RGPD fil-RH: Trattament tad-Dejta tal-Impiegati

Il-ġestjoni tar-riżorsi umani tiġġenera, kuljum, volum konsiderevoli tad-dejta personali: kuntratti ta' xogħol, bulettin ta' stipendi, dejta tas-saħħa, evalwazzjonijiet tal-prestazzjoni, koordinati bankarji… Minn meta daħal fis-seħħa r-Regolament Ġenerali dwar il-Protezzjoni tad-Dejta (RGPD) f'Mejju 2018, id-diretturi tal-RH saru atturi ċentrali tal-konformità ġewwa l-organizzazzjonijiet. Iżda, skond ir-rapport tal-attività 2024 tal-CNIL, is-settur tar-riżorsi umani jibqa' wieħed mit-tliet oqsma l-aktar spiss accusati fuq kontrolli. L-artikolu dan jigħidek minn ħajja l-obligazzjonijiet ewlieni, l-aħjar prattiki u l-għodod disponibbli biex taħdem id-dejta tal-impiegati tiegħek b'konformità sħiħa.

Liema dejta personali taħdmu l-RH?

Il-kategoriji ta' dejta komuni

Is-servizzi RH jimmanipulaw spettru wiesgħ ħafna ta' dejta personali. Għall-akbar tal-ħalq distinguwija talita' familji:

Id-dejta ordinarja, miġbura fil-kuntest tal-kuntratt ta' xogħol: isem, prenominal, indirizz, numru ta' sigurezza soċjali, RIB, CV, diplomi, storja professjonali, evalwazzjonijiet annwali, ħin tax-xogħol, dejta ta' preżenza u assenza.

Id-dejta sensittiva, soġġetta għal restrizzjonijiet irfgħati skond l-artikolu 9 tal-RGPD: dejta tas-saħħa (waqfiet tal-mard, dikjarazzjonijiet ta' aċċidenti tax-xogħol, restrizzjonijiet mediċinali), dejta sindikal (appartenenza għal sindikat, mandati rappreżentattivi), dejta dwar kunannazzjonijiet kriminali f'ċerti kontesti ta' recruitment.

Tajn l-aħar minnhom jistgħu jiġu trattati biss taħt riżerva ta' eċċezzjoni espliċita prevista mir-regolament — bħal l-eżekuzzjoni tal-obligazzjonijiet legali f'materja ta' dritt tax-xogħol, jew il-kunsens espliċitu tal-persuna msieqaf.

Il-każ partikolari tar-recruitment

Il-fażi ta' recruitment tiġġenera trattamenti speċifiċi, ħafn drabi mhux sodisfatti tajjeb. Il-ġbir ta' CV, ittri ta' motivazzjoni u riżultati ta' testijiet jimplika durazzjonijiet ta' ħfintment preċiżi: skond ir-rakkomandazzjoniji tal-CNIL, id-dejta tal-kandidati mhux magħżula għandha tiġi mħassra jew anonymizzata ġewwa limitu massimu ta' sentejn wara l-aħħar kuntatt. Il-ħfintment ta' CVs indefinitament f'direttorju kondiviż mhux protett jikkonstitwixxi tilef karatterizzat.

L-użu ta' għodod ta' tracking fl-ATS (Applicant Tracking Systems) jew algoritmi ta' analiżi tal-imġiba għandu jkun soġġett ta' ommenti espliċita fil-politika ta' privatezza trasmessa lill-kandidati, b'konformità mal-artikoli 13 u 14 tal-RGPD.

Il-bażi legali tal-trattament f'kuntest RH

Identiifika l-bażi legali tajba

Il-RGPD jimponi li kull trattament tad-dejta personali jirriposax fuq waħda mill- sitt bażi legali definiti fl-artikolu 6. F'kuntest RH, tliet bażi huma prinċipalment mobilitati:

• L-eżekuzzjoni tal-kuntratt ta' xogħol (art. 6.1.b): tiġġustifika l-trattament tad-dejta meħtieġa għall-ġestjoni tal-ħlas, il-ħuġjig jew it-taħdif.

