RGPD u RH: Obrada Podataka Zaposlenih

Upravljanje ljudskim resursima stvara svakodnevno golemu količinu osobnih podataka: ugovore o radu, plaćne listine, podatke o zdravlju, procjene performansi, bankarske podatke… Od početka primjene Općeg uredbe o zaštiti podataka (RGPD) u svibnju 2018. godine, službe za ljudske resurse postale su ključni čimbenici u sukladnosti s propisima unutar organizacija. Međutim, prema izvještaju o djelovanju 2024. HZPO-a, sektor ljudskih resursa ostaje jedno od tri područja koja se najčešće pokreće tijekom kontrola. Ovaj članak vas vodi kroz ključne obveze, najbolje prakse i dostupne alate za obradu podataka vaših zaposlenih u potpunoj sukladnosti s propisima.

Koje osobne podatke obrađuju RH?

Često korištene kategorije podataka

Službe za ljudske resurse rade s vrlo širokiom spektrom osobnih podataka. Razlikuje se dvije velike obitelji:

Obični podatki, prikupljeni u okviru ugovora o radu: ime, prezime, adresa, broj socijalnog osiguranja, IBAN, CV, diplome, profesionalna povijest, godišnje procjene, radno vrijeme, podaci o dolascima i bolovanja.

Osjetljivi podatci, podvrgnuti pojačanim ograničenjima prema članku 9 RGPD-a: zdravstveni podaci (bolovanja, prijave profesionalnih nezgoda, medicinska ograničenja), sindikalni podaci (pripadnost sindikatu, reprezentativni mandati), podaci o kaznenim osudama u određenim kontekstima zapošljavanja.

Ovi se podaci mogu obraditi samo pod uvjetom eksplicitne iznimke predviđene propisom — kao što je izvršavanje zakonskih obveza iz radnog prava ili eksplicitna suglasnost osobe na koju se odnose podaci.

Poseban slučaj zapošljavanja

Faza zapošljavanja proizvodi specifične obrade, često loše regulirane. Prikupljanje CV-a, motivacijskih pisama i rezultata testova podrazumijeva točne rokove čuvanja: prema preporukama HZPO-a, podaci kandidata koji nisu odabrani moraju biti izbrisani ili anonomizirani maksimalno dva godine nakon posljednjeg kontakta. Neograničeno čuvanje CV-a u nekontroliranom zajedničkom direktoriju predstavlja očitu povredu.

Korištenje alata za praćenje u ATS-ima (Applicant Tracking Systems) ili algoritama analize ponašanja mora biti eksplicitno spomenuto u politici privatnosti koja se dostavi kandidatima, u skladu s člancima 13 i 14 RGPD-a.

Pravne osnove obrade u RH kontekstu

Identificiranje ispravne pravne osnove

RGPD zahtijeva da svaka obrada osobnih podataka bude utemeljena na jednoj od šest pravnih osnova definiranih u članku 6. U RH kontekstu, tri osnove se primarno koriste:

• Izvršavanje ugovora o radu (čl. 6.1.b): opravdava obradu podataka potrebnih za upravljanje platama, godinama godišnjeg odmora ili obukama.

• Zakonska obveza (čl. 6.1.c): primjenjuje se na obavezne društvene prijave (DSN), registre zaposlenih ili praćenje nezgoda na radu.

• Legitimni interes (čl. 6.1.f): može se pozvati za obrade kao što su upravljanje pristupnim značkama ili video nadzor, pod uvjetom stroge analize balansiranja.

Suglasnost (čl. 6.1.a) je pak krhka pravna osnova u radnom kontekstu: HZPO i Europski odbor za zaštitu podataka (EDZO) podsjećaju da strukturna neravnoteža između poslodavca i zaposlenika otežava dokaz slobodne suglasnosti. Trebala bi biti korištena samo kao zadnja opcija.

Registar obrada, neizostovna obveza

Svaka organizacija koja zapošljava najmanje 250 osoba — ili koja obrađuje osjetljive podatke u manjoj mjeri — mora voditi registar aktivnosti obrade (čl. 30 RGPD-a). U RH, ovaj registar mora dokumentirati, za svaku obradu: svrhu, kategorije podataka, primatelje, rokove čuvanja i primijenjene sigurnosne mjere.

Ovaj dokument, stavljen na raspolaganje HZPO-u u slučaju kontrole, je također dragocen alat upravljanja. U kombinaciji s rješenjem elektronskog potpisa namijenjenim RH-u, omogućuje praćenje i vremensko označavanje svake faze životnog ciklusa RH dokumenta, čime se pojačava revizibilnost procesa.

