RGPD az emberi erőforrásokban: Az alkalmazottak adatainak kezelése

Az emberierőforrás-gazdálkodás naponta jelentős mennyiségű személyes adatot generál: munkaszerződések, fizetési bizonylatok, egészségügyi adatok, teljesítménymérések, bankszámlaszámok... Mivel a Személyes Adatok Védelméről szóló Általános Rendelet (RGPD) 2018 májusában hatályba lépett, az emberi erőforrások vezetése az organizációkon belüli megfelelőségi fellépések központi szereplőjévé vált. Azonban a CNIL 2024-es tevékenységi jelentése szerint az emberi erőforrások szektora továbbra is az ellenőrzések során legtöbbször felelősre vont három terület közül az egyik. Ez a cikk végigvezetik Önt az alapvető kötelezettségeken, jó gyakorlatokon és rendelkezésre álló eszközökön az alkalmazottak adatainak teljes megfelelőséggel való kezelésére.

Milyen személyes adatokat kezelnek az emberi erőforrások?

Az adatkezelés gyakori kategóriái

Az emberi erőforrások szakosztályai nagyon széles körű személyes adatokkal foglalkoznak. Kétféle nagy csoportot különböztethetünk meg:

Rendes adatok, amelyeket a munkaszerződés keretében gyűjtenek: név, vezetéknév, cím, szociális biztosítási szám, bankhsámla azonosító, önéletrajz, diplomák, szakmai előzmények, éves értékelések, munkaidő, jelenlét és távolmaradási adatok.

Érzékeny adatok, amelyeket a RGPD 9. cikke alapján megerősített korlátozások alá tartoznak: egészségügyi adatok (betegszabadság, munkabaleset-nyilatkozatok, orvosi korlátozások), szakszervezeti adatok (szakszervezeti tagság, képviseleti mandátumok), bizonyos toborzási kontextusban bűnügyi ítéletekre vonatkozó adatok.

Ez utóbbiak csak a rendelet által kifejezetten előírt kivételek szerint kezelhetők – mint például a munkajoggal kapcsolatos jogi kötelezettségek teljesítése vagy az érintett személy kifejezett hozzájárulása.

A toborzás különleges esete

A toborzási fázis specifikus kezeléseket generál, amelyek gyakran nem megfelelőek. Az önéletrajz, motivációs levél és teszteredmények gyűjtése pontos megőrzési időtartamokat igényel: a CNIL ajánlásai szerint az el nem fogadott jelöltek adatait az utolsó kapcsolatfelvétel után két éven belül törölni vagy anonimizálni kell. Az önéletrajzok korlátlan ideig történő megőrzése egy nem biztonságos megosztott könyvtárban jellegzetes jogsértésnek minősül.

Az ATS-ben (Applicant Tracking Systems) történő követési eszközök vagy viselkedési elemzési algoritmusok alkalmazása kifejezett említést igényel az érintetteknek továbbított adatvédelmi irányelvekben, a RGPD 13. és 14. cikkével összhangban.

A kezelés jogi alapjai HR-kontextusban

A helyes jogi alap azonosítása

A RGPD előírja, hogy minden személyes adatkezelés a 6. cikk által meghatározott hat jogi alap egyikén alapuljon. HR-kontextusban három alap használható elsősorban:

• A munkaszerződés teljesítése (6. cikk 1. b pont): a fizetésgazdálkodás, szabadság vagy képzés kezeléséhez szükséges adatok kezelésének indokolása.

• Jogi kötelezettség (6. cikk 1. c pont): a kötelező szociális nyilatkozatokra (DSN), személyzeti nyilvántartásokra vagy munkabaleset-nyomon követésre vonatkozik.

• Jogos érdek (6. cikk 1. f pont): olyan kezelésekre hivatkozható, mint a hozzáférési igazolványok kezelése vagy videofigyelemmel, szigorú kiegyenlítési teszt függvényében.

