RGPD în RH: Tratarea datelor colaboratorilor

Gestionarea resurselor umane generează zilnic un volum considerabil de date personale: contracte de muncă, adeverințe de salariu, date de sănătate, evaluări de performanță, coordonate bancare... Din momentul intrării în vigoare a Regulamentului General privind Protecția Datelor (RGPD) în mai 2018, direcțiile RH au devenit actori centrali ai conformității în cadrul organizațiilor. Cu toate acestea, conform raportului de activitate 2024 al CNIL, sectorul resurselor umane rămâne uno dintre cele trei domenii cele mai frecvent invocate în cursul controalelor. Acest articol vă ghidează prin obligațiile cheie, bunele practici și instrumentele disponibile pentru a trata datele colaboratorilor dvs. în deplină conformitate.

Ce date personale tratează RH-ul?

Categoriile de date obișnuite

Serviciile RH manipulează un spectru foarte larg de date personale. Se disting două mari familii:

Datele obișnuite, colectate în cadrul contractului de muncă: nume, prenume, adresă, număr de asigurări sociale, IBAN, CV, diplome, istoric profesional, evaluări anuale, programa de lucru, date de prezență și absență.

Datele sensibile, supuse unor restricții consolidate în sensul articolului 9 al RGPD: date de sănătate (concedii medicale, declarații de accident de muncă, restricții medicale), date sindicale (apartenența la sindicat, mandate reprezentative), date privind condamnări penale în anumite contexte de recrutare.

Acestea din urmă pot fi tratate doar sub rezerva unei excepții explicite prevăzute de regulament — cum ar fi executarea obligațiilor legale în materie de dreptul muncii, sau consimțământul explicit al persoanei în cauză.

Cazul particular al recrutării

Faza de recrutare generează tratamente specifice, adesea insuficient reglementate. Colectarea de CV-uri, scrisori de intenție și rezultate ale testelor implică durate precise de conservare: conform recomandărilor CNIL, datele candidaților nealeși trebuie șterse sau anonimizate într-un termen maxim de doi ani după ultimul contact. Conservarea indefinită a CV-urilor într-un director partajat nesecurizat constituie o încălcare caracterizată.

Utilizarea instrumentelor de urmărire în ATS (Applicant Tracking Systems) sau a algoritmilor de analiză comportamentală trebuie să facă obiectul unei mențiuni explicite în politica de confidențialitate transmisă candidaților, în conformitate cu articolele 13 și 14 ale RGPD.

Fundamentele legale ale tratamentului în contextul RH

Identificarea fundamentului juridic corespunzător

RGPD impune ca orice tratament de date personale să se bazeze pe una dintre cele șase fundamenturi legale definite în articolul 6. În contextul RH, trei fundamenturi sunt utilizate în principal:

• Executarea contractului de muncă (art. 6.1.b): justifică tratamentul datelor necesare pentru gestionarea salariilor, concediilor sau formării.

• Obligația legală (art. 6.1.c): se aplică declarațiilor sociale obligatorii (DSN), registrelor de personal sau urmăririi accidentelor de muncă.

• Interesul legitim (art. 6.1.f): poate fi invocat pentru tratamente precum gestionarea insignelor de acces sau supravegherea video, sub rezerva unui test de echilibrare rigoros.

Consimțământul (art. 6.1.a) este în schimb un fundament legal fragil în contextul muncii: CNIL și Comitetul European pentru Protecția Datelor (CEPD) reamintesc că dezechilibrul structural dintre angajator și salariat face dificilă dovada unui consimțământ liber. Nu trebuie utilizat decât în ultimă instanță.

Registrul tratamentelor, obligație inescapabilă

Orice organizație care angajează cel puțin 250 de persoane — sau tratează date sensibile la o scară mai mică — trebuie să țină un registru al activităților de tratament (art. 30 al RGPD). În RH, acest registru trebuie să documenteze, pentru fiecare tratament: scopul, categoriile de date, destinatarii, duratele de conservare și măsurile de securitate implementate.

Acest document, ținut la dispoziția CNIL în caz de control, este și un instrument prețios de pilotare. Combinat cu o soluție de semnătură electronică dedicată RH, permite urmărirea și înregistrarea cu marcă de timp a fiecărei etape din ciclul de viață al unui document RH, consolidând astfel auditabilitatea proceselor.