Prava zaposlenih i obveze poslodavca

Obavijest zaposlenicima: neposredna obveza

Članak 13 RGPD-a zahtijeva obavijest osoba na koje se odnose podaci u trenutku prikupljanja. U praksi, RH mora zaposlenjima — idealno tijekom potpisivanja ugovora o radu — dostaviti RGPD obavijest koja detaljno objašnjava: identitet odgovornog za obradu, svrhe i pravne osnove, rok čuvanja, dostupna prava i kontakte Povjerenika za zaštitu podataka (DPO) ako organizacija ima.

Digitalizacija i osiguranje ovog razmjene je od vitalnog značaja. Korištenje elektronskog potpisa u podjetću za dostavljanje ove obavijesti jamči vremenski označeni i neosporan dokaz dostave, usklađen s zahtjevima uredbe eIDAS.

Prava zaposlenih koja se moraju strogo poštovati

Suradnici imaju proširena prava u pogledu svojih podataka:

• Pravo pristupa (čl. 15): svaki zaposlenik može zatražiti kopiju svih podataka o njemu/njoj koje obrađuje poslodavac.

• Pravo na ispravljanje (čl. 16): ispravka netočnog podatka (npr.: poštanska adresa, IBAN).

• Pravo na izbrisivanje (čl. 17): primjenjivo u određenim slučajevima, posebno nakon završetka ugovora i isteka zakonskih rokova čuvanja.

• Pravo na prigovor (čl. 21): zaposlenik može prigovoriti obradi utemeljjenoj na legitimnom interesu.

• Pravo na ograničenje (čl. 18): privremeno zaustaviti sporno liječenje.

Poslodavac ima rok od mjesec dana za odgovor na bilo koju zahtjev za ostvarivanjem prava, proširiv na tri mjeseca u slučaju složenosti (čl. 12 RGPD-a).

Sigurnost RH podataka i upravljanje poddogovorima

Tehnička i organizacijska mjera

Članak 32 RGPD-a zahtijeva primjenu sigurnosnih mjera "odgovarajućih riziku". Za RH podatke, najbolje prakse obuhvaćaju:

• Šifriranje datoteka koje sadrže osjetljive podatke (plaćne listine, medicijske dosijee).

• Kontrola pristupa: princip najmanje povlastice — rukovoditelj plaća ne pristupa disciplinskim podacima.

• Registriranje pristupa RH sustavima (SIRH, alati za plaće).

• Plan odgovora na povrede: u slučaju curenja podataka, poslodavac ima 72 sata da obavijesti HZPO (čl. 33), i potencijalno osobe na koje se odnose podaci ako je rizik visok (čl. 34).

Cjelovita revizija kroz vodič elektronskog potpisa može pomoći RH timovima identificirati nesigurane obrade koje perzistiraju u papirnom formatu i digitalizirati ih u skladu s propisima.

Uređivanje RH pružatelja usluga putem DPA

RH službe se oslanjaju na brojne poddobavljače: softvere za plaće, platforme obuke, alate upravljanja vremenom. Svaki pružatelj usluge s pristupom osobnim podacima mora biti predmet sporazuma o obradi podataka (Data Processing Agreement — DPA), u skladu s člankom 28 RGPD-a. Ovaj ugovor mora specificirati upute za obradu, sigurnosne jamstva, načine vraćanja ili brisanja podataka te obveze u slučaju povrede.

Odabir pružatelja usluge koji hostiraju infrastrukturu u Europskoj uniji, ili koji su regulirani standardnim ugovornim klauzulama (CCT) odobrenim od Komisije, ostaje osnovna zahtjev kako bi se izbjegao bilo kakav nezakonit prijenos izvan EU.

Rokovi čuvanja: strukturirajući izazov

Zakonski rokovi primjenjivi na zaposleničku mapu

Rok čuvanja RH podataka je reguliran nagomilavanjem tekstova: RGPD-om (princip ograničenja čuvanja, čl. 5.1.e), Zakonom o radu i raznim fiskalnim i socijalnim odredbama. U praksi, glavne rokove koje treba poštovati su:

| Vrsta dokumenta | Minimalni rok čuvanja | |---|---| | Plaćna lista | 5 godina (socijalna preskripcia) | | Ugovor o radu | 5 godina nakon završetka ugovora | | Podaci plaće (DSN) | 3 godine (kontrola URSSAF) | | Registar zaposlenih | 5 godina nakon odlaska zaposlenika | | Disciplinski podaci | Proporcijalno mjeri | | Medicinski dosije (medicinska služba) | 50 godina (posebna regulacija) |

Primjena politike arhiviranja i automatiziranih čišćenja u SIRH-u, kombinirana s tokovima elektronskog potpisa koji vremenski označavaju stvaranje dokumenata, predstavlja danas najbolju praksu za dokazivanje sukladnosti HZPO-u.

