GDPR i HR: Behandling av medarbeiderdata

Introduksjon

Siden ikrafttredelsen av General Data Protection Regulation (GDPR) 25. mai 2018, har HR-avdelinger vært i frontlinjen for etterlevelse. Personalfunksjoner behandler sensitive personopplysninger på daglig basis: CVer, lønnsslipper, helsedata, evalueringer, bankdetaljer. Dårlig ledelse utsetter selskapet for sanksjoner på opptil 20 millioner euro eller 4 % av den globale omsetningen (artikkel 83 i GDPR). Denne artikkelen presenterer de viktigste forpliktelsene og beste praksisene for å sikre behandlingen av ansattes data gjennom hele HR-syklusen.

De grunnleggende prinsippene som gjelder for HR-data

GDPR pålegger seks hovedprinsipper kodifisert i artikkel 5: lovlighet, lojalitet, åpenhet, begrensning av formål, minimering, nøyaktighet, begrensning av oppbevaring og integritet/konfidensialitet. I praksis betyr dette at HR-avdelingen kun kan samle inn data som er strengt nødvendige for et bestemt formål. For eksempel er det uforholdsmessig å be om personnummer ved søknad: det er først berettiget etter ansettelse for DSN.

CNIL, via sin behandlingsnr. 2019-160 knyttet til personalledelse, angir anbefalte oppbevaringsperioder: 2 år for mislykkede søknader (med mindre samtykke), 5 år etter avreise for administrasjonsmappen, 6 år for lønnsslipper i arbeidsgiverversjon.

Rettslig grunnlag og informasjon til ansatte

I motsetning til hva mange tror, ​​er samtykke sjelden det riktige rettslige grunnlaget i HR, på grunn av underordningsforholdet. De relevante grunnlagene er snarere utførelsen av arbeidsavtalen (artikkel 6.1.b), den juridiske forpliktelsen (artikkel 6.1.c) eller den legitime interessen (artikkel 6.1.f). For sensitive data (helse, fagforening) krever artikkel 9 et spesifikt grunnlag som arbeidsrettslig forpliktelse.

Arbeidsgiveren må gi tydelig informasjon via et GDPR-varsel gitt ved ansettelse, oppdatere behandlingsregisteret (artikkel 30) og konsultere CSE før enhver ny behandling som påvirker ansatte (artikkel L.2312-38 i arbeidsloven).

Sikkerhet og rettigheter for ansatte

Teknisk og organisatorisk sikkerhet (artikkel 32) krever: kryptering av HRIS, tilgangskontroll etter profil, sporbarhet av konsultasjoner, konfidensialitetsklausuler med lønns- eller rekrutteringsunderleverandører (artikkel 28). I tilfelle et brudd, varsling til CNIL innen 72 timer.

Ansatte har forsterkede rettigheter: tilgang, retting, sletting (begrenset av juridiske oppbevaringsplikter), portabilitet, motstand. En intern prosedyre skal tillate svar innen maksimalt én måned. Avslaget på innsyn i disiplinærmappen må være rettslig begrunnet.

Praktiske eksempler

Eksempel 1 – Rekruttering:En SMB har oppbevart CV-ene til alle kandidatene i en delt mappe i 5 år. Ikke-kompatibel: overdreven varighet, mangel på sikkerhet. Løsning: automatisert rensing etter 2 år, begrenset tilgang til rekrutterere, GDPR-omtale i jobbtilbudet.

Eksempel 2 – Videoovervåking:Et logistikklager filmer kontinuerlig arbeidsstasjoner. Mulig sanksjon (CNIL sanksjonerte Amazon France Logistique på €32 millioner i 2024). Løsning: begrense til sensitive områder, individuell informasjon, konsultasjon av CSE, oppbevaringsperiode på maksimalt én måned.

Eksempel 3 – Samarbeidsverktøy:Utrullingen av Microsoft 365 krever en konsekvensanalyse (AIPD) hvis overvåkingsfunksjoner er aktivert, samt en kompatibel underleverandørklausul med utgiveren.

Overholdelse og sanksjoner

I tillegg til CNIL-bøter er arbeidsgiveren utsatt for arbeidsrettssaker for krenkelse av privatlivet (artikkel 9 i Civil Code, artikkel L.1121-1 i Arbeidsloven). Utpekingen av en DPO er obligatorisk for enheter som behandler data i stor skala. En årlig kartlegging av HR-behandling, kombinert med lederopplæring, utgjør det beste juridiske og operasjonelle vernet.

Konklusjon

GDPR-samsvar i HR er ikke et engangsprosjekt, men en kontinuerlig forbedringsprosess. Mellom juridiske forpliktelser, ansattes rettigheter og operasjonell ytelse, må HR-ledere styre datastyring strengt. Investering i en kompatibel HRIS, opplæring av team og dokumentering av hver behandling forvandler regulatoriske begrensninger til en løftestang for ansattes tillit.