RGPD i HR: Behandling av ansattes data

Personalledelse genererer daglig et betydelig volum av personopplysninger: arbeidskontrakter, lønnsslipper, helseopplysninger, resultatvurderinger, bankkontoopplysninger... Siden Generell forordning for databeskyttelse (RGPD) trådte i kraft i mai 2018, har HR-ledelsen blitt sentrale aktører for samsvar i organisasjoner. Likevel, ifølge CNILs aktivitetsrapport for 2024, er ressurssektoren en av de tre områdene som oftest blir påklaget under inspeksjoner. Denne artikkelen veileder deg gjennom nøkkelforpliktelser, beste praksis og tilgjengelige verktøy for å behandle ansattes data i full samsvar.

Hvilke personopplysninger behandler HR?

Vanlige datakategorier

HR-avdelinger håndterer et svært bredt spekter av personopplysninger. Vi skiller mellom to hovedfamilier:

Vanlige data, innsamlet som del av arbeidsforholdet: navn, fornavn, adresse, personnummer, bankkontonummer, CV, eksamen, karrierehistorie, årlige vurderinger, arbeidstider, frammøte- og fraværsdata.

Sensitive data, underlagt forsterket begrensning i samsvar med artikkel 9 i RGPD: helseopplysninger (sykemeldinger, arbeidsulykker, medisinske restriksjoner), fagforeningsdata (fagforeningsmedlemskap, tillitsmannsmandat), opplysninger om straffedomme i visse rekrutteringssituasjoner.

Disse kan kun behandles under forbehold av et eksplisitt unntak fastsatt i forordningen — for eksempel gjennomføring av arbeidsrettslige forpliktelser eller eksplisitt samtykke fra den berørte personen.

Spesielt om rekruttering

Rekrutteringsfasen genererer spesifikke behandlinger, ofte dårlig regulert. Innsamling av CV-er, motivasjonsbrev og testresultater innebærer presise oppbevaringskrav: etter CNILs anbefalinger må data om ikke-utvalgte kandidater slettes eller anonymiseres senest to år etter siste kontakt. Å oppbevare CV-er på ubestemt tid i en delt, usikret mappe utgjør en karakterisert krenkelse.

Bruk av sporingsverktøy i ATS-systemer (Applicant Tracking Systems) eller algoritmer for atferdanalyse må nevnes eksplisitt i personvernpolicyen som sendes til kandidater, i samsvar med artikkel 13 og 14 i RGPD.

Rettsgrunnlaget for behandling i HR-sammenheng

Identifisere riktig rettsgrunnlag

RGPD krever at all behandling av personopplysninger hviler på ett av seks rettsgrunnlag definert i artikkel 6. I HR-sammenheng er tre grunnlag primært brukt:

• Gjennomføring av arbeidskontrakt (art. 6.1.b): begrunner behandling av data som er nødvendige for lønnsstyring, ferie eller opplæring.

• Lovpålagt forpliktelse (art. 6.1.c): gjelder obligatoriske sosiale erklæringer (DSN), personalregistre eller oppfølging av arbeidsulykker.

• Berettiget interesse (art. 6.1.f): kan påberopes for behandlinger som adgangskontroll eller videoovervåking, under forbehold av en streng interesseavveiing.

Samtykke (art. 6.1.a) er derimot et svakt rettsgrunnlag i arbeidssammenheng: CNIL og Det europeiske databeskyttelsesutvalget (EDPB) understreker at den strukturelle ubalansen mellom arbeidsgiver og arbeidstaker gjør det vanskelig å bevise fritt samtykke. Det bør bare brukes som siste utvei.

Behandlingsregisteret, en uunngåelig forpliktelse

Enhver organisasjon som sysselsetter minst 250 personer — eller behandler sensitive data i mindre skala — må opprettholde et register over behandlingsaktiviteter (art. 30 i RGPD). I HR må dette registeret dokumentere, for hver behandling: formålet, datakategoriene, mottakerne, oppbevaringskvarene og sikkerhetstiltak implementert.

Dette dokumentet, holdt tilgjengelig for CNIL ved inspeksjon, er også et verdifullt styringsverktøy. Kombinert med en løsning for elektronisk signatur dedikert til HR, gjør det mulig å spore og tidsstample hvert trinn i et HR-dokuments levetid, og styrker således revisjonssporbarheten av prosesser.

