GDPR í HR: Vinnsla starfsmannagagna

Inngangur

Frá gildistöku almennu persónuverndarreglugerðarinnar (GDPR) þann 25. maí 2018, hafa starfsmannadeildir verið í fremstu víglínu. Starfsmenn starfsmanna vinna viðkvæmar persónuupplýsingar daglega: ferilskrár, launaseðla, heilsufarsupplýsingar, mat, bankaupplýsingar. Léleg stjórnun afhjúpar fyrirtækið fyrir refsiaðgerðum upp á allt að 20 milljónir evra eða 4% af heimsveltu (83. gr. GDPR). Þessi grein kynnir helstu skyldur og bestu starfsvenjur til að tryggja vinnslu starfsmannagagna í gegnum HR hringrásina.

Grundvallarreglurnar sem gilda um mannauðsgögn

GDPR setur sex meginreglur sem eru lögfestar í 5. grein: lögmæti, tryggð, gagnsæi, takmörkun á tilgangi, lágmörkun, nákvæmni, takmörkun varðveislu og heiðarleika/trúnað. Í reynd þýðir þetta að starfsmannadeild getur aðeins safnað þeim gögnum sem nauðsynleg eru í ákveðnum tilgangi. Til dæmis er óhóflegt að biðja um kennitölu þegar sótt er um: það er aðeins réttlætanlegt eftir ráðningu á DSN.

CNIL, með umfjöllun sinni nr. 2019-160 varðandi starfsmannastjórnun, tilgreinir ráðlagða varðveislutíma: 2 ár fyrir árangurslausar umsóknir (nema samþykki), 5 ár eftir brottför fyrir stjórnsýsluskrá, 6 ár fyrir launaseðla í útgáfu vinnuveitanda.

Lagagrundvöllur og upplýsingar fyrir starfsmenn

Öfugt við almennt trú er samþykki sjaldan viðeigandi lagagrundvöllur í HR, vegna tengsla undirskipunar. Viðkomandi grundvellir eru fremur framkvæmd ráðningarsamnings (gr. 6.1.b), lagaskylda (gr. 6.1.c) eða lögmætir hagsmunir (gr. 6.1.f). Að því er varðar viðkvæm gögn (heilsa, stéttarfélag) krefst 9. gr. sérstakan grundvöll eins og skyldu samkvæmt vinnulögum.

Vinnuveitandinn verður að veita skýrar upplýsingar með GDPR tilkynningu sem gefin er við ráðningu, uppfæra vinnsluskrána (30. gr.) og ráðfæra sig við CSE áður en ný vinnsla hefur áhrif á starfsmenn (grein L.2312-38 vinnulaganna).

Öryggi og réttindi starfsmanna

Tæknilegt og skipulagslegt öryggi (32. gr.) krefst: dulkóðunar á HRIS, aðgangsstýringu eftir prófíl, rekjanleika samráðs, þagnarskylduákvæði við launa- eða ráðningarundirverktaka (28. gr.). Ef um brot er að ræða skal tilkynna til CNIL innan 72 klukkustunda.

Starfsmenn hafa styrkt réttindi: aðgangur, leiðrétting, eyðing (takmörkuð af lagalegum varðveisluskyldum), færanleika, andstöðu. Innri málsmeðferð skal leyfa svar innan eins mánaðar að hámarki. Synjun um aðgang að agaskránni þarf að vera lagalega rökstudd.

Hagnýt dæmi

Dæmi 1 – Ráðning:SME hefur geymt ferilskrár allra umsækjenda í sameiginlegri möppu í 5 ár. Samræmist ekki: óhófleg lengd, skortur á öryggi. Lausn: sjálfvirk hreinsun eftir 2 ár, takmarkaður aðgangur að ráðningaraðilum, GDPR minnst á í atvinnutilboðinu.

Dæmi 2 – Myndbandseftirlit:Flutningavöruhús kvikmyndar stöðugt vinnustöðvar. Möguleg refsiaðgerð (CNIL refsaði Amazon France Logistique upp á 32 milljónir evra árið 2024). Lausn: takmörkun við viðkvæm svæði, einstakar upplýsingar, samráð við CSE, varðveislutími að hámarki einn mánuður.

Dæmi 3 – Samstarfsverkfæri:Uppsetning Microsoft 365 krefst áhrifagreiningar (AIPD) ef vöktunaraðgerðir eru virkjaðar, sem og undirverktakaákvæðis í samræmi við útgefandann.

Fylgni og viðurlög

Auk CNIL sekta er vinnuveitandi uppvís að aðgerðum dómstóla vegna innrásar á friðhelgi einkalífs (9. gr. Civil Code, grein L.1121-1 vinnulaganna). Tilnefning DPO er skylda fyrir aðila sem vinna gögn í stórum stíl. Árleg kortlagning á starfsmannavinnslu, ásamt þjálfun stjórnenda, er besta laga- og rekstrarverndin.

Niðurstaða

GDPR samræmi í HR er ekki einstakt verkefni heldur stöðugt umbótaferli. Milli lagalegra skuldbindinga, réttinda starfsmanna og rekstrarárangurs verða starfsmannastjórar að stýra gagnastjórnun stranglega. Fjárfesting í samræmi við HRIS, þjálfun teyma og skrásetning hverrar vinnslu breytir reglugerðarþvingunum í lyftistöng trausts starfsmanna.