GDPR cilvēkresursu jomā: darbinieku datu apstrāde

Ievads

Kopš Vispārīgās datu aizsardzības regulas (VDAR) stāšanās spēkā 2018. gada 25. maijā HR departamenti ir bijuši pirmajā vietā, lai nodrošinātu atbilstību. Cilvēkresursu funkcijas ikdienā apstrādā sensitīvus personas datus: CV, algas lapas, veselības datus, vērtējumus, bankas rekvizītus. Slikta pārvaldība pakļauj uzņēmumam sankcijas līdz 20 miljoniem eiro jeb 4% no globālā apgrozījuma (VDAR 83. pants). Šajā rakstā ir izklāstīti galvenie pienākumi un labākā prakse, lai nodrošinātu darbinieku datu apstrādi visā personāla ciklā.

Pamatprincipi, kas piemērojami personāla datiem

VDAR nosaka sešus galvenos principus, kas kodificēti 5. pantā: likumība, lojalitāte, pārredzamība, mērķu ierobežošana, samazināšana, precizitāte, saglabāšanas ierobežojumi un integritāte/konfidencialitāte. Praksē tas nozīmē, ka personāla nodaļa var vākt tikai tos datus, kas noteikti nepieciešami konkrētam mērķim. Piemēram, pieprasīt sociālās apdrošināšanas numuru, piesakoties, ir nesamērīgi: tas ir attaisnojams tikai pēc pieņemšanas darbā DSN.

CNIL savā apspriedē Nr. 2019-160, kas attiecas uz personāla vadību, ir norādīti ieteicamie glabāšanas periodi: 2 gadi neveiksmīgiem pieteikumiem (ja nav piekrišanas), 5 gadi pēc aizbraukšanas administratīvajai lietai, 6 gadi algas lapiņām darba devēja versijā.

Juridiskais pamats un informācija darbiniekiem

Pretēji izplatītajam uzskatam, piekrišana reti kad ir piemērots juridiskais pamats cilvēkresursu jomā pakļautības attiecību dēļ. Attiecīgais pamats drīzāk ir darba līguma izpilde (6.1.b pants), tiesiskais pienākums (6.1.c punkts) vai likumīgās intereses (6.1.f pants). Attiecībā uz sensitīviem datiem (veselība, arodbiedrība) 9. pantā ir noteikts īpašs pamats, piemēram, pienākums darba tiesību jomā.

Darba devējam ir jāsniedz skaidra informācija, izmantojot GDPR paziņojumu, kas tiek sniegts, pieņemot darbā, jāatjaunina apstrādes reģistrs (30. pants) un jākonsultējas ar CSE pirms jebkādas jaunas apstrādes, kas ietekmē darbiniekus (Darba kodeksa L.2312-38. pants).

Darbinieku drošība un tiesības

Tehniskā un organizatoriskā drošība (32. pants) prasa: HRIS šifrēšanu, piekļuves kontroli pēc profila, konsultāciju izsekojamību, konfidencialitātes klauzulas ar algu vai personāla atlases apakšuzņēmējiem (28. pants). Pārkāpuma gadījumā paziņojums CNIL 72 stundu laikā.

Darbiniekiem ir nostiprinātas tiesības: piekļuve, labošana, dzēšana (ierobežota ar juridiskiem saglabāšanas pienākumiem), pārnesamība, iebildumi. Iekšējai procedūrai jāļauj sniegt atbildi ne ilgāk kā viena mēneša laikā. Atteikumam piekļūt disciplinārlietai jābūt juridiski pamatotam.

Praktiski piemēri

1. piemērs — darbā pieņemšana:MVU visu kandidātu CV glabā koplietotā mapē jau 5 gadus. Neatbilstība: pārmērīgs ilgums, drošības trūkums. Risinājums: automatizēta tīrīšana pēc 2 gadiem, ierobežota piekļuve personāla atlases darbiniekiem, GDPR pieminēšana darba piedāvājumā.

2. piemērs – videonovērošana:Loģistikas noliktava nepārtraukti filmē darbstacijas. Iespējamā sankcija (CNIL 2024. gadā sodīja Amazon France Logistique 32 miljonus eiro). Risinājums: ierobežojums ar jutīgām zonām, individuāla informācija, konsultācija ar PVD, glabāšanas termiņš ne ilgāks par vienu mēnesi.

3. piemērs. Sadarbības rīki:Microsoft 365 izvietošanai ir nepieciešama ietekmes analīze (AIPD), ja ir aktivizētas pārraudzības funkcijas, kā arī atbilstoša apakšlīguma klauzula ar izdevēju.

Atbilstība un sankcijas

Papildus CNIL naudas sodiem darba devējs ir pakļauts darba tribunāla prasībām par privātās dzīves aizskaršanu (Civilkodeksa 9. pants, Darba kodeksa L.1121-1. pants). DAI iecelšana ir obligāta struktūrām, kas apstrādā datus plašā mērogā. Ikgadēja HR apstrādes kartēšana kopā ar vadītāju apmācību ir vislabākā juridiskā un operatīvā aizsardzība.

Secinājums

GDPR atbilstība cilvēkresursu jomā nav vienreizējs projekts, bet gan nepārtraukts uzlabošanas process. Starp juridiskajām saistībām, darbinieku tiesībām un darbības rezultātiem personāla vadītājiem ir stingri jāpārvalda datu pārvaldība. Ieguldot atbilstošā HRIS, apmācot komandas un dokumentējot katru apstrādi, normatīvie ierobežojumi tiek pārveidoti par darbinieku uzticības sviru.