RGPD en RH : Duomenų valdymas ir darbuotojų apsauga

Bendrasis duomenų apsaugos reglamentas (RGPD) taikomas ne tik verslo ryšiams tarp įmonės ir jos klientų: jis taip pat labai tiksliai reglamentuoja darbuotojų asmeninių duomenų apdorojimą. Priėmimas į darbą, algalapių vadyba, prieigos kontrolė, veiklos vertinimas, vaizdo stebėjimas… kiekvienas darbo sutarties ciklo etapas generuoja asmeninius duomenis, kuriuos darbdavys turi apdoroti griežtai laikydamasis Europos teisės. Sumos, siekiančios 20 milijonų eurų arba 4 % metinio pasaulio pardavimo apimties, yra labai reikšmingos. Šiame straipsnyje detalizuojami taikytini teisiniai pagrindai, praktiškos HR paslaugų pareigos ir geriausi praktiką, skirta jūsų apdorojimui apsaugoti — įskaitant HR dokumentų skaitmenizavimą.

HR duomenų apdorojimo teisiniai pagrindai

Teisiniai pagrindai, priimtini darbo teisėje

RGPD nurodo šešis teisinius pagrindus asmeniniams duomenims apdoroti (6 straipsnis). HR kontekste praktiškai nuolat naudojami trys iš jų:

• Darbo sutarties vykdymas (6.1.b straipsnis): sudaro pagrindinį pagrindą algalapių valdymui, darbo laiko sekimui, darbo užmokesčio kvitų pateikimui arba atostogų valdymui.

• Teisinė pareiga (6.1.c straipsnis): pagrindžia apdorojimus, reikalingus Darbo kodekso ar socialinės teisės, tokius kaip deklaracija prieš į darbą priėmimą (DPAE), vardinė socialinė deklaracija (DSN) arba unifikuoto personalo registro vedimas.

• Teisėtas interesas (6.1.f straipsnis): gali pagrįsti tam tikrus informacinės saugumo arba vidinio sukčiavimo prevencijos apdorojimus, jei šis interesas neperklotas darbuotojų pagrindinėmis teisėmis.

⚠️ Sutikimo pagrindas reikalauja itin didelio atsargumo darbo santykiuose. CNIL reguliariai primena, kad būdinga darbdavio ir darbuotojo santykio asimetrija retai daro sutikimą „laisvu" RGPD 7 straipsnio prasme. Sutikimo panaudojimas apdorojimams, kurie galėtų remtis kitu teisiniu pagrindu, darbdaviui kelia perreclassification riziką.

Specialios kategorijos duomenys: sustiprintas režimas

Kai kurie HR rinkti duomenys priklauso RGPD 9 straipsnyje numatytiems „jautrūs duomenims", kurių apdorojimas iš esmės draudžiamas, išskyrus išimtis:

• Sveikatos duomenys: ligos atostogos, netinkamumas, darbingumo sumažinimai dėl negalios.

• Profsąjungų duomenys: priklausymas profsąjungai, reprezentatyvūs mandatai.

• Biometriniai duomenys: prieigos kontrolė naudojant pirštų atspaudus arba veido atpažinimą.

• Duomenys apie padarytus nusikaltimus: baudžiamojo kriminalinio registro tikrinimas, leidžiamas tik reguliuotose srityse (sauga, vaikų apsauga ir kt.).

Šioms kategorijoms darbdavys turi nustatyti aiškią išimtį (9.2 straipsnis), dažniausiai atlikti duomenų apsaugos poveikio analizę (AIPD) ir kartais prieš diegimą pasikonsultoti su CNIL.

Praktiškos HR paslaugų pareigos

Apdorojimo veiklų registras

Kiekviena organizacija, kurioje dirba daugiau nei 250 darbuotojų, turėtinaudoti apdorojimo veiklų registrą (RGPD 30 straipsnis). Žemiau šio slenksčio pareiga išlieka, jei apdorojimai nėra atsitiktiniai arba apima jautrius duomenis — kas beveik visada yra HR atveju. Šiame registre turi būti dokumentuota:

• Kiekvieno apdorojimo tikslas (pvz.: „darbo užmokesčio kvitų vadyba")

• Apimti duomenų kategorijos

• Galutiniu adresatai (trečiosios šalys, subrangos rangovai, institucijos)

• Saugojimo trukmės

• Įdiegtos saugos priemonės

CNIL yra laisvai pateikiamas registro šablonas. Jo tikslus vedimas yra pirmoji apsaugos linija, jei prasideda tikrinimas.

