RGPD w HR: Przetwarzanie danych pracowników

Ogólne Rozporządzenie o Ochronie Danych (RGPD) nie stosuje się wyłącznie do relacji handlowych między przedsiębiorstwem a jego klientami: reguluje również, w bardzo precyzyjny sposób, przetwarzanie danych osobowych pracowników. Rekrutacja, zarządzanie płacami, kontrola dostępu, ocena wydajności, nadzór wideo… każdy etap cyklu życia umowy o pracę generuje dane osobowe, które pracodawca musi przetwarzać w ścisłym zgodzie z prawem europejskim. Przy karach sięgających 20 milionów euro lub 4% światowego obrotu rocznego, stawka jest znaczna. Artykuł ten szczegółowo omawia obowiązujące podstawy prawne, praktyczne obowiązki działów HR i najlepsze praktyki zabezpieczania przetwarzania — w tym podczas cyfryzacji dokumentów HR.

Podstawy prawne przetwarzania danych HR

Podstawy prawne dopuszczone w prawie pracy

RGPD wymienia sześć podstaw prawnych umożliwiających przetwarzanie danych osobowych (artykuł 6). W kontekście HR trzy z nich są wykorzystywane niemal systematycznie:

• Wykonanie umowy o pracę (art. 6.1.b): stanowi główną podstawę do zarządzania płacami, monitorowania czasu pracy, wydawania pasków wynagrodzeń lub zarządzania urlopami.

• Obowiązek prawny (art. 6.1.c): uzasadnia przetwarzanie wymagane przez Kodeks pracy lub ustawodawstwo społeczne, takie jak wstępne zgłoszenie do zatrudnienia (DPAE), nominalna deklaracja społeczna (DSN) lub prowadzenie rejestru pracowników.

• Prawnie uzasadniony interes (art. 6.1.f): może stanowić podstawę dla niektórych przetwarzań związanych z bezpieczeństwem IT lub zapobieganiem oszustwom wewnętrznym, pod warunkiem, że interes ten nie zostanie wypowiedzony przez prawa podstawowe pracowników.

⚠️ Podstawa zgody powinna być traktowana z największą ostrożnością w kontekście stosunków pracy. CNIL regularnie przypomina, że nierówność nieodłącznie związana ze stosunkiem pracodawca-pracownik sprawia, że zgoda rzadko jest „dobrowolna" w rozumieniu artykułu 7 RGPD. Posługiwanie się zgodą dla przetwarzań, które mogłyby opierać się na innej podstawie prawnej, naraża pracodawcę na ryzyko przekwalifikowania.

Specjalne kategorie danych: wzmocniony reżim

Niektóre dane zbierane przez HR podlegają reżimowi „danych wrażliwych" określonemu w artykule 9 RGPD, których przetwarzanie jest zasadniczo zabronione z pewnymi wyjątkami:

• Dane zdrowotne: urlopy chorobowe, orzeczenia o niezdolności do pracy wydane przez medycynę pracy, dostosowania stanowiska pracy do niepełnosprawności.

• Dane związkowe: przynależność do związku zawodowego, mandate reprezentacyjne.

• Dane biometryczne: kontrola dostępu przez odcisk palca lub rozpoznawanie twarzy.

• Dane dotyczące przewinień: weryfikacja karalności, dozwolona tylko w sektorach regulowanych (bezpieczeństwo, opieka nad dziećmi itp.).

W przypadku tych kategorii pracodawca musi określić wyraźny wyjątek (art. 9.2), przeprowadzić ocenę wpływu na ochronę danych (AIPD) w większości przypadków i często skonsultować się z CNIL przed wdrożeniem.

Praktyczne obowiązki działów HR

Rejestr działań przetwarzania

Każda organizacja zatrudniająca ponad 250 pracowników jest zobowiązana do prowadzenia rejestru działań przetwarzania (art. 30 RGPD). Poniżej tego progu obowiązek utrzymuje się, gdy przetwarzania nie są okazjonalne lub dotyczą danych wrażliwych — co jest prawie zawsze w przypadku HR. Rejestr musi dokumentować:

• Cel każdego przetwarzania (np. „zarządzanie paskami wynagrodzeń")

• Kategorie danych, których to dotyczy

• Odbiorców (trzecie strony, podwykonawcy, organy)

• Okresy przechowywania

• Wdrożone środki bezpieczeństwa

CNIL udostępnia darmowy szablon rejestru. Jego rzetelne prowadzenie stanowi pierwszą linię obrony podczas kontroli.