A hozzájárulás (6. cikk 1. a pont) ezzel szemben gyenge jogi alap HR-kontextusban: a CNIL és az Európai Adatvédelmi Bizottság (EDPB) megjegyzik, hogy a munkaadó és a munkavállaló közötti szerkezeti egyensúlyhiány megnehezíti az ingyenes hozzájárulás bizonyítását. Csak végső megoldásként szabad alkalmazni.

A kezelési nyilvántartás, kötelező feladat

Minden szervezet, amely legalább 250 személyt foglalkoztat – vagy kisebb léptékben érzékeny adatokat kezel – kötelezően vezetnie kell egy kezelési tevékenységek nyilvántartását (RGPD 30. cikk). HR-ben ez a nyilvántartás dokumentálnia kell az egyes kezelésekre vonatkozóan: a célok, az adatok kategóriáit, a címzetteket, a megőrzési időtartamokat és az alkalmazott biztonsági intézkedéseket.

Ez a dokumentum, amelyet a CNIL rendelkezésére kell bocsátani ellenőrzés esetén, értékes irányítási eszköz is. Egy HR-hoz dedikált elektronikus aláírási megoldással kombinálva lehetővé teszi az HR-dokumentum életciklusának minden lépésének nyomon követését és időbélyegzését, ezáltal az folyamatok ellenőrizhetőségét javítva.

Az alkalmazottak jogai és a munkaadó kötelezettségei

Az alkalmazottak tájékoztatása: közvetlen kötelezettség

A RGPD 13. cikk előírja az érintett személyeket tájékoztatni az adatok gyűjtésének időpontjában. A gyakorlatban az emberi erőforrások egy RGPD-tájékoztatót kell, hogy legyenek az alkalmazottaknak – ideális esetben a munkaszerződés aláírása során – amely részletezi: a felelős adatkezelő személyét, a célokat és jogi alapokat, a megőrzés időtartamát, az elérhető jogokat és a DPO (adatvédelmi képviselő) kapcsolatait, ha az onderneming rendelkezik ilyen pozícióval.

Ennek az információcseréynek a digitalizálása és biztosítása elengedhetetlen. Az elektronikus aláírás vállalati használata a nyilvántartási értesítés szolgáltatásához garantálja az időbélyegzett és vitathatatlan kézhezvétel bizonyítékát, amely összhangban van az eIDAS-rendelet követelményeivel.

Az alkalmazottak szükségképpen betartandó jogai

Az alkalmazottaknak kiterjesztett jogaik vannak adataikkal kapcsolatban:

• Hozzáférési jog (15. cikk): minden alkalmazott kérhet másolatot az összes, az adatkezelő által feldolgozott, rá vonatkozó adatról.

• Helyesbítési jog (16. cikk): egy pontatlan adatot kell helyesbíteni (pl.: postacím, bankhsámla szám).

• Törléshez való jog (17. cikk): bizonyos esetekben, nevezetesen a szerződés lejárta után és a megőrzési időtartam lejárata után.

• Tiltakozási jog (21. cikk): az alkalmazott tiltakozhat egy jogos érdeken alapuló kezelés ellen.

• Korlátozási jog (18. cikk): egy vitatott kezelés időleges befagyasztása.

A munkaadónak egy hónapja van bármely jog-gyakorlás kérésre válaszolni, amely három hónapig meghosszabbítható összetettség esetén (RGPD 12. cikk).

Az emberi erőforrások adatainak biztonsága és a szállítók kezelése

Technikai és szervezeti intézkedések

A RGPD 32. cikke a kockázathoz „megfelelő" biztonsági intézkedések megvalósítását írja elő. Az emberi erőforrások adatai számára az ajánlott gyakorlatok a következőket tartalmazzák:

• Titkosítás az érzékeny adatokat tartalmazó fájlok (fizetési bizonylatok, orvosi aktik).

• Hozzáférés-szabályozás: a legkisebb jogosultság elvét – egy fizetésgazdálkodási kezelő nem fér hozzá fegyelmi adatokhoz.

• Naplózás a HR-rendszerekhez való hozzáférésről (SIRH, fizetésgazdálkodási eszközök).

• Sértés-reagálási terv: adatsértés esetén a munkaadónak 72 órája van értesíteni a CNIL-t (33. cikk), és potenciálisan az érintett személyeket, ha a kockázat magas (34. cikk).

