人事における GDPR: 従業員データの処理

はじめに

2018 年 5 月 25 日に一般データ保護規則 (GDPR) が発効して以来、人事部門はコンプライアンスの最前線に立ってきました。人事部門は、履歴書、給与明細、健康データ、評価、銀行口座情報などの機密性の高い個人データを日常的に処理します。経営が不十分な場合、同社は最大 2,000 万ユーロまたは世界売上高の 4% の制裁にさらされることになります (GDPR 第 83 条)。この記事では、人事サイクル全体を通じて従業員データの処理を保護するための主要な義務とベスト プラクティスを紹介します。

人事データに適用される基本原則

GDPR は、第 5 条に成文化された 6 つの基本原則、つまり合法性、忠誠心、透明性、目的の制限、最小化、正確性、保持の制限、完全性/機密性を課しています。実際には、これは、人事部門が特定の目的に厳密に必要なデータのみを収集できることを意味します。たとえば、応募時に社会保障番号を尋ねるのは不当です。DSN に採用された後でのみ正当化されます。

CNILは、その審議番号を通じて、人事管理に関する 2019-160 では、推奨保存期間が指定されています。不合格の申請 (同意がない限り) については 2 年、管理ファイルについては退職後 5 年、雇用主版の給与明細については 6 年です。

法的根拠と従業員向け情報

一般に信じられていることに反して、人事においては従属関係のため、同意が適切な法的根拠となることはほとんどありません。関連する根拠はむしろ、雇用契約の履行（第 6.1.b 条）、法的義務（第 6.1.c 条）、または正当な利益（第 6.1.f 条）です。機密データ (健康、労働組合) については、第 9 条により労働法上の義務などの特定の根拠が求められています。

雇用主は、雇用時に与えられる GDPR 通知を通じて明確な情報を提供し、処理登録簿を更新し (第 30 条)、従業員に影響を及ぼす新たな処理の前に CSE に相談する必要があります (労働法第 L.2312-38 条)。

従業員のセキュリティと権利

技術的および組織的セキュリティ (第 32 条) では、HRIS の暗号化、プロフィールによるアクセス制御、相談の追跡可能性、給与計算または採用の下請け業者との機密保持条項 (第 28 条) が必要です。違反があった場合は、72 時間以内に CNIL に通知します。

従業員の権利は強化されています: アクセス、修正、消去 (法的保持義務によって制限されます)、ポータビリティ、異議。内部手続きにより、最長 1 か月以内に回答できるようにする必要があります。懲戒ファイルへのアクセスの拒否は法的に正当化されなければなりません。

実践例

例 1 – 採用:ある中小企業は、すべての候補者の履歴書を共有フォルダーに 5 年間保管しています。非準拠: 過度の期間、セキュリティの欠如。解決策: 2 年後の自動削除、採用担当者へのアクセスの制限、求人情報への GDPR の記載。

例 2 – ビデオ監視:物流倉庫はワークステーションを継続的に撮影します。制裁の可能性（CNILは2024年にアマゾン・フランス・ロジスティック社に3,200万ユーロの制裁を科した）。解決策: 機密領域に制限、個人情報、CSE への相談、最大 1 か月の保存期間。

例 3 – 共同ツール:Microsoft 365 の展開には、監視機能がアクティブ化されている場合の影響分析 (AIPD) と、発行者との準拠した下請契約条項が必要です。

コンプライアンスと制裁

CNIL の罰金に加えて、雇用主はプライバシーの侵害で労働法廷の訴訟にさらされることがあります (民法第 9 条、労働法第 L.1121-1 条)。 DPO の指定は、大規模にデータを処理する事業体にとって必須です。人事処理の年次マッピングとマネージャーのトレーニングを組み合わせることで、最高の法的および運用上の保護が実現します。

結論

人事部門における GDPR 準拠は、1 回限りのプロジェクトではなく、継続的な改善プロセスです。法的義務、従業員の権利、業務パフォーマンスの間で、人事マネージャーはデータ ガバナンスを厳密に管理する必要があります。準拠した HRIS への投資、チームのトレーニング、各処理の文書化により、規制上の制約が従業員の信頼の手段に変わります。