RGPD u HR-u: Obrada podataka zaposlenika

Opća uredba o zaštiti podataka (RGPD) ne primjenjuje se samo na poslovne odnose između poduzeća i svojih kupaca: vrlo precizno uređuje i obradu osobnih podataka zaposlenika. Zapošljavanje, upravljanje plaćama, kontrola pristupa, vrednovanje performansi, video nadzor… svaka faza životnog ciklusa ugovora o radu генерира podatke osobne prirode koje poslodavac mora obraditi u strogom sukladu s europskim pravom. S kaznama koje mogu dosegnuti 20 milijuna eura ili 4% godišnjeg svjetskog prometa, problem je ozbiljan. Ovaj članak detaljno objašnjava primjenjive pravne osnove, praktične obveze HR službi i najbolje prakse za osiguranje vaših obrada — uključujući digitalizaciju HR dokumenata.

Pravni temelji obrade podataka u HR-u

Pravne osnove dopuštene u radnom pravu

RGPD navodi šest pravnih osnova za obradu osobnih podataka (članak 6). U kontekstu HR-a, tri se od njih koriste gotovo sustematski:

• Izvršenje ugovora o radu (čl. 6.1.b): predstavlja glavnu osnovu za upravljanje plaćama, nadzor radnog vremena, dostavu plaća ili upravljanje godinama dopusta.

• Pravna obveza (čl. 6.1.c): opravdava obrade koje nalaže Zakon o radu ili zakonodavstvo o socijalnom osiguranju, kao što je prijava prije zapošljavanja (DPAE), nominalna deklaracija za društvene poreze (DSN) ili vođenje registra jedinstvenog osoblja.

• Legalan interes (čl. 6.1.f): može biti osnova za određene obrade vezane uz računalnu sigurnost ili prevenciju unutarnje prijevare, pod uvjetom da taj interes ne prevlada temeljna prava zaposlenika.

⚠️ Osnova pristanka zahtijeva krajnju opreznost u kontekstu zaposlenstva. CNIL redovito podsjeća da je neravnoteža svojstvena odnosu poslodavac-zaposlenik čini pristanak rijetko „slobodnim" prema članku 7 RGPD-a. Oslanjanje na pristanak za obrade koje bi mogle biti zasnovane na drugoj pravnoj osnovi izlaže poslodavca riziku od preoblikovanja.

Posebne kategorije podataka: ojačan režim

Određeni podaci koje prikupljaju HR odjeli spadaju u režim „osjetljivih podataka" navedenih u članku 9 RGPD-a, čija je obrada u načelu zabranjena osim iznimki:

• Podaci o zdravlju: bolovanja, nepriklađenosti utvrđene medicinom rada, prilagodbe radnog mjesta za hendikep.

• Sindikalni podaci: članstvo u sindikatima, predstavničke uloge.

• Biometrijski podaci: kontrola pristupa otiscima prstiju ili prepoznavanjem lica.

• Podaci vezani uz prekršaje: provjera kaznenih evidencija, dopuštena samo u reguliranim sektorima (sigurnost, djeca, itd.).

Za te kategorije, poslodavac mora identificirati eksplicitnu iznimku (čl. 9.2), provesti analizu utjecaja na zaštitu podataka (AIPD) u većini slučajeva i često konsultirati CNIL prije razvoja.

Praktične obveze HR službi

Registar aktivnosti obrade

Svaka organizacija sa više od 250 zaposlenika dužna je održavati registar aktivnosti obrade (čl. 30 RGPD-a). Ispod tog praga, obveza i dalje postoji čim obrade nisu povremene ili se tiču osjetljivih podataka — što je gotovo uvijek slučaj u HR-u. Registar mora dokumentirati:

• Svrhu svake obrade (npr.: „upravljanje plaćama")

• Kategorije podataka koji se tiču

• Primatelje (treće strane, podizvođače, vlasti)

• Rokovnike čuvanja

• Mjere sigurnosti koje su provedene

CNIL stavlja na raspolaganje besplatan šablon registra. Njezino rigorozno vođenje predstavlja prvu liniju obrane u slučaju provjere.

