פונקציות ניטור מופעלות, כמו גם סעיף קבלנות משנה תואם עם המפרסם.
ציות וסנקציות
בנוסף לקנסות CNIL, המעסיק חשוף לתביעות של בית דין תעשייתי בגין פגיעה בפרטיות (סעיף 9 לחוק האזרחי, סעיף L.1121-1 לחוק העבודה). ייעודו של DPO הוא חובה עבור גופים המעבדים נתונים בקנה מידה גדול. מיפוי שנתי של עיבוד משאבי אנוש, יחד עם הכשרת מנהלים, מהווה את ההגנה המשפטית והתפעולית הטובה ביותר.
מסקנה
ציות ל-GDPR ב-HR אינו פרויקט חד פעמי אלא תהליך מתמשך של שיפור. בין חובות משפטיות, זכויות עובדים וביצועים תפעוליים, מנהלי משאבי אנוש חייבים לנהל בקפדנות את ממשל הנתונים. השקעה ב-HRIS תואם, הכשרת צוותים ותיעוד כל עיבוד הופכים את המגבלות הרגולטוריות למנוף של אמון העובדים.
נסו Certyneo בחינם
שלחו את מעטפת החתימה הראשונה שלכם בפחות מ-5 דקות. 5 מעטפות חינם בחודש, ללא כרטיס אשראי.
העמקת הנושא
מאמרי עיון בנושא זה.
העמקת הנושא
המדריכים המלאים שלנו לשליטה בחתימה אלקטרונית.
המשיכו לקרוא על Sécurité
העמיקו את הידע שלכם עם מאמרים אלה הקשורים לנושא.