• L-obligazzjoni legali (art. 6.1.c): tapplika għad-dikjarazzjoniji soċjali obbligatorji (DSN), ir-reġistri tal-persunal jew il-monitoraġġ ta' aċċidenti tax-xogħol.

• L-interess leġittimu (art. 6.1.f): jista' jiġi invokat għal trattamenti bħall-ġestjoni tal-badges ta' aċċess jew il-vidjo-sorveljanza, taħt il-kondizzjoni ta' test ta' bilanċ rigoruż.

Il-kunsens (art. 6.1.a) huwa, min-naħa l-oħra, bażi legali fragili f'kuntest ta' xogħol: il-CNIL u l-Kumitat Ewropew għall-Protezzjoni tad-Dejta (CEPD) jirrikordaw li d-diżekwilibru strutturali bejn l-imprendittur u l-impjegat jagħmlu diffiċli l-prova ta' kunsens libru. Għandu jiġi mħaddem biss bħala r-riżorta l-aħħarija.

Ir-reġistru tal-trattamenti, obligazzjoni indispensibbli

Kull organizzazzjoni impjegata mill-inqas 250 persuna — jew li taħdem dejta sensittiva b'miżura iżgħar — għandha tal-grieħ reġistru ta' attivitajiet ta' trattament (art. 30 tal-RGPD). F'RH, dan ir-reġistru għandu jidokumenta, għal kull trattament: l-iskop, il-kategoriji ta' dejta, ir-riċipjenti, id-durazzjoniji ta' ħfintment, u l-miżuri ta' sigurtà implimentati.

Dan id-dokument, mieħud fid-dispożizzjoni tal-CNIL f'każ ta' kontroll, huwa wkoll għodda ta' pilotaġġ taħviex. Magħqudin ma' soluzzjoni ta' firma elettronika dedkata għall-RH, jippermetti li traċċa u orologħa kull pass tal-ċiklu ta' ħajja ta' dokument RH, u b'hekk isawwab l-auditabilità tal-proċessi.

Drittijiet tal-impiegati u obligazzjoniji tal-imprendittur

Infurma lill-impiegati: obligazzjoni immedjata

L-artikolu 13 tal-RGPD jimponi li infurma l-persuni msieqaf fil-mument tal-ġbir tad-dejta tagħhom. Fil-prattika, l-RH għandu jipprovdi lill-impiegati — idealment minn meta jiffirmaw il-kuntratt ta' xogħol — avviż ta' infurmazzjoni RGPD li jiddettanja: l-identità tar-responsabbli tal-trattament, l-iskopji u l-bażi legali, id-durazzjoni tal-ħfintment, id-drittijiet disponibbli u l-koordinati tal-DPO (Delegat għall-Protezzjoni tad-Dejta) jekk l-impresa għandha waħda.

In-numeralizzazzjoni u s-sigurtà ta' dan l-iskambju huwa essenzjali. Ir-rikorz għall-firma elettronika fl-impresa għall-konsenja ta' dan l-avviż jiżgura prova ta' deliverazzjoni orologħata u indisputabbli, aljustata mal-ħtiġajiet tar-regolament eIDAS.

Id-drittijiet tal-impiegati li għandha tirrispetta imperattivament

Il-kollaboraturi għandhom drittijiet estezzin fuq id-dejta tagħhom:

• Dritt ta' aċċess (art. 15): kull impjegat jista' jitlob kopja tal-insostengħerija tad-dejta li jikkonċernaha u li taħdmu l-imprendittur.

• Dritt ta' korrezzjoni (art. 16): korrezzjoni ta' dejta inesatta (eż.: indirizz postali, RIB).

