RGPD žmogiškųjų išteklių valdyme: Darbuotojų duomenų apdorojimas

Žmogiškųjų išteklių vadyba kasdien generuoja didžiulį asmeninių duomenų kiekį: darbo sutartis, algalapius, sveikatos duomenis, veiklos įvertinimus, banko sąskaitų numerius… Nuo Bendrojo duomenų apsaugos reglamento (RGPD) įsigaliojimo 2018 m. gegužę žmogiškųjų išteklių direktyvos tapo pagrindiniais atsakingais asmenimis dėl atitikties reikalavimų visuose organizacijose. Tačiau pagal CNIL 2024 m. veiklos ataskaitą žmogiškųjų išteklių sektorius ir toliau lieka vienas iš trijų sričių, dažniausiai tikrintų inspekciniu būdu. Šis straipsnis padės jums suprasti pagrindinius reikalavimus, geriausias praktikas ir turimus įrankius darbuotojų duomenims apdoroti visiškai atitinkamai.

Kokius asmeniniais duomenis apdoroja žmogiškieji ištekliai?

Įprastų duomenų kategorijos

Žmogiškųjų išteklių skyriai operuoja labai plačiu asmeninių duomenų spektru. Galima išskirti dvi pagrindines grupes:

Įprasti duomenys, renkami darbo sutarties kontekste: vardas, pavardė, adresas, socialinio draudimo numeris, banko sąskaitos duomenys, CV, diplomai, profesinis istorija, metiniai įvertinimai, darbo valandos, dalyvavimo ir neatvykimo duomenys.

Jautrūs duomenys, kuriem galioja RGPD 9 straipsnyje nustatyti sustiprinti apribojimai: sveikatos duomenys (ligos atostogos, darbo nelaimės pranešimai, medicininiai apribojimai), profesinės sąjungos duomenys (narystė, atstovybės mandatai), duomenys apie baudžiamąsias nuobaudas kai kuriuose tiesioginiu priėmimu susijusiuose kontekstuose.

Pastarieji gali būti apdoroti tik vadovaujantis aiškia reglamentu numatytu išimtimi — pavyzdžiui, įvykdžius darbo teisės nustatytas pareigas arba gavus aiškų aptariamo asmens sutikimą.

Specialus priėmimo atvejis

Priėmimo fazė generuoja specifinį apdorojimą, dažnai netinkamai reguliuojamą. CV, motyvacinio laiško rinkimas ir testų rezultatai reiškia tikslius saugojimo laikolepius: pagal CNIL rekomendacijas nepriimtų kandidatų duomenys turi būti ištrinti arba anonimizuoti per dvejus metus po paskutinio kontakto. CV saugojimas neribotą laiką nesaugiame bendrinime kataloge sudaro aiškią pažeidimą.

ATS (Applicant Tracking Systems) sistemose naudojami sekimo įrankiai arba elgesio analizės algoritmai turi būti aiškiai nurodyta kandidatams pristatytos privatumo politikoje, atitinkamai RGPD 13 ir 14 straipsniams.

Apdorojimo teisiniai pagrindai žmogiškųjų išteklių kontekste

Tinkamo teisiniam pagrindui nustatyti

RGPD reikalaus, kad bet kuris asmeninių duomenų apdorojimas remtųsi vienu iš šešių teisinių pagrindų, nurodytų 6 straipsnyje. Žmogiškųjų išteklių kontekste pagrindiniai naudojami trys pagrindai:

• Darbo sutarties įvykdymas (6.1.b str.): pagrindžia apdorojimą, reikalingą algalapio, atostogų ar mokymo valdymui.

• Teisinė prieiga (6.1.c str.): taikoma privalomiems socialiniams deklaravimams (DSN), personalų registrams arba darbo nelaimių stebėsenai.

• Teisėtas interesas (6.1.f str.): gali būti suklaidinti apdorojimui, pvz., prieigos ženklų valdymui ar videovigilancjai, jeigu atlikus griežtą interesų balansavimo testą.

