RGPD en RH : Meðhöndlun gagna samstarfsmanna

Stöðva mannauðsstjórnun framleiðir dagmötuðum gríðarstóra magn persónuupplýsinga : vinnusamninga, launaseðla, heilsufarsgögn, frammistöðumat, bankareikning... Frá því Almenna gagnaverndareglugerðin (RGPD) tók gildi í maí 2018 hafa HR-stjórnir orðið lykilaðilar að fylgni innan stofnana. Samt sem áður, samkvæmt starfsemi skýrslu CNIL fyrir 2024, er mannauðsgeiran ein af þremur sviðum sem oftast eru sótt til skoðunar. Þessi grein leiðbeinir þér í gegnum helstu skuldbindingar, bestu starfsvenjur og tiltæk tól til að meðhöndla gögn samstarfsmanna þinna með fullri fylgni.

Hvaða persónuupplýsingar meðhöndla HR?

Algengar gagnaflokkar

HR-deildir meðhöndla mjög breiðan svið persónuupplýsinga. Tvær stórar flokkar aðgreina sig :

Venjuleg gögn, sem safnað er í tengslum við vinnusamning : nafn, kennitala, heimilisfang, kennitala tryggingastofnunar, bankareikningsnúmer, ferilskrá, prófskírteini, starfsferill, árleg mat, vinnustundir, og gögn um viðverupróf og fjarveru.

Viðkvæm gögn, sem falla undir auknar takmarkanir samkvæmt kafla 9 RGPD : heilsufarsgögn (veikindi, tilkynningar á vinnutilfellum, læknisfræðilegar takmarkanir), stéttarfélagsgögn (stéttarfélagsaðild, fulltrúaábyrgð), og gögn um sakaofsir í tilteknum samhengi ráðningar.

Þessi síðarnefndu gögn mega aðeins meðhöndlun samkvæmt skýrri undantekningu sem reglugerðin tilgreinir — svo sem framkvæmd laga um vinnurétt, eða skýrt samþykki viðkomandi aðila.

Sérstakt tilfelli ráðninga

Ráðningarfasinn framleiðir sérstakar meðhöndlanir, oft illa reglurðar. Söfnun á ferilskrám, kynningarbréfum og prófniðurstöðum felur í sér sérstakar tímalengdir geymslunnar : samkvæmt tilmælum CNIL skal gögn um hugsunarlaus umsækjendur eytt eða ógreinileg gerð innan tveggja ára eftir síðasta samband. Að varðveita CV-skrár endalaust í óöruggum deildum eru ljós brot.

Notkun rakningarverkfæra í ATS-kerfum (Applicant Tracking Systems) eða reikniritsgreiningarverkfæra verður að nefnd sérstaklega í gagnaverndarskírteini sem sendar eru umsækjendum, samkvæmt kafla 13 og 14 RGPD.

Lögmætar grundvallir meðhöndunar í HR-samhengi

Að bera kennsl á rétta lögmæta grund

RGPD krefst þess að allt gagnameðhöndlun byggi á einni af sex lögmætum grundvöllum sem skilgreind eru í kafla 6. Í HR-samhengi eru þrír grundvallir aðallega notaðir :

• Framkvæmd starfssamnings (kafli 6.1.b) : réttlætir meðhöndlun gagna sem nauðsynleg eru til stjórnunar launa, fría eða þjálfunar.

• Lögskilyrði (kafli 6.1.c) : á við um skylduðu félagsgögn (DSN), starfsmannaskrár eða eftirleit með vinnutilfellum.

• Lögmæt hagsmunir (kafli 6.1.f) : má bera á flutning eins og stjórnun gagnaflæmis aðgangs eða myndbandseftirlit, með fyrirvara um strangt jafnvægispróf.

Samþykkir (kafli 6.1.a) er aftur á móti veikir lögmæti grundvöllur í vinnusambandi : CNIL og Evrópski gagnaver­ndarutvalið (EDPB) bera það á að ósamfræmi við fulltrúa vinnuveitanda og starfsmanns geri erfitt að sanna frjálst samþykki. Því skal einungis nota það sem síðastur úrræði.

Skrá yfir meðhöndlanir, ómissandi skylda

Öll fyrirtæki sem ráða minnst 250 starfsmenn — eða meðhöndla viðkvæm gögn á minni skala — verða að viðhalda skrá yfir meðhöndunaraðgerðir (kafli 30 RGPD). Í HR skal þessi skrá skjalfesta fyrir hverri meðhöndlun : tilgang, gagnaflokka, viðtakendur, geymslutíma, og öryggisaðgerðir sem framkvæmdar eru.