Okresy przechowywania: punkt często zaniedbywany

Artykuł 5.1.e RGPD narzuca zasadę ograniczenia przechowywania: dane nie powinny być przechowywane dłużej niż jest to konieczne dla celu, w którym zostały zebrane. W HR obowiązujące okresy przechowywania są następujące:

| Typ danych | Zalecany okres przechowywania | |---|---| | Pasek wynagrodzenia | 5 lat (przedawnienie cywilne) | | Umowa o pracę | 5 lat po rozwiązaniu umowy | | Dane rekrutacji (kandydat niewybrany) | Maksymalnie 2 lata po ostatnim kontakcie | | Dokumentacja dyscyplinarna | Okres zmiennych w zależności od sankcji (maks. 3 lata na upomnienie) | | Dane nadzoru wideo | 1 miesiąc zasadniczo | | DSN i rejestr pracowników | 5 lat po odejściu pracownika |

Okresy te muszą być wpisane w rejestr i egzekwowane poprzez procedury czyszczenia lub archiwizacji ostatecznej.

Informowanie pracowników: obowiązek często niedoceniany

Artykuł 13 RGPD nakazuje udzielenie pełnej informacji osobom, których dotyczy, w momencie zbierania danych. W HR informacja powinna być idealne przekazana:

• Od momentu złożenia kandydatury: dla danych zbieranych podczas procesu rekrutacji.

• Przy zatrudnieniu: włączona do umowy o pracę lub przekazana jako załącznik przy podpisaniu.

• Podczas trwania stosunku pracy: dla każdego nowego przetwarzania (np. wdrożenie biometrycznego systemu rejestracji czasu).

Cyfryzacja procesu onboardingu, w szczególności poprzez podpis elektroniczny dla HR, ułatwia śledzenie przekazania informacji: data przeczytania i podpisania informacji jest zarejestrowana w sposób niezawodny, co stanowi cenny dowód w przypadku sporu.

Bezpieczeństwo danych HR: środki techniczne i organizacyjne

Szyfrowanie, kontrola dostępu i separacja

Artykuł 32 RGPD wymaga wdrożenia środków bezpieczeństwa dostosowanych do ryzyka. Dla danych HR, które z natury są wrażliwe i są celem włamań, minimalne najlepsze praktyki obejmują:

• Szyfrowanie danych w spoczynku i podczas transmisji: pliki wynagrodzeń, umowy i osobiste dossier muszą być przechowywane zaszyfrowane (minimum AES-256) i przesyłane poprzez bezpieczne protokoły (TLS 1.3).

• Zarządzanie uprawnieniami dostępu oparte na rolach (RBAC): tylko upoważnieni pracownicy HR uzyskują dostęp do danych wynagrodzeń; kierownik zespołu uzyskuje dostęp wyłącznie do danych niezbędnych do zarządzania.

• Rejestrowanie dostępu: każda konsultacja lub modyfikacja dossier pracownika musi być zarejestrowana z identyfikatorem użytkownika, datą i czasem.

• Pseudonimizacja dla przetwarzań analitycznych (pulpity nawigacyjne HR, badania wynagrodzeń).

Zarządzanie podwykonawcami HR

Działy HR korzystają z licznych podwykonawców: wydawcy HRIS, dostawcy usług wynagrodzeń externalizowanych, platformy szkoleniowe, narzędzia rekrutacji online. Każda taka strona trzecia musi być przedmiotem umowy podwykonawcy zgodnej z artykułem 28 RGPD, określającej szczególnie:

• Rodzaj i cel przetwarzań powierzonych

• Obowiązki podwykonawcy w materii bezpieczeństwa i poufności

• Zakaz dalszego powierzania bez wcześniejszej autoryzacji

• Warunki zwrotu lub zniszczenia danych po zakończeniu umowy

Przy wyborze dostawcy usług należy również sprawdzić, czy jego serwery znajdują się na terenie Europejskiego Obszaru Gospodarczego (EEG) czy czy znajduje się odpowiedni mechanizm transferu (klauzule umowne modelowe, decyzja o adekwatności) dla transferów poza EEG.