Sutikimas (6.1.a str.) yra priešingai darbo kontekste trapus teisingas pagrindas: CNIL ir Europos duomenų apsaugos komitetas (EDAK) primena, kad struktūrinis darbdavio ir darbuotojo disbalansas apsunkina laisvai duoto sutikimo įrodymą. Jis turėtų būti naudojamas tik kaip paskutinė priemonė.

Apdorojimo registras, neatidėliotina pareiga

Bet kuri organizacija, kurioje dirba mažiausiai 250 žmonių — arba apdorojanti jautrius duomenis mažesnėje apimtyje — turi sudaryti apdorojimo veiklos registrą (RGPD 30 str.). Žmogiškųjų išteklių kontekste šiame registre turi būti dokumentuota kiekvieno apdorojimo: tikslas, duomenų kategorijos, gavėjai, saugojimo trukmė ir įdiegtos saugumo priemonės.

Šis dokumentas, prieinavus CNIL tikrinimų atveju, taip pat yra vertingas valdymo įrankis. Sujungtas su elektroninio parašo sprendimo, skirto žmogiškiesiems ištekliams, jis leidžia sekti ir įrašyti kiekvieno žmogiškųjų išteklių dokumento gyvenimo ciklo etapo laiką, sustiprinant procesų auditumo galimybę.

Darbuotojų teisės ir darbdavio pareigos

Darbuotojų informavimas: neatidėliotina pareiga

RGPD 13 straipsnis reikalaus informuoti suinteresuotas asmenys duomenų rinkimo metu. Praktikoje žmogiškieji ištekliai turi suteikti darbuotojams — idealiai darbo sutarties pasirašymo metu — RGPD informacijos pranešimą su detalėmis: atsakingo asmens tapatybe, apdorojimo tikslais ir teisiniais pagrindais, saugojimo trukme, prieinamomis teisėmis ir DPO (Duomenų apsaugos pareigūno) kontaktais, jeigu organizacija jį turi.

Šio mainų skaitmeninimas ir saugojimas yra esmingas. Naudojimas elektroninis parašas įmonėje šio pranešimo pateikimui garantuoja laiko žymėtą ir neginčijamą pristatymo įrodymą, atitinkantį eIDAS reglamento reikalavimus.

Nepakeičiamai respektytinos darbuotojų teisės

Bendradarbiai turi išplėstas teises dėl jų duomenų:

• Prieigos teisė (15 str.): bet kuris darbuotojas gali paprašyti kopijos visų jį liečiančių duomenų, apdorojamų darbdavio.

• Taisymo teisė (16 str.): netikslo duomens pataisymas (pvz.: pašto adresas, banko sąskaitos numeris).

• Teisė būti pamirštam (17 str.): galioja tam tikrais atvejais, ypač pasibaigus sutarčiai ir praėjus legaliems saugojimo laikolepiais.

• Prieštaravimo teisė (21 str.): darbuotojas gali prieštarauti apdorojimui, paremtam teisėtam interesui.

• Apribojimo teisė (18 str.): laikinasis ginčijamo apdorojimo sustabdymas.

Darbdavys turi vieno mėnesio laiką atsakyti į bet kurią teisių naudojimo prašymą, pratęsiamą iki trijų mėnesių sudėtingumų atveju (RGPD 12 str.).

Žmogiškųjų išteklių duomenų saugumas ir poskyrių vadyba

Techninės ir organizacinės priemonės

RGPD 32 straipsnis reikalaus „rizikai atitinkamų" saugumo priemonių. Žmogiškųjų išteklių duomenims geriausios praktikos yra:

• Šifravimas failu su jautriais duomenimis (algalapiai, medicininiai failai).

• Prieigos kontrolė: mažiausio privilegijo principas — algalapių tvarkytojas neturi prieigos prie drausminių duomenų.

• Žurnalus vedimas apie prieigą žmogiškųjų išteklių sistemose (SIRH, algalapių įrankiai).