Saugojimo trukmės: dažnai nepaisytas punktas

RGPD 5.1.e straipsnis nustato saugojimo apribojimo principą: duomenys neturi būti saugomi ilgiau nei būtina duomenų rinkimo tikslui. HR atveju orientacinės teisinės trukmės yra šios:

| Duomenų tipas | Rekomenduojama saugojimo trukmė | |---|---| | Darbo užmokesčio kvitas | 5 metai (civilinė senatis) | | Darbo sutartis | 5 metai po sutarties nutraukimo | | Priėmimo duomenys (nenurodytas kandidatas) | Maksimalus 2 metai po paskutinio kontakto | | Disciplininis dossier | Kintama trukmė priklausomai nuo sankcijos (max. 3 m. perspėjimui) | | Vaizdo stebėjimo duomenys | 1 mėnuo pagal taisyklę | | DSN ir personalo registras | 5 metai po darbuotojo išėjimo |

Šios trukmės turi būti įtrauktos į registrą ir taikytos valymosi arba galutinio archyvavimo procedūrų dėka.

Darbuotojų informavimas: dažnai nepakankamai vertinta pareiga

RGPD 13 straipsnis nustato pareigą pateikti išsamią informaciją tiesiogiai susijusiems asmenims duomenų rinkimo momentu. HR atveju šis pranešimas idealiai turi būti pateiktas:

• Nuo kandidatūros pradžios: duomenims, rinktiems priėmimo proceso metu.

• Priimdami į darbą: integruota darbo sutartyje arba pateikta prieduose pasirašant sutartį.

• Santykio vykdymo metu: kiekvienam naujam apdorojimui, nurodytam (pvz.: biometrinio ženklinimo įrankio diegimas).

Įėjimo proceso skaitmenizavimas, ypač HR elektron signatures, padidina šios informacijos pateikimo sekamumą: pranešimo skaitymo data ir pasirašymo data yra patikrinti laiko ženklu, o tai yra vertinga ginčo atveju.

HR duomenų saugumas: techninės ir organizacinės priemonės

Šifravimas, prieigos kontrolė ir vietos atskyra

RGPD 32 straipsnis reikalauja įdiegti saugos priemones, pritaikytas rizikai. HR duomenims, kurie iš esmės yra jautrūs ir orientuoti į įsilaužimus, minimalios geriau praktiko apima:

• Duomenų šifravimas ramybės ir transportavimo metu: darbo užmokesčio, sutarčių ir asmeninių bylose failai turi būti šifruoti saugykloje (AES-256 mažiausiai) ir persiųsti per apsaugotus protokolus (TLS 1.3).

• Prieigos teisių valdymas, pagrįstas vaidmenimis (RBAC): tik įgalioti HR vadybininkai pasiekia darbo užmokesčio duomenis; komandos vadovas pasiekia tik vadybai reikalingus duomenis.

• Prieigos žurnalizacija: bet kuris darbuotojo bylos žiūrėjimas ar modifikavimas turi būti sekamas su naudotojo identifikatoriumi, data ir laiku.

• Pseudonimizacija analitiniams apdorojimams (HR ataskaitų saugyklos, atlyginimo analizės).

HR subrangovų vadyba

HR paslaugos naudojasi daugeliu subrangovų: SIRH redaktorių, išorinės darbo užmokesčio paslaugų teikėjų, mokymo platformų, internetinių priėmimo į darbą įrankių. Kiekvienas iš šių žalgirio turi turėti RGPD 28 straipsnyje nurodytą subrangos sutartį, išsamiai nurodant:

• Subrangą apdorojimų pobūdį ir tikslą

• Subrangovo pareigos dėl saugumo ir konfidencialumo

• Draudimą sublicenzuoti be ankstesnio leidimo

• Duomenų grąžinimo ar sunaikinimo pabaigoje modalumus

Pasirenkant paslaugos teikėją, taip pat patartina patikrinti, ar jo serveriai yra Ekonominėje Europos erdvėje (EEA) arba ar egzistuoja tinkamas persiuntimo mechanizmas (standartinės sutartinės sąlygos, adekvatumo sprendimas) EEA išoriniam duomenų perdavimui.

