RGPD í HR: Meðhöndlun persónuupplýsinga starfsmanna

Almenna gagnaverndareglugerðin (RGPD) gildir ekki aðeins um viðskiptatengsl fyrirtækis og viðskiptavina þess: hún stýrir einnig, á mjög nákvæman hátt, meðhöndlun persónuupplýsinga starfsmanna. Ráðning, launastjórnun, aðgangseftirlit, afköstamæling, myndbandaeftirleit… hver áfangi atvinnutengslanna myndar persónuupplýsingar sem vinnuveitandi verður að meðhöndla í fullum samræmi við evrópska löggjöf. Með sektum sem geta náð 20 milljónum evra eða 4% af árlegum heildartekjum um allan heim er málið þýðingarmikið. Þessi grein útlistar gildandi lagalega grundvöll, hagnýtar skyldur HR-deildar og bestu starfsvenjur til að tryggja meðhöndlun þín – þar með talið við stafræna umbreytingu HR-gagna.

Lagaleg grundvöllur meðhöndlunar HR-gagna

Gildandi lagalegar grundvellir í vinnurétti

RGPD skillgreinir sex lagalega grundvöll til að meðhöndla persónuupplýsingar (18. gr.). Í HR-samhengi eru þrjú þeirra nýtuð nær stöðugt:

• Framfylgni samnings (gr. 6.1.b): myndar aðalkerfið fyrir launastjórnun, tímavörslu, útgáfu launaseðla eða stjórnun orlofs.

• Lagaleg skylda (gr. 6.1.c): réttlætir meðhöndlun sem kveðið er á um í vinnulögum eða félagslegri löggjöf, svo sem tilkynning fyrir ráðningu, opinber launaskýrsla eða skrá yfir starfsmenn.

• Lögmæt hagsmunir (gr. 6.1.f): getur verið grundvöllur fyrir tiltekinni meðhöndlun á tölvuöryggi eða innri svikavörnum, með því skilyrði að þessir hagsmunir sé ekki yfir grundvallarréttindum starfsmanna.

⚠️ Samþykki er mjög vandamál í starfssamhengi. CNIL minnir reglulega á að óeðlilegt valdajafnvægi vinnuvandasambands gerir samþykki sjaldan „frjálsan" að skilningi 7. gr. RGPD. Notkun samþykkis fyrir meðhöndlun sem gæti byggt á annarri lagalegri grundvelli gerir vinnuveitandann viðkvæman fyrir endurskoðun.

Sérstakar gagnaflokkur: aukið eftirlitskerfi

Sum gögn sem HR söfnun falla undir „viðkvæm gögn" sem nefnd eru í 9. gr. RGPD, en meðhöndlun þeirra er almennt bönnuð nema undantekningar séu fyrir hendi:

• Heilsugögn: veikindafrí, óhæfnisdómar frá lækni, breytingar á stöðu vegna fötlunar.

• Stéttarfélagsgögn: aðild að stéttarfélagi, fulltrúamarkaðir.

• Lífverknigögn: aðgangseftirlit með fingurförum eða andlitsgreining.

• Gögn um brot: gátun á sakaskrám, leyfð eingöngu í eftirlitssviðum (öryggi, börn, osfrv.).

Fyrir þessa flokka verður vinnuveitandi að auðkenna skýra undantekningu (gr. 9.2), framkvæma gagnaverndaráhrifagreiningu (AIPD) í flestum tilfellum og oft dómaraðila innan CNIL fyrir framkvæmd.

Hagnýtar skyldur HR-deilda

Skrá yfir meðhöndlunarstarfsemi

Sérhver stofnun sem starfar með 250 eða fleiri starfsmenn verður að halda skrá yfir meðhöndlunarstarfsemi (30. gr. RGPD). Fyrir neðan þá viðmiðun heldur skyldan um að sé ekki tilfallandi meðhöndlun eða fjallar um viðkvæm gögn – sem er nær alltaf í HR. Skráin verður að skjala:

• Tilgang hverrar meðhöndlunar (td. „launastjórnun")

• Flokka gagnanna sem um ræðir

• Viðtakendur (þriðju aðilar, undirverktakar, yfirvaldir)

• Varðveislutíma

• Öryggisaðgerðir sem innleiddar eru

CNIL hefur frumútgáfu skráar sem hægt er að sækja ókeypis. Ströng framfylgn myndar fyrstu varnalínu ef eftirlit fer fram.