Þetta skjal, sem haldið er til skoðunar CNIL við skoðun, er einnig dýrðlegt stjórnunartæki. Samansett við rafræna undirritunarlausn sem tileinkuð er HR, gerir það kleift að rekja og tímasetja hvert skref af lífssögu HR-skjals, þar með eykst endurskoðunargæði ferla.

Réttindi samstarfsmanna og skyldur vinnuveitanda

Að upplýsa starfsmenn : tafarlaus skylda

Kafli 13 RGPD krefst þess að fylgjast með fólki með gögn við söfnun gagna. Í raun og veru verða HR-deildir að veita starfsmönnum — helst við undirritun starfssamnings — RGPD-tilkynningu sem tilgreinir : auðkenningu gagnameðhöndlunar, tilgang og lögmæta grundvöll, geymslutíma, tiltæk réttindi og hnitapunkta gagnaverndarstjóra (DPO) ef fyrirtækið hefur þannig.

Að stafræna og tryggja þennan skipti er nauðsynlegt. Notkun á rafrænum undirritun í fyrirtæki fyrir afhendingu þessarar tilkynningar tryggir sönnun á tímasettri afhendingu, sem er í samræmi við kröfur eIDAS-reglugerðar.

Réttindi starfsmanna sem ber að virða

Samstarfsmenn eiga almenn réttindi á gögnunum sínum :

• Aðgangsréttur (kafli 15) : sérhver starfsmaður getur beðið um afrit af öllum gögnum sem honum varðandi meðhöndluð af vinnuveitanda.

• Leiðréttingarréttur (kafli 16) : leiðrétting á ónákvæmum gögnum (t.d. heimilisfang, bankareikning).

• Réttur til eyðingar (kafli 17) : gildir í tilteknum tilfellum, einkum eftir lok starfssamnings og eftir að lögskilyrðir geymslutími renna út.

• Réttur til andmælna (kafli 21) : starfsmaður getur mótmælt meðhöndlun sem byggir á lögmætum hagsmuni.

• Réttur til takmarkana (kafli 18) : bráðabirgðastöðvun meðhöndunar sem deilt er um.

Vinnuveitandi hefur einn mánuð til að svara hverri beiðni um réttindi, sem hægt er að framlengja í þrjá mánuði ef flókin verkefni (kafli 12 RGPD).

Gagnaöryggi og stjórnun framkvæmenda

Tæknileg og skipulagshámottaðar aðgerðir

Kafli 32 RGPD krefst framkvæmdar „eins og við passa til áhættu" öryggisaðgerða. Fyrir HR-gögn innihalda bestu starfsvenjur :

• Dulkóðun á gögnum sem innihalda viðkvæm gögn (launaseðlar, læknisfræðileg gögn).

• Aðgangsstjórnun : meginregla um vertulegasta réttindi — launastjóri hefur ekki aðgang að aga.

• Skráningu aðgangs að HR-kerfum (SIRH, launaverkfærum).

• Áætlun um viðbrögð við brotum : við gagna­rogun hefur vinnuveitandi 72 klukkustundir til að tilkynna CNIL (kafli 33), og hugsanlegt viðkomandi aðila ef áhætta er há (kafli 34).

Ⓡgríðarstórum endurskoðun með leiðbeiningu um rafræna undirritun getur aðstoðað HR-teymi að bera kennsl á óöruggri meðhöndlun sem er ennþá til staðar á pappírsstöðum og að stafræna þau í samræmi.

Að framfylgja þjónustuaðilum HR með DPA

HR-deildir nálgast marga framkvæmendur : launakerfi, þjálfunarvettvangar, tímakerfi. Hver þjónustuaðili sem aðgangi að persónuupplýsingum verður að hafa gagnameðhöndlunarsamning (Data Processing Agreement — DPA), samkvæmt kafla 28 RGPD. Þessi samningur skal tilgreina meðhöndlunarfyrirmæli, öryggis­tryggingar, skilaðir eða eyðing gagna, og skuldbindingar við brot.

Að velja þjónustuaðila sem halda innviðum sínum innan Evrópusambandsins, eða sem eru umfangandi með samningsklausa (CCT) sem samþykktar af framkvæmdastjórninni, er áfram ómissandi krafa til að forðast ólöglega flutning utan ESB.

Geymslutímar : skipulagandi álitamál

Lögmæt geymslutímar sem gilda um starfsmannagögnin

Geymslutími HR-gagna er umfanginn með mörgum texta : RGPD (meginregla um takmarkað gagnatímabil, kafli 5.1.e), vinnulög, og ýmsar skattar og félagslegar ákvæði. Í raun og veru eru helstu tímalengdir sem virða skal :

| Gerð skjals | Lágmarksgeymslutími | |---|---| | Launaseðill | 5 ár (félagslegt fyrirskir) | | Vinnusamningur | 5 ár eftir lok starfs | | Launagögn (DSN) | 3 ár (URSSAF-eftirleit) | | Starfsmannaskrá | 5 ár eftir brottför starfsmanns | | Aganog | Tímabil samhæft við aðgerð | | Læknisfræðilegt gögn (vinnulæknir) | 50 ár (sérstakar reglur) |

Innleiðing á sjálfvirkri arkív- og hreinsunaraðferð í SIRH, samansett við verkflæði rafrænar undirskriftunar sem tímasetja stofnun gagna, telst nú best framkvæmd til að sýna fram á fylgni við CNIL.