• Dritt għall-effacement (art. 17): applikabbli f'ċerti każi, notevolment wara t-tmiem tal-kuntratt u l-iskadenza tal-limiti legali ta' ħfintment.

• Dritt ta' oppożizzjoni (art. 21): l-impjegat jista' jeqbel ma' trattament bażat fuq interess leġittimu.

• Dritt għal limitazzjoni (art. 18): ġeliding temporanew ta' trattament kontestawi.

L-imprendittur għandu lmied ta' xahar wieħed biex jirrispondi għal kwalunkwe talba ta' eżerċizzju ta' drittijiet, estensible għal tliet xhur f'każ ta' kumplikkità (art. 12 tal-RGPD).

Sigurtà tad-dejta RH u ġestjoni tal-subkontraenti

Miżuri tekniċi u organizzazzjonali

L-artikolu 32 tal-RGPD jimponi l-implimentazzjoni ta' miżuri ta' sigurtà "xierqa għar-riskju". Għad-dejta RH, l-aħjar prattiki jinkludu:

• Encryption ta' fajls li fihom dejta sensittiva (bulettin ta' stipendi, folders mediċinali).

• Kontroll tal-aċċess: prinċipju tal-inqas privileġġ — ġestjuni ta' ħlas m'għandux aċċess għad-dejta tal-immonizzazzjoni.

• Journalling tal-aċċess għas-sistemi RH (SIRH, għodod ta' ħlas).

• Planu ta' risposta għall-tilfs: f'każ ta' tifq ta' dejta, l-imprendittur għandu 72 siegħa biex jinnotifika l-CNIL (art. 33), u potenzjalment il-persuni msieqaf jekk ir-riskju jkun għoli (art. 34).

Auditu sħiħ via gwida tal-firma elettronika jista' jgħin lit-timijiet RH jidentifikaw it-trattamenti mhux protetti li għadhom istabbilijoni fuq appoġġ tal-karta u jidumittalizzawhom b'konformità.

Framing tal-prestaturi RH permezz ta' DPA

Is-servizzi RH għandhom jappelli għal ħafn subkontraenti: softwer ta' ħlas, pjattaformi ta' taħdif, għodod ta' ġestjoni tal-ħinijiet. Kull prestneer li jaċċessa dejta personali għandu jkun soġġett ta' ftehim ta' trattament tad-dejta (Data Processing Agreement — DPA), b'konformità mal-artikolu 28 tal-RGPD. Dan il-kuntratt għandu jispeċifika l-istruzzjoniji tat-trattament, il-garanziji ta' sigurtà, il-modali ta' restituzzjoni jew tħassir tad-dejta, u l-obligazzjoniji f'każ ta' tilfs.

Is-selezzjoni ta' prestaturi li jħejju l-infrastrutturi tagħhom fl-Unjoni Ewropea, jew li jitwgħalbaw minn klawżuli ta' kuntratt topotejjiet (CCT) approvati mill-Kommissjoni, ibqa' ħtiġa fundamentali biex jiġu evitati trattamenti illegitimi barra l-UE.

Durazzjoniji ta' ħfintment: kwistjoni strutturata

Id-durazzjoniji legali applikabbli għad-dokument tal-impjegat

Id-durazzjoni tal-ħfintment tad-dejta RH hija kkonfigurata minn impilc ta' testmi: il-RGPD (prinċipju ta' limitazzjoni tal-ħfintment, art. 5.1.e), il-Kodu tax-Xogħol, u diversi dispożizzjoniji fiżkali u soċjali. Fil-prattika, il-limiti prinċipali li għandha jirrispetta huma:

| Tip ta' dokument | Durazzjoni minima ta' ħfintment | |---|---| | Bulettini ta' stipendi | 5 snin (prescrizzjoni soċjali) | | Kuntratt ta' xogħol | 5 snin wara t-tmiem tal-kuntratt | | Dejta ta' ħlas (DSN) | 3 snin (kontroll URSSAF) | | Reġistru tal-persunal | 5 snin wara d-dipartenza tal-impjegat | | Dejta ta' immonizzazzjoni | Durazzjoni proporzjonali għad-drizzjoni | | Dokument mediċinali (mediċina tax-xogħol) | 50 sena (regolament speċifiku) |