Zamke izbjegavanja

Najčešće greške promatrane tijekom HZPO kontrola vezano uz RH podatke su: neograničeno čuvanje CV-a nekupljenih kandidata, održavanje informatičkog pristupa bivšim zaposlenicima, nedostatak šifriranja izvezenih datoteka plaće i neizbrisivanje podataka o badganju nakon zakonskih rokova. Za osiguranje ovih točaka, konzultacija usporedbe rješenja elektronskog potpisa pomaže identificirati alate koji nativno integriraju funkcije pouzdanog arhiviranja i upravljanja životnim ciklusa dokumenata.

Primjenjivi pravni okvir za obradu RH podataka

Obrada osobnih podataka suradnika upisuje se u gust normativni okvir koji artikulira nekoliko razina regulacije.

Uredba (EU) 2016/679 — RGPD čini temeljni kamen. Njeni članci 5 do 11 definiraju temeljne principe (zakonitost, poštenje, transparentnost, ograničenje svrhe, minimizacija podataka, točnost, ograničenje čuvanja, integritet i povjerljivost). Članak 9 postavlja stroge uvjete primjenjive na posebne kategorije podataka, uključujući zdravstvene i sindikalne podatke, posebno česte u RH. Članak 83 predviđa kazne koje mogu dosegnuti 20 milijuna eura ili 4 % svjetskog godišnjeg prometa u slučaju ozbiljne povrede.

Zakon o informatici i slobodam izmijenjen (zakon br. 78-17 od 6. siječnja 1978.), u njegovoj konsolidiranoj verziji, prilagođava RGPD francuskom pravu. Daje HZPO-u ovlasti nadzora i sankcija te predviđa posebno izuzetke po sektoru za zdravstvene podatke u medicini rada.

Zakon o radu regulira obrade vezane uz nadzor zaposlenika (čl. L. 1121-1 o poštovanju privatnosti), na savjetovanje predstavnika zaposlenih o digitalnim alatima (čl. L. 2312-38) i obaveznim registrima.

Uredba eIDAS (br. 910/2014), dopunjena s eIDAS 2.0 (Uredba EU 2024/1183), upravlja pravnom vrijednosti elektronskih potpisa postavljenih na RH dokumente. Kvalificirani elektronski potpis (SEQ), sukladan Prilogu I eIDAS-a i normama ETSI EN 319 132 i ETSI EN 319 122, nudi pretpostavku ekvivalencije rukom napisanom potpisu u smislu članka 1367 francuskog Građanskog zakona.

Članak 1366 francuskog Građanskog zakona postavlja da je "elektronski dokument istu dokaznu vrijednost kao papirni dokument, pod uvjetom da se može pravilno identificirati osoba iz koje dolazi i da je uspostavljen i čuvan pod uvjetima koji jamče njegovu integrnost". Ova se odredba izravno primjenjuje na ugovore o zapošljavanju, dodatke, sporazume o povjerljivosti i druge dematijalizovane RH dokumente.

Direktiva NIS2 (EU 2022/2555), transponirana u francusko pravo zakonom od 26. veljače 2025., nameće bitnim i važnim subjektima (posebno velikim industrijskim tvrtkama i pružateljima digitalnih usluga) pojačane zahtjeve za upravljanje rizicima vezanim uz sigurnost informacija, uključujući zaštitu osjetljivih RH podataka.

Kazne koje izriče HZPO su u velikom porastu: u 2024., ukupni iznos kazni premašuje 100 milijuna eura, s nekoliko odluka koje direktno uključuju propuste u upravljanju zaposlenskim podacima. Nepoštivanje rokova čuvanja, odsustvo DPA s RH poddogovoracima i nedostatnost sigurnosnih mjera figuriraju među najčešće priznatim prigovorima.