Rokovnici čuvanja: često zanemarena točka

Članak 5.1.e RGPDA nameće načelo ograničenja čuvanja: podaci se ne smiju čuvati duže od vremena potrebnog za svrhu za koju su prikupljeni. U HR-u, preporučeni zakonski rokovnici su sljedeći:

| Vrsta podatka | Preporučeni rokovjik čuvanja | |---|---| | Plaća | 5 godina (civilna zastarjenost) | | Ugovor o radu | 5 godina nakon prekida ugovora | | Podaci o zapošljavanju (kandidat koji nije izabran) | Maksimalno 2 godine nakon posljednjeg kontakta | | Disciplinski dosje | Različit rokovjik ovisno o sankciji (maks. 3 godine za upozorenje) | | Podaci video nadzora | 1 mjesec u načelu | | DSN i registar osoblja | 5 godina nakon izlaska zaposlenika |

Ti rokovnici moraju biti upisani u registar i primijenjeni kroz postupke brisanja ili definitivnog arhiviranja.

Informiranje zaposlenika: često nedovoljno cijenjeno objeziva

Članak 13 RGPD-a nalaže pružanje potpune obavijesti osobama o kojima se podaci prikupljaju u trenutku prikupljanja. U HR-u, ta obavijest bi idealno trebala biti dostavljana:

• Pri prijavi: za podatke prikupljene tijekom procesa zapošljavanja.

• Pri zapošljavanju: integrirana u ugovor o radu ili dostavljana kao prilog pri potpisivanju.

• Tijekom radnog odnosa: pri svakoj novoj obradi koja se provodi (npr.: uvođenje biometrijskog alata za praćenje).

Digitalizacija procesa uključivanja, posebno putem elektroničke signature za HR, olakšava praćenje ove obveze informiranja: vrijeme čitanja i potpisivanja obavijesti je vremenski označeno na način koji je dokaz, što predstavlja dragocjen element dokaza u slučaju spora.

Sigurnost HR podataka: tehnijske i organizacijske mjere

Šifriranje, kontrola pristupa i odjeljenje

Članak 32 RGPD-a zahtijeva provedbu mjera sigurnosti prilagođenih riziku. Za HR podatke, koji su po prirodi osjetljivi i ciljani tijekom upada, minimalne dobre prakse uključuju:

• Šifriranje podataka mirovanja i u prijenosu: datoteke plaća, ugovori i osobni dosjei trebaju biti pohranjeni šifrirani (AES-256 najmanje) i prenositi se zaštićenim protokolima (TLS 1.3).

• Upravljanje pristupom na osnovu uloga (RBAC): samo ovlašteni HR menadžeri pristupaju podacima o plaćama; rukovoditelj tima pristupa samo podacima potrebnim za upravljanje.

• Evidentiranje pristupa: svaki pregled ili promjena dosijea zaposlenika mora biti praćena s identifikatorom korisnika, datumom i vremenom.

• Pseudonimizacija za analitičke obrade (HR nadzorne ploče, studije naknada).

Upravljanje HR podizvođačima

HR službe koriste brojne podizvođače: izdavače SIRH-a, pružatelje externaliziranih plaća, platforme za obuku, alate za online zapošljavanje. Svaka od tih stranaka mora biti predmet ugovora o podizvodjenju sukladnog članku 28 RGPD-a, koji posebno navodi:

• Prirodu i svrhu obrada koje se podizvodjuju

• Obveze podizvođača u vezi sigurnosti i povjerljivosti

• Zabranu daljih podizvodjenja bez prethodne dopuštenja

• Modalitete vraćanja ili uništavanja podataka na kraju ugovora

Pri izboru pružatelja, trebalo bi provjeriti jesu li njegovi poslužitelji smješteni u Europskom gospodarskom području (EGP) ili je mehanizam prikladnog prijenosa (ugovorne klauzule, odluka o adekvatnosti) na mjestu za transfere izvan EGP-a.

