RGPD en RH : Traitement des Données des Collaborateurs

인적자원 관리는 매일 방대한 양의 개인 데이터를 생성합니다 : 근로 계약, 급여 명세서, 건강 데이터, 성과 평가, 은행 계좌 정보... 2018년 5월 개인정보보호규정(RGPD)이 발효된 이후, HR 부서는 조직 내 규정 준수의 핵심 행위자가 되었습니다. 그럼에도 불구하고 CNIL의 2024년 활동 보고서에 따르면, 인적자원 부문은 검사 중 가장 빈번하게 문제가 제기되는 세 가지 영역 중 하나입니다. 이 문서는 직원 데이터를 완벽한 규정 준수로 처리하기 위한 핵심 의무, 모범 사례 및 사용 가능한 도구를 안내합니다.

HR에서 어떤 개인 데이터를 처리합니까?

일반적인 데이터 범주

HR 부서는 매우 광범위한 개인 데이터를 다룹니다. 두 가지 큰 범주로 구분됩니다 :

일반 데이터는 근로 계약 범위 내에서 수집됩니다 : 이름, 성, 주소, 사회보장번호, 은행 계좌 번호, 이력서, 학위, 직무 이력, 연간 평가, 근무 시간, 근태 데이터.

민감한 데이터는 RGPD 제9조의 의미에서 강화된 제한 대상입니다 : 건강 데이터(병가, 산업재해 신고, 의료 제한), 노조 데이터(노조 가입, 대표 임무), 특정 채용 상황에서의 형사 유죄 판결과 관련된 데이터.

후자는 규정에서 명시된 명시적 예외 조항을 전제로만 처리할 수 있습니다 — 예를 들어 노동법 의무 이행 또는 당사자의 명시적 동의.

채용의 특수한 경우

채용 단계는 종종 부적절하게 규제되는 특정 처리를 생성합니다. 이력서, 자기소개서 및 시험 결과 수집은 정확한 보관 기간을 포함합니다 : CNIL의 권장 사항에 따르면, 선발되지 않은 지원자의 데이터는 마지막 연락 후 최대 2년 이내에 삭제되거나 익명화되어야 합니다. 비보안 공유 디렉토리에서 이력서를 무한정 보관하는 것은 명확한 위반입니다.

ATS(지원자 추적 시스템)의 추적 도구 또는 행동 분석 알고리즘 사용은 RGPD 제13조 및 제14조에 따라 지원자에게 전달되는 개인정보처리방침에 명시적으로 명시되어야 합니다.

HR 맥락에서의 처리 법적 근거

올바른 법적 근거 파악

RGPD는 모든 개인 데이터 처리가 제6조에 정의된 6가지 법적 근거 중 하나에 기반해야 함을 규정합니다. HR 맥락에서는 주로 3가지 근거가 사용됩니다 :

• 근로 계약의 이행(제6조 1항 b호) : 급여 관리, 휴가 또는 교육에 필요한 데이터 처리를 정당화합니다.

• 법적 의무(제6조 1항 c호) : 필수 사회 신고(DSN), 인사 기록 또는 산업재해 추적에 적용됩니다.

• 정당한 이익(제6조 1항 f호) : 접근 배지 관리 또는 비디오 감시와 같은 처리를 위해 엄격한 균형 테스트의 조건으로 주장할 수 있습니다.

반면 동의(제6조 1항 a호)는 근무 맥락에서 취약한 법적 근거입니다 : CNIL과 유럽 데이터 보호 위원회(EDPB)는 고용주와 직원 간의 구조적 불균형이 자유로운 동의 증명을 어렵게 한다고 강조합니다. 최후의 수단으로만 사용해야 합니다.

처리 기록, 필수 의무

최소 250명을 고용하거나 소규모로 민감한 데이터를 처리하는 모든 조직은 처리 활동 기록(RGPD 제30조)을 유지해야 합니다. HR에서 이 기록은 각 처리에 대해 다음을 문서화해야 합니다 : 목적, 데이터 범주, 수령자, 보관 기간 및 구현된 보안 조치.

이 문서는 검사 시 CNIL에 제공할 수 있으며, 귀중한 관리 도구이기도 합니다. HR 전용 전자 서명 솔루션과 결합하면 HR 문서의 생명 주기 각 단계를 추적하고 타임스탬프할 수 있어 프로세스의 감사 가능성을 강화합니다.