Varðveislutímar: oft vanræktur punktur

1. gr. RGPD kveður á um takmarkaðan varðveislutíma: gögn mega ekki geymd lengur en nauðsynlegt er til tilgangs söfnunar. Í HR eru lagalegar viðmiðunartímar eftirfarandi:

| Gagnaflokki | Ráðlagður varðveislutími | |---|---| | Launaseðill | 5 ár (borgaralegur fyrirframgreiðslutími) | | Starfssamningur | 5 ár eftir endalok samnings | | Ráðningargögn (óvalinn umsækjandi) | Hámark 2 ár eftir síðustu tengsla | | Agadeildarskrá | Breytilegur tími eftir refsingu (hámark 3 ár fyrir áminningu) | | Myndbandaeftirlit | 1 mánuður sem stjórnunarregla | | Opinber launaskýrsla og starfsmannaskrá | 5 ár eftir brottgang starfsmanns |

Þessir tímar verða að vera skráðir í skrá og framkvæmdir með hreinsunar- eða geymsluvverkum.

Tilkynning starfsmanna: oft vanmetin skylda

1. gr. RGPD kveður á um að veita fullkomna tilkynningaskilaboð aðilum við söfnun gagna. Í HR skal tilkynning, helst, afhent:

• Við umsóknina: fyrir gögn sem söfnuð eru við ráðningarferli.

• Við ráðningu: samþætt í starfssamning eða afhent sem viðhengi við undirritun.

• Á meðan á starfssambandum stendur: fyrir hverja nýja meðhöndlun (td. dreifing á lífmerkisgrunni).

Stafræn umbreyting innleiðingarferlis, sérstaklega með rafrænni undirritun fyrir HR, auðveldar rakanir tilkynninga: dagsetning lestur og undirskriftar tilkynningu er tímasett á áreiðanlegum hætti, sem er dýrðleg sönnun ef deilur koma upp.

Öryggi HR-gagna: tæknileg og skipulagsöryggisaðgerðir

Dulkóðun, aðgangsstjórnun og einangrun

1. gr. RGPD krefst aðgerða sem eru aðlöguð áhættu. Fyrir HR-gögn, sem eru í eðli sinni viðkvæm og sótuð við innrásir, eru lágmarksviðmiðanir:

• Dulkóðun gagna í stöðu og flutníngi: launaskrár, samningar og persónulegir skjöl verða að geymd dulkóðuð (AES-256 að lágmarki) og send með öruggu samskiptastaðli (TLS 1.3).

• Aðgangsstjórnun byggð á hlutverkum (RBAC): aðeins heimilaðir HR-stjórnendur fá aðgang að launagögnum; stjórnandi teymis fær aðeins gögn sem nauðsynleg eru fyrir stjórnun.

• Aðgangskladdi: allt eyrnir starfsmannaskrá verður að vera skráð með auðkenni notanda, dagsetningu og tíma.

• Dulgervingu fyrir greiningarvinnslu (HR-borð, launarannsóknir).

Stjórnun undirverktaka í HR

HR-deildir treysta á marga undirverktaka: HR-kerfisverk, framboð á launavinnslu, þjálfunarsamtar, verkfæri til ráðninga á netinu. Hver þessara aðila verður að hafa samning um undirverktakastarfsemi samkvæmt 28. gr. RGPD, sem tilgreinir meðal annars:

• Eðli og tilgang undirverktakastarfseminnar

• Skyldur undirverktakans varðandi öryggi og trúnað

• Bann við undirverktakavinnu án fyrirfram samþykkis

• Aðferðir við afhendingu eða eyðingu gagna við lok samnings

Við val á þjónustuveitanda skal einnig athuga hvort netþjónar hans séu staðsettir innan Evrópska efnahagssvæðisins (EES) eða hvort fullnægjandi flutningskerfi (staðlaundar samninga, fullnægjanlegir ákvarðanir) sé til staðar fyrir flutning utan EES.