Scenariji korištenja: RGPD sukladnost u RH u praksi

Scenarij 1 — ETI industrijske tvrtke od 450 zaposlenika digitalizira procese onboarding-a

Industrijskoj tvrki srednje veličine, raspoređenoj na tri lokacije u Francuskoj, upravlja ugovore o zapošljavanju i dodatke na papiru. Dosijei novih zaposlenih nisu bili proslijeđeni službi plaće do prosječno 12 radnih dana, što je generiralo greške u plaćama u oko 8 % slučajeva. Osim toga, nikakva RGPD obavijest nije bila formalno dostavljena novim zaposlenim: informacija je bila samo pri dnu Kodeksa rada, koji nije bio posebno potpisani.

Nakon primjene rješenja elektronskog potpisa integriranog u svoj SIRH, s istovremenom dostavom obavijesti RGPD-a koju su zajednički potpisali zaposlenik i direktor RH-a, tvrtka je smanjila rok digitalne onboarding dokumentacije na 2 radna dana (smanjenje od 83 %). Greške u plaćama vezane uz nedostatne podatke pale su na manje od 1 %. Svaki potpisani dokument je arhiviran s kvalificiranim vremenskim žigom, pružajući dokazivač suprotnog u slučaju HZPO kontrole ili radnog spora.

Scenarij 2 — Grupa distribucije sa 1 200 zaposlenika usklađuje politiku čuvanja

Grupa koja posluje u specijalizirane distribucije doživjela je HZPO kontrolu nakon primjedbe bivšeg zaposlenika. Inspekcija je otkrila da su datoteke Excel koje sadrže podatke plaće zaposlenika koji su otišli prije više od 8 godina i dalje dostupne na nešifriranom zajedničkom serveru. Upozorenje je formalno izrečeno, s naloženjem usklađivanja u roku od 3 mjeseca.

Grupa je tada poduzela cjelovitu reviziju svojih RH obrada, mapirala svojih 23 aktivnosti obrade i priložila automatiziran plan brisanja pokreće SIRH-om. Elektronski potpisani dokumenti prebačeni su u digitalnu sef s zadanim vremenima zadržavanja konfiguriranim prema zakonskim obvezama. DPO je pripremio cjelovit registar RH obrada, predstavljen tijekom druge HZPO kontrole 18 mjeseci kasnije, koja se zaključila bez daljnjih mjera. Trošak usklađivanja procijenjen je na manje od 60 % iznosa potencijalne kazne.

Scenarij 3 — RH savjetodavna tvrtka od 35 osoba osigurava podatke svojih konzultanata i klijentata

RH specijalizirana savjetodavna tvrtka upravlja podacima svojih konzultanata i kandidata te zaposlenika klijentskih tvrtki (u okviru zadataka ocjenjivanja ili prekvalifikacije). Stoga je u dvostrukom položaju: odgovorna za obradu za svoje RH i poddobavljač (ili suodgovorna) za podatke trećih strana.

Tvrtka je priložila diferencirane arhitekture dokumenata: jednostavne elektronske potpise za česti interni razmijenu, napredne potpise za pismene misije klijentima i ugovore o obradi podataka (DPA) sustavno integrirane u pismene misije. Svi su konzultanti dobili ažurirane RGPD povelje, elektronski potpisane i čuvane u namijenjenom registru. Ova organizacija omogućila je tvrtki da se prikaže sukladnu kao argument prodaje prema velikim klijentima koji se podvrgavaju strogim revizijama pružatelja usluge, skrativši prosječan period ugovaranja s 7 na 2 tjedna.

Zaključak

RGPD nameće direktorijima ljudskih resursa duboku transformaciju njihovih praksi: strogo identificiranje pravnih osnova, učinkovita obavijest suradnika, upravljanje pravima, ugovorni nadzor poddogovaranja, osiguranje podataka i poštivanje rokova čuvanja. Ove obveze nisu samo administrativne formalnosti — one sprječavaju sposobnost tvrtke da izbjegne kazne koje mogu dosegnuti nekoliko milijuna eura i da održi povjerenje svojih timova.

Digitalizacija RH procesa, putem rješenja elektronskog potpisa usklađenih s eIDAS-om, predstavlja jedan od najefikasnijih poluga za usklađivanje operativne učinkovitosti i regulatornog sukladnosti. Certyneo prati RH timove kroz ovu prijelaznu fazu, od potpisivanja ugovora o zapošljavanju do sigurnog arhiviranja zaposleničkih dosijea.

Otkrijte kako Certyneo može osigurati vaše RH procese konzultiranjem naše ponude namijenjene RH timovima ili započinjanjem besplatno da testirate rješenje bez obveze.