Cyfryzacja dokumentów HR a zgodność RGPD

Rosnąca cyfryzacja procesów HR — elektroniczne umowy o pracę, cyfrowe paski wynagrodzeń, zmiany podpisane na odległość — rodzi specyficzne kwestie RGPD. O ile podpis elektroniczny zgodny z eIDAS przynosi niezaprzeczalne gwarancje integralności i autentyczności, pracodawca musi upewnić się, że wykorzystana platforma:

• Nie zbiera zbędnych danych podczas procesu podpisywania (zasada minimalizacji, art. 5.1.c)

• Przechowuje dowody podpisu (dziennik audytu) w warunkach bezpiecznych i przez odpowiedni okres

• Umożliwia wykonywanie praw sygnatariuszy (dostęp, sprostowanie, usunięcie w granicach ustawowych)

Aby dowiedzieć się więcej o zgodności narzędzi podpisu, kompleksowy przewodnik podpisu elektronicznego Certyneo szczegółowo omawia kryteria techniczne i prawne do weryfikacji przed wdrożeniem.

Prawa pracowników i ich rzeczywiste wykonywanie

Przegląd praw zagwarantowanych przez RGPD

Pracownicy korzystają ze wszystkich praw przewidzianych w artykułach 15-22 RGPD. W kontekście HR najczęściej wykonywane prawa to:

• Prawo dostępu (art. 15): pracownik może zażądać kopii wszystkich jego danych przechowywanych przez pracodawcę, w tym wymiany e-maili służbowych w niektórych warunkach.

• Prawo do sprostowania (art. 16): korekta niedokładnych danych (błąd w numerze rachunku, błędnie podany dyplom itp.).

• Prawo do usunięcia (art. 17): ograniczone w HR obowiązkami prawnymi przechowywania, ale stosowane do danych rekrutacji kandydata niewybranego.

• Prawo sprzeciwu (art. 21): może być wykonywane wobec przetwarzania opartego na prawnie uzasadnionym interesie, takie jak niektóre przetwarzania nadzoru.

• Prawo do przenoszalności danych (art. 20): stosowane do danych dostarczonych przez samego pracownika w ramach wykonywania umowy.

Termin odpowiedzi i procedury wewnętrzne

Pracodawca ma jeden miesiąc na odpowiedź na każde żądanie wykonania praw, termin przedłużalny do trzech miesięcy w przypadku złożoności lub dużej liczby żądań (art. 12.3). Aby efektywnie zorganizować tę procedurę, zaleca się:

• Wyznaczenie jedynego punktu kontaktowego (DPO lub specjalisty RGPD) do odbierania żądań

• Wdrożenie dedykowanego formularza dostępnego dla pracowników

• Dokumentowanie każdego żądania i jego odpowiedzi w rejestrze żądań wykonania praw

• Szkolenie kierowników HR w identyfikowaniu niejawnych żądań (pracownik żądający „swojej osobistej teczki" de facto wykonuje prawo dostępu)

Rola DPO w przedsiębiorstwie

RGPD nakazuje wyznaczenie Inspektora Ochrony Danych (DPO) w trzech przypadkach (art. 37): organ publiczny, przetwarzanie w dużej skali danych wrażliwych lub systematyczne monitorowanie w dużej skali. Wiele przedsiębiorstw, których przetwarzanie HR jest znaczące, spełnia ten obowiązek. DPO może być wewnętrzny lub outsourcowany; musi być funkcjonalnie niezależny i być włączony w wszystkie decyzje wpływające na ochronę danych, w tym wdrożenie nowych cyfrowych narzędzi HR. Jego rola jest doradcza, a nie decyzyjna: ostateczna odpowiedzialność leży na administratorze danych, tj. pracodawcy.

Ramy prawne mające zastosowanie do przetwarzania danych HR

RGPD: tekst fundamentalny

Rozporządzenie (UE) 2016/679 Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. (RGPD) stanowi podstawę regulacyjną przetwarzania danych osobowych w Europie. Bezpośrednio stosowane we wszystkich państwach członkowskich od 25 maja 2018 r., dotyczy każdego pracodawcy przetwarzającego dane pracowników zamieszkałych w UE, niezależnie od narodowości przedsiębiorstwa. Główne artykuły mające zastosowanie w kontekście HR to:

• Art. 5: zasady fundamentalne (lawność, uczciwość, przejrzystość, minimalizacja, dokładność, ograniczenie przechowywania, integralność i poufność, odpowiedzialność)

• Art. 6: podstawy prawne przetwarzania

• Art. 9: reżim danych wrażliwych

• Art. 12-22: prawa osób, których dotyczy

• Art. 24-32: obowiązki administratora danych i podwykonawcy

• Art. 33-34: zgłoszenie naruszeń danych (72 godziny do CNIL i informacja osób w przypadku wysokiego ryzyka)

