RGPD en RH : Munkavállaló-adatok feldolgozása

Az Általános Adatvédelmi Rendelet (RGPD) nem csupán a vállalat és ügyfelei közötti kereskedelmi kapcsolatokra vonatkozik: a munkavállaló személyes adatainak feldolgozását is nagyon pontosan szabályozza. Toborzás, bérkifizetés-kezelés, hozzáférés-ellenőrzés, teljesítménymérés, videomegfigyelés… a munkaszerződés életciklusa minden szakasza olyan személyes adatokat generál, amelyeket a munkáltatónak az európai jog szigorú betartásával kell feldolgoznia. A 20 millió euró vagy az éves világméretű forgalom 4%-a elérhető bírságokkal az érdekelt fél jelentős. Ez a cikk részletesen ismerteti az alkalmazható jogi alapokat, az RH-szolgáltatások gyakorlati kötelezettségeit és az ajánlott eljárásokat a feldolgozások biztosítására — beleértve az RH-dokumentumok digitalizálását is.

Az RH-adatok feldolgozásának jogi alapjai

A munkajoggal elfogadott jogi alapok

A RGPD hat jogi alapot sorol fel a személyes adatok feldolgozásához (6. cikk). Az RH-kontextusban közülük három szinte szisztematikusan mobilizálódik:

• A munkaszerződés végrehajtása (6. cikk 1. b) pont): ez az elsődleges alap a bérkifizetés kezeléséhez, munkaidő-nyomon követéshez, fizetési csekk átadásához vagy szabadság kezeléséhez.

• Jogi kötelezettség (6. cikk 1. c) pont): indokolja a munkaügyi törvénykönyv vagy szociális jogszabály által előírt feldolgozásokat, mint például a foglalkoztatás előzetes bejelentése (DPAE), a névjegyzékelt szociális nyilatkozat (DSN) vagy a személyzeti nyilvántartás fenntartása.

• Jogos érdek (6. cikk 1. f) pont): alapozhat bizonyos informatikai biztonsági vagy belső csalásmegelőzési feldolgozásokat, feltéve hogy ez a jogos érdek ne súlyozzék felül a munkavállalók alapvető jogai.

⚠️ A hozzájárulás alapja rendkívüli óvatossággal kezelendő munkahelyzetben. A CNIL rendszeresen emlékeztet arra, hogy a munkáltatóhoz fűződő kapcsolat lényegi egyensúlytalansága miatt a hozzájárulás ritkán „szabad" a RGPD 7. cikke értelmében. A hozzájáruláshoz való nyúlás olyan feldolgozásokhoz, amelyek más jogi alapon alapulhatnának, a munkáltatót újrakvalifikálás kockázatának teszi ki.

Az adatok különleges kategóriái: erősített szabályozás

Az RH által gyűjtött egyes adatok a RGPD 9. cikkében szereplő „érzékeny adatok" kategóriájába tartoznak, amelynek feldolgozása alapvetően tilos, kivéve az esetekben:

• Egészségügyi adatok: betegszabadság, az orvosi munka által megállapított alkalmatlanság, posztelhelyezés fogyatékosság miatt.

• Szindikalista adatok: szervezethez való tartozás, képviseleti megbízások.

• Biometrikus adatok: ujjlenyomat vagy arcfelismerés általi hozzáférés-ellenőrzés.

• Bűncselekmények adatai: büntetlen előélet-vizsgálat, csak szabályozott szektoroknál engedélyezett (biztonság, gyermekek, stb.).

Ezeken a kategóriákon belül a munkáltatónak explicit kivételt kell azonosítania (9. cikk 2. pont), az esetek többségében adatvédelmi hatásvizsgálatot (AIPD) kell végeznie, és gyakran a CNIL-hez kell fordulnia az üzembe helyezés előtt.

Az RH-szolgáltatások gyakorlati kötelezettségei

A feldolgozási tevékenységek nyilvántartása

Minden 250 feletti munkavállalóval rendelkező szervezet köteles fenntartani a feldolgozási tevékenységek nyilvántartását (RGPD 30. cikk). Az alatti szervezeteknél a kötelezettség továbbra is fennáll, ha a feldolgozások nem időszakosak, vagy érzékeny adatokat érintenek — ami az RH-ban szinte mindig így van. Ez a nyilvántartás dokumentálnia kell:

• Az egyes feldolgozások célja (pl.: „bérkifizetési bizonylatok kezelése")

• Az érintett adatok kategóriái

• A címzetteket (harmadik felek, alvállalkozók, hatóságok)

• A megőrzés időtartama

• A bevezetett biztonsági intézkedések

A CNIL szabadon letölthető nyilvántartási sablont biztosít. Annak gondos fenntartása az első védelmi vonal a CNIL-ellenőrzés esetén.

