RGPD in HR: Darbinieku datu apstrāde

Vispārējais Datu Aizsardzības Noteikums (RGPD) attiecas ne tikai uz komercsakariem starp uzņēmumu un tā klientiem: tas arī nosaka, un ļoti precīzi, darbinieku personisko datu apstrādi. Pieņemšana darbā, algu vadība, piekļuves kontrole, veiktspējas novērtēšana, videonovērošana… katra darba līguma dzīves cikla fāze rada personas datus, kurus darba devējam jāapstrādā stingri ievērojot Eiropas tiesības. Ar naudas sodomām, kas var sasniegt 20 miljonus eiro vai 4% no gada pasaules apgrozījuma, risks ir ievērojams. Šajā rakstā detalizēti paskaidrots par piemērojamām juridiskām bāzēm, HR dienestu praktiskiem pienākumiem un labākajām prakses metodēm jūsu datu apstrādes nodrošināšanai — tostarp HR dokumentu digitalizācijas laikā.

HR datu apstrādes juridiskais pamatjums

Darba tiesībās pieņemtās juridiskās bāzes

RGPD uzskaita sešas juridiskās bāzes personisko datu apstrādei (6. pants). HR kontekstā gandrīz sistēmiski tiek izmantotas trīs no tām:

• Darba līguma izpilde (6. pants, 1. daļa, b) punkts): ir galvenā bāze algu vadībai, darba laika izsekošanai, algas paziņojuma izsniegšanai vai brīvdienu vadībai.

• Juridisks pienākums (6. pants, 1. daļa, c) punkts): pamato apstrādes, ko nosaka Darba kodekss vai sociālā likumdošana, piemēram, iepriekšēju paziņojumu par pieņemšanu darbā (DPAE), nominatīvo sociālo deklarāciju (DSN) vai personāla reģistra uzturēšanu.

• Leģitīma interese (6. pants, 1. daļa, f) punkts): var pamatot dažus datu drošības vai iekšējās krāpšanas novēršanas pasākumus, ar nosacījumu, ka šī interese nepārsniedz darbinieku pamatrunas.

⚠️ Piekrišanas bāze darba attiecību kontekstā jāizmanto ar ļoti lielu uzmanību. CNIL regulāri atgādina, ka darba devēja-darbinieka attiecībām raksturīgais spēka disbalans padara piekrišanu reti "brīvu" RGPD 7. panta izpratnē. Piekrišanas izmantošana apstrādei, kas varētu pamatoties uz citu juridisko bāzi, izliek darba devēju riskam tikt pārkvalificētam.

Îpaši datu veidi: nostiprināts režīms

Dažas HR puses apkopotās datas ietilpst "jutīgu" datu režīmā saskaņā ar RGPD 9. pantu, kuru apstrāde principā ir aizliegta, izņemot izņēmumu gadījumos:

• Veselības dati: slimības atvaļinājumi, nepiemērotība, amatvietā veiktie pielāgojumi invalīdiem.

• Arodbiedrības dati: arodbiedrības biedršana, reprezentatīvi mandāti.

• Biometriskie dati: piekļuves kontrole pēc pirksta nospieduma vai sejas atpazīšanas.

• Nozieguma dati: tiesiskā stāvokļa reģistra pārbaude, atļauta tikai regulētās nozarēs (drošība, bērni u.c.).

Šīm kategorijām darba devējam jāidentificē skaidrs izņēmums (9. pants, 2. daļa), lielākoties jāveic datu apstrādes ietekmes analīze (DPIA) un bieži jāapspriežas ar CNIL pirms izvietošanas.

HR dienestu praktiskie pienākumi

Apstrādes darbības reģistrs

Jebkurai organizācijai ar vairāk nekā 250 darbinieku jāuztur apstrādes darbības reģistrs (RGPD 30. pants). Zem šī sliekšņa pienākums saglabājas, ja apstrādes nav gadījuma rakstura vai attiecas uz jutīgiem datiem — kas HR gadījumā ir gandrīz vienmēr. Šajā reģistrā jādokumentē:

• Katra apstrādes mērķis (piem., "algas paziņojuma vadība")

• Attiecīgo datu kategorijas

• Saņēmēji (trešās personas, apakšuzņēmēji, iestādes)

• Saglabāšanas ilgums

• Ieviestie drošības pasākumi

CNIL pieejams bezmaksas lejupielādējams reģistra paraugs. Tā stingra ievērošana ir pirmā aizsarglīnija kontroles laikā.