직원의 권리 및 고용주의 의무

직원 정보 제공 : 즉시 의무

RGPD 제13조는 데이터 수집 시 당사자에게 정보를 제공하도록 규정합니다. 실제로 HR은 직원들에게 — 이상적으로 근로 계약 서명 시 — RGPD 정보 공지를 제공해야 하며, 이는 다음을 상세히 설명합니다 : 처리 담당자의 신원, 목적 및 법적 근거, 보관 기간, 이용 가능한 권리 및 회사가 보유한 경우 데이터 보호 담당자(DPO)의 연락처.

이 교환을 디지털화하고 보안하는 것은 필수입니다. 기업 전자 서명을 사용하여 이 공지를 전달하면 타임스탬프된 증명과 이의 없는 전달을 보장하며 eIDAS 규정의 요구 사항에 부합합니다.

반드시 준수해야 할 직원의 권리

직원은 자신의 데이터에 대해 광범위한 권리를 가집니다 :

• 접근권(제15조) : 모든 직원은 고용주가 처리하는 자신에 대한 모든 데이터 사본을 요청할 수 있습니다.

• 정정권(제16조) : 부정확한 데이터 수정(예 : 우편 주소, 은행 계좌).

• 삭제권(제17조) : 특히 계약 종료 후 법정 보관 기간 경과 후 적용 가능합니다.

• 반대권(제21조) : 직원은 정당한 이익에 기반한 처리에 반대할 수 있습니다.

• 처리 제한권(제18조) : 분쟁 처리의 임시 동결.

고용주는 모든 권리 행사 요청에 1개월 이내에 응답해야 하며, 복잡한 경우 3개월까지 연장 가능합니다(RGPD 제12조).

HR 데이터 보안 및 하청인 관리

기술적 및 조직적 조치

RGPD 제32조는 "위험에 적절한" 보안 조치 구현을 규정합니다. HR 데이터의 경우, 모범 사례에는 다음이 포함됩니다 :

• 민감한 데이터(급여 명세서, 의료 파일)를 포함하는 파일의 암호화.

• 접근 제어 : 최소 권한 원칙 — 급여 담당자는 징계 데이터에 접근할 수 없습니다.

• HR 시스템(SIRH, 급여 도구)에 대한 접근 로깅.

• 위반 대응 계획 : 데이터 유출 시, 고용주는 CNIL에 72시간 이내에 알려야 하며(제33조), 위험이 높으면 잠재적으로 당사자에게도 알려야 합니다(제34조).

전자 서명 가이드를 통한 완전한 감사는 HR 팀이 종이 매체에 지속되는 비보안 처리를 식별하고 이를 규정 준수 방식으로 디지털화하는 데 도움이 될 수 있습니다.

DPA로 HR 서비스 제공자 규제

HR 서비스는 많은 하청인에게 의존합니다 : 급여 소프트웨어, 교육 플랫폼, 시간 관리 도구. 개인 데이터에 접근하는 모든 서비스 제공자는 RGPD 제28조에 따라 데이터 처리 계약(Data Processing Agreement — DPA)의 대상이어야 합니다. 이 계약은 처리 지침, 보안 보장, 데이터 복원 또는 파기 양식, 위반 시 의무를 명시해야 합니다.

유럽연합 내에 인프라를 호스팅하거나 위원회가 승인한 표준 계약 조항(SCC)으로 규제되는 서비스 제공자를 선택하는 것은 EU 외부의 위법한 전송을 피하기 위한 근본적인 요구 사항으로 남아 있습니다.

보관 기간 : 구조적 문제

직원 파일에 적용되는 법정 기간

HR 데이터의 보관 기간은 RGPD(보관 기간 제한 원칙, 제5조 1항 e호), 근로 기준법 및 다양한 세금 및 사회 규정의 중복으로 규제됩니다. 실제로 준수해야 할 주요 기한은 :

| 문서 유형 | 최소 보관 기간 | |---|---| | 급여 명세서 | 5년(사회 제약 시효) | | 근로 계약 | 계약 종료 후 5년 | | 급여 데이터(DSN) | 3년(URSSAF 검사) | | 인사 기록 | 직원 퇴사 후 5년 | | 징계 데이터 | 조치에 비례하는 기간 | | 의료 파일(직업 의학) | 50년(특정 규정) |

SIRH에서 자동 보관 및 정제 정책 구현, 전자 서명 워크플로우와 결합하여 문서 생성을 타임스탐프하면, CNIL에 규정 준수를 증명하는 현재의 모범 사례입니다.