A megőrzési időtartamok: gyakran elhanyagolt pont

A RGPD 5. cikk 1. e) pontja előírja a megőrzési időtartam korlátozásának elvét: az adatokat nem szabad a céljukra történő gyűjtéshez szükségesnél tovább megőrizni. Az RH-ban az alábbiak az irányadó jogi megőrzési időtartamok:

| Adat típusa | Javasolt megőrzési idő | |---|---| | Bérkifizetési bizonylat | 5 év (polgári elégtelen) | | Munkaszerződés | 5 év a szerződés felbontása után | | Toborzási adatok (nem kiválasztott jelölt) | Maximum 2 év az utolsó kapcsolat után | | Fegyelmi dosszié | A szankcióhoz függő időtartam (max. 3 év egy figyelmeztetéshez) | | Videomegfigyelés adatai | 1 hónap általános szabályként | | DSN és személyzeti nyilvántartás | 5 év a munkavállaló kilépése után |

Ezeket az időtartamokat a nyilvántartásban fel kell tüntetni és törlési vagy archivális eljárásokon keresztül alkalmazni kell.

A munkavállalók tájékoztatása: gyakran alábecsült kötelezettség

A RGPD 13. cikke kötelezi az átfogó tájékoztatási nyilatkozat biztosítását az érintett személyeknek az adatgyűjtés időpontjában. Az RH-ban ezt a nyilatkozatot ideális esetben az alábbiaknál kell átadni:

• A pályázat beadásakor: a toborzási eljárásban gyűjtött adatokra vonatkozóan.

• A foglalkoztatás kezdetekor: a munkaszerződésbe beépítve vagy annak aláírásakor mellékletként átadva.

• A szerződéses kapcsolat során: az új feldolgozás bevezetésekor (pl.: biometrikus időpontjelentő rendszer bevezetése).

A felvételi eljárás digitalizálása, különösen az RH-hoz kapcsolódó elektronikus aláírás révén, megkönnyíti a tájékoztatási folyamat nyomkövetéseit: az értesítés olvasásának és aláírásának időpontja bizonyítható módon azonosított, amely rendkívül értékes bizonyíték vitás esetben.

Az RH-adatok biztonsága: műszaki és szervezeti intézkedések

Titkosítás, hozzáférés-ellenőrzés és szegmentálás

A RGPD 32. cikke kockázathoz igazított biztonsági intézkedések végrehajtását követeli meg. Az RH-adatokra, amelyek eredendően érzékenyek és célpontok az behatolásoknál, a minimális ajánlott eljárások közé tartoznak:

• Adatok titkosítása pihenésben és szállításban: a bérkifizetési fájlokat, szerződéseket és személyes dossziekat titkosítottan (AES-256 legalább) kell tárolni és biztonságos protokollok (TLS 1.3) segítségével továbbítani.

• Szerepalapú hozzáférés-kezelés (RBAC): csak az arra jogosult RH-szakemberek férnek hozzá a bérkifizetési adatokhoz; az csapatvezető csak a vezetéshez szükséges adatokhoz fér hozzá.

• Hozzáférés-naplózás: a munkavállaló-dosszié minden megtekintésére vagy módosítására rá kell jegyezni a felhasználó azonosítóját, dátumát és időpontját.

• Pszeudominalizálás analitikai feldolgozásokhoz (RH-irányítópultok, remuneráció-tanulmányok).

Az RH-alvállalkozók kezelése

Az RH-szolgáltatások számos alvállalkozót igényelnek: SIRH-szerkesztőket, külsővé tett bérkifizetési szolgáltatókat, képzési platformokat, online toborzási eszközöket. Ezek közül minden harmadik félnek a RGPD 28. cikknek megfelelő alvállalkozási szerződésre van szüksége, amely különösen a következőket írja le:

• A részlegesen feldolgozott feldolgozások természete és célja

• Az alvállalkozó biztonsági és bizalmasság-kötelezettségei

• Az altovábbbízás tilalma előzetes engedély nélkül

• A szerződés végén történő adatszállítás vagy megsemmisítés feltételei

Egy szállító kiválasztásakor azt is ellenőrizni kell, hogy szerverei az Európai Gazdasági Térség (EGT) vagy megfelelő átviteli mechanizmus (típusklauzulák, megfelelőségi határozat) vannak-e az EGT-n kívüli átvitelekhez.

