GDPR personāldatumiem: Darbinieku datu apstrāde

Personālo resursu vadība katru dienu ģenerē ievērojamu personālo datu apjomu: darba līgumus, algas čekus, veselības datus, snieguma novērtējumus, bankas rekvizītus... Kopš Vispārējā datu aizsardzības reglamenta (GDPR) spēkā stāšanās 2018. gada maijā, HR vadības kļūst par centrāliem atbilstības dalībniekiem organizācijās. Tomēr saskaņā ar CNIL 2024. gada aktivitātes pārskatu personālo resursu nozare joprojām ir viens no trim biežāk pārbaudīto apgabalu. Šis raksts jūs iepazīstina ar galvenajiem pienākumiem, labajiem paņēmieniem un pieejamajiem rīkiem, lai apstrādātu darbinieku datus pilnīgā atbilstībā.

Kādu personālo datu apstrāda HR?

Parasto datu kategorijas

HR pakalpojumi manipulē ar ļoti plašu personālo datu spektru. Var nošķirt divas lielas ģimenes:

Parastie dati, kas savākti darba līguma ietvaros: vārds, uzvārds, adrese, sociālā apdrošināšanas numurs, bankas rekvizīti, CV, diplomi, profesionālā vēsture, gada novērtējumi, darba laiki, apmeklējumu un kavējumu dati.

Sensitīvie dati, par kuriem ir paaugstināti ierobežojumi saskaņā ar GDPR 9. pantu: veselības dati (slimnības lapas, darba nelaimes gadījuma deklarācijas, medicīniskas ierobežojumi), arodbiedrību dati (arodbiedrības dalībnieks, pārstāvības mandāti), dati par kriminālajiem sodiem noteiktās darbā pieņemšanas situācijās.

Pēdējos var apstrādāt tikai Regulā paredzētā skaidra izņēmuma gadījumā — piemēram, darba tiesību obligāciju izpildes vai konkrētās personas skaidra piekrišana.

Darbā pieņemšanas īpašais gadījums

Darbā pieņemšanas fāze rada specifiskas apstrādes, bieži vien nepietiekami regulētas. CV, motivācijas vēstuļu un testu rezultātu savākšana ietver precīzas glabāšanas ilgums: saskaņā ar CNIL ieteikumiem neatvēlēto kandidātu dati jādzēš vai jāanomizē divu gadu laikā pēc pēdējā kontakta. CV bezgalīgas glabāšanas nedrošas kopīgas mapes nav pieļaujama pārkāpuma forma.

ATS (Applicant Tracking Systems) izsekošanas rīku vai uzvedības analīzes algoritmu izmantošana ir jāpiemina skaidri privātuma politikā, ko iesniedz kandidātiem, saskaņā ar GDPR 13. un 14. pantu.

Apstrādes likumiskā bāze HR kontekstā

Pareizas likumiskās bāzes identificēšana

GDPR prasa, lai visas personālo datu apstrādes balstītos uz vienu no sešām likumiskajām bāzēm, kas noteiktas 6. pantā. HR kontekstā galvenokārt tiek izmantotas trīs bāzes:

• Darba līguma izpilde (6.1.b pants): pamatojums datu apstrādei, kas nepieciešama algas aprēķina, atvaļinājumu vai apmācības pārvaldīšanai.

• Likumisks pienākums (6.1.c pants): attiecas uz obligātajām sociālajām deklarācijām (DSN), personāla reģistriem vai darba nelaimes gadījumu uzraudzību.

• Likumisks intereses (6.1.f pants): var tikt izmantota pārbaudes tādiem procesiem kā pieļaujas nozīmes pārvaldīšana vai video uzraudzība, ar stingru līdzsvara testu nosacījumu.

Piekrišana (6.1.a pants) ir fragila likumiskā bāze darba kontekstā: CNIL un Eiropas datu aizsardzības komiteja (EDAK) atgādina, ka strukturāls disbalanss starp darba devēju un darbinieku padara grūti pierādīt brīvu piekrišanu. To vajadzētu izmantot tikai kā pēdējo iespēju.

Apstrādes darbību reģistrs, neapšaubāms pienākums

Jebkurai organizācijai, kurā nodarbināti vismaz 250 cilvēki — vai apstrādājot sensitīvus datus mazākā mērogā — ir jāveda apstrādes aktivitāšu reģistrs (GDPR 30. pants). HR kontekstā šim reģistram jā dokumentē katrai apstrādei: mērķis, datu kategorijas, saņēmēji, glabāšanas ilgumi un ieviestie drošības pasākumi.

Šis dokuments, kuru glabā CNIL rīcībā pārbaudēs gadījumā, ir arī vērtīgs vadības rīks. Kombinējot ar HR īpaši paredzētu elektroniskās parakstīšanas risinājumu, tas ļauj izsekot un nodrošināt laika marķējumu katrā HR dokumenta dzīves cikla etapā, tādējādi stiprinot procesu auditorijas.