Digitalizacija HR dokumenata i usklađenost s RGPD-om

Rastuća digitalizacija HR procesa — elektronički ugovori o radu, dematerijalizirane plaće, amandmani potpisani na daljinu — pokreće specifične probleme RGPD-a. Iako elektronička signatura sukladna eIDAS-u donosi neosporne garantije integriteta i autentičnosti, poslodavac mora osigurati da platforma koju koristi:

• Ne prikuplja nepotrebne podatke tijekom procesa potpisivanja (načelo minimizacije, čl. 5.1.c)

• Čuva dokaze o potpisima (audit trail) u sigurnim uvjetima i tijekom prikladnog roka

• Omogućava vršenje prava potpisnika (pristup, ispravka, brisanje u zakonskim granicama)

Za više informacija o usklađenosti alata za potpisivanje, kompletan vodič elektroničke signature Certyneoa detaljno opisuje tehnijske i pravne kriterije koji se trebaju provjeriti prije svakog razvoja.

Prava zaposlenika i njihova učinkovita vršenja

Pregled prava zajamčenih RGPD-om

Zaposlenici uživaju sveukupnost prava predviđenih članicama 15 do 22 RGPD-a. U kontekstu HR-a, najčešće vršena prava su:

• Pravo na pristup (čl. 15): zaposlenik može zatražiti kopiju svih podataka koji ga se tiču koje posjeduje poslodavac, uključujući razmjene e-pošte u nekim slučajevima.

• Pravo na ispravak (čl. 16): ispravka netačnih podataka (greška u IBAN-u, loše navedeno obrazovanje, itd.).

• Pravo na brisanje (čl. 17): ograničeno u HR-u zakonskim obvezama čuvanja, ali primjenjivo na podatke kandidata koji nije izabran.

• Pravo na prigovor (čl. 21): može se vršiti protiv obrade zasnovane na legitimnom interesu, kao što su određene obrade nadzora.

• Pravo na prenosivost podataka (čl. 20): primjenjivo na podatke koje je sam zaposlenik dao u okviru izvršenja ugovora.

Rok za odgovor i unutarnje procedure

Poslodavac ima jedan mjesec da odgovori na bilo koji zahtjev za vršenje prava, rok koji se može proširiti na tri mjeseca u slučaju složenosti ili visokog volumena zahtjeva (čl. 12.3). Za učinkovitu organizaciju te obrade, preporučuje se:

• Imenovanje jedinstvene kontaktne točke (DPO ili RGPD referent) za primanje zahtjeva

• Uvođenje namjenskog obrasca dostupnog zaposlenicima

• Dokumentiranje svakog zahtjeva i njegov odgovora u registru zahtjeva za vršenje prava

• Obuka HR menadžera da prepoznaju implicitnu zahtjev (zaposlenik koji traži „svoj osobni dosje" de facto vršiti svoje pravo pristupa)

Uloga DPO-a u poduzeću

RGPD nalaže imenovanje Djelatnika za zaštitu podataka (DPO) u tri slučaja (čl. 37): javna vlast, obrada velikih količina osjetljivih podataka ili sustavni nadzor velikih količina. Mnoga poduzeća čija je HR obrada značajna spadaju u tu obvezu. DPO može biti interno ili eksternopodan; mora imati funkcionalnu neovisnost i biti uključen u sve odluke koje utječu na zaštitu podataka, uključujući razvoj novih digitalnih HR alata. Njegova uloga je konzultativna, ne odlučujuća: konačna odgovornost ostaje ona poslodavca kao nositelja obrade.

Primjenjivi zakonski okvir za obradu HR podataka

RGPD: temeljni tekst

Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016 (RGPD) čini temeljni regulatorni okvir za obradu osobnih podataka u Europi. Izravno primjenjiva u svim državama članicama od 25. svibnja 2018., ona se nameće svakom poslodavcu koji obrađuje podatke zaposlenika koji borave u EU-u, neovisno o državi osnovnosti poduzeća. Главни primjenjivi članci u kontekstu HR-a su:

• Čl. 5: temeljni principi (zakonitost, poštenje, transparentnost, minimizacija, točnost, ograničenje čuvanja, integritet i povjerljivost, odgovornost)