Az RH-dokumentumok digitalizálása és RGPD-megfelelőség

Az RH-folyamatok növekvő digitalizálása — elektronikus munkaszerződések, dematerializált bérkifizetési bizonylatok, távolról aláírt módosítások — sajátos RGPD-kérdéseket vet fel. Bár az eIDAS-nak megfelelő elektronikus aláírás kétségtelenül integritást és hitelességi garanciákat nyújt, a munkáltatónak meg kell győződnie arról, hogy az alkalmazott platform:

• Az aláírási folyamat során nem gyűjt felesleges adatokat (minimalizálás elve, 5. cikk 1. c) pont)

• Biztonságos körülmények között és megfelelő időtartamra megőrzi az aláírás bizonyítékait (auditnaplót)

• Lehetővé teszi az aláírók jogainak gyakorlását (hozzáférés, helyesbítés, törlés a jogi korlátok között)

Az aláírási eszközök megfelelőségéről további információkért a Certyneo elektronikus aláírás átfogó útmutatójában a telepítés előtti műszaki és jogi kritériumok részletesen ismertetésre kerülnek.

A munkavállalók jogai és azok hatékony gyakorlása

A RGPD által garantált jogok áttekintése

A munkavállalók a RGPD 15–22. cikkeiben előírt összes jogban részesülnek. Az RH-kontextusban a legtöbbször gyakorolt jogok a következők:

• Hozzáférési jog (15. cikk): a munkavállaló kérheti a neki megfelelő összes adat másolatát, amelyet a munkáltatónál tárolnak, beleértve a munkahelyi e-mailekre vonatkozó levelezéseket bizonyos körülmények között.

• Helyesbítési jog (16. cikk): pontatlan adatok javítása (a számlaszámban, diplomában, stb. jelentkező hiba).

• Törlési jog (17. cikk): az RH-ban korlátozott a megőrzési jogi kötelezettségek által, de alkalmazható a nem kiválasztott jelölt toborzási adataihoz.

• Tiltakozási jog (21. cikk): gyakorolható egy jogos érdeken alapuló feldolgozás ellen, mint például bizonyos felügyeleti feldolgozások.

• Adathordozási jog (20. cikk): alkalmazható a munkavállaló által maga által biztosított adatokra a szerződés végrehajtásával összefüggésben.

A válaszciklus és az intézményi eljárások

A munkáltatónak egy hónapja van az adatjogok gyakorlásával kapcsolatos kérelemre válaszolni, amely időtartam összetettség vagy nagy mennyiségű kérelem esetén három hónapra lehet meghosszabbítva (12. cikk 3. pont). Ennek hatékony szervezéséhez a következő ajánlott:

• Egyetlen kapcsolattartó pont kijelölése (DPO vagy RGPD-referens) a kérelmek fogadásához

• Dedikált űrlap létrehozása a munkavállalók számára elérhető

• Egyes kérelmek és azok válaszainak dokumentálása a jogok gyakorlásával kapcsolatos kérelmek nyilvántartásában

• Az RH-menedzserek betanítása az implicit kérelmet azonosítani (egy munkavállaló aki "személyes dosszióját" kéri de facto az aláírást jogot gyakorol)

A DPO szerepe a vállalatnál

A RGPD három esetben előírja az Adatvédelmi Tisztviselő (DPO) kijelölését (37. cikk): közigazgatási hatóság, érzékeny adatok nagyszabású feldolgozása, vagy szisztematikus nagyszabású megfigyelés. Sok olyan vállalat, amelynek RH-feldolgozása jelentős, beleesik ebbe a kötelezettségbe. A DPO lehet belső vagy externalizált; függetlenséggel kell rendelkeznie és az adatvédelemre hatással lévő összes döntésben részt kell vennie, beleértve az új digitális RH-eszközök telepítését is. Szerepe tanácsadó jellegű és nem döntéshozó: a végső felelősség a feldolgozás felelősét, vagyis a munkáltatót terheli.

Az RH-adatok feldolgozásában alkalmazható jogi keret

A RGPD: alapító szöveg

Az 2016/679 (EU) rendelet az Európai Parlament és a Tanács 2016. április 27-i rendeletéről (RGPD) az európai személyes adatok feldolgozásának szabályozási alapja. Az összes tagállamban közvetlenül alkalmazható május 25-étől, 2018 óta, az EU-ban lévő munkavállalókat feldolgozó minden munkáltatóra vonatkozik, függetlenül a vállalat nemzetiségétől. Az RH-kontextusban alkalmazható főbb cikkek a következők:

• 5. cikk: alapelvek (jogszerűség, méltányosság, átláthatóság, minimalizálás, pontosság, megőrzési korlátozás, integritás és bizalmasság, felelősség)