Darbinieku tiesības un darba devēja pienākumi

Darbinieku informēšana: tūlītējs pienākums

GDPR 13. pants prasa informēt attiecīgās personas datu savākšanas brīdī. Praksē HR jānodrošina darbiniekiem — ideāli darba līguma parakstīšanas brīdī — GDPR informācijas paziņojums, kurā norādīti: pārvaldnieka identitāte, apstrādes mērķi un likumiskās bāzes, glabāšanas ilgums, pieejamās tiesības un DPO (datu aizsardzības pārstāvja) kontakti, ja uzņēmumam tāds ir.

Šī apmaiņa digitalizēšana un asekurēšana ir būtiska. Elektroniskās parakstīšanas izmantošana uzņēmumā paziņojuma nodošanai garantē laika marķējuma pierādīšanu un neapstrīdamu piegādi, kas atbilst eIDAS reglamenta prasībām.

Darbinieku tiesības, kas vienmēr jārespektē

Kolēģiem ir plašas tiesības uz viņu datiem:

• Piekļuves tiesības (15. pants): jebkurš darbinieks var pieprasīt kopiju visu viņu datiem saistīto datu, ko apstrādā darba devējs.

• Labošanas tiesības (16. pants): neprecīzas datas korekcija (piem.: pasta adrese, bankas rekvizīti).

• Tiesības uz izdzēšanu (17. pants): pieejama noteiktos gadījumos, īpaši pēc līguma beigšanas un normatīvo glabāšanas termiņu iztecēšanas.

• Iebilstības tiesības (21. pants): darbinieks var iebilst pret apstrādi, kas balstīta uz likumiskajiem interesiem.

• Ierobežošanas tiesības (18. pants): pagaidu apstrādes pieturēšana, kurā tiek apstrīdēts.

Darba devējam ir viens mēnesis jebkuras tiesību izmantošanas pieprasījuma atbildei, kas var tikt pagarināti uz trim mēnešiem sarežģītības gadījumā (GDPR 12. pants).

HR datu drošība un apakšuzņēmēju vadīšana

Tehniskie un organizatoriskie pasākumi

GDPR 32. pants prasa ieviesti drošības pasākumus "atbilstošus riskam". HR datiem labi paņēmieni ietver:

• Šifrēšana failu ar sensitīvajiem datiem (algas čeki, medicīniskie dosieri).

• Piekļuves kontrole: minimālā privilēģija princips — algas vadītājam nav piekļuves disciplināriem datiem.

• Piekļuves žurnāļi HR sistēmām (SIRH, algas rīki).

• Pārkāpumu reagēšanas plāns: datu noplūdes gadījumā darba devējam ir 72 stundas CNIL paziņošanai (33. pants), un potenciāli attiecīgajiem cilvēkiem, ja risks ir augsts (34. pants).

Pilnas audita vadīšana, izmantojot elektroniskās parakstīšanas vadlinijas var palīdzēt HR komandām identificēt nedrošus procesus, kas joprojām pastāv uz papīra un tos digitalizēt atbilstīgi.

Apakšuzņēmumu HR regulēšana ar DPA

HR pakalpojumi izmanto daudz apakšuzņēmējus: algas programmatūra, apmācības platformas, laika vadības rīki. Katram apakšuzņēmējam, kurš piekļūst personālo datu, ir jābūt datu apstrādes līgumam (Data Processing Agreement — DPA), saskaņā ar GDPR 28. pantu. Šajā līgumā jāprecizē apstrādes norādījumi, drošības garantijas, datu atgriešanas vai iznīcināšanas modalitātes, un pienākumi pārkāpuma gadījumā.

Apakšuzņēmējiem, kuri hostē savus datus Eiropas Savienībā, vai viņiem, kas regulēti ar Komisijas apstiprinātiem tipiskiem kontraktiem (CCT), joprojām ir būtisks prasījums, lai izvairītos no jebkādas neatļautas ES ārpus pārsūtīšanas.

Glabāšanas ilgumi: strukturējošs jautājums

Darbinieka dosierim piemērojamie likumiskies ilgumi

HR datu glabāšanas ilgums ir regulēts ar tekstu sakrājumu: GDPR (glabāšanas ierobežošanas princips, 5.1.e pants), Darba likums un dažādi fiskāli un sociāli noteikumi. Praksē galvenie ievērošanas termiņi ir:

| Dokumenta tips | Minimālais glabāšanas ilgums | |---|---| | Algas čeks | 5 gadi (sociālā noilguma izbeigšana) | | Darba līgums | 5 gadi pēc līguma beigšanas | | Algas dati (DSN) | 3 gadi (URSSAF kontrole) | | Personāla reģistrs | 5 gadi pēc darbinieka aiziešanas | | Disciplinārie dati | Proporcionalais pasākumam | | Medicīniskais dosieris (darba medicīna) | 50 gadi (specifiska regulācija) |

Automatizētas arhivēšanas un iztīrīšanas politikas īstenošana SIRH, apvienota ar elektroniskās parakstīšanas darb flux, kas norāda dokumentu izveides laiku, šodien ir labākā prakse, lai pierādītu CNIL atbilstību.