피해야 할 함정

CNIL 검사 중 HR 데이터와 관련하여 가장 자주 관찰되는 오류는 : 선발되지 않은 지원자의 CV 무한정 보관, 이전 직원의 IT 접근 유지, 급여 파일 내보내기의 암호화 부재, 법정 기한 초과 후 배지 데이터 미삭제입니다. 이러한 문제를 안전하게 보호하려면 전자 서명 솔루션 비교를 통해 기본적으로 증명 가능한 보관 및 문서 생명 주기 관리 기능을 통합한 도구를 식별할 수 있습니다.

HR 데이터 처리에 적용되는 법적 프레임워크

직원의 개인 데이터 처리는 여러 규제 수준을 조율하는 밀집된 규범적 프레임워크에 포함됩니다.

규정(EU) 2016/679 — RGPD는 기초가 됩니다. 제5조에서 11조까지는 기본 원칙을 정의합니다(적법성, 성실성, 투명성, 목적 제한, 데이터 최소화, 정확성, 보관 제한, 무결성 및 기밀성). 제9조는 건강 및 노조 데이터와 같이 HR에서 특히 빈번한 특별 카테고리의 데이터에 적용되는 엄격한 조건을 설정합니다. 제83조는 심각한 위반 시 2천만 유로 또는 세계 매출액의 4%에 달할 수 있는 벌금을 규정합니다.

1978년 1월 6일 정보 및 자유에 관한 법률 n° 78-17, 통합 버전으로 수정됨, RGPD를 프랑스 법에 적용합니다. CNIL에 검사 및 제재 권한을 부여하며, 특히 직업 의학의 건강 데이터에 대한 부문별 예외를 규정합니다.

근로 기준법은 직원 감시와 관련된 처리를 규제합니다(개인 생활 존중에 관한 제L. 1121-1조), 수치 도구에 대한 인사 담당자 협의(제L. 2312-38조), 필수 기록.

규정 eIDAS(n° 910/2014), eIDAS 2.0(규정 EU 2024/1183)으로 보완됨, HR 문서에 적용된 전자 서명의 법적 가치를 규제합니다. 규정 eIDAS의 부록 I을 준수하고 ETSI EN 319 132 및 ETSI EN 319 122 표준을 따르는 적격 전자 서명(QES)은 프랑스 민법 제1367조의 의미에서 필기 서명과의 동등성 추정을 제공합니다.

민법 제1366조는 "전자 문서는 종이 매체 문서와 동일한 증명력을 가지며, 그 원천이 되는 사람이 적절하게 식별될 수 있고 그 진정성과 무결성을 보장하는 조건에서 작성되고 보관되는 한 성립합니다"라고 규정합니다. 이 규정은 근로 계약, 수정안, 기밀유지 계약 및 기타 디지털화된 HR 문서에 직접 적용됩니다.

NIS2 지침(EU 2022/2555), 2025년 2월 26일 프랑스 법으로 전치됨, 필수 및 중요 엔티티(특히 대규모 산업 회사 및 디지털 서비스 운영자)에 민감한 HR 데이터 보호를 포함한 정보 보안 관련 위험 관리에 대한 강화된 요구 사항을 부과합니다.

CNIL이 선고하는 제재는 증가 추세입니다 : 2024년, 총 벌금액이 1억 유로를 초과하며, 직원 데이터 관리의 위반을 직접 포함하는 여러 결정이 있습니다. 보관 기간 미준수, 하청인 RH와의 DPA 부재, 불충분한 보안 조치는 가장 자주 유죄로 판단되는 위반 사항입니다.

시나리오 : HR에서 실제 RGPD 규정 준수

시나리오 1 — 450명의 직원을 가진 중규모 산업 회사가 온보딩 프로세스를 디지털화합니다

프랑스의 세 곳에 분포한 규모의 산업 회사는 지금까지 근로 계약 및 수정안을 종이에서 관리했습니다. 신입 직원의 파일은 평균 업무일 12일 후 급여 서비스에 전달되었으며, 약 8%의 경우에서 급여 오류가 발생했습니다. 게다가 공식적인 방식으로 신입 직원에게 RGPD 공지가 전달되지 않았습니다 : 정보는 단순히 별도로 서명되지 않은 회사 규칙 하단에만 나타났습니다.