• Čl. 6: pravne osnove obrade

• Čl. 9: režim osjetljivih podataka

• Čl. 12 do 22: prava osoba o kojima se podaci obvezu

• Čl. 24 do 32: obveze nositelja obrade i podizvođača

• Čl. 33-34: prijavljivanje kršenja podataka (72 sata CNIL-u i obavijest osoba ako je rizik visok)

• Čl. 35: analiza utjecaja (AIPD) obavezna za obrade visokog rizika

• Čl. 83: administrativne kazne (do 20 M€ ili 4% svjetskog prometa)

Zakon o informatici i slobodama promijenjen

U francuskom pravu, zakon br. 78-17 od 6. siječnja 1978 o informatici, datotekama i slobodama, promijenjen zakonom br. 2018-493 od 20. lipnja 2018 i uredbom br. 2018-1125 od 12. prosinca 2018, doplinjuje RGPD otvarajući nacionalne margine manevra („klauzule otvorenja"). Među najznačajnijima u HR-u: mogućnost obrade sindikalnih podataka u kontekstu upravljanja reprezentativnim institucijama osoblja (čl. 9 zakona) ili specifična pravila za obradu podataka o zdravlju na radu.

Zakon o radu i sudska praksa

Zakon o radu nalaže obveze obavijesti i prethodne konzultacije Socijalnog i gospodarskog odbora (CSE) prije razvoja bilo kojeg nadzornog ili kontrolnog sredstva zaposlenika (čl. L. 2312-38). Neuspostava konzultacije izlaže poslodavca neuporabljivosti dokaza prikupljenih i kaznenim sankcijama.

Praksa Vrhovnog suda redovito podsjeća da kontrolni alati (geolociranje, badž, softver za praćenje aktivnosti) moraju biti proporcionalni cilju koji se nastoji postići i ne mogu biti zloupotrijebljeni u druge svrhe od onih deklarirane zaposlenicima i CNIL-u.

Elektronička signatura HR dokumenata: eIDAS i Građanski zakonik

Tijekom digitalizacije ugovora o radu, amandmana ili disciplinskih dokumenata, poslodavac mora poštovati Uredbu (EU) br. 910/2014 eIDAS, koja definira tri razine elektroničke signature. Za dokumente od tako važnog značaja kao CDI ugovor o radu ili dokument o dogovorenom prekidu, preporučuje se napredna elektronička signatura (ili kvalificirana) kako bi se osigurala identitet potpisnika i integritet dokumenta. Građanski zakonik u članicama 1366 i 1367 potvrđuje evidentnu vrijednost elektroničkog zapisa i elektroničke signature, pod uvjetom sigurne identifikacije potpisnika i osiguranja integriteta.

Kazne koje je CNIL izrekla glede HR-a

CNIL je izrekla nekoliko značajnih kazni glede obrade HR podataka: 2022., jedno poduzeće je osuđeno na 400.000 € kazne za pretjeran nadzor zaposlenika u teleworku putem softvera za snimanje ekrana. 2023., sigurnosno poduzeće je dobilo kaznu od 200.000 € za pretjeran prikup biometrijskih podataka bez valjane pravne osnove. Te odluke ilustriraju rastući nadzor regulatora na tom području.

Scenariji primjene: RGPD HR u praksi

Scenarij 1 — Srednje veliko industrijsko poduzeće od 450 zaposlenika usklađuje svoj proces zapošljavanja

Industrijsko poduzeće srednje veličine, koje zapošljava oko 450 osoba na tri lokacije, primalo je godišnje više od 3.000 spontanih prijava i odgovaralo na oko šezdeset oglasa za posao. CV-ovi i pisma o namjeri bili su pohranjeni bez vremenskog ograničenja u dijeljenu e-poštansku kutiju između šest rukovoditelja službi. Nijedna obavijest nije dostavljena kandidatima o korištenju njihovih podataka.