Stafræn umbreyting HR-gagna og RGPD samræmi

Vaxandi stafræni umbreyting HR-ferla – rafræn starfssamningar, stafræn laun, kjaraaukasamningar með fjarmörkun – vekur sérstakar RGPD-áhyggjur. Þó að rafrænnar undirskriftar í samræmi við eIDAS giði óumhugganlegri fullvissu um heilleika og ótvíræðni, verður vinnuveitandi að tryggja að verkfærið sem notað er:

• Söfni ekki óþarfa gögnum við undirskriftarferlið (lágmarkskennsetning, gr. 5.1.c)

• Viðhaldi sönnunargögnum undirskriftar (endurskóðun) á öruggu ástandi og í viðeigandi tíma

• Heimilar æfingu réttinda undirritara (aðgangur, leiðrétting, eyðing innan lagalegra takmarkana)

Fyrir dýpri innsýn í samræmi undirskriftarverkfæra, heildarhandbók um rafræna undirskrift Certyneo lýsir tæknilegum og lagalegum viðmiðum sem á að athuga fyrir dreifingu.

Réttindi starfsmanna og raunveruleg æfing þeirra

Yfirlit yfir réttindi sem RGPD tryggt

Starfsmenn njóta allra réttinda sem kveðið er á um í 15.–22. gr. RGPD. Í HR-samhengi eru oftast æfðu réttindin:

• Aðgangsréttur (gr. 15): starfsmaðurinn getur beðið um afrit allra gagna um hann sem vinnuveitandi heldur, þar með talið fagleg tölvupóst í ákveðnum tilfellum.

• Réttur til leiðréttingar (gr. 16): lagfæring ónæks gagna (villabankareikning, rangt stærðfræðidiplóma, osfrv.).

• Réttur til eyðingar (gr. 17): takmarkaður í HR af lagalegum varðveisluskyldum, en má beita á ráðningargögn óvalins umsækjanda.

• Andmælaréttur (gr. 21): má æfa á meðhöndlun sem byggir á lögmætum hagsmunum, svo sem ákveðnum eftirlitsaðgerðum.

• Flutningsréttur (gr. 20): gildir gögn sem starfsmaðurinn hefur sjálf veitt í framkvæmd samnings.

Svarfrestur og innri aðferðir

Vinnuveitandi hefur einn mánuð til að svara hvaða beiðni um æfingu réttinda sem er, frestur sem má framlengja í þrjá mánuði ef flókið er eða stór magn beiðna (gr. 12.3). Til að skipuleggja þessa úrvinnslu á skilvirkan hátt er mælt með að:

• Tilnefna einn tengiliðir (DPO eða RGPD ábyrgjandi) til að taka við beiðnum

• Setja upp sérstakan eyðublað sem aðgengilegt er starfsmönnum

• Skjalfesta hverja beiðni og svar í skrá yfir beiðnir um æfingu réttinda

• Þjálfa HR-stjórnendur til að greina óbeinan beiðni (starfsmaðurinn sem biður um „skrá sína" æfir í raun aðgangsrétt)

Hlutverk DPO í fyrirtæki

RGPD gefur umboð til að tilnefna Gagnaverndarfulltrúa (DPO) í þremur tilfellum (gr. 37): opinberir aðilar, meðhöndlun í stórumfangi viðkvæmra gagna, eða kerfisbundin eftirlits í stórumfangi. Mörg fyrirtæki þar sem HR-meðhöndlun er umtalsverð falla undir þessa skyldu. DPO getur verið innri eða útveggur; hann verður að vera óháður og hlutaðeigandi öllum ákvörðunum sem hafa áhrif á gagnavernd, þar með talið dreifingu nýrra HR-tólanna. Hlutverk hans er ráðgefandi en ekki ákvarðandi: ábyrg er endanleg ábyrgð yfirvaldsins, það er vinnuveitandans.

Lagalegur rammi fyrir meðhöndlun HR-gagna

RGPD: grundhöll reglugerðar

Reglugerð (ESB) 2016/679 frá Evrópuþinginu og ráðherra 27. apríl 2016 (RGPD) myndar grunninn að meðhöndlun persónuupplýsinga í Evrópu. Beint gildandi í öllum aðildarríkjum frá 25. maí 2018, gildir hún fyrir alla vinnuveitendur sem meðhöndla gögn starfsmanna sem dvelja í ESB, óháð því að hvaða þjóð fyrirtækið tilheyrir. Helstu greinarnar sem gilda um HR-samhengi eru:

• 5. gr.: meginreglur (lögmæti, hollusta, gagnsæi, lágmörkun, nákvæmni, varðvörslu takmarkaðar, heilleika og trúnaðar, ábyrg)

