GDPR a HR-ben: Munkavállalói adatok feldolgozása

Bevezetés

Az Általános Adatvédelmi Rendelet (GDPR) 2018. május 25-i hatálybalépése óta a HR osztályok a megfelelőség előterében állnak. A humánerőforrás-funkciók napi rendszerességgel dolgoznak fel érzékeny személyes adatokat: önéletrajzok, fizetési szelvények, egészségügyi adatok, értékelések, banki adatok. A rossz vezetés akár 20 millió euróig vagy a globális forgalom 4%-áig terjedő szankcióknak teszi ki a vállalatot (GDPR 83. cikk). Ez a cikk bemutatja a legfontosabb kötelezettségeket és bevált gyakorlatokat a munkavállalói adatok feldolgozásának biztosítására a HR ciklus során.

A HR-adatokra vonatkozó alapelvek

A GDPR hat alapvető elvet ír elő, amelyeket az 5. cikk kodifikál: jogszerűség, lojalitás, átláthatóság, célok korlátozása, minimalizálás, pontosság, a megőrzés korlátozása és integritás/bizalmasság. Ez a gyakorlatban azt jelenti, hogy a HR osztály csak a meghatározott célra feltétlenül szükséges adatokat gyűjtheti. Például a TAJ szám kérése a jelentkezéskor aránytalan: csak a DSN-re való felvétel után indokolt.

A CNIL 2011. évi tanácskozása révén. A 2019-160 személyzeti menedzsmenttel kapcsolatos megőrzési időszakok javasoltak: 2 év sikertelen jelentkezés esetén (kivéve hozzájárulást), 5 év a távozás után az adminisztrációs akta esetében, 6 év fizetési szelvények esetén a munkáltatói változatban.

Jogalap és tájékoztatás a munkavállalók számára

A közhiedelemmel ellentétben a HR-ben az alárendeltségi viszony miatt ritkán a beleegyezés a megfelelő jogalap. A releváns alapok inkább a munkaszerződés teljesítése (6.1.b. pont), a jogi kötelezettség (6.1.c. pont) vagy a jogos érdek (6.1.f. pont). Az érzékeny adatok (egészségügy, szakszervezet) esetében a 9. cikk olyan konkrét alapot ír elő, mint például a munkajogi kötelezettség.

A munkáltatónak egyértelmű tájékoztatást kell adnia a felvételkor adott GDPR-értesítésen keresztül, frissítenie kell a feldolgozási nyilvántartást (30. cikk), és konzultálnia kell a CSE-vel, mielőtt bármilyen új adatkezelést érintene (a Munka Törvénykönyve L.2312-38. cikke).

Az alkalmazottak biztonsága és jogai

A műszaki és szervezési biztonság (32. cikk) megköveteli: a HRIS titkosítását, profilonkénti hozzáférés-ellenőrzést, a konzultációk nyomon követhetőségét, a bérszámfejtési vagy toborzási alvállalkozókkal kapcsolatos titoktartási záradékokat (28. cikk). Szabálysértés esetén 72 órán belül értesíteni kell a CNIL-t.

Az alkalmazottaknak megerősített jogai vannak: hozzáférés, helyesbítés, törlés (a törvényi megőrzési kötelezettségek által korlátozva), hordozhatóság, tiltakozás. Egy belső eljárásnak lehetővé kell tennie a válaszadást legfeljebb egy hónapon belül. A fegyelmi aktához való hozzáférés megtagadását jogilag indokolni kell.

Gyakorlati példák

1. példa – Toborzás:Egy kkv 5 évig egy megosztott mappában őrizte az összes jelölt önéletrajzát. Nem megfelelő: túlzott időtartam, a biztonság hiánya. Megoldás: automatizált tisztítás 2 év után, korlátozott hozzáférés a toborzókhoz, GDPR említés az állásajánlatban.

2. példa – Videó megfigyelés:Egy logisztikai raktár folyamatosan filmezi a munkaállomásokat. Lehetséges szankció (a CNIL 2024-ben 32 millió euróval szankcionálta az Amazon France Logistique-ot). Megoldás: érzékeny területek korlátozása, egyéni tájékoztatás, egyeztetés a CSE-vel, megőrzési idő maximum egy hónap.

3. példa – Együttműködési eszközök:A Microsoft 365 telepítéséhez hatáselemzés (AIPD) szükséges, ha a megfigyelési funkciók aktiválva vannak, valamint egy megfelelő alvállalkozói záradék a kiadóval.

Megfelelés és szankciók

A CNIL-bírságokon kívül a munkáltató a magánélet megsértése miatt munkabírósági eljárásoknak van kitéve (a Polgári Törvénykönyv 9. cikke, a Munka Törvénykönyvének L.1121-1. cikke). Az adatvédelmi tisztviselő kijelölése kötelező a nagy léptékű adatokat feldolgozó entitások számára. A HR feldolgozás éves feltérképezése vezetői képzéssel párosulva jelenti a legjobb jogi és működési védelmet.

Következtetés

A GDPR megfelelősége a HR területén nem egyszeri projekt, hanem folyamatos fejlesztési folyamat. A törvényi kötelezettségek, a munkavállalói jogok és a működési teljesítmény között a HR vezetőknek szigorúan kell kezelniük az adatkezelést. A megfelelő HRIS-be való befektetés, a csapatok képzése és az egyes feldolgozások dokumentálása a szabályozási korlátokat az alkalmazottak bizalmának emelőjévé alakítja.