Saglabāšanas ilgums: bieži neglekts punkts

RGPD 5. panta 1. daļa, e) punkts nosaka saglabāšanas ilguma ierobežošanas principu: datus nedrīkst saglabāt ilgāk par laiku, kas nepieciešams nolūkam, kuram tie tika vākti. HR jomā atskaites juridiskais saglabāšanas ilgums ir šāds:

| Datu tips | Ieteiktais saglabāšanas ilgums | |---|---| | Algas paziņojums | 5 gadi (civiltiesiskais noilgums) | | Darba līgums | 5 gadi pēc līguma izbeigšanas | | Pieņemšanas dati (neizraudzīts kandidāts) | Maksimāli 2 gadi pēc pēdējās kontakta reizes | | Disciplinārā lieta | Mainīgs ilgums atkarībā no soda (maks. 3 gadi paziņojumam) | | Videonovērošanas dati | 1 mēnesis vispār | | DSN un personāla reģistrs | 5 gadi pēc darbinieka izstāšanās |

Šos ilgumus jāapraksta reģistrā un jāpiemēro izdzēšanas vai galīgas arhivēšanas procedūrās.

Darbinieku informēšana: bieži par daudz novērtēta pienākuma

RGPD 13. pants prasās sniegt pilnu informācijas paziņojumu personām datu vākšanas brīdī. HR jomā šo paziņojumu ieteicams sniegt:

• Jau kandidatūras stadijā: diem, kas vākti pieņemšanas procesā.

• Nolīgšanas brīdī: darba līgumā vai pielikumā, kas pievienots pie parakstīšanas.

• Darba attiecību laikā: katru reizi, kad tiek ieviesta jauna apstrāde (piem., biometriskā sistēma).

Onboarding procesa digitalizācija, jo īpaši caur HR elektronisko parakstīšanu, atvieglo šīs informācijas sniegšanas izsekošanu: paziņojuma nolasīšanas un parakstīšanas laiks un datums tiek reģistrēts pierādīti, kas ir vērtīgs pierādījums strīdu gadījumā.

HR datu drošība: tehniski un organizatoriski pasākumi

Šifrēšana, piekļuves kontrole un sadalīšana

RGPD 32. pants prasa īstenot drošības pasākumus, kas atbilst riskam. HR datiem, kas pēc dabas ir jutīgi un mērķētie uzlaušanā, minimālās labās prakses ietver:

• Datu šifrēšana miera stāvoklī un pārsūtīšanas laikā: algas dati, līgumi un personīgās lietas jāglabā šifrēti (vismaz AES-256) un jāpārsūta caur drošiem protokoliem (TLS 1.3).

• Uz lomām balstīta piekļuves kontrole (RBAC): tikai pilnvarotas HR vadības personas var skatīt algas datus; komandas vadītājs piekļūst tikai nepieciešamiem datiem.

• Piekļuves žurnalizācija: jebkura darbinieka lietas apskatīšana vai maiņa jāreģistrē ar lietotāja identifikatoru, datumu un laiku.

• Pseudonīmizācija analītiskai apstrādei (HR mājražojumi, algu pētījumi).

HR apakšuzņēmēju vadība

HR pakalpojumi izmanto daudzus apakšuzņēmējus: SIRH redaktorus, ārējās algas aprēķina sniedzējus, apmācības platformas, tiešsaistes pieņemšanas rīkus. Katram no šiem partneriem jābūt RGPD 28. panta atbilstīgam apakšuzņēmuma līgumam, kas nosaka jo īpaši:

• Apakšuzņēmuma apstrādes to dabu un mērķi

• Apakšuzņēmuma pienākumus drošības un konfidencialitātes jomā

• Aizliegumu tālāk apakšuzņemt bez iepriekšējas atļaujas

• Datu atgriešanas vai iznīcināšanas modalitātes līguma beigās

Izvēloties pakalpojuma sniedzēju, jāpārbauda arī, vai viņa serveri atrodas Eiropas Ekonomiskajā Zonā (EEZ) vai vai pastāv atbilstīgs pārsūtīšanas mehānisms (standarta līgumlausuli, adekvaciāles nospiedums) dāvām ārpus EEZ.