HR dokumentų skaitmenizavimas ir RGPD atitiktis

Didėjanti HR procesų skaitmenizacija — elektroninės darbo sutartys, skaitmeniniai darbo užmokesčio kvitai, nuotoliniai avenansai — iškelia specifines RGPD problemas. Jei eIDAS atitinkanti elektroninė parašas neatšaukiamai garantuoja vientisumą ir autentiškumą, darbdavys turi patikrinti, kad naudojama platforma:

• Naikina nereikalingus duomenis parašo proceso metu (minimizavimo principas, 5.1.c straipsnis)

• Saugo parašo įrodymus (audito šaltinis) saugiose sąlygose ir tinkamą laiką

• Leidžia pasirašytojams naudotis teisėmis (prieiga, pataisos, panaikinimas pagal teisinį ribojimą)

Norėdami daugiau sužinoti apie parašo atitiktį, Certyneo visas elektroninės parašo vadovas detalizuoja techninius ir teisinius kriterijus, kuriuos reikia patikrinti prieš bet kokį diegimą.

Darbuotojų teisės ir jų veiksminga realizacija

RGPD garantuotų teisių apžvalga

Darbuotojai naudojasi visomis RGPD 15–22 straipsniuose nurodytomis teisėmis. HR kontekste dažniausiai naudojamos teisės yra:

• Prieigos teisė (15 straipsnis): darbuotojas gali paprašyti kopijos visų jį liečiančių duomenų, kuriuos turi darbdavys, įskaitant profesinės el. pašto mainų tam tikromis sąlygomis.

• Pataisos teisė (16 straipsnis): netikslios duomenys (klaida mokėjimo sąskaitos numeryje, neprasmingai įrašytas diplomas ir t. t.) gali būti pataisyti.

• Panaikinimo teisė (17 straipsnis): ribota HR dėl teisinės saugojimo pareigos, bet taikytina neiš jų grįžtam kandidatui nenurodytiems duomenims.

• Priešinimosi teisė (21 straipsnis): gali būti praktikuojama prieš teisėtą interesu pagrįstą apdorojimą, tokį kaip tam tikri stebėjimo apdorojimai.

• Duomenų persiuntimo teisė (20 straipsnis): taikoma darbuotojaus paties suteiktiems duomenims darbo sutarties vykdymo ribose.

Atsakymo terminas ir vidinės procedūros

Darbdavys turi vieną mėnesį atsakyti į bet kokią prašymų teisėms naudotis, terminas pratęsiamas trimis mėnesiais dėl sudėtingumo arba didelės prašymų apimties (12.3 straipsnis). Norėdami efektyviai organizuoti šį apdorojimą, patartina:

• Paskirti unikalų kontaktą (DPO arba RGPD referentas) prašymams gauti

• Nustatyti dedikuotą darbuotojams prieinamą formą

• Dokumentuoti kiekvieną prašymą ir atsakymą teisių naudojimosi registre

• Mokyti HR vadovus nustatyti numanomą prašymą (darbuotojas, kuris reikalauja „savo asmeninės bylos", iš esmės naudojasi savo prieigos teise)

DPO vaidmuo įmonėje

RGPD nustato Duomenų apsaugos delegato (DPO) skyrybą trais atvejais (37 straipsnis): viešoji institucija, dideliu mastu atliekamas jautrių duomenų apdorojimas arba sisteminis didelio masto stebėjimas. Daugybė įmonių, kurių HR apdorojimas yra reikšmingas, patenka į šią pareigą. DPO gali būti vidinis arba išorinis; jis turi turėti funkcinę nepriklausomybę ir būti susijęs su visais sprendimais, kurie turi įtakos duomenų apsaugai, įskaitant naujų skaitmeninių HR įrankių diegimą. Jo vaidmuo yra konsultacinis, o ne sprendžiamasis: galutinė atsakomybė lieka darbdavyje kaip atsaking jo apdorojimo šaltyje.

Teisinė sistema, taikoma HR duomenų apdorojimui

RGPD: pagrindinė nuostatą

Europos Parlamento ir Tarybos Reglamentas (ES) 2016/679 (2016 04 27) (RGPD) sudaro duomenų apsaugos pagrindinį normą Europoje. Tiesioginai taikytas visuose valstybės naryse nuo 2018 m. gegužės 25 d., jis taikomas bet kokiam darbdaviui, apdorojančiam darbuotojų duomenis, kurie gyvena ES, neatsižvelgiant į įmonės tautybę. Pagrindiniai HR kontekste taikytini straipsniai yra:

• 35 straipsnis: pagrindiniai principai (teisėtumas, sąžiningumai, skaidrumas, minimizacija, tikslumas, saugojimo apribojimas, vientisumas ir konfidencialumas, atsakomybė)