Ansattes rettigheter og arbeidsgivers forpliktelser

Informere ansatte: en umiddelbar forpliktelse

Artikkel 13 i RGPD pålegger å informere de berørte når deres data innsamles. I praksis må HR-avdelinger gi ansatte — ideelt sett fra undertegning av arbeidskontrakt — en RGPD-informasjonsnotis som detaljerer: identitet til behandlingsansvarlig, formål og rettsgrunnlag, oppbevaringskvarene, tilgjengelige rettigheter og kontaktinformasjon til databeskyttelsesansvarlig (DPO) hvis virksomheten har en.

Digitalisering og sikring av dette samskiftet er essensielt. Bruk av elektronisk signatur i virksomhet for levering av denne notisen garanterer tidsstemplet og ubestridelig bevis på levering, i samsvar med eIDAS-kravene.

Ansattes rettigheter som må respekteres

Collaborators har utvidede rettigheter over sine data:

• Tilgangsrett (art. 15): enhver ansatt kan be om en kopi av alle data om vedkommende som behandles av arbeidsgiver.

• Rett til rettelse (art. 16): korrigering av unøyaktig data (f.eks. postadresse, bankkontonummer).

• Rett til sletting (art. 17): gjelder i visse tilfeller, især etter kontraktens slutt og etter lovpålagte oppbevaringskvarene.

• Innsigelsesrett (art. 21): ansatte kan protestere mot en behandling basert på berettiget interesse.

• Rett til begrensning (art. 18): midlertidig frysing av en omtvistet behandling.

Arbeidsgiveren har én måned til å svare på enhver forespørsel om utøvelse av rettigheter, utvidbar til tre måneder ved kompleksitet (art. 12 i RGPD).

Sikkerhet for HR-data og administrasjon av underleverandører

Tekniske og organisatoriske tiltak

Artikkel 32 i RGPD pålegger implementering av sikkerhetstiltak «egnet til risikoen». For HR-data inkluderer beste praksis:

• Kryptering av filer som inneholder sensitive data (lønnsslipper, medisinske mapper).

• Tilgangskontroll: prinsipp om minste privilegie — en lønnsstyrer har ikke tilgang til disiplinære data.

• Logging av tilgang til HR-systemer (SIRH, lønnsverktøy).

• Plan for respons på brudd: ved datalekkasje har arbeidsgiver 72 timer til å varsle CNIL (art. 33), og potensielt de berørte hvis risikoen er høy (art. 34).

En komplett revisjon via veiledningen for elektronisk signatur kan hjelpe HR-team med å identifisere usikrede behandlinger som fortsatt eksisterer på papir og digitalisere dem i samsvar.

Regulere HR-leverandører gjennom DPA

HR-avdelinger benytter seg av mange underleverandører: lønnsbehandlingssoftware, opplæringsplattformer, timetrackingverktøy. Hver leverandør som har tilgang til personopplysninger må være gjenstand for en databehandlingavtale (Data Processing Agreement — DPA), i samsvar med artikkel 28 i RGPD. Denne kontrakten må spesifisere behandlingsinstruksjoner, sikkerhetstiltak, modaliteter for retur eller ødeleggelse av data, og forpliktelser ved brudd.

Velge leverandører som hoster infrastrukturen sin i Den europeiske union, eller regulert av godkjente standardkontraktklausuler (SCCs), forblir en grunnleggende krav for å unngå ulovlige overføringer utenfor EU.

Oppbevaringskvarene: et strukturerende spørsmål

Lovpålagte oppbevaringskvarene for ansattmapper

Oppbevaringskvarene for HR-data er regulert av et lag av tekster: RGPD (prinsipp om oppbevaringsbegrensning, art. 5.1.e), arbeidskodeksen og ulike skattemessige og sosiale bestemmelser. I praksis er de viktigste kvarene:

| Dokumenttype | Minste oppbevaringskvar | |---|---| | Lønnsslipp | 5 år (sosial foreldelse) | | Arbeidskontrakt | 5 år etter kontraktens slutt | | Lønnsdata (DSN) | 3 år (URSSAF-kontroll) | | Personalregister | 5 år etter ansatts avgang | | Disiplinære data | Varighet proporsjonal til tiltak | | Medisinsk dossier (arbeidslegemedisin) | 50 år (spesifikk regulering) |

Implementering av en automatisert arkiverings- og purgepolicy i SIRH, kombinert med elektronisk signaturarbeidsprosesser som tidsstampler dokumentoppretting, utgjør i dag beste praksis for å demonstrere CNIL-samsvar.