• Art. 35: ocena wpływu (AIPD) obowiązkowa dla przetwarzań wysokiego ryzyka

• Art. 83: sankcje administracyjne (do 20 mln euro lub 4% światowego obrotu)

Ustawę o Informatyzacji i Wolności zmieniona

W prawie francuskim ustawa nr 78-17 z 6 stycznia 1978 r. dotycząca informatyzacji, plików i wolności, zmieniona ustawą nr 2018-493 z 20 czerwca 2018 r. i rozporządzeniem nr 2018-1125 z 12 grudnia 2018 r., uzupełnia RGPD, otwierając marginesy manewru krajowe („klauzule otwartości"). Wśród najważniejszych w HR: możliwość przetwarzania danych związkowych w ramach zarządzania instytucjami reprezentacyjnymi pracowników (art. 9 ustawy) lub specyficzne zasady przetwarzania danych zdrowotnych w pracy.

Kodeks pracy i orzecznictwo pracy

Kodeks pracy nakłada obowiązki informowania i konsultacji z Komitetem Społecznym i Ekonomicznym (CSE) przed wdrożeniem jakiegokolwiek urządzenia nadzoru lub kontroli pracowników (art. L. 2312-38). Brak konsultacji naraża pracodawcę na nieuznawanie dowodów zebranych, a także na sankcje karne.

Orzecznictwo Sądu Kasacyjnego regularnie przypomina, że narzędzia kontroli (geolokalizacja, system poboru, oprogramowanie do monitorowania aktywności) muszą być proporcjonalne do realizowanego celu i nie mogą być wykorzystywane do innych celów niż te zadeklarowane pracownikom i CNIL.

Podpis elektroniczny dokumentów HR: eIDAS i Kodeks cywilny

Podczas cyfryzacji umów o pracę, zmian lub dokumentów dyscyplinarnych, pracodawca musi przestrzegać Rozporządzenia (UE) nr 910/2014 eIDAS, które definiuje trzy poziomy podpisu elektronicznego. Dla dokumentów tak strukturyzujących jak umowa o pracę na czas nieokreślony (CDI) lub dokument warunkowego rozwiązania umowy, zaawansowany podpis elektroniczny (lub nawet kwalifikowany) jest zalecany w celu zagwarantowania tożsamości sygnatariusza i integralności dokumentu. Kodeks cywilny w artykułach 1366-1367 potwierdza wartość dowodową pisma elektronicznego i podpisu elektronicznego, pod warunkiem niezawodnej identyfikacji sygnatariusza i zapewnienia integralności.

Sankcje nałożone przez CNIL w materii HR

CNIL nałożyła kilka znaczących sankcji w materii przetwarzania danych HR: w 2022 r. firma została skazana na grzywnę 400 000 € za nadmierne nadzorowanie pracowników w telepracy poprzez oprogramowanie do przechwytywania ekranu. W 2023 r. firma bezpieczeństwa otrzymała karę 200 000 € za nadmierną zbiorę danych biometrycznych bez ważnej podstawy prawnej. Te decyzje ilustrują rosnącą czujność regulatora w tym obszarze.

Scenariusze użycia: RGPD HR w praktyce

Scenariusz 1 — Średnie przedsiębiorstwo przemysłowe zatrudniające 450 pracowników doprowadza do zgodności proces rekrutacji

Średnie przedsiębiorstwo przemysłowe zatrudniające około 450 osób na trzech oddziałach rocznie otrzymywało ponad 3 000 spontanicznych zgłoszeń i odpowiadało na około 60 ogłoszeń o pracę. CV i listy motywacyjne były przechowywane bez ograniczenia czasu w udostępnionej skrzynce e-mail między sześciu kierownikami. Żadna informacja nie była przekazywana kandydatom na temat wykorzystania ich danych.

Po audycie RGPD w ciągu sześciu miesięcy wdrożono następujące działania:

• Migracja do ATS (Applicant Tracking System) certyfikowanego jako zgodny z RGPD, z automatycznym usuwaniem akt po 24 miesiącach bezaktywności

• Dodanie informacji RGPD w każdym formularzu internetowym złożenia kandydatury

• Podpis elektroniczny listów zatrudnienia i umów o pracę za pośrednictwem platformy zgodnej z eIDAS, skracając okres powrotu podpisanych umów ze średnio 8 dni do poniżej 48 godzin

• Aktualizacja rejestru działań przetwarzania o 12 nowych kart przetwarzania HR

Wynik: żadne żądanie CNIL nie otrzymano przez następne 18 miesięcy; szacunkowy zysk 1,2 osoby-lat w zarządzaniu administracyjnym rekrutacji dzięki cyfryzacji.

