RGPD w HR: Przetwarzanie Danych Pracowników

Zarządzanie zasobami ludzkimi generuje każdego dnia znaczną ilość danych osobowych: umowy o pracę, odcinki paży, dane dotyczące zdrowia, oceny wyników, dane bankowe… Od wejścia w życie Rozporządzenia Ogólnego o Ochronie Danych (RGPD) w maju 2018 r. działy HR stały się głównymi podmiotami zgodności w organizacjach. Jednak według raportu aktywności CNIL z 2024 r. sektor zasobów ludzkich pozostaje jedną z trzech dziedzin najczęściej podnoszoną podczas kontroli. Artykuł ten poprowadzi Cię przez kluczowe obowiązki, najlepsze praktyki i dostępne narzędzia do przetwarzania danych pracowników w pełnej zgodności.

Jakie dane osobowe przetwarzają HR?

Zwyczajne kategorie danych

Usługi HR manipulują bardzo szerokim spektrum danych osobowych. Wyróżnia się dwie główne rodziny:

Dane zwyczajne, zbierane w ramach umowy o pracę: imię, nazwisko, adres, numer ubezpieczenia społecznego, numer rachunku bankowego, CV, dyplomy, historia zawodowa, roczne oceny, harmonogramy pracy, dane dotyczące obecności i nieobecności.

Dane wrażliwe, podlegające wzmocnionym ograniczeniom w rozumieniu artykułu 9 RGPD: dane zdrowotne (zwolnienia lekarskie, oświadczenia o wypadkach przy pracy, ograniczenia medyczne), dane związkowe (członkostwo w związku, mandaty reprezentatywne), dane dotyczące skazań karnych w niektórych kontekstach rekrutacji.

Te ostatnie mogą być przetwarzane wyłącznie na warunkach wyraźnego wyjątku przewidzianego w rozporządzeniu — na przykład wykonania obowiązków prawnych wynikających z prawa pracy lub wyraźnej zgody osoby zainteresowanej.

Szczególny przypadek rekrutacji

Faza rekrutacji generuje specyficzne przetwarzanie, często słabo uregulowane. Zbieranie CV, listów motywacyjnych i wyników testów wiąże się z konkretnymi czasami przechowywania: zgodnie z rekomendacjami CNIL, dane kandydatów, którzy nie zostali wybrani, należy usunąć lub zanonimizować w ciągu maksymalnie dwóch lat po ostatnim kontakcie. Nieokreślone przechowywanie CV w niezabezpieczonym folderze udostępnionym stanowi wyraźne naruszenie.

Korzystanie z narzędzi śledzenia w systemach ATS (Applicant Tracking Systems) lub algorytmów analizy behawioralnej musi być wyraźnie wymienione w polityce prywatności przekazanej kandydatom, zgodnie z artykułami 13 i 14 RGPD.

Podstawy prawne przetwarzania w kontekście HR

Identyfikacja właściwej podstawy prawnej

RGPD wymaga, aby każde przetwarzanie danych osobowych opierało się na jednej z sześciu podstaw prawnych zdefiniowanych w artykule 6. W kontekście HR głównie stosuje się trzy:

• Wykonanie umowy o pracę (art. 6.1.b): uzasadnia przetwarzanie danych niezbędnych do zarządzania płacami, urlopami lub szkoleniami.

• Obowiązek prawny (art. 6.1.c): dotyczy obowiązkowych zgłoszeń społecznych (DSN), rejestrów pracowników lub monitorowania wypadków przy pracy.

• Uzasadniony interes (art. 6.1.f): może być przywołany w przypadku przetwarzania takich jak zarządzanie identyfikatorami dostępu lub videomonitoringu, pod warunkiem przeprowadzenia rygorystycznego testu proporcjonalności.

Zgoda (art. 6.1.a) jest natomiast słabą podstawą prawną w kontekście pracy: CNIL i Europejski Komitet Ochrony Danych (EKOD) przypominają, że strukturalna asymetria między pracodawcą a pracownikiem utrudnia wykazanie wolnej zgody. Powinna być stosowana wyłącznie w ostateczności.

Rejestr przetwarzania, obowiązek niezaprzeczalny

Każda organizacja zatrudniająca co najmniej 250 osób — lub przetwarzająca dane wrażliwe na mniejszą skalę — musi prowadzić rejestr działań przetwarzania (art. 30 RGPD). W HR rejestr ten musi dokumentować dla każdego przetwarzania: cel, kategorie danych, odbiorców, okresy przechowywania i wdrożone środki bezpieczeństwa.

Ten dokument, dostępny dla CNIL w przypadku kontroli, jest również cennym narzędziem zarządzania. W połączeniu z rozwiązaniem podpisu elektronicznego dedykowanym HR, umożliwia śledzenie i datowanie każdego etapu cyklu życia dokumentu HR, wzmacniając tym samym możliwość audytu procesów.