Egy teljes audit az elektronikus aláírás útmutatóval segítheti az emberi erőforrások csapatait a továbbra is papírmediumon tartózkodó nem biztonságos kezelések azonosításában és az ezek megfelelő digitalizálásában.

Az emberi erőforrások szállítóinak szabályozása DPA-val

Az emberi erőforrások szolgáltatások számos szállítóra támaszkodnak: fizetésgazdálkodási szoftverek, képzési platformok, munkaidő-kezelési eszközök. Minden személyes adatokhoz hozzáférő szállítónak egy adatkezelési szerződésre (Data Processing Agreement — DPA) szükséges, a RGPD 28. cikkének megfelelően. Ez a szerződés a kezelési utasításokat, biztonsági garanciákat, az adatok visszaszolgáltatásának vagy megsemmisítésének módozatait és a sértés során felmerülő kötelezettségeket kell, hogy meghatározza.

Az infrastruktúrákat az Európai Unióban üzemeltető vagy a Bizottság által jóváhagyott standard szerződési záradékokkal (CCT) szabályozott szállítók kiválasztása marad alapvető követelmény az EU-n kívüli jogtalan továbbítás elkerüléséhez.

Megőrzési időtartamok: strukturáló tét

A munkavállaló-dossziéra vonatkozó jogi időtartamok

Az emberi erőforrások adatainak megőrzési időtartama a szövegek sokaságának alá tartozik: a RGPD (megőrzési korlátok elve, 5. cikk 1. e pont), a munka törvénykönyve, és különféle adó és szociális rendelkezések. A gyakorlatban a betartandó főbb határidőket a következőképpen határozhat meg:

| Dokumentumtípus | Minimális megőrzési időtartam | |---|---| | Fizetési bizonylat | 5 év (szociális elévülési időtartam) | | Munkaszerződés | 5 év a szerződés lejárta után | | Fizetésgazdálkodási adatok (DSN) | 3 év (URSSAF-ellenőrzés) | | Személyzeti nyilvántartás | 5 év az alkalmazott távozása után | | Fegyelmi adatok | A mérték arányos időtartama | | Orvosi dosszi (munkaegészségtan) | 50 év (konkrét szabályozás) |

Az archivizálási és automatizált törlési politika megvalósítása a SIRH-ben, az elektronikus aláírás-munkamenetekkel összekapcsolva, amelyek a dokumentumok létrehozását időbélyegzik, napjainkban a CNIL felé való megfelelőség bizonyításához szükséges legjobb gyakorlat.

Az elkerülendő csapdák

A CNIL-ellenőrzések során az emberi erőforrások adatkezelésében megfigyelhetett legtöbb hibák a következőek: el nem fogadott jelöltek önéletrajzainak korlátlan megőrzése, az elhagyott alkalmazottak számítógépes hozzáférésének megőrzése, a fizetésgazdálkodási fájlok titkosítás nélküli exportálása, és az azonosítási adatok jogszabályi időtartamon felüli törlésének elmaradása. Ezeknek a pontoknak a biztosítására az elektronikus aláírási megoldások összehasonlítása azon eszközöket határozhat meg, amelyek helyileg integrálnak a bizonyítékul szolgáló archivizálás és a dokumentum-életciklus-kezelés funkcióit.

Az emberi erőforrások adatkezelésére vonatkozó jogi keret

Az alkalmazottak személyes adatainak kezelése sűrű normativ keretbe illeszkedik, amely a szabályozás több szintjét kapcsolja össze.

A Rendelet (EU) 2016/679 — RGPD az alapkövet képezi. Annak 5–11. cikkei az alapelveket határoznak meg (jogszerűség, lojalitás, átláthatóság, célok korlátozása, adatok minimalizálása, pontosság, megőrzés-korlátozás, sértetlenség és bizalmasság). A 9. cikk az adatok különleges kategóriáira vonatkozó szigorú feltételeket írja elő, ideértve az egészségügyi és szakszervezeti adatokat, amelyek különösen gyakoriak az emberi erőforrások terén. A 83. cikk 20 millió eurónak vagy a világméretű bevétel 4%-ának megfelelő bírságokat írhat elő súlyos jogsértés esetén.