Implimentazzjoni ta' politika ta' arkirvjar u purga awtomatizzata fil-SIRH, magħqudin ma' workflows ta' firma elettronika li orologħaw il-ħruq tad-dokumenti, jikkonstitwixxu llum il-prattika l-aħjar biex jiddemonstraw il-konformità mal-CNIL.

It-trappoli li għandha tevita

L-iżbalji l-aktar frekwenti osservati fuq il-kontrolli tal-CNIL f'materja ta' dejta RH huma: il-ħfintment indefinitu ta' CVs ta' kandidati mhux magħżula, il-manutenzjoni tal-aċċess informatiku ta' ħamsin impjegati, in-nuqqas ta' encryption tal-fajls ta' ħlas esportati, u n-nuqqas ta' tħassir tad-dejta ta' badġaġġ wara l-limiti regolatorji. Biex isigru dawn il-punti, kuntatt il-komparazzjoni tal-soluzzjoniji ta' firma elettronika jippermetti jidentifikaw l-għodod li jintegraw nattivament funzjonijiet ta' arkirvjar ta' prova u ġestjoni tal-ċiklu ta' ħajja tad-dokumenti.

Qafas legali applikabbli għat-trattament tad-dejta RH

It-trattament tad-dejta personali tal-impiegati jiddaħħal f'qafas normattivu dens, li jartikulaw diversi livelli ta' regolazzjoni.

Ir-Regolament (UE) 2016/679 — RGPD jikkonstitwixxi l-ħaġar fundamentali. L-artikoli tiegħu 5 sa 11 jiddefinixxu l-prinċipji fundamentali (legalità, lealtà, trasparenza, limitazzjoni tal-iskopji, minimizzazzjoni tad-dejta, eżattezza, limitazzjoni tal-ħfintment, integrità u kunfidenzjalità). L-artikolu 9 jistabbilixxu l-kundizzjoniji stretti applikabbli għall-kategoriji partikolari ta' dejta, inklużi d-dejta tas-saħħa u sindikal, partikolarmenti frekwenti f'RH. L-artikolu 83 jipprovdi għall-miżi li jistgħu jilħqu 20 miljuni ewro jew 4% tas-sales mundali f'każ ta' tilfs serju.

Il-ligi dwar l-Informatika u l-Libertajiet modifikati (ligi n. 78-17 tal-6 ta' Jannar 1978), fil-verżjoni konsolidata tagħha, tadatta l-RGPD mad-dritt Franċiż. Taċċetta lill-CNIL il-poteri tagħha ta' kontroll u sanzzjoni, u tipprovdi notevolment derogazzjoniji settorjali għad-dejta tas-saħħa f'mediċina tax-xogħol.

Il-Kodu tax-Xogħol jikkontroll it-trattamenti relatati mas-sorvelja tal-impiegati (art. L. 1121-1 dwar ir-rispett tal-ħajja privata), il-konsultazzjoni tar-rappreżentanti tal-persunal fuq il-għodod numeriċi (art. L. 2312-38), u r-reġistri obbligatorji.

Ir-Regolament eIDAS (n. 910/2014), kumplimentat minn eIDAS 2.0 (Regolament UE 2024/1183), jirregola l-valur ġuridiku tal-firmi elettroniċi appiċċati fuq id-dokumenti RH. Firma elettronika kwalifika (SEQ), konformi mal-Anness I ta' eIDAS u mal-istandards ETSI EN 319 132 u ETSI EN 319 122, toffri l-presunzjoni ta' ekwiżjoni mal-firma tal-kalamita fil-każ ta' articolu 1367 tal-Kodu Ċivili Franċiż.