• 6. cikk: feldolgozási jogi alapok

• 9. cikk: érzékeny adatok szabályozása

• 12–22. cikk: érintett személyek jogai

• 24–32. cikk: a feldolgozásfelelős és az alvállalkozó kötelezettségei

• 33–34. cikk: adatvédelmi incidensek bejelentése (72 óra a CNIL-nek, és a személyek tájékoztatása magas kockázat esetén)

• 35. cikk: hatásvizsgálat (AIPD) kötelező a magas kockázatú feldolgozásokhoz

• 83. cikk: közigazgatási szankciók (akár 20 millió € vagy az éves világméretű forgalom 4%-a)

A módosított Informatikai és Szabadság törvénye

A francia jog szerint az 1978. január 6-i 78-17. törvény az információszabadságról, a fájlokról és a szabadságokról, módosította az 2018. június 20-i 2018-493. törvénnyel és az 2018. december 12-i 2018-1125. rendelettel, kiegészíti a RGPD-t a nemzeti mozgásteret nyitva hagyó („megnyitási záradékok"). Az RH-ban legfontosabbak közül: szervezeti képviseleti intézmények kezelésében szindikalista adatok feldolgozásának lehetősége (a törvény 9. cikke), vagy a munkaegészségügyi adatok feldolgozásának konkrét szabályai.

A munkaügyi törvénykönyv és a szociális jogesetek

A munkaügyi törvénykönyv az Intézetközi Szociális és Gazdasági Bizottság (CSE) előzetes tájékoztatásával és konzultációjával előírja kötelezettségeket az összes munkavállalói felügyeleti vagy ellenőrzési eszköz telepítése előtt (L. 2312-38. cikk). A konzultáció elmulasztása az összegyűjtött bizonyítékok érvénytelen használata valamint büntetőjogi szankciók kitételét eredményezheti.

A Magasabb Bíróság ítélkezési gyakorlata rendszeresen emlékeztet arra, hogy az ellenőrzési eszközök (geolokalizálás, elektronikus óra, tevékenységkövetési szoftverek) a kitűzött célhoz arányosak kell legyenek és nem használhatók fel más céllal, mint amely deklarálva van a munkavállalóknak és a CNIL-nek.

Az RH-dokumentumok elektronikus aláírása: eIDAS és Polgári Kódex

Az RH-dokumentumok digitalizálása során — szerződések, módosítások vagy fegyelmi dokumentumok — a munkáltatónak az eIDAS (EU) 910/2014 rendeletnek kell megfelelnie, amely az elektronikus aláírás három szintjét határozza meg. Az olyan szerkezeti dokumentumokhoz, mint egy CDI munkaszerződés vagy szerződésbontási okirat, egy előírt elektronikus aláírás (vagy véglegesen hitelesített) ajánlott az aláírót azonosító és az okirat integritásának garantálásához. A Polgári Kódex 1366. és 1367. cikkei az elektronikus írás és az elektronikus aláírás bizonyítékértékét szentesítik, az aláírót azonosító megbízható azonosítás és az integritásbiztosítás fenntartásával.

A CNIL által az RH-ban szankcionált esetek

A CNIL több jelentős szankciót szabott ki az RH-adatok feldolgozásában: 2022-ben egy vállalatot 400 000 € bírsággal sújtottak a munkavállalók túlzott felügyelete miatt távolmunkában képernyő-felvételi szoftvarek segítségével. 2023-ban egy biztonsági cég 200 000 € szankcióra ítéltetett a biometrikus adatok túlzott gyűjtéséért érvényes jogi alap nélkül. Ezek az ítéletek illusztrálják a szabályozó növekvő éberségét erre a területre.

Alkalmazási esetek: RGPD RH gyakorlatban

1. forgatókönyv — Egy közepes nagyságú iparvállalatot az 450 munkavállalóval átalakít toborzási eljárása

Egy közepes méretű iparvállalatot, amely három telepen mintegy 450 embert foglalkoztatott, évente több mint 3 000 spontán pályázatot kapott és hatvan ajánlatra válaszolt. Az önéletrajzok és motivációs levelek időkorlát nélkül tárolódtak egy hat szervizfelelős között megosztott e-mail mellékletben. Egyetlen értesítés sem adódott át a jelölteknek adataik felhasználásáról.