Jāizvairās no slazdiņiem

Bieži novērotās kļūdas CNIL pārbaudēs par HR datiem ir: neatvēlēto kandidātu CV bezgalīga glabāšana, bijušo darbinieku informātikas piekļuves uzturēšana, algas failu šifrēšanas neesamība, un noapaļošanas datu neizdzēšana normatīvo terminu pēc. Lai drošinātu šos punktus, elektroniskās parakstīšanas risinājumu salīdzinājums palīdz identificēt rīkus ar neatņemamu pierādītās arhivēšanas un dokumentu dzīves cikla pārvaldības funkcijām.

HR datu apstrādes piemērojamais juridiskais ietvars

Kolaborantu personālo datu apstrāde notiek biezā normatīvā ietvara ietvaros, kas artikulē vairākus regulācijas līmeņus.

Regula (ES) 2016/679 — GDPR ir stūrakmens. Tās 5. līdz 11. pantu nosaka fundamentālos principus (likumiskums, godīgums, pārredzamība, mērķa ierobežošana, datu minimizācija, precizitāte, glabāšanas ierobežošana, integritāte un konfidencialitāte). 9. pants nosaka stingrās nosacījumus, kas piemērojami ipaši datu kategorijām, tai skaitā veselības un arodbiedrību dati, īpaši bieži HR. 83. pants paredz naudas sodus, kas var sasniegt 20 miljonus eiro vai 4 % no pasaules gada apgrozījuma smaga pārkāpuma gadījumā.

Modificēts Informātikas un brīvības likums (likums nr. 78-17 no 1978. gada 6. janvāra), konsolidētajā versijā, pielāgo GDPR franču tiesībām. Tas piešķir CNIL kontroles un soda pilnvaras, un paredz jo īpaši sektoriālas izņēmumus veselības datu ietvaros darba medicīnā.

Darba likums regulē apstrādes, kas saistītas ar darbinieku uzraudzību (l. 1121-1 par privātuma ievērošanu), personāla pārstāvju konsultāciju par ciparu rīkiem (l. 2312-38), un obligātajiem reģistriem.

eIDAS Regula (nr. 910/2014), papildināta ar eIDAS 2.0 (Regula UE 2024/1183), regulē elektroniskās parakstīšanas juridisko vērtību HR dokumentiem. Kvalificēta elektroniskā parakstīšana (QES), kas atbilst eIDAS I pielikumam un standartiem ETSI EN 319 132 un ETSI EN 319 122, nodrošina līdzvērtības pieņēmumu ar roku parakstu saskaņā ar Franču Civilkodeksa 1367. pantu.

Civīlkodeksa 1366. pants nosaka, ka "elektroniskajam tekstam ir tāda pati pierādperspektīva kā tekstam uz papīra, ar nosacījumu, ka vienu un otru var pareizi identificēt personu, kuras izcelsmes tas ir, un to izveide un glabāšana notiek apstāklī, kas nodrošina tā integritāti". Šī noteikuma ir tieši piemērojami darbā pieņemšanas līgumiem, grozījumiem, konfidencialitātes nolīgumiem un citiem dematicionalizētiem HR dokumentiem.

NIS2 direktīva (UE 2022/2555), kas pārnesta Francijas tiesībās ar 2025. gada 26. februāra likumu, uzliek stiprinātas prasības būtiskiem un svarīgiem objektiem (jo īpaši lieliem rūpniecības uzņēmumiem un ciparu pakalpojumu operatoriem) informācijas drošības riska pārvaldībā, iekļaujot sensitīvo HR datu aizsardzību.

CNIL izteiktās soda daudz pieaug: 2024. gadā kopējā naudas sodu summa pārsniedz 100 miljonus eiro, ar vairākiem lēmumiem, kas tieši ietver darbinieku datu pārvaldības pārkāpumus. Glabāšanas ilguma neievērošana, DPA neesamība ar HR apakšuzņēmējiem un nepietiekamie drošības pasākumi ir starp biežāk pieņemtajiem apgalvojumiem.

