RODO w HR: Przetwarzanie danych pracowniczych

Wprowadzenie

Od wejścia w życie Ogólnego rozporządzenia o ochronie danych (RODO) 25 maja 2018 r. działy HR stoją na pierwszej linii frontu zapewnienia zgodności. Działy kadr codziennie przetwarzają wrażliwe dane osobowe: CV, odcinki wypłat, dane dotyczące stanu zdrowia, oceny, dane bankowe. Złe zarządzanie naraża firmę na sankcje do 20 mln euro lub 4% światowego obrotu (art. 83 RODO). W artykule przedstawiono kluczowe obowiązki i dobre praktyki w zakresie zabezpieczenia przetwarzania danych pracowniczych w całym cyklu HR.

Podstawowe zasady mające zastosowanie do danych HR

RODO nakłada sześć kardynalnych zasad skodyfikowanych w art. 5: zgodność z prawem, lojalność, przejrzystość, ograniczenie celów, minimalizacja, dokładność, ograniczenie przechowywania oraz integralność/poufność. W praktyce oznacza to, że dział HR może gromadzić jedynie dane ściśle niezbędne w konkretnym celu. Na przykład pytanie o numer ubezpieczenia społecznego przy składaniu wniosku jest nieproporcjonalne: jest uzasadnione dopiero po zatrudnieniu w DSN.

CNIL w swojej debacie nr. 2019-160 w zakresie zarządzania personelem, określa zalecane okresy przechowywania: 2 lata dla wniosków odrzuconych (chyba, że ​​wyrażona została zgoda), 5 lat po odejściu do akt administracyjnych, 6 lat dla odcinków wypłaty w wersji dla pracodawcy.

Podstawa prawna i informacje dla pracowników

Wbrew powszechnemu przekonaniu zgoda rzadko jest odpowiednią podstawą prawną w HR, ze względu na stosunek podporządkowania. Odpowiednimi podstawami są raczej wykonanie umowy o pracę (art. 6.1.b), obowiązek prawny (art. 6.1.c) lub prawnie uzasadniony interes (art. 6.1.f). W przypadku danych wrażliwych (zdrowie, związek zawodowy) art. 9 wymaga szczególnej podstawy, takiej jak obowiązek wynikający z prawa pracy.

Pracodawca ma obowiązek przekazać jasne informacje za pośrednictwem powiadomienia o RODO wydanego przy zatrudnieniu, zaktualizować rejestr przetwarzania (artykuł 30) i skonsultować się z CSE przed jakimkolwiek nowym przetwarzaniem mającym wpływ na pracowników (artykuł L.2312-38 Kodeksu pracy).

Bezpieczeństwo i prawa pracowników

Bezpieczeństwo techniczne i organizacyjne (art. 32) wymaga: szyfrowania HRIS, kontroli dostępu według profilu, identyfikowalności konsultacji, klauzul poufności z podwykonawcami płacowymi lub rekrutacyjnymi (art. 28). W przypadku naruszenia powiadomienie CNIL w ciągu 72 godzin.

Pracownicy mają wzmocnione prawa: dostęp, poprawianie, usuwanie (ograniczone prawnymi obowiązkami przechowywania), przenoszenie, sprzeciw. Wewnętrzna procedura musi umożliwiać udzielenie odpowiedzi w ciągu maksymalnie jednego miesiąca. Odmowa dostępu do akt dyscyplinarnych musi być prawnie uzasadniona.

Praktyczne przykłady

Przykład 1 – Rekrutacja:MŚP przechowuje życiorysy wszystkich kandydatów we wspólnym folderze przez 5 lat. Niezgodny: nadmierny czas trwania, brak bezpieczeństwa. Rozwiązanie: automatyczne czyszczenie po 2 latach, ograniczony dostęp do rekruterów, wzmianka o RODO w ofercie pracy.

Przykład 2 – Monitoring wideo:Magazyn logistyczny w sposób ciągły filmuje stanowiska pracy. Możliwa sankcja (CNIL nałożył sankcje na Amazon France Logistique w wysokości 32 mln euro w 2024 r.). Rozwiązanie: ograniczenie do wrażliwych obszarów, informacje indywidualne, konsultacja z CSE, okres przechowywania maksymalnie jednego miesiąca.

Przykład 3 – Narzędzia współpracy:Wdrożenie Microsoft 365 wymaga analizy wpływu (AIPD), jeśli funkcje monitorowania są aktywowane, a także zgodnej klauzuli podwykonawstwa z wydawcą.

Zgodność i sankcje

Oprócz kar pieniężnych CNIL pracodawca narażony jest na działania przed sądami pracy za naruszenie prywatności (art. 9 Kodeksu Cywilnego, art. L.1121-1 Kodeksu Pracy). Wyznaczenie IOD jest obowiązkowe w przypadku podmiotów przetwarzających dane na dużą skalę. Najlepszym zabezpieczeniem prawnym i operacyjnym jest coroczne mapowanie procesów HR, połączone ze szkoleniami menedżerów.

Podsumowanie

Zgodność z RODO w HR nie jest jednorazowym projektem, ale ciągłym procesem doskonalenia. Pomiędzy obowiązkami prawnymi, prawami pracowników i wynikami operacyjnymi menedżerowie HR muszą rygorystycznie zarządzać zarządzaniem danymi. Inwestycja w zgodny HRIS, szkolenie zespołów i dokumentowanie każdego przetwarzania przekształca ograniczenia regulacyjne w dźwignię zaufania pracowników.