Az Informatika és Szabadság Törvénye módosított változata (1978. január 6-i 78-17. szám törvény), konsolidált verzióban, a RGPD-t a francia jogra alkalmaztatja. A CNIL-nek az ellenőrzési és szankcionálási hatalmait biztosítja, és különösen szektoriális felmentéseket tartalmaz az orvosi munka egészségügyi adataira vonatkozóan.

A Munka Törvénykönyve az alkalmazottak nyomon követésével kapcsolatos kezeléseket (L. 1121-1 cikk a magánélet tiszteletére), a személyzeti képviselők konzultációjáról szóló digitális eszközöket (L. 2312-38 cikk), és a kötelező nyilvántartásokat szabályozza.

Az eIDAS-rendelet (910/2014 szám), az eIDAS 2.0-val (EU 2024/1183 rendelet) kiegészítve, az emberi erőforrások dokumentumaira alkalmazott elektronikus aláírások jogi értékét szabályozza. A kvalifikált elektronikus aláírás (QES), amely az eIDAS I. mellékletének és az ETSI EN 319 132 és ETSI EN 319 122 normáknak megfelel, a francia Polgári Törvénykönyv 1367. cikkének értelmében a kézírásos aláíráshoz való egyenlőségi vélelmet biztosít.

A Polgári Törvénykönyv 1366. cikke úgy rendelkezik, hogy az „elektronikus írás ugyanolyan bizonyító erővel rendelkezik, mint a papírmediumon történő írás, feltéve, hogy az azt tartalmazó személy megfelelően azonosítható és hogy az olyan körülmények között létesül és kerül megőrzésre, amely annak sértetlenségét garantálja." Ez a rendelkezés közvetlenül alkalmazandó a munkaszerződésekre, módosításokra, bizalmasság-megállapodásokra és más dematerializált emberi erőforrások dokumentumokra.

A NIS2 direktíva (EU 2022/2555), amely az 2025. február 26-i franciás törvénnyel dátumára transponálva, az alapvető és fontos entitásokra (nevezetesen a nagy ipari vállalkozásokra és digitális szolgáltatás-szállítókra) nőtt követelményeket ír elő az információbiztonsághoz kapcsolódó kockázat-kezelésben, amelybe az emberi erőforrások érzékeny adatainak védelme is tartozik.

A CNIL által kiszabott szankciók erősen nőttek: 2024-ben a bírságok összeértéke meghaladja a 100 millió eurót, több döntés közvetlenül az alkalmazott adatkezelésben felmerülő jogsértésekre vonatkozik. A megőrzési időtartamok nem-betartása, a DPA hiánya az emberi erőforrások szállítóival, és a biztonsági intézkedések elégtelensége a leggyakoribb vádak között vannak.

Használati forgatókönyvek: RGPD-megfelelőség az emberi erőforrásokban a gyakorlatban

Forgatókönyv 1 — Egy 450 fős közép-nagyvállalat az onboarding-folyamatokat digitalizálja

Egy Franciaország három helyszínén működő közép-nagyvállalat munkaszerződéseit és módosításait papírmediumon kezelte. Az újonnan belépetteknek a dossziéja a fizetésgazdálkodási szakcsoport felé való átadásra átlagosan 12 munkanapot várt, amely az esetek körülbelül 8%-ában fizetésgazdálkodási hibákat generált. Ezenkívül formálisan nem nyújtottak RGPD-tájékoztatót az újonnan belépetteknek: az információ csak a munkaközi szabályzat alján szerepelt, amely nem volt külön aláírva.

Egy elektronikus aláírási megoldás SIRH-be történő bevezetése után, amely párhuzamosan egy RGPD-tájékoztatóval ellátott az alkalmazott és a DRH közaláírásával, az esetben az onboarding dokumentáris késedelmét 2 munkanapra csökkentette (83%-os csökkentés). A hiányzó adatokkal kapcsolatos fizetésgazdálkodási hibák 1% alá csökkentek. Minden aláírt dokumentum minősített időbélyegzéssel archivizálva van, amely a CNIL-ellenőrzés vagy munkaügyi peres eljárás esetén felhasználható bizonyítékot nyújt.