Prawa pracowników i obowiązki pracodawcy

Informowanie pracowników: obowiązek natychmiastowy

Artykuł 13 RGPD wymaga poinformowania osób zainteresowanych w momencie zbierania ich danych. W praktyce HR musi dostarczyć pracownikom — najlepiej podczas podpisywania umowy o pracę — zawiadomienie RGPD zawierające: tożsamość administratora danych, cele i podstawy prawne, okres przechowywania, dostępne prawa i dane kontaktowe DPO (Inspektora Ochrony Danych) jeśli organizacja go posiada.

Cyfryzacja i zabezpieczenie tej wymiany są kluczowe. Zastosowanie podpisu elektronicznego w przedsiębiorstwie do dostarczenia zawiadomienia gwarantuje datowane i niezaprzeczalne dowody dostarczenia, zgodne z wymogami rozporządzenia eIDAS.

Prawa pracowników do bezwzględnego respektowania

Pracownicy mają rozszerzające się prawa wobec swoich danych:

• Prawo dostępu (art. 15): każdy pracownik może żądać kopii wszystkich danych dotyczących niego przetwarzanych przez pracodawcę.

• Prawo do sprostowania (art. 16): poprawienie niedokładnych danych (np. adres pocztowy, numer rachunku bankowego).

• Prawo do usunięcia (art. 17): możliwe w niektórych przypadkach, w szczególności po zakończeniu umowy i upływie ustawowych okresów przechowywania.

• Prawo do sprzeciwu (art. 21): pracownik może sprzeciwić się przetwarzaniu opartemu na uzasadnionym interesie.

• Prawo do ograniczenia (art. 18): czasowe wstrzymanie przetwarzania będącego przedmiotem sporu.

Pracodawca ma jeden miesiąc na odpowiedź na każde żądanie wykonania praw, możliwe do przedłużenia do trzech miesięcy w przypadku złożoności (art. 12 RGPD).

Bezpieczeństwo danych HR i zarządzanie podwykonawcami

Środki techniczne i organizacyjne

Artykuł 32 RGPD wymaga wdrożenia środków bezpieczeństwa „odpowiednich do ryzyka". W przypadku danych HR, najlepsze praktyki obejmują:

• Szyfrowanie plików zawierających dane wrażliwe (odcinki paży, dokumentacja medyczna).

• Kontrola dostępu: zasada najmniejszych uprawnień — pracownik zajmujący się płacami nie ma dostępu do danych dyscyplinarnych.

• Logowanie dostępu do systemów HR (SIRH, narzędzia płacowe).

• Plan reagowania na naruszenia: w przypadku wycieku danych pracodawca ma 72 godziny na powiadomienie CNIL (art. 33) i potencjalnie osoby zainteresowane, jeśli ryzyko jest wysokie (art. 34).

Pełny audyt poprzez przewodnik podpisu elektronicznego może pomóc zespołom HR w identyfikacji niezabezpieczonych przetwarzań na papierze i ich cyfryzacji w zgodzie z przepisami.

Regulowanie prestawodawców HR umowami DPA

Usługi HR korzystają z wielu podwykonawców: oprogramowanie płacowe, platformy szkoleniowe, narzędzia do zarządzania czasem. Każdy prestawodawca mający dostęp do danych osobowych musi być objęty umową przetwarzania danych (Data Processing Agreement — DPA), zgodnie z artykułem 28 RGPD. Umowa musi precyzować instrukcje przetwarzania, gwarancje bezpieczeństwa, tryb zwrotu lub zniszczenia danych oraz zobowiązania w przypadku naruszenia.

Wybór prestawodawców posiadających infrastrukturę w Unii Europejskiej lub objętych zatwierdzonymi klauzulami umownymi (CCT) przez Komisję pozostaje fundamentalnym wymogiem, aby uniknąć незаконных transferów poza UE.

Okresy przechowywania: kluczowa kwestia

Ustawowe okresy przechowywania dokumentacji pracownika

Okres przechowywania danych HR jest regulowany przez wiele tekstów prawnych: RGPD (zasada ograniczenia przechowywania, art. 5.1.e), Kodeks pracy i różne przepisy podatkowe i społeczne. W praktyce główne okresy do respektowania to:

| Typ dokumentu | Minimalny okres przechowywania | |---|---| | Odcinek paży | 5 lat (przedawnienie społeczne) | | Umowa o pracę | 5 lat po zakończeniu umowy | | Dane płacowe (DSN) | 3 lata (kontrola URSSAF) | | Rejestr pracowników | 5 lat po odejściu pracownika | | Dane dyscyplinarne | Okres proporcjonalny do środka | | Dokumentacja medyczna (medycyna pracy) | 50 lat (specjalne przepisy) |

Wdrożenie automatycznej polityki archiwizacji i czyszczenia w SIRH, połączone z przepływami pracy podpisu elektronicznego, które datują tworzenie dokumentów, stanowi dzisiaj najlepszą praktykę do wykazania zgodności wobec CNIL.