HR dokumentu digitalizācija un RGPD atbilstība

Pieaugošā HR procesu digitalizācija — elektroniskies darba līgumi, digitalizēti algas paziņojumi, no attāluma parakstīti grozījumi — rada specifiskus RGPD jautājumus. Lai arī eIDAS atbilstīga elektroniskā parakstīšana sniedz nešaubīgus integritātes un autentiskuma garantijas, darba devējam jānodrošina, ka izmantotā platforma:

• Neizvāc nevajadzīgus datus parakstīšanas procesa laikā (minimizācijas princips, 5. pants, 1. daļa, c) punkts)

• Saglabā parakstīšanas pierādījumus (audita pēda) drošos apstākļos un atbilstīgu ilgumu

• Ļauj parakstītājiem izmantot savas tiesības (piekļuve, labošana, dzēšana likumā paredzētajās robežās)

Lai uzzinātu vairāk par parakstīšanas rīku RGPD atbilstību, Certyneo elektroniskās parakstīšanas pilnais ceļvedis detalizē tehniskos un juridiskos kritērijus, kas jāpārbauda pirms izvietošanas.

Darbinieku tiesības un to efektīva izmantošana

RGPD garantēto tiesību apkopojums

Darbinieki bauda visas tiesības, kas paredzētas RGPD 15.-22. pantos. HR kontekstā visbiežāk izmantotās tiesības ir:

• Piekļuves tiesības (15. pants): darbinieks var pieprasīt kopiju visu par viņu darba devēja turētajiem datiem, tostarp profesionāļu e-pastu apmaiņu noteiktos apstākļos.

• Labošanas tiesības (16. pants): neprecīzu datu koriģēšana (kļūda RIB, nepareizi ievadīts diploms u.c.).

• Dzēšanas tiesības (17. pants): HR jomā ierobežotas ar saglabāšanas juridiskajiem pienākumiem, bet piemērojamas neizraudzīta kandidāta pieņemšanas datiem.

• Iebilstības tiesības (21. pants): var tikt izmantotas pret apstrādi, kas balstīta uz leģitīmo interesu, piemēram, noteiktas novērošanas apstrādes.

• Pārnešanas tiesības (20. pants): piemērojamas datiem, kurus pats darbinieks sniedzis darba līguma izpildei.

Atbildes termiņš un iekšējās procedūras

Darba devējam ir viens mēnesis, lai atbildētu uz jebkuru tiesību izmantošanas pieprasījumu, termiņu var pagarināt uz trīs mēnešiem sarežģītības vai augsta pieprasījumu apjoma gadījumā (12. pants, 3. daļa). Lai efektīvi organizētu šo apstrādi, ieteicams:

• Norīkot vienu kontaktpunktu (DPO vai RGPD referenti) pieprasījumu saņemšanai

• Izveidot īpašu formu, kas pieejama darbiniekiem

• Dokumentēt katru pieprasījumu un atbildi tiesību izmantošanas reģistrā

• Apmācīt HR vadītājus atpazīt tiešu pieprasījumu (darbinieks, kas prasa "viņu lietu", faktiskā izmanto piekļuves tiesības)

DPO loma uzņēmumā

RGPD nosaka Datu Aizsardzības Delegāta (DPO) norīkošanu trīs gadījumos (37. pants): valsts iestāde, jutīgu datu apstrāde liela apjoma, vai sistematiska novērošana liela apjoma. Daudziem uzņēmumiem ar nozīmīgu HR apstrādi pastāv šis pienākums. DPO var būt iekšējais vai ārējais; tam ir jābūt funkcionālai neatkarībai un tam jāpiedalās visos lēmumos, kas ietekmē datu aizsardzību, tostarp jauno HR digitālo rīku izvietošanā. Tā loma ir konsultatīva, nevis izšķirošā: galīgā atbildība paliek darba devēja, t.i., apstrādes vadītāja.

HR datu apstrādes piemērojamais likumiskais regulējums

RGPD: pamatteksts

Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (2016. gada 27. aprīlis) (RGPD) ir fundamentāls personisko datu apstrādes tiesību aktis Eiropā. Tieši piemērojams visos dalībvalstīs kopš 2018. gada 25. maija, tas attiecas uz jebkuru darba devēju, kas apstrādā ES rezidentu darbinieku datus neatkarīgi no uzņēmuma nacionālā satura. Galvenie piemērojamie panti HR kontekstā ir:

• 5. pants: pamatprincipi (likumīgums, godīgums, pārredzamība, minimizācija, precizitāte, saglabāšanas ierobežošana, integritāte un konfidencialitāte, atbildības virzāmība)

