GDPR u HR: Obrada podataka zaposlenika

Uvod

Od stupanja na snagu Opće uredbe o zaštiti podataka (GDPR) 25. svibnja 2018., HR odjeli su na prvoj liniji usklađenosti. Funkcije ljudskih resursa svakodnevno obrađuju osjetljive osobne podatke: životopise, platne liste, zdravstvene podatke, procjene, bankovne podatke. Loše upravljanje izlaže tvrtku sankcijama do 20 milijuna eura ili 4% globalnog prometa (članak 83. GDPR-a). Ovaj članak predstavlja ključne obveze i najbolje prakse za osiguranje obrade podataka o zaposlenicima tijekom cijelog ciklusa ljudskih resursa.

Temeljna načela primjenjiva na HR podatke

GDPR nameće šest glavnih načela kodificiranih u članku 5: zakonitost, lojalnost, transparentnost, ograničenje svrhe, minimiziranje, točnost, ograničenje zadržavanja i integritet/povjerljivost. U praksi to znači da HR odjel može prikupljati samo podatke koji su nužno potrebni za određenu svrhu. Na primjer, traženje broja socijalnog osiguranja prilikom prijave je neproporcionalno: opravdano je samo nakon zapošljavanja za DSN.

CNIL je svojom odlukom br. 2019-160 koji se odnosi na upravljanje osobljem, navodi preporučena razdoblja čuvanja: 2 godine za neuspješne prijave (osim u slučaju pristanka), 5 godina nakon odlaska u administrativni spis, 6 godina za platne liste u verziji poslodavca.

Pravna osnova i informacije za zaposlenike

Suprotno uvriježenom mišljenju, pristanak je rijetko odgovarajuća pravna osnova u HR-u, zbog odnosa podređenosti. Relevantne osnove su prije izvršenje ugovora o radu (članak 6.1.b), zakonska obveza (članak 6.1.c) ili legitimni interes (članak 6.1.f). Za osjetljive podatke (zdravstvo, sindikat) članak 9. zahtijeva posebnu osnovu kao što je obveza u smislu radnog prava.

Poslodavac mora pružiti jasne informacije putem obavijesti o GDPR-u koja se daje pri zapošljavanju, ažurirati registar obrade (članak 30) i konzultirati CSE prije bilo kakve nove obrade koja utječe na zaposlenike (članak L.2312-38 Zakona o radu).

Sigurnost i prava zaposlenika

Tehnička i organizacijska sigurnost (članak 32.) zahtijeva: enkripciju HRIS-a, kontrolu pristupa po profilu, sljedivost konzultacija, klauzule o povjerljivosti kod obračuna plaća ili zapošljavanja podizvođača (članak 28.). U slučaju kršenja, obavijest CNIL-u u roku od 72 sata.

Zaposlenici imaju pojačana prava: pristup, ispravak, brisanje (ograničeno zakonskim obvezama zadržavanja), prenosivost, protivljenje. Interna procedura mora omogućiti odgovor u roku od najviše mjesec dana. Odbijanje uvida u disciplinski spis mora biti zakonski obrazloženo.

Praktični primjeri

Primjer 1 – Zapošljavanje:Malo i srednje poduzeće čuva životopise svih kandidata u zajedničkoj mapi 5 godina. Nesukladno: predugo trajanje, nedostatak sigurnosti. Rješenje: automatizirano čišćenje nakon 2 godine, ograničen pristup regruterima, spominjanje GDPR-a u ponudi posla.

Primjer 2 – Videonadzor:Logističko skladište kontinuirano snima radne stanice. Moguća sankcija (CNIL je kaznio Amazon France Logistique u iznosu od 32 milijuna eura 2024.). Rješenje: ograničenje na osjetljiva područja, individualne informacije, savjetovanje s CSE-om, razdoblje zadržavanja od najviše mjesec dana.

Primjer 3 – Alati za suradnju:Implementacija Microsoft 365 zahtijeva analizu utjecaja (AIPD) ako su funkcije nadzora aktivirane, kao i usklađenu klauzulu o podugovaranju s izdavačem.

Pridržavanje propisa i sankcije

Osim kazni CNIL-a, poslodavac je izložen radnjama industrijskog suda zbog narušavanja privatnosti (članak 9. Građanskog zakonika, članak L.1121-1 Zakona o radu). Imenovanje DPO-a obvezno je za subjekte koji obrađuju podatke u velikom opsegu. Godišnje mapiranje obrade ljudskih resursa, zajedno s obukom menadžera, predstavlja najbolju pravnu i operativnu zaštitu.

Zaključak

Usklađenost s GDPR-om u HR-u nije jednokratni projekt već kontinuirani proces poboljšanja. Između zakonskih obveza, prava zaposlenika i operativnog učinka, menadžeri ljudskih resursa moraju rigorozno upravljati upravljanjem podacima. Ulaganje u usklađeni HRIS, obučavanje timova i dokumentiranje svake obrade pretvara regulatorna ograničenja u polugu povjerenja zaposlenika.