GDPR în HR: Prelucrarea datelor angajaților

Introducere

De la intrarea în vigoare a Regulamentului general privind protecția datelor (GDPR) pe 25 mai 2018, departamentele HR au fost în prima linie a conformității. Funcțiile de resurse umane prelucrează zilnic date personale sensibile: CV-uri, borderouri, date de sănătate, evaluări, detalii bancare. Managementul defectuos expune compania la sancțiuni de până la 20 de milioane de euro sau 4% din cifra de afaceri globală (articolul 83 din GDPR). Acest articol prezintă obligațiile cheie și cele mai bune practici pentru securizarea procesării datelor angajaților pe tot parcursul ciclului de resurse umane.

Principiile fundamentale aplicabile datelor HR

GDPR impune șase principii cardinale codificate în Articolul 5: legalitate, loialitate, transparență, limitarea scopurilor, minimizarea, acuratețea, limitarea reținerii și integritatea/confidențialitatea. În practică, aceasta înseamnă că departamentul de HR poate colecta doar datele strict necesare pentru un anumit scop. De exemplu, solicitarea numărului de securitate socială în momentul aplicării este disproporționată: se justifică doar după angajarea pentru DSN.

CNIL, prin deliberarea nr. 2019-160 privind managementul personalului, precizează perioadele de păstrare recomandate: 2 ani pentru cererile nereușite (cu excepția consimțământului), 5 ani de la plecare pentru dosarul administrativ, 6 ani pentru fișele de salariu în varianta de angajator.

Temei juridic și informații pentru angajați

Contrar credinței populare, consimțământul este rareori temeiul legal adecvat în HR, datorită relației de subordonare. Bazele relevante sunt mai degrabă executarea contractului de muncă (articolul 6.1.b), obligația legală (articolul 6.1.c) sau interesul legitim (articolul 6.1.f). Pentru datele sensibile (sănătate, sindicat), articolul 9 impune o bază specifică, cum ar fi obligația din punct de vedere al dreptului muncii.

Angajatorul trebuie să furnizeze informații clare printr-o notificare GDPR dată la angajare, să actualizeze registrul de procesare (articolul 30) și să consulte CSE înainte de orice nouă prelucrare care afectează salariații (articolul L.2312-38 din Codul Muncii).

Securitatea și drepturile angajaților

Securitatea tehnică și organizatorică (articolul 32) necesită: criptarea SIRH, controlul accesului pe profil, trasabilitatea consultărilor, clauze de confidențialitate cu subcontractanții de salarizare sau de recrutare (articolul 28). În cazul unei încălcări, sesizarea CNIL în termen de 72 de ore.

Angajații au drepturi consolidate: acces, rectificare, ștergere (limitate de obligațiile legale de păstrare), portabilitate, opoziție. O procedură internă trebuie să permită un răspuns în termen de maximum o lună. Refuzul accesului la dosarul disciplinar trebuie să fie justificat legal.

Exemple practice

Exemplul 1 – Recrutare:Un IMM a păstrat CV-urile tuturor candidaților într-un dosar comun timp de 5 ani. Neconform: durată excesivă, lipsă de securitate. Soluție: epurare automată după 2 ani, acces restricționat la recrutori, mențiune GDPR în oferta de muncă.

Exemplul 2 – Supraveghere video:Un depozit logistic filmează continuu stațiile de lucru. Posibilă sancțiune (CNIL a sancționat Amazon France Logistique cu 32 de milioane de euro în 2024). Soluție: limitarea zonelor sensibile, informare individuală, consultare CSE, perioadă de păstrare de maximum o lună.

Exemplul 3 – Instrumente de colaborare:Implementarea Microsoft 365 necesită o analiză de impact (AIPD) dacă funcțiile de monitorizare sunt activate, precum și o clauză de subcontractare conformă cu editorul.

Respectarea si sanctiunile

Pe langa amenzile CNIL, angajatorul este expus actiunilor de incalcarea vietii private (art. 9 din Codul civil, art. L.1121-1 din Codul muncii). Desemnarea unui DPO este obligatorie pentru entitățile care prelucrează date pe scară largă. O cartografiere anuală a procesării resurselor umane, împreună cu pregătirea managerilor, constituie cea mai bună protecție juridică și operațională.

Concluzie

Conformitatea GDPR în HR nu este un proiect unic, ci un proces continuu de îmbunătățire. Între obligațiile legale, drepturile angajaților și performanța operațională, managerii de resurse umane trebuie să gestioneze riguros guvernarea datelor. Investiția într-un HRIS conform, formarea echipelor și documentarea fiecărei procesări transformă constrângerile de reglementare într-o pârghie a încrederii angajaților.