Pułapki do uniknięcia

Najczęściej obserwowane błędy podczas kontroli CNIL w kwestii danych HR to: nieokreślone przechowywanie CV kandydatów niezaakceptowanych, utrzymywanie dostępu do systemów informatycznych byłych pracowników, brak szyfrowania wyeksportowanych plików płacowych i nieusunięcie danych z systemu identyfikacyjnego poza regulacyjnymi terminami. Aby zabezpieczyć te punkty, konsultacja porównania rozwiązań podpisu elektronicznego pozwala zidentyfikować narzędzia z natywnie zintegrowanymi funkcjami archiwizacji dowodowej i zarządzania cyklem życia dokumentów.

Ramy prawne mające zastosowanie do przetwarzania danych HR

Przetwarzanie danych osobowych pracowników wpisuje się w gęstą ramę normatywną, łączącą kilka poziomów regulacji.

Rozporządzenie (UE) 2016/679 — RGPD stanowi kamień węgielny. Artykuły 5-11 definiują zasady fundamentalne (legalność, uczciwość, przejrzystość, ograniczenie celu, minimalizacja danych, dokładność, ograniczenie przechowywania, integralność i poufność). Artykuł 9 ustanawia ścisłe warunki mające zastosowanie do szczególnych kategorii danych, w tym danych zdrowotnych i związkowych, szczególnie częstych w HR. Artykuł 83 przewiduje grzywny do 20 milionów euro lub 4% światowego obrotu w przypadku poważnego naruszenia.

Ustawa o ochronie danych osobowych zmieniona (ustawa nr 78-17 z 6 stycznia 1978), w wersji skonsolidowanej, dostosowuje RGPD do prawa francuskiego. Przyznaje CNIL jej uprawnienia kontroli i sankcji, oraz przewiduje w szczególności derogacje sektorowe dla danych zdrowotnych w medycynie pracy.

Kodeks pracy reguluje przetwarzanie związane z nadzorem pracowników (art. L. 1121-1 o poszanowaniu prywatności), konsultacją przedstawicieli pracowników na temat narzędzi cyfrowych (art. L. 2312-38) i rejestrami obowiązkowymi.

Rozporządzenie eIDAS (nr 910/2014), uzupełnione przez eIDAS 2.0 (Rozporządzenie UE 2024/1183), reguluje wartość prawną podpisów elektronicznych złożonych na dokumentach HR. Kwalifikowany podpis elektroniczny (KPE), zgodny z załącznikiem I eIDAS i normami ETSI EN 319 132 oraz ETSI EN 319 122, zapewnia domniemanie równoważności z podpisem ręcznym w rozumieniu artykułu 1367 Kodeksu cywilnego francuskim.

Artykuł 1366 Kodeksu cywilnego stanowi, że „dokument elektroniczny ma taką samą moc dowodową jak dokument na papierze, pod warunkiem że można należycie zidentyfikować osobę, od której pochodzi, i że został sporządzony i przechowywany w warunkach gwarantujących jego integralność". Przepis ten znajduje bezpośrednie zastosowanie do umów o pracę, zmian, umów poufności i innych dokumentów HR w formie elektronicznej.

Dyrektywa NIS2 (UE 2022/2555), transponowana do prawa francuskiego ustawą z 26 lutego 2025 r., nakłada na podmioty kluczowe i ważne (w szczególności duże przedsiębiorstwa przemysłowe i operatorów usług cyfrowych) wzmocnione wymogi dotyczące zarządzania ryzykami związanymi z bezpieczeństwem informacji, w tym ochronę wrażliwych danych HR.

Kary wymierzane przez CNIL rosną dynamicznie: w 2024 r. całkowita kwota grzywien przekracza 100 milionów euro, z kilkoma decyzjami bezpośrednio dotyczącymi niedociągnięć w zarządzaniu danymi pracowników. Niedotrzymanie okresów przechowywania, brak DPA z podwykonawcami HR i niewystarczająca bezpieczeństwo znajdują się wśród najczęściej podnoszonej podstawy zarzutów.