Fallgruver å unngå

De mest hyppige feilene observert under CNIL-inspeksjoner angående HR-data er: ubegrenset oppbevaring av CV-er fra ikke-utvalgte kandidater, vedlikehold av IT-tilgang for tidligere ansatte, mangel på kryptering av eksporterte lønnsdata, og manglende sletting av adgangsdata etter regulatoriske kvarene. For å sikre disse punktene, kan konsultasjon av sammenligning av elektronisk signaturløsninger identifisere verktøy som har innebygde funksjoner for bevisarkivering og dokumentlivssyklusstyring.

Gjeldende juridisk rammeverk for behandling av HR-data

Behandling av ansattes personopplysninger er innrammet i en tett regulatorisk sammenheng, som artikulerer flere reguleringsnivåer.

Forordning (EU) 2016/679 — RGPD utgjør hjørnestenen. Dens artikler 5 til 11 definerer grunnleggende prinsipper (lovlighet, ærlighet, transparens, formålsbegrensning, dataminimering, nøyaktighet, oppbevaringsbegrensning, integritet og fortrolighet). Artikkel 9 fastsetter strenge betingelser for spesielle datakategorier, inkludert helse- og fagforeningsdata, spesielt hyppig i HR. Artikkel 83 foreskriver bøter på inntil 20 millioner euro eller 4 % av verdensomspennende omsetning ved alvorlig brudd.

Loven om informatikk og frihet endret (lov nr. 78-17 fra 6. januar 1978), i konsolidert versjon, tilpasser RGPD til fransk rett. Den gir CNIL sine inspeksjons- og sanksjonsmakter og fastsetter særlig unntak for helseopplysninger i arbeidslegemedisin.

Arbeidskodeksen regulerer behandlinger knyttet til overvåking av ansatte (art. L. 1121-1 om respekt for privatliv), konsultasjon med personalrepresentanter om digitale verktøy (art. L. 2312-38), og obligatoriske registre.

Forordning eIDAS (nr. 910/2014), supplert med eIDAS 2.0 (EU-forordning 2024/1183), regulerer juridisk verdi av elektroniske signaturer på HR-dokumenter. En kvalifisert elektronisk signatur (QES), i samsvar med vedlegg I til eIDAS og standarder ETSI EN 319 132 og ETSI EN 319 122, tilbyr antagelsen om likeverd med håndskrift etter artikkel 1367 i fransk sivilkode.

Artikkel 1366 i sivilkoden fastslår at «elektronisk skriv har samme bevisverdi som skriv på papir, under forbehold om at personen hvis det stammer fra kan identifiseres korrekt og det er opprettet og bevart under forhold som sikrer integritet». Denne bestemmelsen er direkte anvendbar på arbeidskontrakter, tillegg, konfidentialitetsavtaler og andre digitaliserte HR-dokumenter.

Direktiv NIS2 (EU 2022/2555), implementert i fransk rett ved lov av 26. februar 2025, pålegger essensielle og viktige enheter (særlig store industribedrifter og leverandører av digitale tjenester) forsterket krav til behandling av risiko knyttet til informasjonssikkerhet, inkludert beskyttelse av sensitive HR-data.

Sanksjonene fra CNIL er i sterk økning: i 2024 overskrider det totale bøteanslaget 100 millioner euro, med flere beslutninger som direkte involverer mangler i administrasjon av ansattdata. Manglende respekt for oppbevaringskvarene, mangel på DPA med HR-underleverandører og utilstrekkelig sikkerhetstiltak er blant de hyppigst brukte anklagene.