• Pažeidimų atsakas planas: duomenų kebulerio atveju darbdavys turi 72 valandas CNIL pranešti (33 str.), ir potencialiai suinteresuotus asmenis, jei rizika didelė (34 str.).

Pilnas elektroninio parašo vadovo auditas gali padėti žmogiškųjų išteklių komandoms nustatyti nesaugius apdorojimus, kurie vis dar liekasi popierinėje formoje, ir juos skaitmenininti atitinkamai.

Prestižais RH pagal DPA

Žmogiškųjų išteklių paslaugos remiasi daugeliu rangų: algalpio programos, mokymo platformos, laiko vadybos įrankiai. Kiekvienas prekybininkas, turintis prieigą prie asmeninių duomenų, turi turėti duomenų apdorojimo sutartį (Data Processing Agreement — DPA), atitinkančią RGPD 28 str. Šioje sutartyje turi būti nurodytos apdorojimo instrukcijos, saugumo garantijos, duomenų grąžinimo arba sunaikinimo modalitetos ir pažeidimo pareigos.

Pasirinkti tiekėjus, kurie savo infrastruktūrą saugo Europos Sąjungoje arba yra reguliuojami Komisijos patvirtintomis standartinio sutarties nuostatomis (CCT), išlieka esminiu reikalavimu vengti neteisėto ES šalinimo.

Saugojimo trukmės: struktūrinis iššūkis

Teisinės saugojimo trukmės, taikomos darbuotojo failui

Žmogiškųjų išteklių duomenų saugojimo trukmė reguliuojama sluoksniu: RGPD (saugojimo apribojimo principas, 5.1.e str.), Darbo kodeksas ir įvairios mokesčių bei socialinės apsaugos nuostatos. Praktikoje pagrindiniai laikolepiai, kuriuos reikia laikytis:

| Dokumentų tipas | Minimali saugojimo trukmė | |---|---| | Algalapio | 5 metai (socialinis senatis) | | Darbo sutartis | 5 metai po sutarties pabaigos | | Algalapio duomenys (DSN) | 3 metai (URSSAF kontrolė) | | Personalo registras | 5 metai po darbuotojo išėjimo | | Drausminiai duomenys | Trukmė proporcinga priemonei | | Medicinos kabineto dossier | 50 metų (specifinis reglamentavimas) |

Diegimas automatinės archyvavimo ir valyklos strategijos SIRH sistemoje, sujungtas su elektroninio parašo darbo srautais, kurie laiko žymėja dokumentų kūrimą, šiandien sudaro geriausią praktiką atitikties su CNIL parodyti.

Vengti pasančios klaidų

Dažniausios klaidos, stebėtos CNIL inspekcijavimo metu žmogiškųjų išteklių duomenų kontekste: neriboto CV saugojimas nepriimtų kandidatų, buvusių darbuotojų kompiuterinės prieigos išlaikymas, algalapio failų šifravimo nebuvimas, eksportuoti, ir badžo duomenų nepašalinimas už taisyklės laikolepius. Šiems dalykams saugoti, elektroninio parašo sprendimų palyginimas padeda nustatyti įrankius su gimimo archyvavimo ir dokumentų gyvenimo ciklo valdymu funkcijomis.

Žmogiškųjų išteklių apdorojimo teisinė aplinka

Darbuotojų asmeninių duomenų apdorojimas vyksta tankioje norminiu lygmeniu, sudarant kelis reguliacijos lygius.

Reglamentas (ES) 2016/679 — RGPD sudaras akmenį. Jo 5-11 straipsniai apibrėžia pagrindinius principus (teisingumas, sąžiningumas, skaidrumas, tikslų apribojimas, duomenų sumažinimas, tikslumas, saugojimo apribojimas, vientisumas ir konfidencialumas). 9 straipsnis nustato griežtas sąlygas ypatingų kategorijų duomenims, tarp jų sveikatos ir profesinių sąjungų duomenims, kurie yra ypač dažni žmogiškųjų išteklių kontekste. 83 straipsnis numato baudas iki 20 milijonų eurų arba 4% pasaulio apyvartos esant žengrioms pažeidimams.