• 6 straipsnis: apdorojimo teisiniai pagrindai

• 9 straipsnis: jautrių duomenų režimas

• 12–22 straipsniai: tiesiogiai susijusių asmenų teisės

• 24–32 straipsniai: apdorojimo atsakingojo ir subrangos atsakomybės

• 33–34 straipsniai: duomenų pažeidimo pranešimas (72 valandos CNIL, ir asmenų informavimas jei aukšta rizika)

• 35 straipsnis: aukštos rizikos apdorojimų privalomaasmeninė analizė (AIPD)

• 83 straipsnis: administracinės sankcijos (iki 20 mln. eurų arba 4 % metinio pasaulio CA)

Keista informatiko ir laisvės įstatyma

Prancūzijos teisėje N°78-17 1978 sausio 6 d. įstatymas dėl informatikos, failų ir laisvės, sukeisti N°2018-493 2018 birželio 20 d. ir N°2018-1125 2018 gruodžio 12 d. ordenansu, papildo RGPD, suteikdamas nacionalines strategijų sritis („atidarymo nuostatos"). Iš svarbiausių HR atžvilgiu: galimybė apdoroti profsąjungų duomenis personalo atstovų institucijų valdymo ribose (3 straipsnis), arba konkretūs darbo sveikatos duomenų apdorojimo reglamentai.

Darbo kodeksas ir socialinis precedentas

Darbo kodeksas nustato informavimo ir išankstinės Socialinio ir ekonominio komiteto (CSE) konsultacijos pareigą prieš diegiant stebėjimo ar kontrolės sistemes (L. 2312-38 straipsnis). Nepakonsultavimas paveikia įrodymų nepriimtinumą ir baudžiamų nuobaudų taikymuot.

Kasacijos teismo jurisprudencija reguliariai prisimena, kad kontrolės įrankiai (geolokacija, blakinimas, veiklos sekimo programinė įranga) turi būti proporcingi tikslui ir negali būti naudojami kitoms reikmėms nei jos, nurodytoms darbuotojams ir CNIL.

HR dokumentų elektroninė parašė: eIDAS ir Pilietinis kodeksas

Dematerilaizuojant darbo sutartis, avenansus arba drausminius dokumentus, darbdavys turi laikytis Reglamento (ES) n°910/2014 eIDAS, kuriame nustatyti trys elektroninės parašo lygiai. Tokiems reikšmingiems dokumentams kaip CDI darbos sutartys arba susitarimo nutraukimas, sukūrtas elektroninės parašo (ar net pilnavertis) yra rekomenduojamas, siekiant garantuoti pasirašančiojo tapatybę ir dokumentų vientisumą. Pilietinis kodeksas, straipsniai 1366 ir 1367, patvirtina elektroninio rašto ir elektroninės parašo įrodymų vertę, jei garantuojamas patikimas pasirašančiojo nustatymas ir vientisumas.

CNIL nustatytos sankcijos HR duomenų apdorojimo atžvilgiu

CNIL nurodė kelias reikšmingas sankcijas dėl HR duomenų apdorojimo: 2022 m. įmonė buvo nubaudyta 400 000 eurų dėl per didelio nuotolinio darbo darbuotojų stebėjimo naudojant ekrano nuotraukų programas. 2023 m. saugumo įmonė gavo 200 000 eurų nuobaudą dėl per didelės biometrinių duomenų rinkimo be pagrindo. Šie sprendimai rodo auganti reguliatoriaus dėmesį šiam sritye.

Naudojimo scenarijai: RGPD HR praktikoje

Scenarijus 1 — ETI pramonės 450 darbuotojų naudotojai suderino savo priėmimo procesą

ETI pramonės įmonė, kurioje dirbo apie 450 žmonių trijose vietose, per metus gaudavo daugiau nei 3 000 savanoriškų kandidatūrų ir atsakydavo apie šešiasdešimčiai darbo skelbimu. Biogramų ir motyvacijos laiškai buvo saugomi be apribojimų bendrame el. pašto dėžutėje šeši paslaugų vadovai. Jokia informacija apie jų duomenų naudojimą nebuvo pateikta kandidatams.

