BDAR žmogiškųjų išteklių srityje: darbuotojų duomenų apdorojimas

Įvadas

Nuo 2018 m. gegužės 25 d. įsigaliojus Bendrajam duomenų apsaugos reglamentui (BDAR), žmogiškųjų išteklių skyriai buvo pirmaujanti reikalavimų laikymosi linijoje. Žmogiškųjų išteklių funkcijos kasdien apdoroja jautrius asmens duomenis: CV, darbo užmokesčio žiniaraščius, sveikatos duomenis, įvertinimus, banko rekvizitus. Dėl prasto valdymo įmonei gali būti taikomos sankcijos iki 20 milijonų eurų arba 4% pasaulinės apyvartos (BDAR 83 straipsnis). Šiame straipsnyje pateikiami pagrindiniai įsipareigojimai ir geriausios praktikos pavyzdžiai, kaip užtikrinti darbuotojų duomenų apdorojimą per visą personalo ciklą.

Pagrindiniai žmogiškųjų išteklių duomenims taikomi principai

BDAR nustato šešis pagrindinius principus, kodifikuotus 5 straipsnyje: teisėtumą, lojalumą, skaidrumą, tikslų apribojimą, sumažinimą, tikslumą, saugojimo apribojimą ir vientisumą/konfidencialumą. Praktiškai tai reiškia, kad personalo skyrius gali rinkti tik konkrečiam tikslui būtinus duomenis. Pavyzdžiui, prašyti socialinio draudimo numerio kreipiantis yra neproporcinga: tai pateisinama tik įdarbinus DSN.

CNIL per savo svarstymą Nr. 2019-160, susijusius su personalo valdymu, nurodo rekomenduojamus saugojimo terminus: 2 metai nesėkmingoms paraiškoms (nebent sutikimas), 5 metai po išvykimo administracinei bylai, 6 metai darbo užmokesčio lapeliams darbdavio variante.

Teisinis pagrindas ir informacija darbuotojams

Priešingai populiariems įsitikinimams, sutikimas retai yra tinkamas teisinis pagrindas žmogiškųjų išteklių srityje dėl pavaldumo santykių. Atitinkami pagrindai veikiau yra darbo sutarties vykdymas (6 straipsnio 1 dalies b punktas), teisinė pareiga (6 straipsnio 1 dalies c punktas) arba teisėtas interesas (6 straipsnio 1 dalies f punktas). Dėl neskelbtinų duomenų (sveikatos, profesinių sąjungų) 9 straipsnyje reikalaujama konkretaus pagrindo, pavyzdžiui, pareigos darbo teisės požiūriu.

Darbdavys privalo pateikti aiškią informaciją per BDAR pranešimą, pateiktą priimant į darbą, atnaujinti duomenų tvarkymo registrą (30 straipsnis) ir konsultuotis su CSE prieš bet kokį naują tvarkymą, turintį įtakos darbuotojams (Darbo kodekso L.2312-38 straipsnis).

Darbuotojų saugumas ir teisės

Techninis ir organizacinis saugumas (32 straipsnis) reikalauja: HRIS šifravimo, prieigos kontrolės pagal profilį, konsultacijų atsekamumo, konfidencialumo sąlygų su darbo užmokesčio ar įdarbinimo subrangovais (28 straipsnis). Pažeidus pranešimą CNIL per 72 val.

Darbuotojai turi sustiprintas teises: prieigą, taisymą, ištrynimą (riboja teisiniai saugojimo įsipareigojimai), perkeliamumą, prieštaravimą. Taikant vidaus procedūrą, atsakymas turi būti pateiktas ne ilgiau kaip per vieną mėnesį. Atsisakymas susipažinti su drausmės byla turi būti teisiškai pagrįstas.

Praktiniai pavyzdžiai

1 pavyzdys – Įdarbinimas:MVĮ 5 metus laikė visų kandidatų CV bendrame aplanke. Neatitinka: per ilga trukmė, saugumo trūkumas. Sprendimas: automatizuotas išvalymas po 2 metų, apribota prieiga prie darbdavių, GDPR paminėjimas darbo pasiūlyme.

2 pavyzdys – Vaizdo stebėjimas:Logistikos sandėlis nuolat filmuoja darbo vietas. Galima sankcija (CNIL 2024 m. skyrė 32 mln. eurų sankciją Amazon France Logistique). Sprendimas: apriboti jautrias sritis, individuali informacija, konsultacija su KVPB, saugojimo laikotarpis ne ilgesnis kaip vienas mėnuo.

3 pavyzdys. Bendradarbiavimo įrankiai:Diegiant Microsoft 365 reikia poveikio analizės (AIPD), jei suaktyvintos stebėjimo funkcijos, taip pat suderinamos subrangos sąlygos su leidėju.

Atitiktis ir sankcijos

Be CNIL baudų, darbdaviui gresia darbo tribunolo ieškiniai dėl privatumo pažeidimo (Civilinio kodekso 9 straipsnis, Darbo kodekso L.1121-1 straipsnis). DAP paskyrimas yra privalomas subjektams, kurie tvarko duomenis dideliu mastu. Kasmetinis žmogiškųjų išteklių apdorojimo kartografavimas kartu su vadovų mokymais yra geriausia teisinė ir veiklos apsauga.

Išvada

BDAR laikymasis žmogiškųjų išteklių srityje yra ne vienkartinis projektas, o nuolatinis tobulinimo procesas. Tarp teisinių įsipareigojimų, darbuotojų teisių ir veiklos rezultatų personalo vadovai turi griežtai valdyti duomenų valdymą. Investavimas į reikalavimus atitinkantį HRIS, komandų mokymas ir kiekvieno apdorojimo dokumentavimas paverčia reguliavimo apribojimus darbuotojų pasitikėjimo svertu.