SIRH에 통합된 전자 서명 솔루션 배포 후, DRH 및 직원이 동시에 공동 서명한 RGPD 공지 제공과 함께, 회사는 온보딩 문서 기한을 2업무일로 단축했습니다(83% 감소). 누락된 데이터로 인한 급여 오류는 1% 미만으로 감소했습니다. 각 서명 문서는 적격 타임스탐프와 함께 보관되어 CNIL 검사 또는 노동 분쟁의 경우 대항할 수 있는 증명을 제공합니다.

시나리오 2 — 1,200명의 직원을 가진 유통 그룹이 보관 정책을 규정 준수합니다

전문 유통 분야에서 운영 중인 그룹은 이전 직원의 민원 이후 CNIL 검사를 받았습니다. 검사 결과, 8년 이상 전에 퇴사한 직원의 급여 데이터를 포함하는 Excel 파일이 여전히 보안되지 않고 암호화되지 않은 공유 서버에서 접근 가능함을 드러냈습니다. 공식적인 경고가 선언되었고, 3개월 내에 규정 준수 의무가 부과되었습니다.

그룹은 그 후 HR 처리에 대한 완전한 감사를 수행하고, 23개의 처리 활동을 지도화했으며, SIRH가 트리거하는 자동 정제 계획을 구현했습니다. 전자 서명 문서는 법적 의무에 따라 설정된 보관 기간을 가진 디지털 금고로 마이그레이션되었습니다. DPO는 완전한 HR 처리 기록을 제작했으며, 이후 검사 시 CNIL에 제시되었고, 18개월 후 추가 조치 없이 종료되었습니다. 규정 준수 비용은 잠재적 벌금 금액의 60% 미만으로 추정되었습니다.

시나리오 3 — 35명의 컨설턴트를 가진 HR 컨설팅 회사가 자체 컨설턴트 및 클라이언트 데이터를 보안합니다

전문화된 HR 회사는 자체 컨설턴트의 데이터와 고객 회사의 지원자 및 직원의 데이터를 모두 관리합니다(평가 또는 아웃플레이스먼트 미션 범위 내). 따라서 자신의 HR의 책임 있는 처리자이자 제3자 데이터의 하청인 (또는 공동 책임자)의 이중 위치에 처합니다.

회사는 차별화된 문서 아키텍처를 구현했습니다 : 일반적인 내부 교환을 위한 단순 전자 서명, 클라이언트와의 계약 미션을 위한 고급 서명, 데이터 처리 계약(DPA)은 미션 편지에 체계적으로 통합됩니다. 컨설턴트는 모두 최신 RGPD 규칙을 전자 서명으로 받았으며 전용 기록에 보관되었습니다. 이러한 조직으로 회사는 엄격한 공급자 감사의 대상인 대규모 고객에게 규정 준수를 상업적 주장으로 표시할 수 있었으며, 평균 계약 기간을 7에서 2주로 단축했습니다.

결론

RGPD는 인적자원 부서에 그들의 관행에 대한 깊은 변환을 부과합니다 : 법적 근거의 엄격한 식별, 직원에 대한 효과적인 정보, 권리 관리, 하청인의 계약적 규제, 데이터 보안 및 보관 기간 준수. 이러한 의무는 단순한 행정 절차가 아닙니다 — 회사가 여러 백만 유로에 달할 수 있는 제재를 피하고 자신의 팀의 신뢰를 유지할 수 있는 능력의 조건입니다.

eIDAS 준수 전자 서명 솔루션을 통한 HR 프로세스의 디지털화는 운영 효율성과 규제 규정 준수를 조화시키는 가장 효과적인 수단 중 하나입니다. Certyneo는 고용 계약 서명에서 직원 파일의 보안 보관에 이르기까지 이 전환에서 HR 팀을 지원합니다.

Certyneo가 HR 프로세스를 보안할 수 있는 방법 알아보기, HR 팀 전용 제안을 참조하거나 무료로 시작하여 약정 없이 솔루션을 테스트합니다.