L-artikolu 1366 tal-Kodu Ċivili jistabbilixxu li "il-miktub elettroniku għandu l-istess forza ta' prova bħall-miktub fuq apoġġ tal-karta, taħt il-kundizzjoni li tista' tiġi identifikati dik ir-rarità l-persuna li mgħodda u li ġiet istabbilita u konservata f'kundizzjoniji tali biex igħaqqad l-integrità tagħha." Din id-dispożizzjoni hija direttament applikabbli għall-kuntratti ta' xogħol, emendamenti, ftehimiet ta' kunfidenzjalità u oħrajn dokumenti RH desmaterializzati.

Id-Direttiva NIS2 (UE 2022/2555), trasponata fid-dritt Franċiż bil-ligi tal-26 ta' Fewraier 2025, jimponi fuq l-entitajiet essenzjali u importanti (notevolment il-kumpannji industrijali kbar u l-operaturi ta' servizzi numeriċi) ħtiġajiet irfgħati f'materja ta' ġestjoni tar-riskji relatati mal-sigurtà tal-infurmazzjoni, inklużi l-protezzjoni tad-dejta RH sensittiva.

Is-sanzzjoniji pronunċjati mill-CNIL huma f'timmiem għoli: fl-2024, l-ammont totali tal-miżi jaqbeż 100 miljuni ewro, b'diversi deċiżjoniji li jinvolvu direttament tilfs fil-ġestjoni tad-dejta tas-suldat. In-nuqqas ta' rispett tad-durazzjoniji ta' ħfintment, in-nuqqas ta' DPA mal-subkontraenti RH, u l-insuffiċjenza tal-miżuri ta' sigurtà figru fost il-grievances l-aktar spiss meħudha.

Skenarijis ta' użu: il-konformità RGPD f'RH fil-prattika

Skenariu 1 — ETI industrijali ta' 450 impjegati ddenumeralizza l-proċessi ta' onboarding

Impresa industrijali ta' miżura intermedja, distribwita fuq tliet postijiet f'Franza, ġestiet il-kuntratti ta' xogħol u l-emendamenti tagħha fuq apoġġ tal-karta. Id-dokumenti ta' dħuli ma kinux trasmessi għas-servizzu ta' ħlas illum wara limitu medju ta' 12 jiem tax-xogħol, li ġġeneraa ħutuq ta' ħlas f'madwar 8% tal-każi. Barra minn hekk, l-ebda avviż RGPD ma kien ġie remess b'mod formali lill-intrieġin ġodda: l-infurmazzjoni kienet fiha biss fil-qiegħ tar-regolament intern, mhux iffirmat separatament.

Wara d-distribuzzjoni ta' soluzzjoni ta' firma elettronika integrata l-SIRH tiegħa, b'remessa simultanja ta' avviż RGPD ko-iffirmat mill-impjegat u l-DRH, l-impresa riedu t-talun tal-onboarding dokumentarju għal 2 jiem tax-xogħol (tnaqqis ta' 83%). L-iżbalji ta' ħlas relatati ma' dejta nieqsa naqsu għal inqas minn 1%. Kull dokument iffirmat jiġi arkirvjat b'orologħa kwalifika, li jipprovdi prova opponibbli f'każ ta' kontroll CNIL jew ta' litigi prud'homal.

Skenariu 2 — Grupp ta' distribuzzjoni ta' 1 200 impiegati jittellgħa l-politika ta' ħfintment tiegħu

Grupp li jaħdem fid-distribuzzjoni spesjalizzata kellu kontroll mill-CNIL bħala konsegwenza ta' talba ta' sulf minn impjegat li dipartà. L-ispezzjoni riveala li fajls Excel li fihom dejta ta' ħlas ta' impjegati li dipartaw għal aktar minn 8 snin ma kanu għadhom aċċessibbli fuq server kondiviż mhux protett, mingħajr encryption. Twissija formali twa pronunċjata, akkumpanjata minn inġunzjoni ta' messa f'konformità taħt 3 xhur.