Scenariusze zastosowania: zgodność RGPD w HR w praktyce

Scenariusz 1 — Średnie przedsiębiorstwo przemysłowe z 450 pracownikami cyfryzuje procesy adaptacji

Średnie przedsiębiorstwo przemysłowe, rozłożone na trzech lokalizacjach we Francji, zarządzało umowami o pracę i zmianami na papierze. Dokumenty nowych pracowników były przekazywane działowi płacowemu średnio po 12 dniach roboczych, generując błędy płacowe w około 8% przypadków. Ponadto nie dostarczono żadnego formalnego zawiadomienia RGPD nowym pracownikom: informacja figurowała wyłącznie w dolnej części regulaminu wewnętrznego, niepodpisanego osobno.

Po wdrożeniu rozwiązania podpisu elektronicznego zintegrowanego z SIRH, ze współczesnym dostarczeniem zawiadomienia RGPD podpisanego wspólnie przez pracownika i dyrektora HR, przedsiębiorstwo zmniejszyło okres dokumentacyjny adaptacji do 2 dni roboczych (redukcja o 83%). Błędy płacowe związane z brakującymi danymi spadły poniżej 1%. Każdy podpisany dokument jest archiwizowany z kwalifikowanym czasem otwarcia, zapewniając dowód możliwy do opozycji w przypadku kontroli CNIL lub postępowania przed sądem pracy.

Scenariusz 2 — Grupa dystrybucji z 1 200 pracownikami wprowadza w życie zgodną politykę przechowywania

Grupa działająca w dystrybucji specjalistycznej podległa kontroli CNIL na skutek skargi byłego pracownika. Inspekcja ujawniła, że pliki Excela zawierające dane płacowe pracowników, którzy odeszli ponad 8 lat temu, były nadal dostępne na niezabezpieczonym serwerze udostępnionym, bez szyfrowania. Wydano formalnie ostrzeżenie wraz z zakazem wprowadzenia zgodności w ciągu 3 miesięcy.

Grupa podjęła wtedy pełny audyt swoich przetwarzań HR, zmapowała swoje 23 działania przetwarzania i wdrożyła plan czyszczenia automatycznego wyzwalanego przez SIRH. Dokumenty podpisane elektronicznie zostały przeniesione do cyfrowego sejfu z czasami retencji skonfigurowanymi zgodnie z zobowiązaniami prawnymi. DPO opracował kompletny rejestr przetwarzań HR, przedstawiony podczas drugiej kontroli CNIL 18 miesięcy później, która zakończyła się bez dalszych działań. Koszt wprowadzenia zgodności oszacowano na mniej niż 60% potencjalnej kary.

Scenariusz 3 — Kancelaria doradztwa HR z 35 osobami zabezpiecza dane swoich konsultantów i klientów

Kancelaria specjalizująca się w zasobach ludzkich zarządza zarówno danymi swoich własnych konsultantów, jak i kandydatów i pracowników klientów (w ramach misji oceny lub outplacementu). Znalazła się zatem w podwójnej pozycji: administratora danych dla swoich własnych zasobów HR i przetwarzającego (lub wspóladministratora) dla danych osób trzecich.

Kancelaria wdrożyła zróżnicowaną architekturę dokumentacyjną: proste podpisy elektroniczne dla zwykłych wymian wewnętrznych, podpisy zaawansowane dla umów o pracę z klientami oraz umowy przetwarzania danych (DPA) systematycznie integrowane z pismami misji. Wszyscy konsultanci otrzymali zaktualizowaną kartę RGPD, podpisaną elektronicznie i przechowywaną w dedykowanym rejestrze. Ta organizacja pozwoliła kancelarii wykazać swoją zgodność jako argument komercyjny wobec dużych klientów podlegających ścisłym audytom dostawców, zmniejszając średni czas negocjacji kontraktu z 7 do 2 tygodni.

Wnioski

RGPD nakłada na kierownictwo zasobów ludzkich głęboką transformację ich praktyk: rygorystyczną identyfikację podstaw prawnych, efektywne informowanie pracowników, zarządzanie prawami, umowne regulowanie podwykonawców, zabezpieczanie danych i respektowanie okresów przechowywania. Te obowiązki nie są prostymi formalnościami administracyjnymi — uwarunkować zdolność przedsiębiorstwa do uniknięcia kar mogących sięgnąć kilka milionów euro i zachowania zaufania swoich zespołów.

Cyfryzacja procesów HR poprzez rozwiązania podpisu elektronicznego zgodne z eIDAS stanowi jeden z najbardziej skutecznych dźwigni do pogodzenia efektywności operacyjnej i zgodności regulacyjnej. Certyneo wspiera zespoły HR w tej transformacji, od podpisania umowy o pracę do bezpiecznego archiwizowania akt pracowniczych.

Odkryj, jak Certyneo może zabezpieczyć Twoje procesy HR, zapoznając się z naszą ofertą dedykowaną zespołom HR lub rozpoczynając bezpłatnie aby przetestować rozwiązanie bez zobowiązania.