Informatikos ir laisvės įstatymas, pataisytas (įstatymas nr. 78-17 iš 1978 sausio 6 d.), konsoliduotoje versijoje pritaikytas RGPD Prancūzijos teisei. Jis suteikia CNIL jos tikrinimo ir sankcijų galias, ir numato, ypač derogacijas medicinai darbe susijusiems sveikatos duomenims.

Darbo kodeksas reguliuoja darbuotojų priežiūros apdorojimą (1121-1 str. dėl privataus gyvenimo apsaugos), atstovų konsulijavimą skaitmeniniais įrankiais (2312-38 str.), ir privalomų registrų vedimą.

Reglamentas eIDAS (nr. 910/2014), papildytas eIDAS 2.0 (Reglamentas ES 2024/1183), reguliuoja elektroninio parašo teisinę vertę, nurodytą žmogiškųjų išteklių dokumentuose. Kvalifikuotas elektroninis parašas (SEQ), atitinkantis eIDAS I priedą ir normas ETSI EN 319 132 bei ETSI EN 319 122, suteikia lygiavertės parašo septyniu dešimtadaliu manusiskripto parašui iš Civilinio kodekso 1367 straipsnio.

Civilinio kodekso 1366 straipsnis nustato, kad « elektroninis raštas turi tą patį įrodinėjimo dėsnį, kaip ir popierinė forma, tik jeigu jį galima teisingai atpažinti pirmiausia nuo jo iš kylančio asmens ir jei jis buvo sudarytas ir saugojamas tokiomis sąlygomis, kurios garantuoja jų vientisumo ». Ši nuostata tiesiogiai taikoma darbo sutartims, papildymams, konfidencialios informacijos susitarimams ir kitiems dematerializuotiems žmogiškųjų išteklių dokumentams.

NIS2 direktyva (ES 2022/2555), transcenzuota į Prancūzijos tiesę 2025 m. vasario 26 d. įstatymu, įpareigoja esmingas ir svarbias įstaigas (ypač dideles pramonės įmones ir skaitmeninių paslaugų operatorius) sustiprintus reikalavimus informacijos saugumo rizikos valdymui, tarp jų jautrių žmogiškųjų išteklių duomenų apsauga.

CNIL paskirtos sankcijos sparčiai didėja: 2024 m. bendras baudų suma viršija 100 milijonų eurų, su keliais sprendimais tiesiogiai susijusiais su darbuotojų duomenų vadybos pažeidimais. Saugojimo laikotarpių nesilaikymas, DPA nebuvimas su žmogiškųjų išteklių rangais, ir nepakankamos saugumo priemonės yra dažniausiai aptikti skundai.

Panaudojimo scenarijai: RGPD atitiktis žmogiškųjų išteklių kontekste

1 scenarijus — 450 darbuotojų pramoninis EVA skaitmeninina savo priėmimo procesus

Vidutinio dydžio pramonės įmonė, platinama trijose Prancūzijos vietose, valdė savo darbo sutartis ir papildymus popierinėje formoje. Naujokai failai buvo perduoti algalapių skyriui tik po vidutiniškai 12 darbo dienų, sukeldami algalapio klaidas apie 8% atvejų. Todėl jokia RGPD pranešimo forma nebuvo oficialiai pateikta naujiems įdarbintam: informacija buvo tik taisyklių žinyne, kuris nebuvo atskirai pasirašytas.

Po elektroninio parašo sprendimo įdiegimo, integruoto į SIRH su simultaniniu RGPD pranešimo pateikimu, kurį pasirašo ir darbuotojas, ir DRH, organizacija sumažino onboarding dokumentų laiką iki 2 darbo dienų (sumažėjimas 83%). Algalapių klaidos, dėl trūkstamų duomenų sumažėjo žemiau 1%. Kiekvienas pasirašytas dokumentas archyvuojamas su kvalifikuota laiko žyma, suteikdamas priešingai paremtą įrodymą CNIL tikrinimo arba darbinės ieškinių atveju.

