GDPR di bidang SDM: Pemrosesan Data Karyawan

Pendahuluan

Sejak berlakunya Peraturan Perlindungan Data Umum (GDPR) pada tanggal 25 Mei 2018, departemen HR berada di garis depan dalam hal kepatuhan. Fungsi sumber daya manusia memproses data pribadi sensitif setiap hari: CV, slip gaji, data kesehatan, evaluasi, rincian bank. Manajemen yang buruk membuat perusahaan terkena sanksi hingga 20 juta euro atau 4% dari omset global (pasal 83 GDPR). Artikel ini menyajikan kewajiban utama dan praktik terbaik untuk mengamankan pemrosesan data karyawan di seluruh siklus SDM.

Prinsip dasar yang berlaku pada data SDM

GDPR menerapkan enam prinsip utama yang dikodifikasikan dalam Pasal 5: keabsahan, loyalitas, transparansi, batasan tujuan, minimalisasi, akurasi, batasan retensi, dan integritas/kerahasiaan. Dalam praktiknya, ini berarti departemen SDM hanya dapat mengumpulkan data yang benar-benar diperlukan untuk tujuan tertentu. Misalnya, meminta nomor jaminan sosial saat melamar adalah tindakan yang tidak proporsional: hal ini hanya dibenarkan setelah dipekerjakan di DSN.

CNIL, melalui musyawarahnya no. 2019-160 berkaitan dengan manajemen personalia, menetapkan periode penyimpanan yang disarankan: 2 tahun untuk lamaran yang gagal (kecuali izin), 5 tahun setelah keberangkatan untuk berkas administrasi, 6 tahun untuk slip gaji dalam versi pemberi kerja.

Dasar hukum dan informasi bagi karyawan

Bertentangan dengan kepercayaan umum, persetujuan jarang menjadi dasar hukum yang tepat dalam HR, karena adanya hubungan subordinasi. Dasar yang relevan adalah pelaksanaan kontrak kerja (pasal 6.1.b), kewajiban hukum (pasal 6.1.c) atau kepentingan yang sah (pasal 6.1.f). Untuk data sensitif (kesehatan, serikat pekerja), Pasal 9 mensyaratkan dasar tertentu seperti kewajiban dalam undang-undang ketenagakerjaan.

Pemberi kerja harus memberikan informasi yang jelas melalui pemberitahuan GDPR yang diberikan saat perekrutan, memperbarui daftar pemrosesan (pasal 30) dan berkonsultasi dengan CSE sebelum pemrosesan baru apa pun berdampak pada karyawan (pasal L.2312-38 Kode Tenaga Kerja).

Keamanan dan hak-hak karyawan

Keamanan teknis dan organisasi (pasal 32) memerlukan: enkripsi HRIS, kontrol akses berdasarkan profil, ketertelusuran konsultasi, klausul kerahasiaan dengan subkontraktor penggajian atau perekrutan (pasal 28). Apabila terjadi pelanggaran, pemberitahuan kepada CNIL dalam waktu 72 jam.

Karyawan telah diperkuat haknya: akses, perbaikan, penghapusan (dibatasi oleh kewajiban retensi hukum), portabilitas, pertentangan. Prosedur internal harus memungkinkan adanya tanggapan dalam waktu maksimal satu bulan. Penolakan akses terhadap berkas disipliner harus dibenarkan secara hukum.

Contoh praktis

Contoh 1 – Rekrutmen:Sebuah UKM telah menyimpan CV semua kandidat dalam folder bersama selama 5 tahun. Non-compliance: durasi yang berlebihan, kurangnya keamanan. Solusi: pembersihan otomatis setelah 2 tahun, pembatasan akses ke perekrut, GDPR disebutkan dalam tawaran pekerjaan.

Contoh 2 – Pengawasan video:Sebuah gudang logistik terus-menerus memfilmkan stasiun kerja. Kemungkinan sanksi (CNIL memberikan sanksi kepada Amazon France Logistique sebesar €32 juta pada tahun 2024). Solusi: batasan pada area sensitif, informasi individu, konsultasi CSE, periode retensi maksimal satu bulan.

Contoh 3 – Alat kolaboratif:Penerapan Microsoft 365 memerlukan analisis dampak (AIPD) jika fungsi pemantauan diaktifkan, serta klausul subkontrak yang sesuai dengan penerbit.

Kepatuhan dan sanksi

Selain denda CNIL, pemberi kerja juga dikenakan tindakan pengadilan industrial karena pelanggaran privasi (pasal 9 KUHPerdata, pasal L.1121-1 KUH Perburuhan). Penunjukan DPO bersifat wajib bagi entitas yang memproses data dalam skala besar. Pemetaan pemrosesan SDM tahunan, ditambah dengan pelatihan manajer, merupakan perlindungan hukum dan operasional terbaik.

Kesimpulan

Kepatuhan GDPR dalam bidang SDM bukanlah proyek yang dilakukan satu kali saja, namun merupakan proses perbaikan yang berkesinambungan. Antara kewajiban hukum, hak karyawan, dan kinerja operasional, manajer SDM harus mengelola tata kelola data secara ketat. Berinvestasi pada HRIS yang patuh, melatih tim, dan mendokumentasikan setiap proses mengubah batasan peraturan menjadi pendorong kepercayaan karyawan.