Il-grupp imbagħad effettwa auditu sħiħ tat-trattamenti RH tiegħu, ċartograph 23 attivitajiet ta' trattament tiegħu, u stabbilixa planu ta' purga awtomatizzata aktenditur mill-SIRH. Id-dokumenti iffirmati elettronikament ġew migratti għal vault numeriċi b'durazzjoniji ta' ritentament ikkonfigurati skond l-obligazzjoniji legali. Id-DPO produċa reġistru sħiħ ta' trattamenti RH, ippreżentat fuq kontroll CNIL ieħor 18 xahar aktar tard, li kkonkludiet mingħajr segwitu. Il-ispiża tal-messa f'konformità ġiet stmata f'inqas minn 60% tal-ammont ta' miża potenzjali.

Skenariu 3 — Studio ta' kumsonteji RH ta' 35 persuna jsiguira d-dejta tal-konsultanti proprji tiegħu u tal-klijenti tiegħu

Studio spesjalizzat f'riżorsi umani jifgħal id-dejta kemm tal-konsultanti proprji tiegħu kif ukoll ta' kandidati u impjegati ta' impriżi kliyenti (fil-kuntest ta' missjonijiet ta' valutazzjoni jew outplacement). Iva jsib innifsu f'pożizzjoni doppja: responsabbli tat-trattament għall-RH proprja tiegħu, u subkontraent (jew responsabbli ko-) għad-dejta ta' terzi.

L-studio implimenta arkitektura dokumentarja differenzjata: firmi elettroniċi sempliċi għall-iskambji interni salati, firmi avvanzati għall-kuntratti ta' missjoni mal-klijenti, u ftehimiet tat-trattament tad-dejta (DPA) sistematikament integrati ħlif il-ħomm ta' missjoni. Il-konsultanti għalhom kollha rċevu charter RGPD aġġornata, iffirmata elettronikament u konservata f'reġistru dedkat. Din l-organizzazzjoni ppermetta l-studio juri l-konformità tiegħu bħala argument kummerċjali ħamsa kumpannji kbira soġġetti għal auditi fornituri stretti, li bbaċċaw il-limitu medju ta' kontrattwazzjoni minn 7 sa 2 ġimgħa.

Konklużjoni

Il-RGPD jimponi lid-diretturi tar-riżorsi umani trasformazzjoni profonda tal-prattiki tagħhom: identifikazzjoni rigoruża tal-bażi legali, infurmazzjoni effettiva tal-impiegati, ġestjoni tad-drittijiet, framing kuntrattwal tal-subkontraenti, sigurtà tad-dejta u rispett tad-durazzjoniji ta' ħfintment. Dawn l-obligazzjoniji mhuma sempliċi formalitajiet amministrattivi — jikkondizzjonaw il-kapaċità tal-impresa li tevita sanzzjoniji li jistgħu jilħqu diversi miljuni ewro u biex itkompla l-fiduċja tal-istadffha.

Ain-numeralizzazzjoni tal-proċessi RH, permezz ta' soluzzjoniji ta' firma elettronika konformi eIDAS, tikkonstitwixxi wieħed mill-lever l-aktar effettivi biex jonejoni l-effiċjenza operazzjonali u l-konformità regolatorja. Certyneo joħoddu lit-timijiet RH f'din it-transizzjoni, mill-firma tal-kuntratt ta' xogħol għall-arkirvjar sigur tad-dokumenti tas-suldat.

Skopri kif Certyneo jista' jsiguira l-proċessi RH tiegħek billi kuntatt il-offerta dedkata lit-timijiet RH jew billi tibda b'mod liberu biex tittestja s-soluzzjoni mingħajr impenn.