• 6. pants: apstrādes juridiskās bāzes

• 9. pants: jutīgu datu režīms

• 12.-22. pants: attiecīgo personu tiesības

• 24.-32. pants: apstrādes vadītāja un apakšuzņēmuma pienākumi

• 33.-34. pants: datu pārkāpumu paziņošana (72 stundas CNIL, un darbinieku informēšana, ja augsts risks)

• 35. pants: ietekmes analīze (DPIA) obligāta augsta riska apstrādei

• 83. pants: administratīvās sankcijas (līdz 20 M€ vai 4% no pasaules apgrozījuma)

Informatīvā un brīvības likums, kā tas ir mainīts

Franču tiesībās 1978. gada 6. janvāra 78-17. likums par informatīku, failiem un brīvību, kā tas mainīts 2018. gada 20. jūnija 2018-493. likumā un 2018. gada 12. decembra 2018-1125. ordinancē, papildina RGPD, atverot nacionālas elastīguma marķes ("atvērtuma klauzulas"). Starp vissvarīgākajiem HR jomā: iespēja apstrādāt arodbiedrības datus personāla pārstāvības institūciju vadības ietvaros (likuma 9. pants), vai specifiskās noteikums darbavietā veselības datu apstrādei.

Darba Kodekss un sociālā tiesu prakse

Darba Kodekss nosaka informācijas sniegšanas un iepriekšējas Sociālā un Ekonomiskā Komiteja (CSE) konsultēšanas pienākumus pirms jebkura novērošanas vai darbinieka kontroles ierīces izvietošanas (L. 2312-38. pants). CSE konsultēšanas trūkums rada pierādījumu nepiemērojamību un kriminālsodu risku.

Kasācijas tiesas tiesu prakse regulāri atgādina, ka kontroles rīki (ģeolokācija, žetoni, darbības izsekošanas programmatūra) ir jābūt proporcionāliem nolūkam un nedrīkst tikt novirzīti no nolūkiem, kas paziņoti darbiniekiem un CNIL.

HR dokumentu elektroniskā parakstīšana: eIDAS un Pilsoņu kodekss

Darbības līgumu, grozījumu vai disciplinējošo dokumentu digitalizācijā darba devējam jāievēro Regula (ES) nr. 910/2014 eIDAS, kas nosaka trīs elektroniskās parakstīšanas līmeņus. Tik strukturējošiem dokumentiem kā CDI darba līgums vai ruptures deklarācija, ieteicama papildu elektroniskā parakstīšana (vai pat kvalificēta), lai garantētu parakstītāja identitāti un dokumenta integritāti. Pilsoņu kodeksa 1366. un 1367. panti apstiprinātu elektroniskā rakstiska dokumeta un elektroniskās parakstīšanas pierādīšanas vērtību, ar nosacījumu, ka parakstītājs ir uzticami identificēts un dokumenta integritāte ir garantēta.

CNIL pieņemtās sankcijas HR datu apstrādes jomā

CNIL ir pieņēmusi vairākas nozīmīgas sankcijas HR datu apstrādes jomā: 2022. gadā uzņēmums tika notiesāts ar 400 000 € naudassodu pārmērīgai darbinieku uzraudzībai attālinātajā darbā, izmantojot ekrāna uztveršanas programmatūru. 2023. gadā drošības uzņēmums saņēma 200 000 € sodu par pārmērīgu biometrisko datu vākšanu bez derīgas juridiskās bāzes. Šie lēmumi ilustrē regulatora pieaugošo uzmanību šajā jomā.

Lietošanas scenāriji: RGPD HR praksē

Scenārijs 1 — Vidējais rūpniecības uzņēmums ar 450 darbiniekiem pielāgo pieņemšanas procesu

Vidējā lieluma rūpniecības uzņēmums ar aptuveni 450 darbinieku uz trim vietām gadā saņēma vairāk nekā 3000 spontānu kandidātu pieteikumus un atbildēja uz sešdesmit darbvietu sludinājumiem. CV un motivācijas vēstules tika glabātas bez ilguma ierobežojuma koplietošanas e-pasta kastē starp sešiem dienestu vadītājiem. Kandidātiem netika sniegts nekāds RGPD paziņojums par viņu datu lietošanu.