Bruksscenarier: RGPD-samsvar i HR i praksis

Scenario 1 — En mellomstor industribedrift med 450 ansatte digitaliserer onboarding-prosesser

En mellomstor industribedrift, spredt på tre steder i Frankrike, administrerte arbeidskontrakter og tillegg på papir. Mapper for nyansatte ble sendt til lønnsavdelingen først etter gjennomsnittlig 12 arbeidsdager, noe som genererte lønnsfeil i omtrent 8 % av tilfellene. Dessuten ble ingen RGPD-notis overlevert formelt til nye ansatte: informasjonen figurerte kun i bunnen av virksomhetsbestemmelsene, ikke signert separat.

Etter implementering av en elektronisk signaturløsning integrert i SIRH, med samtidig levering av en RGPD-notis medunderskrevet av ansatt og HR-direktør, reduserte bedriften onboarding-dokumentkvarene til 2 arbeidsdager (83 % reduksjon). Lønnsfeil knyttet til manglende data falt under 1 %. Hvert signert dokument er arkivert med kvalifisert tidsstempel, som gir bevis som kan motsettes ved CNIL-inspeksjon eller arbeidsrettskrangler.

Scenario 2 — En distributørkonsern med 1 200 ansatte setter sin oppbevaringspolicy i samsvar

En konsern innen spesialisert distribusjon gjennomgikk CNIL-inspeksjon etter klage fra tidligere ansatt. Inspeksjonen avslørte at Excel-filer med lønnsdata for ansatte som hadde forlatt bedriften for over 8 år siden fortsatt var tilgjengelig på en delt, usikret server, uten kryptering. En formell advarsel ble uttalt, ledsaget av pålegg om samsvar innen 3 måneder.

Konsernet gjennomførte deretter en komplett revisjon av HR-behandlinger, kartla sine 23 behandlingsaktiviteter og implementerte en plan for automatisert purge utløst av SIRH. Elektronisk signerte dokumenter ble migrert til et digitalt hvelv med oppbevaringskvarene konfigurert etter juridiske forpliktelser. DPO produserte et komplett HR-behandlingsregister, presentert under en andre CNIL-inspeksjon 18 måneder senere, som ble avsluttet uten anmerkninger. Kostnaden for samsvarsjustering ble estimert til mindre enn 60 % av beløpet for en mulig bot.

Scenario 3 — En HR-konsulentbedrift med 35 personer sikrer data for egne konsulenter og klienter

En spesialisert HR-konsulentbedrift administrerer både data for egne konsulenter og data for kandidater og ansatte hos klientbedrifter (som del av vurerings- eller jobblettningsmissjoner). Den befinner seg dermed i dobbel stilling: behandlingsansvarlig for egne HR, og underleverandør (eller medansvarlig) for tredjeparts data.

Bedriften implementerte arkitektur med diferensierte dokumenter: enkle elektroniske signaturer for vanlig intern kommunikasjon, avanserte signaturer for misjonkontrakter med klienter, og databehandlingsavtaler (DPA) systematisk integrert i misjonsskriv. Alle konsulenter mottok en oppdatert RGPD-charter, elektronisk signert og bevart i dedikert register. Denne organiseringen tillot bedriften å fremvise sitt samsvar som et salgsargument til store kontoer underlagt streng leverandørrevisjon, noe som reduserte gjennomsnittlig kontraktualiseringstid fra 7 til 2 uker.

Konklusjon

RGPD pålegger HR-ledelse en dyp transformasjon av praksis: streng identifikasjon av rettsgrunnlag, effektiv informasjon av ansatte, administrasjon av rettigheter, kontraktlig regulering av underleverandører, datasikring og respekt for oppbevaringskvarene. Disse forpliktelsene er ikke blotte administrative formaliteter — de betinger virksomhetens evne til å unngå sanksjoner som kan nå flere millioner euro og til å opprettholde sine teams' tillit.

Digitalisering av HR-prosesser, via elektronisk signaturløsninger i samsvar med eIDAS, utgjør en av de mest effektive spakarmer for å forene operasjonell effektivitet og regulatorisk samsvar. Certyneo assisterer HR-team i denne overgangen, fra undertegning av ansettelseskontrakt til sikker arkivering av ansattmapper.

Oppdag hvordan Certyneo kan sikre dine HR-prosesser ved å konsultere vår tilbud dedikert til HR-team eller ved å starte gratis for å teste løsningen uten forpliktelse.