RGPD en RH : Traitement des données des salariés

Общий регламент по защите данных (RGPD) применяется не только к коммерческим отношениям между компанией и её клиентами: он также устанавливает чёткие правила обработки персональных данных сотрудников. Набор персонала, управление заработной платой, контроль доступа, оценка производительности, видеонаблюдение… каждый этап трудовых отношений генерирует персональные данные, которые работодатель должен обрабатывать в полном соответствии с европейским законодательством. При штрафах, достигающих 20 миллионов евро или 4% годового мирового дохода, ставки чрезвычайно высоки. В этой статье описаны применяемые законные основания, практические обязательства служб HR и лучшие практики по безопасности обработки данных — включая электронное документооборот в HR.

Правовые основы обработки данных HR

Допустимые законные основания в трудовом праве

RGPD предусматривает шесть законных оснований для обработки персональных данных (статья 6). В контексте HR обычно используются три из них:

• Исполнение трудового договора (ст. 6.1.b): основное основание для управления заработной платой, отслеживания рабочего времени, передачи зарплатных слипов или управления отпусками.

• Юридическое обязательство (ст. 6.1.c): оправдывает обработку, требуемую Трудовым кодексом или законодательством в области социального обеспечения, например предварительное уведомление о найме (DPAE), декларирование номинального состава (DSN) или ведение единого реестра сотрудников.

• Законный интерес (ст. 6.1.f): может обосновывать определённые виды обработки в целях информационной безопасности или предотвращения внутреннего мошенничества, при условии, что этот интерес не перевешивается фундаментальными правами сотрудников.

⚠️ Основание согласия требует крайней осторожности в контексте трудовых отношений. CNIL регулярно напоминает, что неравенство, присущее отношениям работодатель-сотрудник, редко делает согласие действительно «свободным» в смысле статьи 7 RGPD. Использование согласия для обработки, которая могла бы основываться на другом основании, подвергает работодателя риску переквалификации.

Особые категории данных : усиленный режим

Некоторые данные, собираемые HR, относятся к режиму «чувствительных данных» согласно статье 9 RGPD, обработка которых в принципе запрещена, за исключением случаев :

• Данные о здоровье: больничные листы, заключения медицины труда об утрате трудоспособности, приспособления рабочего места для людей с инвалидностью.

• Профсоюзные данные: членство в профсоюзе, должности в представительных органах.

• Биометрические данные: контроль доступа по отпечатку пальца или распознаванию лица.

• Данные об уголовных правонарушениях: проверка уголовного прошлого, разрешённая только в определённых секторах (безопасность, работа с детьми и т.д.).

Для этих категорий работодатель должен определить явное исключение (ст. 9.2), провести оценку влияния на защиту данных (DPIA) в большинстве случаев и часто консультироваться с CNIL перед развёртыванием.

Практические обязательства служб HR

Реестр деятельности по обработке

Любая организация, в которой работает более 250 сотрудников, обязана вести реестр деятельности по обработке (ст. 30 RGPD). Ниже этого порога обязательство сохраняется, если обработка не является случайной или затрагивает чувствительные данные — что почти всегда имеет место в HR. Этот реестр должен документировать:

• Цель каждой обработки (напр., «управление зарплатными слипами»)

• Категории затронутых данных

• Получатели (третьи стороны, обработчики, органы власти)

• Сроки хранения

• Принятые меры безопасности

CNIL предоставляет бесплатно загружаемый образец реестра. Его надлежащее ведение является первой линией защиты при проверке.

Сроки хранения : часто упускаемый момент

Статья 5.1.e RGPD устанавливает принцип ограничения сроков хранения : данные не должны храниться дольше, чем необходимо для достижения цели их сбора. В HR действуют следующие рекомендуемые сроки хранения:

| Тип данных | Рекомендуемый срок хранения | |---|---| | Зарплатный слип | 5 лет (гражданская давность) | | Трудовой договор | 5 лет после расторжения договора | | Данные о найме (отклонённый кандидат) | Максимум 2 года после последнего контакта | | Дисциплинарное дело | Переменный срок в зависимости от санкции (макс. 3 года за выговор) | | Данные видеонаблюдения | Обычно 1 месяц | | DSN и реестр сотрудников | 5 лет после увольнения сотрудника |

Эти сроки должны быть указаны в реестре и применяться посредством процедур удаления или окончательного архивирования.

Информирование сотрудников : часто недооцениваемое обязательство

Статья 13 RGPD требует предоставления полной информационной справки затронутым лицам в момент сбора их данных. В HR эта справка должна быть предоставлена:

• На этапе подачи заявки: для данных, собираемых во время процесса отбора.

• При найме: включена в трудовой договор или приложена при подписании.