Drepturi ale colaboratorilor și obligații ale angajatorului

Informarea salariaților: o obligație imediată

Articolul 13 al RGPD impune informarea persoanelor în cauză la momentul colectării datelor lor. În practică, RH-urile trebuie să furnizeze salariaților — ideal la semnarea contractului de muncă — un avis de informare RGPD detaliat care să prezinte: identitatea responsabilului de tratament, scopurile și fundamenturile legale, durata de conservare, drepturile disponibile și coordonatele DPO (Delegatul pentru Protecția Datelor) dacă organizația dispune de unul.

Digitalizarea și securizarea acestui schimb este esențială. Utilizarea semnăturii electronice în companie pentru remiterea acestui avis garantează o dovadă de livrare cu marcă de timp și incontestabilă, aliniată cu cerințele regulamentului eIDAS.

Drepturile salariaților care trebuie respectate imperativ

Colaboratorii dețin drepturi extinse asupra datelor lor:

• Dreptul de acces (art. 15): orice salariat poate cere o copie a tuturor datelor îl privind tratate de angajator.

• Dreptul de rectificare (art. 16): corectarea unei date inexacte (ex.: adresă poștală, IBAN).

• Dreptul la ștergere (art. 17): aplicabil în anumite cazuri, în special după încetarea contractului și trecerea termenelor legale de conservare.

• Dreptul de opunere (art. 21): salariatul poate se opună unui tratament bazat pe interes legitim.

• Dreptul la limitare (art. 18): suspendarea temporară a unui tratament contestat.

Angajatorul are la dispoziție o lună pentru a răspunde oricărei solicitări de exercitare a drepturilor, cu posibilitate de prelungire la trei luni în caz de complexitate (art. 12 al RGPD).

Securitatea datelor RH și gestionarea subcontractanților

Măsuri tehnice și organizatorice

Articolul 32 al RGPD impune implementarea de măsuri de securitate „corespunzătoare riscului". Pentru datele RH, bunele practici includ:

• Criptarea fișierelor conținând date sensibile (adeverințe de salariu, dosare medicale).

• Controlul accesului: principiul celui mai mic privilegiu — un manager de plată nu are acces la datele disciplinare.

• Jurnalizarea acceselor la sistemele RH (SIRH, instrumente de calcul al salariilor).

• Planul de răspuns la încălcări: în caz de scurgere de date, angajatorul dispune de 72 de ore pentru a notifica CNIL (art. 33), și potențial persoanele în cauză dacă riscul este ridicat (art. 34).

Un audit complet prin intermediul ghidului semnăturii electronice poate ajuta echipele RH să identifice tratamentele nesecurizate care persistă pe suport hârtie și să le digitalizeze în mod conform.

Reglementarea prestarilor RH prin DPA

Serviciile RH recurg la numeroși subcontractanți: programe de calcul al salariilor, platforme de formare, instrumente de gestionare a timpului. Fiecare prestator care accesează date personale trebuie să fii supus unui acord de tratament al datelor (Data Processing Agreement — DPA), în conformitate cu articolul 28 al RGPD. Acest contract trebuie să precizeze instrucțiunile de tratament, garanțiile de securitate, modalitățile de returnare sau distrugere a datelor, și obligații în caz de încălcare.

Selectarea prestatorilor care găzduiesc infrastructurile în Uniunea Europeană, sau reglementați prin clauze contractuale standard (CCS) aprobate de Comisie, rămâne o cerință fundamentală pentru a evita orice transfer ilicit în afara UE.

