GDPR fl-HR: Ipproċessar tad-Dejta tal-Impjegati

Introduzzjoni

Sa mid-dħul fis-seħħ tar-Regolament Ġenerali dwar il-Protezzjoni tad-Dejta (GDPR) fil-25 ta’ Mejju 2018, id-dipartimenti tal-HR kienu fuq quddiem tal-konformità. Il-funzjonijiet tar-riżorsi umani jipproċessaw data personali sensittiva fuq bażi ta’ kuljum: CVs, karti tal-paga, data tas-saħħa, evalwazzjonijiet, dettalji bankarji. Ġestjoni ħażina tesponi lill-kumpanija għal sanzjonijiet sa 20 miljun ewro jew 4% tal-fatturat globali (l-artikolu 83 tal-GDPR). Dan l-artikolu jippreżenta l-obbligi ewlenin u l-aħjar prattiki biex jiġi żgurat l-ipproċessar tad-dejta tal-impjegati matul iċ-ċiklu tal-HR.

Il-prinċipji fundamentali applikabbli għad-dejta tal-HR

Il-GDPR jimponi sitt prinċipji kardinali kodifikati fl-Artikolu 5: legalità, lealtà, trasparenza, limitazzjoni tal-għanijiet, minimizzazzjoni, preċiżjoni, limitazzjoni taż-żamma u integrità/kunfidenzjalità. Fil-prattika, dan ifisser li d-dipartiment tal-HR jista’ jiġbor biss id-dejta strettament meħtieġa għal skop speċifiku. Pereżempju, li titlob in-numru tas-sigurtà soċjali meta tapplika hija sproporzjonata: hija ġustifikata biss wara l-kiri għad-DSN.

Is-CNIL, permezz tad-deliberazzjoni tagħha Nru. 2019-160 relatat mal-ġestjoni tal-persunal, jispeċifika l-perjodi ta 'żamma rakkomandati: 2 snin għal applikazzjonijiet li ma rnexxewx (sakemm ma jkunx hemm kunsens), 5 snin wara t-tluq għall-fajl amministrattiv, 6 snin għal karti tal-paga fil-verżjoni ta' min iħaddem.

Bażi legali u informazzjoni għall-impjegati

Kuntrarjament għat-twemmin popolari, il-kunsens rari huwa l-bażi legali xierqa fl-HR, minħabba r-relazzjoni ta' subordinazzjoni. Il-bażijiet rilevanti huma pjuttost l-eżekuzzjoni tal-kuntratt tax-xogħol (l-artikolu 6.1.b), l-obbligu legali (l-artikolu 6.1.c) jew l-interess leġittimu (l-artikolu 6.1.f). Għal data sensittiva (saħħa, unjoni), l-Artikolu 9 jeħtieġ bażi speċifika bħall-obbligu f'termini tal-liġi tax-xogħol.

Min iħaddem għandu jipprovdi informazzjoni ċara permezz ta’ avviż tal-GDPR mogħti mal-kiri, jaġġorna r-reġistru tal-ipproċessar (l-artikolu 30) u jikkonsulta lis-CSE qabel kwalunkwe proċessar ġdid li jkollu impatt fuq l-impjegati (artikolu L.2312-38 tal-Kodiċi tax-Xogħol).

Sigurtà u drittijiet tal-impjegati

Is-sigurtà teknika u organizzattiva (l-artikolu 32) teħtieġ: kriptaġġ tal-HRIS, kontroll tal-aċċess bil-profil, traċċabbiltà tal-konsultazzjonijiet, klawsoli ta’ kunfidenzjalità ma’ subkuntratturi tal-pagi jew ta’ reklutaġġ (l-artikolu 28). F'każ ta' ksur, notifika lis-CNIL fi żmien 72 siegħa.

L-impjegati għandhom drittijiet imsaħħa: aċċess, rettifika, tħassir (limitati minn obbligi legali ta' żamma), portabbiltà, oppożizzjoni. Proċedura interna għandha tippermetti tweġiba fi żmien massimu ta' xahar. Iċ-ċaħda ta' aċċess għall-fajl dixxiplinarju għandu jkun iġġustifikat legalment.

Eżempji prattiċi

Eżempju 1 – Reklutaġġ:SME żammet is-CVs tal-kandidati kollha f'folder kondiviż għal 5 snin. Mhux konformi: tul ta 'żmien eċċessiv, nuqqas ta' sigurtà. Soluzzjoni: tindif awtomatizzat wara sentejn, aċċess ristrett għar-reklutaturi, aċċenn tal-GDPR fl-offerta tax-xogħol.

Eżempju 2 – Sorveljanza bil-vidjo:Maħżen tal-loġistika kontinwament jiffilmja l-istazzjonijiet tax-xogħol. Sanzjoni possibbli (is-CNIL ssanzjonat Amazon France Logistique ta’ €32 miljun fl-2024). Soluzzjoni: limitu għal żoni sensittivi, informazzjoni individwali, konsultazzjoni tas-CSE, perjodu ta' żamma ta' xahar massimu.

Eżempju 3 – Għodod kollaborattivi:L-iskjerament ta’ Microsoft 365 jeħtieġ analiżi tal-impatt (AIPD) jekk jiġu attivati ​​funzjonijiet ta’ monitoraġġ, kif ukoll klawżola ta’ sottokuntrattar konformi mal-pubblikatur.

Konformità u sanzjonijiet

Minbarra l-multi tas-CNIL, min iħaddem huwa espost għal azzjonijiet tat-tribunal industrijali għal invażjoni tal-privatezza (artikolu 9 tal-Kodiċi Ċivili, artikolu L.1121-1 tal-Kodiċi tax-Xogħol). In-nomina ta' DPO hija obbligatorja għall-entitajiet li jipproċessaw id-dejta fuq skala kbira. Immappjar annwali tal-ipproċessar tal-HR, flimkien ma' taħriġ tal-maniġers, jikkostitwixxi l-aħjar protezzjoni legali u operattiva.

Konklużjoni

Il-konformità mal-GDPR fl-HR mhijiex proġett ta' darba iżda proċess kontinwu ta' titjib. Bejn l-obbligi legali, id-drittijiet tal-impjegati u l-prestazzjoni operattiva, il-maniġers tal-HR għandhom jimmaniġġjaw b'mod rigoruż il-governanza tad-dejta. L-investiment f'HRIS konformi, it-taħriġ ta' timijiet u d-dokumentazzjoni ta' kull proċessar jittrasforma r-restrizzjonijiet regolatorji f'lieva ta' fiduċja tal-impjegati.