Pēc RGPD audita sešu mēnešu laikā tika īstenoti šādi pasākumi:

• Migrācija uz ATS (Applicant Tracking System), kas sertificēts kā RGPD atbilstīgs, ar automātisku dossier dzēšanu 24 mēnešu pēc neaktivitātes

• RGPD paziņojuma pievienošana katrai tiešsaistes kandidātu formai

• Nolīgumu un darba līgumu elektroniskā parakstīšana caur eIDAS atbilstīgu platforma, samazinot līguma atgriešanas ilgumu no vidēji 8 dienām uz mazāk nekā 48 stundām

• Apstrādes darbības reģistra atjaunošana ar 12 jaunām HR apstrādes kartēm

Rezultāts: nē CNIL pieprasījumus saņemti 18 mēnešos; aprēķinātais pieaugums 1,2 FTE pieņemšanas administratīvajā vadībā datorināmības dēļ.

Scenārijs 2 — 1200 darbinieku liels pārtikas izplatīšanas uzņēmums pieņem videonovērošanu

Uzņēmums pārtika izplatīšanā bija izvietojis videonovērošanas sistēmu 34 pārdošanas vietās. Attēli tika saglabāti 45 dienas dažās vietās bez informācijas darbiniekiem. Vairāki sensori nepārtraukti apsekoja kases pozīcijas, radot nesamērīgas uzraudzības risku.

Pēc darbinieka sūdzības CNIL uzņēmums sāka pilnīgu atbilsības uzlabošanu, tostarp:

• Saglabāšanas ilguma samazināšanu uz 30 dienām visos objektos

• Kameru pārbīdi, lai izslēgtu nepārtrauktu atsevišķu darba vietu uzraudzību

• Centrālā CSE konsultēšanu un piekrišanu jebkuram jaunam izvietojumam

• Sistematisko darbinieku informēšanu caur darba līgumiem un iekšējo reglamentu

Rezultāts: CNIL sūdzības slēgšana bez soda; sociālā klimata paaugstināšanās, ko mēra gada padomdevības aptaujā (+11 punkti "uzticēšanās darba devējam" pozīcijā).

Scenārijs 3 — HR ārējības konsultācijas firma nodrošina datu pārsūtīšanu

Firma, kas specializējas algas un personāla administrācijas ārējošanā, vadīja darbinieku lietas divdesmit maziem uzņēmumiem, kas pārstāvēja aptuveni 1800 ikmēneša algas paziņojumus. Algas dati tika sūtīti ar nešifrētu e-pastu bez RGPD 28. panta atbilstīga apakšuzņēmuma līguma.

Firma sāka pilnīgu prakses reformu:

• RGPD 28. pantam atbilstīgu Datu apstrādes nolīgumu (DPA) parakstīšanu ar katru klientu caur elektroniskās parakstīšanas platforma, ļaujot izsekošanu

• Drošas klienta portāla (TLS šifrēšana + divfaktora autentifikācija) ieviešanu algas failu iesniegšanai un saņemšanai

• Datu mitināšanu uz Francijā lokalizētos serverus, sertificētos HDS veselības datu jomā

• Apakšuzņēmuma politikas redakciju, regulējot atsauci uz tiem (algas programmatūras redaktors, arhivators)

Rezultāts: 100% samazinājums nešifrētu e-pastu HR datu pārsūtīšanā; divas jaunas klientu līguma iegūšana, kas RGPD atbilstību padarīja obligātu atlases kritēriju viņu iepirkumu procedūrās.

Secinājumi

RGPD HR jomā nav tikai papildu administratīvs apgrūtinājums: tas ir uzticības virziens starp darba devēju un viņa līdzstrādniekiem un konkurences faktors darba tirgū, kur pārredzamība arvien vairāk tiek novērtēta. Atjaunināts apstrādes darbības reģistrs, kontrolēti saglabāšanas ilgumi, formalizēta darbinieku informēšana, pastiprināta sensitīvo datu drošība un līgumā iesaistīti apakšuzņēmumi: katrs no šiem pīlāriem veicina likumīgu un atbildīgu HR politiku.

HR dokumentu digitalizācija — līgumi, grozījumi, algas paziņojumi, informācijas paziņojumi — sniedz unikālu iespēju apvienot RGPD atbilstību un operacionālo efektivitāti, ja paļaujas uz sertificētiem rīkiem. Certyneo jūs pavada šajā procesā ar eIDAS atbilstīgu elektroniskās parakstīšanas risinājumu, ko paredzēts HR komandām. Atklājiet Certyneo cenas un sāciet bezmaksas pārbaudīšanu, lai nodrošinātu HR dokumentus jau šodien.