Durate de conservare: o problemă structurală

Duratele legale aplicabile dosarului salariatului

Durata de conservare a datelor RH este reglementată de o suprapunere de texte: RGPD (principiul limitării conservării, art. 5.1.e), Codul muncii, și diverse dispoziții fiscale și sociale. În practică, principalii termeni care trebuie respectați sunt:

| Tipul documentului | Durată minimă de conservare | |---|---| | Adeverință de salariu | 5 ani (prescripție socială) | | Contract de muncă | 5 ani după încetarea contractului | | Date de plată (DSN) | 3 ani (control URSSAF) | | Registru de personal | 5 ani după plecarea salariatului | | Date disciplinare | Durată proporțională cu măsura | | Dosar medical (medicină ocupațională) | 50 de ani (reglementare specifică) |

Implementarea unei politici de arhivare și purjare automatizate în SIRH, combinată cu fluxuri de semnătură electronică care marchează cu timp crearea documentelor, constituie astăzi cea mai bună practică pentru a demonstra conformitatea cu CNIL.

Capcane de evitat

Erorile cele mai frecvente observate în cursul controalelor CNIL privind datele RH sunt: conservarea indefinită a CV-urilor candidaților nealeși, menținerea acceselor informatice ale foștilor salariați, absența criptării fișierelor de plată exportate, și neștergerea datelor de badging dincolo de termenele reglementare. Pentru a securiza aceste puncte, consultarea comparativului soluțiilor de semnătură electronică permite identificarea instrumentelor care integrează nativ funcții de arhivare probantă și gestionare a ciclului de viață al documentelor.

Cadrul legal aplicabil tratamentului datelor RH

Tratamentul datelor personale ale colaboratorilor se înscrie într-un cadru normativ dens, articulând mai multe niveluri de reglementare.

Regulamentul (UE) 2016/679 — RGPD constituie piatra unghiulară. Articolele sale 5 până la 11 definesc principiile fundamentale (legalitate, loialitate, transparență, limitare a scopurilor, minimizare datelor, exactitate, limitare conservării, integritate și confidențialitate). Articolul 9 stabilește condițiile stricte aplicabile categoriilor particulare de date, inclusiv datele de sănătate și sindicale, deosebit de frecvente în RH. Articolul 83 prevede amenzi care pot atinge 20 de milioane de euro sau 4% din cifra de afaceri mondială în caz de încălcare gravă.

Legea Informatică și Libertăți modificată (legea nr. 78-17 din 6 ianuarie 1978), în versiunea consolidată, adaptează RGPD dreptului francez. Aceasta conferă CNIL puterile sale de control și sancțiune, și prevede în special derogări sectoriale pentru date de sănătate în medicină ocupațională.

Codul muncii reglementează tratamentele legate de supravegherea salariaților (art. L. 1121-1 privind respectul vieții private), consultarea reprezentanților personalului asupra instrumentelor digitale (art. L. 2312-38), și registrele obligatorii.

Regulamentul eIDAS (nr. 910/2014), completat de eIDAS 2.0 (Regulamentul UE 2024/1183), reglementează valoarea juridică a semnăturilor electronice apuse pe documentele RH. O semnătură electronică calificată (SEQ), conformă anexei I a eIDAS și normelor ETSI EN 319 132 și ETSI EN 319 122, oferă prezumția echivalenței cu semnătura de mână în sensul articolului 1367 din Codul civil francez.

Articolul 1366 din Codul civil prevede că „scrierea electronică are aceeași forță probantă ca scrierea pe suport hârtie, sub rezerva că se poate identifica în mod corespunzător persoana din care provine și că este stabilită și conservată în condiții destinate să garanteze integritatea ei". Această dispoziție este direct aplicabilă contractelor de muncă, avenant, acorduri de confidențialitate și altor documente RH dematerializate.

Directiva NIS2 (UE 2022/2555), transpusă în dreptul francez prin legea din 26 februarie 2025, impune entităților esențiale și importante (în special marile întreprinderi industriale și operatorilor de servicii digitale) cerințe consolidate în materie de gestionare a riscurilor legate de securitatea informațiilor, inclusiv protecția datelor RH sensibile.

Sancțiunile pronunțate de CNIL sunt în creștere rapidă: în 2024, suma totală a amenzilor depășește 100 de milioane de euro, cu mai multe hotărâri implicând direct nerespectarea în gestionarea datelor salariaților. Nerespectarea duratelor de conservare, absența DPA cu prestarilor RH, și insuficiența măsurilor de securitate figurează dintre grifurile cea mai frecvent reținute.

