HR 부문의 GDPR: 직원 데이터 처리
작성자 — Certyneo · Certyneo 소개

소개
2018년 5월 25일 GDPR(일반 데이터 보호 규정)이 발효된 이후 HR 부서는 규정 준수의 최전선에 있었습니다. 인사 부서에서는 이력서, 급여명세서, 건강 데이터, 평가, 은행 정보 등 민감한 개인 데이터를 매일 처리합니다. 부실한 경영으로 인해 회사는 최대 2천만 유로 또는 전 세계 매출의 4%에 해당하는 제재를 받을 수 있습니다(GDPR 제83조). 이 문서에서는 HR 주기 전반에 걸쳐 직원 데이터 처리를 보호하기 위한 주요 의무와 모범 사례를 제시합니다.
HR 데이터에 적용되는 기본 원칙
GDPR은 5조에 성문화된 6가지 기본 원칙(합법성, 충성도, 투명성, 목적 제한, 최소화, 정확성, 보존 제한 및 무결성/기밀성)을 부과합니다. 실제로 이는 HR 부서가 특정 목적에 꼭 필요한 데이터만 수집할 수 있음을 의미합니다. 예를 들어, 지원 시 사회보장번호를 묻는 것은 불균형적입니다. 이는 DSN을 고용한 후에만 정당화됩니다.
CNIL은 심의 번호를 통해. 인사 관리와 관련된 2019-160에는 권장 보존 기간이 명시되어 있습니다. 실패한 신청의 경우(동의하지 않는 경우) 2년, 행정 파일의 경우 출발 후 5년, 고용주 버전의 급여 명세서는 6년입니다.
직원을 위한 법적 근거 및 정보
통념과는 달리, 동의는 종속 관계로 인해 HR에서 적절한 법적 근거가 되는 경우가 거의 없습니다. 관련 근거는 오히려 고용 계약의 이행(6.1.b조), 법적 의무(6.1.c조) 또는 정당한 이익(6.1.f조)입니다. 민감한 데이터(건강, 노동조합)의 경우 9조는 노동법상의 의무와 같은 구체적인 근거를 요구합니다.
고용주는 채용 시 제공되는 GDPR 통지를 통해 명확한 정보를 제공하고, 처리 등록을 업데이트하고(30조), 직원에게 영향을 미치는 새로운 처리가 있기 전에 CSE와 상의해야 합니다(노동법 L.2312-38조).
직원의 보안 및 권리
기술 및 조직 보안(32조)에는 HRIS 암호화, 프로필에 따른 액세스 제어, 상담 추적성, 급여 또는 채용 하청업체의 기밀 유지 조항(28조)이 필요합니다. 위반 시 72시간 이내에 CNIL에 통보합니다.
직원은 액세스, 수정, 삭제(법적 보존 의무에 따라 제한됨), 이동성, 반대 등 강화된 권리를 갖습니다. 내부 절차에서는 최대 한 달 이내에 응답을 허용해야 합니다. 징계 파일에 대한 접근 거부는 법적으로 정당해야 합니다.
실제 사례
예시 1 – 채용:SME는 모든 후보자의 이력서를 5년 동안 공유 폴더에 보관했습니다. 비준수: 과도한 기간, 보안 부족. 해결책: 2년 후 자동 삭제, 채용 담당자에 대한 액세스 제한, 채용 제안에 GDPR 언급.
예 2 – 비디오 감시:물류 창고에서 워크스테이션을 지속적으로 촬영합니다. 가능한 제재(CNIL은 2024년에 Amazon France Logistique에 3,200만 유로를 제재함). 해결책: 민감한 영역, 개인정보, CSE 상담, 보존 기간을 최대 1개월로 제한합니다.
예 3 – 공동 작업 도구:모니터링 기능이 활성화된 경우 Microsoft 365 배포에는 영향 분석(AIPD)이 필요하며 게시자와의 규정을 준수하는 하도급 계약 조항도 필요합니다.
규정 준수 및 제재
고용주는 CNIL 벌금 외에도 개인 정보 침해에 대한 산업 재판소 소송에 노출됩니다(민법 제9조, 노동법 L.1121-1조). 대규모로 데이터를 처리하는 기업에는 DPO 지정이 필수입니다. 관리자 교육과 결합된 HR 처리의 연간 매핑은 최고의 법적 및 운영적 보호를 구성합니다.
결론
HR 부문의 GDPR 준수는 일회성 프로젝트가 아닌 지속적인 개선 프로세스입니다. 법적 의무, 직원 권리, 운영 성과 사이에서 HR 관리자는 데이터 거버넌스를 엄격하게 관리해야 합니다. 규정을 준수하는 HRIS에 투자하고 팀을 교육하고 각 처리를 문서화하면 규제 제약이 직원 신뢰의 지렛대로 변합니다.
주제 더 알아보기
이 주제와 관련된 참고 자료.