Forgatókönyv 2 — Egy 1200 fős elosztó csoport a megőrzési politika megfelelőségét veszi össze

Egy speciális elosztásban működő csoport CNIL-ellenőrzésben részesült egy elhagyott alkalmazott panasza után. Az inspekció feltárta, hogy több mint 8 évvel ezelőtt távozottuk alkalmazottainak fizetésgazdálkodási adatait tartalmazó Excel-fájlok még mindig nem titkosított, megosztott szerveren voltak elérhetők. Formális figyelmeztetést adtak ki, amellyel egyidejűleg 3 hónapon belüli megfelelőség-intézkedésekre szóló parancsot adtak.

A csoport ezt követően teljes emberi erőforrások-auditot végzett, 23 kezelési tevékenységet térképezett fel, és egy SIRH által kiváltott automatizált törlési tervet valósított meg. Az elektronikusan aláírt dokumentumokat egy digitális széfhez migrálták az úgy konfigurált visszatartási időtartamokkal, amely megfelel a jogi kötelezettségeknek. A DPO egy teljes emberi erőforrások-kezelési nyilvántartást készített, amely egy 18 hónappal későbbi CNIL-ellenőrzés során prezentálva egyáltalán nem közvetített semmit. Az megfelelőségi költségét kevesebbre becsülték, mint egy potenciális bírság 60%-a.

Forgatókönyv 3 — Egy 35 fős HR-tanácsadó iroda saját tanácsadóinak és ügyfelei adatait biztosítja

Egy emberi erőforrások-szakosztályban szakosodott iroda saját tanácsadóinak és ügyfeleinek a munkavállalóit és pályázóit tartalmazó adatokat kezel (értékelési vagy áthelyezési kimeneti küldetéseken). Ezáltal kettős helyzetbe kerül: saját emberi erőforrásaiért a felelős adatkezelő, valamint harmadik fél adataiért az aléktraitant (vagy közfelelős).

Az iroda egy differenciált dokumentum-architektúrát valósított meg: egyszerű elektronikus aláírások az általános belső cseréhez, fejlett aláírások az ügyfelekkel történő küldetési szerződésekhez, és szisztematikus DPA-megállapodások az ügyféllevél részeként. Az összes tanácsadó frissített RGPD-chartát kapott, elektronikusan aláírva és egy dedikált nyilvántartásban megőrzve. Ez az elrendezés az irodának lehetővé tette, hogy a megfelelőséget olyan nagyügyfeleknek megjeleníthesse, akik szigorú szállítói auditok alatt működnek, csökkentve az átlagos szerződéskötési időt 7-ről 2 hétre.

Konklúzió

A RGPD mély változást követel az emberi erőforrások vezetésétől: az alapok szigorú azonosítása, az alkalmazottak hatékony tájékoztatása, jogok kezelése, szállítók szerződési szabályozása, adatbiztonság és a megőrzési időtartamok betartása. Ezek a kötelezettségek nem csupán adminisztratív formalitások – az alternatívája azt jelenti, hogy a vállalat képes-e elkerülni több millió eurós bírságokat és megtartani csapata bizalmát.

Az emberi erőforrások folyamatok digitalizálása az eIDAS-kompatibilis elektronikus aláírási megoldások révén az operatív hatékonyság és a szabályozási megfelelőség összeegyeztetésének egyik leghatékonyabb módja. A Certyneo az emberi erőforrások csapatait ezzel az átmenettel támogatja, a munkaszerződés aláírásától az alkalmazott-dossziék biztonságos archivizálásáig.

Fedezze fel, hogy a Certyneo hogyan biztosíthatja az emberi erőforrások folyamatait az emberi erőforrások csapatak számára dedikált ajánlatunk tanulmányozásával vagy az ingyenes kezdéssel a megoldás teszteléséhez jóváhagyás nélkül.