Scenarii de utilizare: conformitatea RGPD în RH în practică

Scenariul 1 — O ETI industrială cu 450 de salariați digitalizează procesele de integrare

O întreprindere industrială de dimensiuni intermediare, distribuită pe trei situri în Franța, gestiona contracte de muncă și avenante pe suport hârtie. Dosarele angajaților noi nu erau transmise serviciului de plată decât după o medie de 12 zile lucrătoare, generând erori de salariu în aproximativ 8% din cazuri. În plus, nicio notă RGPD nu era remisă în mod formal noilor angajați: informația figura doar în jos regulamentului intern, care nu era semnat separat.

După implementarea unei soluții de semnătură electronică integrată în SIRH-ul său, cu remitere simultană a unei notă RGPD co-semnate de salariat și DRH, întreprinderea a redus termenul de onboarding documentar la 2 zile lucrătoare (reducere de 83%). Erorile de salariu legate de date lipsă au scăzut sub 1%. Fiecare document semnat este arhivat cu marcă de timp calificată, oferind o dovadă opozabilă în caz de control CNIL sau conținut prud'omal.

Scenariul 2 — Un grup de distribuție cu 1 200 de colaboratori pune în conformitate politica sa de conservare

Un grup care operează în distribuția specializată a suferit un control CNIL în urma unei plângeri a unui fost salariat. Inspecția a relevat că fișiere Excel conținând date de plată a salariaților plecați cu mai mult de 8 ani în urmă erau încă accesibile pe un server partajat nesecurizat, fără criptare. Un avertisment formal a fost pronunțat, asortit cu o obligație de conformare în termen de 3 luni.

Grupul a întreprins atunci un audit complet al tratamentelor sale RH, a cartografiat 23 de activități de tratament, și a implementat un plan de purjare automatizat declanșat de SIRH. Documentele semnate electronic au fost migrate într-un seif digital cu durate de retenție configurate conform obligațiilor legale. DPO a elaborat un registru complet al tratamentelor RH, prezentat în cursul unui al doilea control CNIL 18 luni mai târziu, care s-a încheiat fără consecințe. Costul conformării a fost estimat la mai puțin de 60% din suma unei potențiale amenzi.

Scenariul 3 — Un cabinet de consiliere RH cu 35 de persoane securizează datele propriilor consultanți și ale clienților

Un cabinet specializat în resurse umane gestionează atât datele propriilor consultanți cât și ale candidaților și salariaților întreprinderilor clienților (în contextul misiunilor de evaluare sau reorientare profesională). Se regăsește astfel în dublă poziție: responsabil de tratament pentru propriile RH-uri, și subcontractant (sau coresponsabil) pentru datele terților.

Cabinetul a implementat o arhitectură documentară diferențiată: semnături electronice simple pentru schimburile interne obișnuite, semnături avansate pentru contractele de misiune cu clienții, și acorduri de tratament al datelor (DPA) sistematic integrate în scrisorile de mandat. Toți consultanții au primit o cartă RGPD actualizată, semnată electronic și conservată într-un registru dedicat. Această organizare a permis cabinetului să-și afișeze conformitatea ca argument comercial către marele companii supuse auditurilor furnizorilor stricte, reducând termenul mediu de contractare de 7 la 2 săptămâni.

Concluzie

RGPD impune direcțiilor resurselor umane o transformare profundă a practicilor lor: identificare riguroasă a fundamenturilor legale, informare efectivă a colaboratorilor, gestionare a drepturilor, reglementare contractuală a subcontractanților, securizare a datelor și respectare a duratelor de conservare. Aceste obligații nu sunt simple formalități administrative — condiționează capacitatea întreprinderii de a evita sancții care pot atinge mai milioane de euro și de a menține încrederea echipelor sale.

Digitalizarea proceselor RH, prin intermediul soluțiilor de semnătură electronică conformă eIDAS, constituie una dintre pârghiile cea mai eficiente pentru a concilia eficiența operațională și conformitatea reglementară. Certyneo însoțește echipele RH în această tranziție, de la semnarea contractului de angajare la arhivarea securizată a dosarelor salariaților.

Descoperiți cum Certyneo poate securiza procesele dvs. RH consultând oferta noastră dedicată echipelor RH sau pornind gratuit pentru a testa soluția fără angajament.