• 6. gr.: lagalegar grundvellir meðhöndlunar

• 9. gr.: kerfi viðkvæmra gagna

• 12.–22. gr.: réttindi aðila

• 24.–32. gr.: skyldur meðhöndlunar- og undirverktakaaðila

• 33.–34. gr.: tilkynning um gagnabrotur (72 klukkustundir til CNIL, og tilkynning aðila ef há áhætta)

• 35. gr.: gagnaverndaráhrifagreining (AIPD) áskilin fyrir meðhöndlun með mikilli áhættu

• 83. gr.: stjórnsýslurefsingar (allt að 20 M€ eða 4% af árlegum CA um allan heim)

Endalok og breytingar á gagnalögum

Í frönsku löggjöf, lög nr. 78-17 frá 6. janúar 1978 um stafræna og gagnavernd, breytt með lögum nr. 2018-493 frá 20. júní 2018 og reglugerð nr. 2018-1125 frá 12. desember 2018, bætir RGPD með að opna þjóðarrýmum (greinandi „sálir"). Þær mikilvægustu í HR: geta meðhöndluð stéttarfélög gögn innan stjórnunar fulltrúadeilda starfsmanna (9. gr. laganna), eða sérstakar reglur um meðhöndlun heilsugagna vinnustaðar.

Vinnulög og réttarleg dómaframkvæmd

Vinnulög knýja á um á upplýsingagjöf og ráðgjöf Félags- og efnahagsnefndar (CSE) áður en dreifing á eftirlits- eða eftirlitsaðgerðum starfsmanna (L. 2312-38 grein). Skortur á samráði veitir sannanir óbeita og refsiverðri viðurlögum.

Dómstólarúrskurður gætir reglulega að eftirlitsverkfæra (staðsetning, sveip, aðgreining virkni) verður vera í réttu hlutfalli við tilgang og má ekki nota til annarra tilgangs en þeirra sem kynntir eru starfsmönnum og CNIL.

Rafrænir undirskriftir HR-gagna: eIDAS og borgaralög

Við stafræna umbreytingu starfssamninga, kjaraaukasamn eða agaskjala verður vinnuveitandi að hlíta Reglugerð (ESB) nr. 910/2014 eIDAS, sem skilgreinir þrjú stig rafrænnar undirskriftar. Fyrir jafn skipulegga skjöl og opinber starfssamningur eða samningsslitun, er framafar rafrænur undirskrift (eða styrkt) mælt með því að tryggja auðkenni undirritara og heilleika skjals. Borgaralög 1366 og 1367 dómar fullgildingu ritunar og rafræns undirskrifts, með skilyrðum áreiðanlegrar auðkenningar og heilleika

.

Sektir CNIL á HR-sviði

CNIL hefur lagt á nokkrar miklar sektir á HR-meðhöndlun: árið 2022 var fyrirtæki dæmt 400.000 € sekti fyrir óhóflegt eftirlit með starfsmönnum í fjarvinnu með skjálöggum. Árið 2023 varðaði öryggisgæðir 200.000 € sekti fyrir óhóflega söfnun lífverknigagna án gildrar lagalegrar grundvallar. Þessar dómaúrskurðir sýna vaxandi kostun eftirlitsaðila á þessu sviði.

Notkunarsviðsmyndir: RGPD HR í framkvæmd

Sviðsmynd 1 — Meðalstór iðnaðarfyrirtæki með 450 starfsmenn setur ráðningarferli sitt í samræmi

Meðalstórt iðnaðarfyrirtæki með um 450 starfsmenn á þremur stöðum var móttekin um 3.000 óhefðbundnar umsóknir á ári og svaraði um 60 auglýsingum um atvinnuþörf. Ferill og bréf voru geymd án takmarkana í sameignarlegum tölvupósti milli sex deildarstjóra. Engin tilkynning um RGPD var gefin umsækjendum um notkun gagna þeirra.

Eftir endurskoðun RGPD voru eftirfarandi aðgerðir framkvæmdar á sex mánuðum:

• Flutningur á ATS (kerfi til að fylgjast með umsóknum) sem votað er fyrir RGPD, með sjálfkrófri eyðingu skráa eftir 24 mánuði án virkni

• Bæting á tilkynningum um RGPD í öllum umsóknarmyndum á netinu

• Rafrænur undirskriftir á ráðningarbréfum og starfssamningum í gegnum vettvang sem fylgir eIDAS, sem minnkaði tíma skila á samningum frá meðaltali 8 dögum í innan við 48 klst.