Lietošanas scenāriji: GDPR atbilstība HR praksē

1. scenārijs — ETI rūpniecības uzņēmums ar 450 darbiniekiem digitalizē savus ieviešanas procesus

Vidējas lieluma rūpniecības uzņēmums, kas sadalīts trīs vietās Francijā, vadīja savus darba līgumus un grozījumus uz papīra. Jauno darbinieku dosieri netika pārsūtīti algas dienestam vidēji 12 darbdienas, izraisot algas kļūdas aptuveni 8 % gadījumu. Turklāt nevienam jaunajam darbniekam netika formāli nodrošināts GDPR paziņojums: informācija atradās tikai iekšējā reglamentā, kas netika atsevišķi parakstīts.

Pēc elektroniskās parakstīšanas risinājuma īstenošanas, kas integrēts ar SIRH, ar vienlaicīgu GDPR paziņojuma nodošanu, ko kopīgi parakstīja darbinieks un HR vadītājs, uzņēmums samazināja dokumentārā onboarding ilgumu līdz 2 darbdienām (83 % samazinājums). Algas kļūdas, kas saistītas ar trūkstošiem datiem, samazinājās līdz mazāk par 1 %. Katrs parakstīts dokuments ir glabāts ar kvalificētu laika marķējumu, nodrošinot pierādāmu pierādījumu CNIL pārbaudē vai tiesvedības gadījumā.

2. scenārijs — 1 200 darbinieku grupa labot savu konservācijas politiku

Grupu, kas darbojās specializētajā distribuācijā, veica CNIL pārbaudē pēc bijušā darbinieka sūdzības. Inspekcija atklāja, ka Excel faili ar algas datiem no darbinieku, kas aizgājuši vairāk nekā 8 gadus atpakaļ, bija joprojām pieejami nedrošā kopīgajā serverī bez šifrēšanas. Tika izteikts formāls brīdinājums ar injunkciju pilnā atbilstības stāvēšanu 3 mēnešu laikā.

Grupa uzsāka visaptverošu savu HR apstrādes auditu, kartografēja savus 23 apstrādes procesus un ieviesa automatizētu iztīrīšanas plānu, ko izraisīja SIRH. Elektroniskos parakstus ir pārraidīti uz ciparu seifam ar retencijas ilgiem, kas konfigurēti saskaņā ar likumiskajiem pienākumiem. DPO izgatavoja pilnīgu HR apstrādes reģistru, ko ieprezentēja otrajā CNIL pārbaudē 18 mēnešus vēlāk, kas noslēdzās bez sekas. Atbilstības izmaksas tika novērtētas par mazāk nekā 60 % no potenciālā naudas soda apmēra.

3. scenārijs — 35 cilvēku HR konsultāciju birojs drošinās savu konsultantu un klientu datus

Uzņēmums, kas specializējies cilvēkresursos, pārvalda gan savu konsultantu, gan savu klientu kandidātu un darbinieku datus (novērtēšanas vai ārējās izliegšanas misijās). Tas nonāk divējā pozīcijā: pārvaldnieks saviem HR, apakšuzņēmējs (vai co-vadības) trešo personu datiem.

Birojs ieviesa diferencētu dokumentācijas arhitektūru: vienkāršas elektroniskās parakstīšanas iekšējiem parastajiem apmaiņām, paaugstinātas parakstīšanas klientu misijas līgumiem, un datu apstrādes nolīgumi (DPA) sistemātiski integrēti misijas vēstulēs. Visiem konsultantiem bija saņemti atjauninātu GDPR kodeksu parakstīti elektronski un glabāti dedikatā reģistrā. Šī organizācija ļāva birojam parādīt savu atbilstību kā komerciālo argumentu lieliem kontos, uz kuriem tika veiktas stingrās apakšuzņēmēju audits, samazinot vidējo līgumošanas ilgumu no 7 uz 2 nedēļām.

Secinājumi

GDPR uzliek HR vadībām fundamentālu savu prakses transformāciju: rigorozas likumiskās bāzes identificēšanu, efektīvu kolaborantu informēšanu, tiesību pārvaldību, apakšuzņēmējiem kontraktējošus nolīgumus, datu drošinājumu un glabāšanas ilguma ievērošanu. Šie pienākumi nav vienkārši administratīvi formalitātes — viņi nosacīs uzņēmuma spēju izvairīties no sankcijām, kas var sasniegt miljonus eiro, un uzturēt komandas uzticību.

HR procesu digitalizācija, izmantojot eIDAS konformētas elektroniskās parakstīšanas risinājumus, ir viens no efektīvākajiem spaļiem, lai saskaņotu operatīvo efektivitāti un normatīvo atbilstību. Certyneo pavada HR komandas šajā pārgājiencē, sākot no darba līguma parakstīšanas līdz drošiem darbinieku dosiero arhivāvumam.

Uzziniet, kā Certyneo var nodrošināt jūsu HR procesus skatoties mūsu HR komandām paredzētā piedāvājuma vai sākot brīvi risinājumu pārbaudēm bez saistības.