Po RGPD audito šešiems mėnesiams buvo įdiegti šie veiksmai:

• Perkėlimas į ATS (Applicant Tracking System), patvirtintą RGPD atitiktį, automatiškai valant bylas po 24 mėnesių neveiklumo

• Informacijos apie RGPD pridėjimas į kiekvieno internetinio kandidatūros formulyje

• Kvietimų ir darbo sutarčių elektroninė parašė per eIDAS suderintą platformą, sumažinant sutarčių grąžinimo laiką iš vidutiniškai 8 dienų į mažiau nei 48 valandas

• Apdorojimo veiklų registro atnaujinimas su 12 naujomis HR apdorojimo kortelėmis

Rezultatas: nė vieno CNIL prašymo per 18 mėnesių; ūkinis nuosmukis ~ 1,2 ETP priėmimo administraciniame valdyme dėl skaitmenizacijos.

Scenarijus 2 — 1 200 darbuotojų skirstymo grupė reguliuoja savo vaizdo stebėjimo politiką

Maisto paskirstymo specializuota grupė buvo diegusi vaizdo stebėjimo sistemu, apimančią 34 pardavimo taškai. Vaizdai buvo saugomi 45 dienas kai kuriose vietose, be informacijos, parodytos darbuotojams. Keletas jutiklių apėmė kasoje pareigybės nuolat, sukeldami neproporcingo stebėjimo riziką.

Po darbuotojo skundų CNIL, įmonė pradėjo atitikties procesą:

• Saugojimo trukmės sumažinimas iki maksimalaus 30 dienų visose vietose

• Kamerų pergrupavimas, siekiant neapsaugoti nuolatinio individualių darbo vietų stebėjimo

• Konsultavimas ir centrinio CSE sutikimas prieš bet kokį naują diegimą

• Sistematinis darbuotojų informavimas per darbo sutartis ir vidines pareigas, parodytus bylose

Rezultatas: skundų CNIL uždarymas be sankcijų; socialinio klimato gerinimas, matuotas šiuo metinio pasitenkinimo tyrime (+11 punkai žemėje „pasitikėjimas darbdaviu").

Scenarijus 3 — HR konsultacijos kabinetą saugoja duomenų persiuntimą su savo klientais

Specialinis kabinetas, išimtas iš darbo užmokesčio ir personalio administracijos, valdė per 20 SME kliento darbuotojų, sudarant maždaug 1 800 darbo užmokesčio kvitų per mėnesį. Darbo užmokesčio failai buvo persiųsti nešifruotą el. paštu, be RGPD 28 straipsnyje suformuoto subrangos sutarties.

Kabinetas pradėjo visą savo praktiškų remontas:

• Duomenų apdorojimo sutarčių (DPA) pasirašymas, atitinkant 28 straipsnį su kiekvienu klientu, per elektroninės parašo platformą, suteikiančią sekamumą

• Saugiaus kliento portalo nustatymas (TLS šifravimas + dvigubo faktoriaus autentifikacija) darbo užmokesčio failų dėžutei ir pasiėmimui

• Duomenų saugykla Prancūzijoje lokalizuotuose serveriuose, patvirtintose HDS sveikatos darbuotojo duomenims

• Subrangos politikos rašymas, reguliuojanti žalgirio prieigą (algų programinės įrangos redaktorius, archyvuotojas)

Rezultatas: 100 % sumažėjimas nešifruotame el. paštoje perduodamų HR duomenų; dviejų naujų kliento sutarčių gavimas, padarę RGPD atitiktį privalomą atranką kriterijumi jų viešųjų pirkimų pasiūlymuose.

Išvada

RGPD HR nėra tik papildoma administracinė prievolė: tai yra darbdavio ir jo kolegų pasitikėjimo svirtas ir konkurencingumas darbo rinkoje, kur skaidrumas yra vis labiau vertinamas. Apdorojimo veiklų registras, vedamas naujausiu būdu, saugojimo trukmės kontroliuojamos, darbuotojų informavimas formalizuotas, jautrių duomenų saugumas sustiprintas ir subrangai sutartyti: kiekvienas iš šių stulpų padeda kurti tiek teisinę, tiek atsakingą HR politiką.

HR dokumentų skaitmenizavimas — sutartys, avenansai, darbo užmokesčio kvitai, informaciniai pranešimai — suteikia unikalią galimybę sujungti RGPD atitiktį ir operacinio efektyvumo, sąlyga naudoti patvirtintus įrankius. Certyneo padeda šioje procese su eIDAS atitinkama elektroninės parašo sprendimų, sukurta HR komandoms. Sužinokite Certyneo kainas ir pradėkite nemokamai bandymą, norėdami apsaugoti savo HR dokumentus šiandien.