A RGPD-audit követően hat hónapon belül a következő intézkedések kerültek végrehajtásra:

• Átmenetés egy RGPD-nak megfelelő hitelesített ATS-re (Jelölt-nyomkövetési Rendszer), amelynek automatikus módszer eltávolítja az érintét 24 hónap inaktivitása után

• RGPD-értesítés hozzáadása az egyes jelöltpályázati űrlapokhoz

• Munkaállamok- és munkaszerződések elektronikus aláírása az eIDAS-nak megfelelő platformon keresztül, csökkentve az aláírt szerződések visszaküldésének időtartamát átlagosan 8 napról kevesebb mint 48 órára

• A feldolgozási tevékenységek nyilvántartásának frissítése 12 új RH-feldolgozási lapokkal

Eredmény: egyetlen CNIL-kérelem sem érkezett a következő 18 hónapban; becsült 1,2 ETP nyereség a toborzás közigazgatási kezelésében a digitalizálásnak köszönhetően.

2. forgatókönyv — Egy 1 200 munkavállalóval dolgozó terjesztési csoport szabályozza videomegfigyelési politikáját

Az élelmiszer-forgalmazásban szakosodott csoport 34 pontértékesítő helyén videomegfigyelő rendszert telepített. A képeket egyes telepen 45 napig őrizték, a munkavállalókat tájékoztatás nélkül. Több kamera folyamatosan lefogta az egyes munkahelyet-irányítási pontokat, ezáltal aránytalan felügyeleti kockázatot generálva.

A munkavállaló CNIL-hez intézett panaszát követően a cég a megfelelőség biztosítását vette fel, beleértve:

• A megőrzési idő csökkentése maximum 30 napra az összes helyszínen

• Kamerák átpozicionálása az egyes munkahelyek folyamatos megfigyelésének kizárásához

• A központi CSE konzultációja és egyetértése az összes új telepítés előtt

• Munkavállalók szisztematikus tájékoztatása a munkaszerződéseken és az intéziményi kódexen keresztül

Eredmény: a CNIL-panasz lezárása szankció nélkül; az azt követő éves elégedettségi felmérésben mért szociális klíma javulása (+11 pont a „munkaadóhoz való bizalom" tételén).

3. forgatókönyv — Egy RH-tanácsadó irodaOffice biztonságosít az adatátviteleket az ügyfeleinkkel

A bérkifizetési és személyzeti igazgatás externalizálásában szakosodott tanácsadó irodaaz iroda számos ügyfél munkavállaló-dossziejét kezelte, körülbelül 1 800 havi bérkifizetési bizonylat. A bérkifizetési fájlokat nem titkosított e-mailben továbbították, a RGPD 28. cikk értelmében formalizált alvállalkozási szerződés nélkül.

Az irodaaz összes gyakorlat teljes felülvizsgálatát vette fel:

• Adatfeldolgozási Megállapodások (DPA) aláírása az egyes ügyféllel elektronikus aláírás-platform segítségével a nyomkövethetőség lehetővé tételéhez

• Biztonságos ügyfélportál bevezetése (TLS-titkosítás + kétfaktoros hitelesítés) a bérkifizetési fájlok feltöltéséhez és letöltéséhez

• Az adatoknak Franciaország-beli szerverekbe való tárolása, a munkaegészségügyi adatok HDS-tanúsítványával

• Az alvállalkozók felhasználásának szabályozása egy alvállalkozási politika (szoftviar-szerkesztő, archívumok)

Eredmény: 100%-os csökkentés az RH-adatok nem biztonságos e-mailben történő továbbítása; két új ügyfélszerződés elnyerése, amelyek a RGPD-megfelelőséget kötelező kiválasztási kritériumnak tekintik beszerzési felhívásukban.

Konklúzió

A RGPD az RH-ban nem pusztán további közigazgatási terhe: a munkaadó és munkatársai közötti bizalom szilárd alapja, és olyan munkaerőpiacon versenytényező, ahol az átláthatóság egyre jobban értékelt. Aktualizált feldolgozási nyilvántartás, kimeneti megőrzési időtartamok, formalizált munkavállaló-tájékoztatás, az érzékeny adatok biztonságának erősítése és alvállalkozók szerződéses lehetősége: e pillérek mindegyike hozzájárul egy jogi és felelős RH-politika felépítéséhez.

Az RH-dokumentumok digitalizálása — szerződések, módosítások, bérkifizetési bizonylatok, tájékoztatási nyilatkozatok — egyedi lehetőséget kínál a RGPD-megfelelőség és az operatív hatékonyság összevonásához, feltéve hogy tanúsított eszközökre alapozunk. A Certyneo az eIDAS-nak megfelelő elektronikus aláírási megoldáson keresztül támogatja ezt az eljárást, az RH-csapatoknak tervezve. Fedezze fel árainkat és indítsa el ingyenes próbaverzióját a Certyneón az RH-dokumentumok biztonságosítása érdekében még ma.