Scenariusz 2 — Grupa dystrybucyjna zatrudniająca 1 200 pracowników reguluje swoją politykę nadzoru wideo

Grupa specjalizująca się w dystrybucji żywności wdrożyła system nadzoru wideo obejmujący 34 punkty sprzedaży. Obrazy były przechowywane przez 45 dni na niektórych lokalizacjach bez informacji wyświetlonej dla pracowników. Kilka kamer obejmowało stanowiska kasy w sposób ciągły, tworząc ryzyko nieproporcjonalnego nadzoru.

Po skarżę pracownika do CNIL firma podjęła działania zapewniające zgodność obejmujące:

• Skrócenie okresu przechowywania do maksymalnie 30 dni na wszystkich lokalizacjach

• Zmianę położenia kamer w celu wyeliminowania ciągłego nadzoru nad indywidualnymi stanowiskami pracy

• Konsultacja i poparcie centralnego CSE przed każdym nowym wdrożeniem

• Systematyczne informowanie pracowników za pośrednictwem umów o pracę i wewnętrznej karty ogólnej wyświetlanej

Wynik: zamknięcie skargi CNIL bez sankcji; poprawa klimatu pracy mierzona w następującym rocznym badaniu satysfakcji (+11 punktów na pozycji „zaufanie do pracodawcy").

Scenariusz 3 — Biuro konsultingowe HR zabezpiecza transfery danych z klientami

Biuro specjalizujące się w externalizacji wynagrodzeń i administracji personelu zarządzało dossiami pracowników dla około 20 klientów z sektora MŚP, stanowiących około 1 800 pasków wynagrodzeń miesięcznie. Pliki wynagrodzeń były przesyłane pocztą elektroniczną bez szyfrowania, bez sformalizowanej umowy podwykonawcy w rozumieniu artykułu 28 RGPD.

Biuro podjęło kompleksowy remont swoich praktyk:

• Podpisanie Umów Przetwarzania Danych (DPA) zgodnych z artykułem 28 z każdym z klientów, za pośrednictwem platformy zaawansowanego podpisu elektronicznego pozwalającej na śledzenie

• Wdrożenie bezpiecznego portalu klienta (szyfrowanie TLS + uwierzytelnianie dwuskładnikowe) do przesyłania i pobierania plików wynagrodzeń

• Hosting danych na serwerach zlokalizowanych we Francji, certyfikowanych HDS dla danych zdrowotnych w pracy

• Opracowanie polityki podwykonawstwa regulującej recourse do trzecich stron (wydawca oprogramowania wynagrodzeń, archiwizator)

Wynik: zmniejszenie o 100% transmisji danych HR pocztą elektroniczną bez szyfrowania; uzyskanie dwóch nowych umów klientów, które uczyniły zgodność RGPD obowiązkowym kryterium selekcji w swoim zaproszeniu do przetargu.

Podsumowanie

RGPD w HR nie sprowadza się do dodatkowego obowiązku administracyjnego: to dźwignia zaufania między pracodawcą a jego współpracownikami i czynnik konkurencyjny na rynku pracy, gdzie przejrzystość jest coraz bardziej ceniona. Rejestr przetwarzania aktualizowany na bieżąco, kontrolowane okresy przechowywania, sformalizowana informacja dla pracowników, wzmocnione bezpieczeństwo wrażliwych danych i skontrraktowani podwykonawcy: każdy z tych filarów przyczynia się do budowy polityki HR jednocześnie legalnej i odpowiedzialnej.

Cyfryzacja dokumentów HR — umowy, zmiany, paski wynagrodzeń, informacje — oferuje wyjątkową okazję do łączenia zgodności RGPD i efektywności operacyjnej, pod warunkiem polegania na narzędziach certyfikowanych. Certyneo towarzysz Ci w tym przedsięwzięciu dzięki rozwiązaniu podpisu elektronicznego zgodnego z eIDAS, zaprojektowanemu dla zespołów HR. Odkryj nasze ceny i uruchom bezpłatny test w Certyneo, aby zabezpieczyć dokumenty HR już dziś.