Nakon RGPD revizije, sljedeće mjere su provedene u šest mjeseci:

• Migracija na ATS (Applicant Tracking System) certificiran kao sukladan RGPD-u, s automatskim brisanjem dosijea nakon 24 mjeseca neaktivnosti

• Dodavanje RGPD obavijesti u svakom online obrazacu za kandidature

• Elektronička signatura pisama o zapošljavanju i ugovora o radu putem platforme sukladne eIDAS-u, smanjujući vrijeme povratka potpisanih ugovora s prosjeka 8 dana na manje od 48 sati

• Ažuriranje registra aktivnosti obrade s 12 novih stranica obrade HR-a

Rezultat: nijedan zahtjev CNIL nije primljen u sljedećih 18 mjeseci; procijenjeni dobitak od 1,2 FTE na upravljanju administrativom zapošljavanja zahvaljujući digitalizaciji.

Scenarij 2 — DistributerskiGroup od 1.200 zaposlenika uređuje svoju politiku video nadzora

Grupa specijalizirana za distribuiranje hrane implementirala je sustav video nadzora koji pokriva 34 točke prodaje. Slike su čuvane 45 dana na nekim lokacijama, bez prikazane obavijesti zaposlenicima. Nekoliko senzora je pokrivalo blagajne na stalnoj osnovi, generirajući rizik od nerazmjernog nadzora.

Nakon žalbe zaposlenika CNIL-u, poduzeće je započelo usklađivanje koje uključuje:

• Smanjenje trajanja čuvanja na maksimalno 30 dana na svim lokacijama

• Premještanje kamera kako bi se isključio stalni nadzor pojedinačnih radnih mjesta

• Konzultacija i suglasnost centralnog CSE-a prije svakog novog razvoja

• Sustavna obavijest zaposlenika putem ugovora o radu i internog prečca prikazanog

Rezultat: zatvaranje žalbe CNIL-u bez kazne; poboljšanje socijalnog klime mjereno tijekom sljedećeg godišnjeg ankete (+11 bodova na stavci „povjerenje prema poslodavcu").

Scenarij 3 — HR consulting tvrtka s outsourcingom osigurava transfere podataka s klijentima

Specijalizirana tvrtka za externalizaciju plaća i upravljanja osobljima upravljala je dosijema zaposlenika za oko dvadeset malih i srednjih poduzeća, što predstavlja oko 1.800 plaća mjesečno. Datoteke plaća su prenošene nešifriranom e-poštom, bez formaliziranog ugovora o podizvodjenju prema članku 28 RGPD-a.

Tvrtka je započela s kompletan prepregledom svojih praksi:

• Potpisivanje Ugovora o obradi podataka (DPA) skladan s člankom 28 sa svakim klijentom, putem platforme za elektroničku signaturu naprednog nivoa koja omogućava praćenje

• Uvođenje sigurnog klijentskog portala (šifriranje TLS + dvostruka autentifikacija) za dostavu i preuzimanje datoteka plaća

• Pohrana podataka na poslužiteljima smještenim u Francuskoj, certificiranima HDS za podatke o zdravlju na radu

• Pisanje politike podizvodjenja koja uređuje korištenje trećih strana (izdavač softvera za plaće, arhivator)

Rezultat: 100% smanjenje prijenosa HR podataka nešifriranom e-poštom; dobivanje dva nova klijentska ugovora koja su učinila usklađenost s RGPD-om obvezatim kriterijima izbora u svojim pozivima za ponude.

Zaključak

RGPD u HR-u nije samo dodatna administrativna obveza: to je poluga povjerenja između poslodavca i his suradnika i faktor konkurentnosti na tržištu rada gdje je transparentnost sve više vrijedna. Registar obrada koji je ažuran, rokovnici čuvanja pod kontrolom, obavijesti zaposlenicima formalizirane, ojačana sigurnost osjetljivih podataka i podizvođači pod ugovorom: svaki od tih stupova pridonosi izgradnji HR politike koja je istovremeno legalna i odgovorna.

Digitalizacija HR dokumenata — ugovori, amandmani, plaće, obavijesti — nudi jedinstvenu mogućnost kombiniranja RGPD usklađenosti i operativne učinkovitosti, pod uvjetom da se oslonite na certificirane alate. Certyneo vas prati na tom putu sa rješenjem za elektroničku signaturu sukladnim eIDAS-u, dizajnirano za HR timove. Otkrijte naše cijene i pokrenite besplatan pokušaj na Certyneou kako biste osigurali HR dokumente već danas.