• Uppfærsla skrár yfir meðhöndlunarstarfsemi með 12 nýjum HR-meðhöndlunarskrám

Niðurstaða: engar beiðnir frá CNIL á 18 mánuðum á eftir; áætlaður hagnaður 1,2 starfsmannaárgerða við stjórnun ráðningarferlisins með stafrænu breytum.

Sviðsmynd 2 — Dreifingarfyrirtæki með 1.200 starfsmenn setur reglur um myndbandaeftirlit

Dreifingarfyrirtæki sem sérhæfir sig í matvælasölu hafði dreift myndbandaeftirlitskerfi yfir 34 verslanir. Myndir voru geymdar 45 dögum á sumum stöðum, án upplýsinga fyrir starfsmenn. Margar myndarar þökkuðu þökkun staðbundnar eftir því jafnt og þétt, sem skapaði óhóflega eftirlitsáhættu.

Eftir kvörtun starfsmanns til CNIL hóf fyrirtækið samræmisstarf sem innihélt:

• Minnkun á varðveislutíma í 30 daga í mesta lagi á öllum stöðum

• Endurstaðsetning myndarakerta til að útiloka stöðugt eftirlit á einstökum vinnustöðum

• Ráðgjöf og samþykki Félags- og efnahagsnefndar fyrir hverja nýja dreifingu

• Kerfisbundin tilkynning til starfsmanna í gegnum starfssamninga og innri reglur sem birtar eru

Niðurstaða: lokun á kvörtun CNIL án sektar; bættir samgongur starfsmanna sem mældir voru við árlegri síðari ánægjukönnun (+11 stig á því atriði „traust til vinnuveitanda").

Sviðsmynd 3 — HR ráðgjafafyrirtæki sem útvistað verk tryggir gagnaflutning við viðskiptavini

HR-ráðgjafafyrirtæki sem sérhæfir sig í útvistaðri launavinnslu og stjórnun starfsmanna stjórnaði skrám starfsmanna fyrir um 20 lítil og meðalstór fyrirtæki, sem eru um 1.800 launaseðlar mánaðarlega. Launaskrár voru sendar með ódulkóðuðu tölvupósti, án undirverktakasamnings samkvæmt 28. gr. RGPD.

Fyrirtækið hóf endurbyggingu sinnar fyrir allt:

• Undirritun Gagnavinnslusamnings (DPA) samkvæmt 28. gr. með hverjum viðskiptavini, í gegnum vettvang rafrænnar undirskriftar sem leyfir rakanlega

• Setja upp öruggan viðskiptavinavettvang (TLS dulkóðun + tvöfalt auðkenning) til að leggja inn og sækja launaskrár

• Geymsla gagna á netþjónum staðsettum í Frakklandi, vottaðir fyrir heilsugögn

• Ritation stefnu um undirverktakun sem setur reglur um notkun þriðju aðila (launakerfissmiðir, geymslur)

Niðurstaða: 100% minnkun á HR-gagnaflutningi með óöruggu tölvupósti; fá tveggja nýrra viðskiptavinasamningen sem gerðu RGPD-samræmi að skyldu valviðmiðun í beiðnum um tilboð.

Ábending

RGPD í HR takmarkast ekki við viðbótarskrifstofustörf: það er traust á milli vinnuveitanda og starfsmanna og samkeppnisþáttur á vinnumarkaði þar sem gagnsæi er sífellt metið. Skrá yfir meðhöndlun í gangi, varðveislutímar stjórnaðir, tilkynningar starfsmanna formlegir, aukið öryggi viðkvæmra gagna og undirverktakar samningslegir: hver þessara stöðva stuðlar að því að byggja HR-stefnu sem er lögleg og ábyrg.

Stafræn umbreyting HR-gagna – samningar, kjaraaukar, launaseðlar, tilkynningaskjöl – býður einstakt tækifæri til að sameina RGPD samræmi og gagnsemi í rekstri, með því skilyrði að reiða sig á vottuð verkfæri. Certyneo fylgir þér með rafrænni undirritunarlausn samkvæmt eIDAS, hönnuð fyrir HR-teymi. Kynntu þér okkar verðlagningu og byrjaðu frían prófun á Certyneo til að tryggja HR-skjöl þín strax í dag.