Gildrurnar sem á að forðast

Algengustu villur sem athugaðar var við CNIL-eftirleit hvað HR-gögn varðar eru : endalaus geymsla CV umsækjenda sem ekki var valinn, viðhald aðgangs gömul starfsmanns, skortur á dulkóðun útfluttra launaskrár, og ekki eyðing badgeingu gagna umfram lögskilyrð. Til að tryggja þessa punkta, ræðslur um samanburð á rafrænum undirritunarlausnum leyfir að bera kennsl á verkfærum sem innifalið fullt og allt endurskriftar aðgerðir og stjórnun lífssögu gagna.

Lögmæt ramma sem gildir um meðhöndlun HR-gagna

Meðhöndlun persónuupplýsinga samstarfsmanna birtist í þéttum reglulegum ramma, sem samtengir nokkra stig reglugerðar.

Reglugerð (ESB) 2016/679 — RGPD er horni steinninn. Kaflar hennar 5 til 11 skilgreina undirliggjandi meginreglur (lögmætni, sanngirni, gagnsæi, takmörkun á tilgangi, gagnaminimun, nákvæmni, takmörkun gagnageymslutíma, heilleika og trúnaðar). Kafli 9 setur strengar skilyrði sem gilda um sérstakar gagnaflokkir, þar með talið heilsufarsgögn og stéttarfélagsgögn, sérstaklega oft í HR. Kafli 83 kveður á um sektir allt að 20 milljónum evra eða 4% af vergri heildarvídeild ef hátt brot á sér stað.

Lög um upplýsingatækni og frelsi sem breytt voru (lög nr. 78-17 frá 6. janúar 1978), í samþættri útgáfu sinni, aðlaga RGPD að frönsku lögum. Það gerir CNIL með fullvaldi til eftirlits og sekta, og veitir sérstakar undanþágur fyrir heilsufarsgögn í vinnulæknisfræði.

Vinnulög stýra meðhöndlun sem tengist eftirliti með starfsmönnum (kafli L. 1121-1 um virðingu fyrir einkalifu), ráðleggingu fulltrúa starfsmanna um stafræn tól (kafli L. 2312-38), og skylduðum skrám.

Reglugerð eIDAS (nr. 910/2014), viðbót með eIDAS 2.0 (Reglugerð ESB 2024/1183), stjórnar réttargildi rafrænar undirskrifta á HR-skjöl. Hæf rafræn undirskrift (SEQ), sem er í samræmi við A-viðauka eIDAS og stöðlum ETSI EN 319 132 og ETSI EN 319 122, veitir forsendu um jafngildi handritunar samkvæmt kafla 1367 frönsku borgaralögum.

Kafli 1366 frönsku borgaralögum segir að „rafrænt ritmál hefur sömu sönnunarafl og ritmál á pappír, með fyrirvara um að auðkenna megi viðkomandi aðila, sem það gefur til kynna, og að það sé komið fram við og varðveitt á þann hátt sem tryggir heilleika þess". Þessi ákvæði gildir beint um vinnusamninga, breytingar, trúnaðarsamninga og önnur stafræn HR-skjöl.

NIS2-tilskipun (ESB 2022/2555), þýdd til frönsku laga með lögum frá 26. febrúar 2025, setur ábendingu á lykilstofnanir og mikilvægar stofnanir (sérstaklega stær iðnaðarfyrirtæki og stafræna þjónustuaðila) auknar kröfur um stjórnun áhættu sem tengist gagnaöryggi, þar með talið vernd viðkvæmra HR-gagna.

Sektar sem CNIL hefur slegið í gilt eru hækkandi : 2024 var heildarbæti sektum umfram 100 milljón evra, með margar ákvarðanir sem beint innihalda vanrækslu í stjórnun starfsmannagagna. Vanefndum geymslutímanna, skorti á DPA með HR-þjónustuaðilum, og ófullnægjandi öryggisaðgerðum eru meðal algengasta saka sem CNIL beitar.