2 scenarijus — 1 200 darbuotojų paskirstymo grupė suderina savo saugojimo strategiją

Grupė, veikianti specializuotame platinime, patyrė CNIL tikrinimą po to, kai senasis darbuotojas skundė. Inspektavimas atskleidė, kad Excel failai su 8 metais atgal išėjusių darbuotojų algalapiu duomenimis vis dar buvo prieigoje nesaugiame bendrinime serveryje be šifravimo. Formalus įspėjimas buvo paskelbtas su trimetine sutikimme.

Grupė tuomet atliko visų žmogiškųjų išteklių apdorojimo inspekciją, sumapo savo 23 apdorojimo veiklas ir įdiegė automatiniu šifravimo planą, kurį trigerė SIRH. Elektroniškai pasirašyti dokumentai buvo perkelti į skaitmeninį trezorą su saugojimo terminais, sukonfigūruotais pagal legalinius reikalavimus. DPO sudarė pilną žmogiškųjų išteklių apdorojimo registrą, pristatytą antroje CNIL inspektavimo metu 18 mėnesių praėjus, kuri buvo baigta be jokio tolydiaus. Atitikties sąmatą buvo įvertinta mažiau nei 60% potencialaus baudos sumos.

3 scenarijus — 35 žmonių konsultacinė žmogiškųjų išteklių firma saugo savo konsultantų ir klientų duomenis

Žmogiškųjų išteklių konsultavimo firma valdo tiek savo konsultantų duomenis, tiek kandidatų ir klientų darbuotojų duomenis (kaip dalis įvertinimo ar perorientavimo misijai). Tokiu būdu jis yra ir atsakingas apdorojmui savo žmogiškiesiems ištekliams, ir rngų pagalbininkas (arba bendraatsakingas) trečiųjų duomenims.

Firma įdiegė diferencijuotą dokumentų architektūrą: paprastus elektroninio parašo panaudojus įprastiems vidiniam mainui, išplėstus parašus klientų misijos sutartims, ir duomenų apdorojimo sutartis (DPA) sistematiškai integruotas misijos laiškams. Visi konsultantai gavo atnaujintą RGPD chartą, elektroniškai pasirašytą ir saugomą skirtuose registre. Ši organizacija leido firmai parodyti atitiktį kaip komercinį argumentą dideliam grįžas, kurie yra sumažinti tiekėjo audito tikslą, sumažindami vidutinį sutarties laikotarpį nuo 7 iki 2 savaičių.

Pabaiga

RGPD žmogiškųjų išteklių direktyvoms nustato gylią jų praktikos transformaciją: griežtą teisinių pagrindų nustatymą, efektyvų darbuotojų informavimą, teisių valdymą, rngų sutartinį reguliavimą, duomenų saugojimą ir saugojimo laikotarpių respektavimą. Šios pareigos nėra paprastos administracinės formalybės — jos lemia organizacijos gebėjimą išvengti sankcijų, galimų pasiekti kelis milijonus eurų, ir išlaikyti savo komandų pasitikėjimą.

Žmogiškųjų išteklių procesų skaitmeninimas, naudojant elektroninio parašo sprendimus, atitinkančius eIDAS, sudaro vienas iš veikliausių spaustuvių suderinti veiksmingumą su reguliacine atitiktimi. Certyneo padeda žmogiškųjų išteklių komandoms šioje transformacijoje, nuo darbo sutarties pasirašymo iki darbuotojo failų saugaus archyvavimo.

Sužinokite, kaip Certyneo gali apsaugoti jūsų žmogiškųjų išteklių procesus, žiūrėdami mūsų žmogiškiems ištekliams skirtą pasiūlymą arba pradėdami nemokamai norėdami išbandyti sprendimą be įsipareigojimo.