Notkunarsviðsmyndir : RGPD fylgni í HR við rauntíma

Sviðsmynd 1 — ETI-iðnaðarfyrirtæki með 450 starfsmenn stafrænar innflutningsferla sín

Meðalstór iðnaðarfyrirtæki, sem dreift var á þrjá staði í Frakklandi, stýrði vinnusamningum og breytingum á pappír. Gögn nýliðanna voru ekki send á launadeild fyrr en eftir að meðal 12 daga, sem olli villum í launum í um 8% af tilfellum. Að auki var engin RGPD-tilkynning veitt formlega til nýliða : upplýsingarnar voru aðeins neðst á vinnureglum, ekki undirritaðar sérstaklega.

Eftir inngöngu á rafræna undirskriftarlausn sem samintegruð var við SIRH, með samtímis miðlun RGPD-tilkynningar sem samskrifuð var af starfsmanni og mannauðsstjóra, dró fyrirtækið úr tíma innflutninga skjöla til 2 daga (84% minnkun). Villur í launum sem tengdust gögnunum samdraga minnkuðu í minna en 1%. Hvert undirritað skjal er geymt með hæfri tímastillingu, gefandi sönnun sem hægt er að andmæla við CNIL-eftirleit eða dómssal.

Sviðsmynd 2 — Flutningshópur með 1.200 starfsmönnum setur stefnu um gagnageymslutíma

Hópur sem starfar í sérhæfðri dreifingu varð fyrir CNIL-eftirliti í kjölfar kvörtunar fyrrverandi starfsmanns. Skoðun bar því á ljós að Excel-skrár með launagögnum starfsmanna sem fóru fyrir yfir 8 árum voru ennþá aðgengileg á óöruggum deildum án dulkóðunar. Formleg aðvörun var gefin, með skipun um að samkvæma sig innan 3 mánaða.

Hópurinn hélt þá heildstæðri endurskoðun á HR-meðhöndlun sinni, kortlagði 23 meðhöndlunaraðgerðir, og komst á sjálfvirkri hreinsunaráætlun sem kveikt var af SIRH. Skjöl sem undirritin voru rafrænt voru flutt til stafræns gæsluhúss með geymslutímum sem stilltir voru samkvæmt skyldubindingum. DPO framleiddi heilstæða HR-meðhöndlunarskrá, framvegis við aðra CNIL-eftirlit 18 mánuðum síðar, sem enduðist án athugasemda. Kostnaður við að samræma var metinn á minna en 60% af hugsanlegri sektur.

Sviðsmynd 3 — HR-ráðgjafarstofnun með 35 starfsmenn tryggi gögn sína eigin ráðgjafa og viðskiptavina

Stofnun sem sérhæfð er í mannauðum stjórnar bæði gögnum eigin ráðgjafa sinna og gögnum umsækjenda og starfsmanna viðskiptavina (í tengslum við mat- eða endurkennisverkefni). Hún endar þannig í tvöföldu hlutverki : gagnameðhöndlari fyrir eigin HR, og framkvæmandi (eða samveitulegur meðhöndlari) fyrir gögn þriðja aðila.

Stofnunin setti upp aðgreinda gagnaskrá : einfaldar rafrænar undirskriftir fyrir algenga innri skipti, háðar undirskriftir fyrir verkefnasamninga við viðskiptavini, og gagnameðhöndlunarsamninga (DPA) sem kerfisbundið var að fella inn í verkefnabréf. Allir ráðgjafar fengu endurnýjað RGPD-safn, undirritað rafrænt og geymt í aðskildum skrám. Þessi skipulag leyfði stofnuninni að birta fylgni sína sem viðskiptafrumburð meðal stórra leikmanna sem háðir váru yfirvöld skoðunar frá birgjum, sem dró úr meðaltali samningagerðartíma um 7 til 2 vikna.

Ályktun

RGPD setur HR-stjórnum djúpa breytingu á starfsemi þeirra : ströng auðkenning á lögmætum grundvöllum, árangursrík tilkynning starfsmanna, stjórnun réttinda, samningabundinn rammi fyrir framkvæmendur, gagnaöryggi og virðing á geymslutímum. Þessar skuldbindingar eru ekki einungis stjórnsýsluleg formæli — þær skilyrða getu fyrirtækis til að forðast sekta sem geta náð nokkrum milljónum evra og til að viðhalda trausti teymis sinna.

Stafræning HR-ferla, með rafrænum undirritunarlausnum sem samkvæmtar eIDAS, er ein af áhrifaríkari tilvegum til að samræma rekstrarkun og reglusamsvar. Certyneo fylgir HR-teymum í þessari umbreytingu, allt frá undirritun starfssamnings til öruggrar arkívunar starfsmannagagna.

Finndu út hvernig Certyneo getur tryggt HR-ferla þína með því að skoðið okkar sértæka tilboð fyrir HR-teymi eða með því að hefja ókeypis prófun til að prófa lausnina án skuldbindingar.