• В процессе трудовых отношений: при каждой новой обработке (напр., развёртывание биометрической системы учёта рабочего времени).

Электронизация процесса адаптации, в частности через электронную подпись в HR, упрощает отслеживание предоставления информации: дата прочтения и подписания справки фиксируется с доказательственной точностью, что является ценным элементом доказательства при возникновении спорных ситуаций.

Безопасность данных HR : технические и организационные меры

Шифрование, контроль доступа и разделение

Статья 32 RGPD требует внедрения мер безопасности, соответствующих риску. Для данных HR, которые по своей природе чувствительны и часто становятся целью взломов, минимальные лучшие практики включают:

• Шифрование данных в покое и в движении: файлы заработной платы, контракты и личные дела должны храниться в зашифрованном виде (минимум AES-256) и передаваться через безопасные протоколы (TLS 1.3).

• Управление доступом на основе ролей (RBAC): только уполномоченные HR-специалисты имеют доступ к данным заработной платы; руководитель команды получает доступ только к необходимым данным для управления.

• Логирование доступа: любое обращение или изменение личного дела сотрудника должно фиксироваться с идентификатором пользователя, датой и временем.

• Псевдонимизация для аналитической обработки (HR-дашборды, исследования заработной платы).

Управление HR-подрядчиками

Службы HR пользуются услугами множества подрядчиков: поставщики HRIS, провайдеры внешней обработки зарплаты, платформы обучения, инструменты онлайн-рекрутмента. Каждый из этих партнёров должен иметь договор подрядчика, соответствующий статье 28 RGPD, в частности уточняющий:

• Характер и цель субподрядной обработки

• Обязательства подрядчика в области безопасности и конфиденциальности

• Запрет на дальнейшую субподрядку без предварительного разрешения

• Процедуры возврата или уничтожения данных при завершении контракта

При выборе поставщика необходимо также проверить, находятся ли его серверы в Европейской экономической зоне (EEA) или установлен ли надлежащий механизм передачи данных (типовые контрактные условия, решение об адекватности) для трансграничных передач.

Электронизация HR-документов и соответствие RGPD

Растущая цифровизация HR-процессов — электронные трудовые договоры, электронные зарплатные слипы, приложения, подписываемые на расстоянии — поднимает специфические вопросы RGPD. Хотя электронная подпись, соответствующая eIDAS, несомненно обеспечивает гарантии целостности и подлинности, работодатель должен убедиться, что используемая платформа:

• Не собирает лишние данные при подписании (принцип минимизации, ст. 5.1.c)

• Сохраняет доказательства подписания (журнал аудита) в безопасных условиях и в течение надлежащего периода

• Позволяет осуществлять права подписавших (доступ, исправление, удаление в пределах, установленные законом)

Для получения подробной информации о соответствии инструментов подписания полное руководство по электронной подписи от Certyneo подробно описывает технические и юридические критерии, которые следует проверить перед развёртыванием.

Права сотрудников и их эффективное осуществление

Обзор прав, гарантированных RGPD

Сотрудники обладают всеми правами, предусмотренными статьями 15–22 RGPD. В контексте HR наиболее часто используемые права:

• Право доступа (ст. 15): сотрудник может запросить копию всех данных о нём, хранящихся у работодателя, включая служебные e-mail в определённых условиях.

• Право на исправление (ст. 16): исправление неточных данных (ошибка в реквизитах счёта, неправильно указанный диплом и т.д.).

• Право на удаление (ст. 17): ограничено в HR обязательствами по хранению, но применимо к данным отклонённого кандидата.

• Право на возражение (ст. 21): может быть использовано против обработки, основанной на законном интересе, например при определённых видах наблюдения.

• Право на переносимость данных (ст. 20): применяется к данным, предоставленным самим сотрудником в контексте исполнения контракта.

Сроки ответов и внутренние процедуры

Работодатель имеет один месяц для ответа на любой запрос о реализации прав, срок может быть продлен на три месяца в случае сложности или большого объёма запросов (ст. 12.3). Для эффективной организации этого процесса рекомендуется:

• Назначить единого контактного лица (DPO или координатор RGPD) для получения запросов

• Установить специальную форму, доступную сотрудникам

• Документировать каждый запрос и ответ в реестре запросов о реализации прав

• Обучить HR-менеджеров выявлять косвенные запросы (сотрудник, требующий «своё личное дело», фактически осуществляет право доступа)

Роль DPO в компании

RGPD требует назначения Специалиста по защите данных (DPO) в трёх случаях (ст. 37): государственный орган, обработка в масштабе больших объёмов чувствительных данных или систематическое наблюдение в больших масштабах. Многие компании со значительной HR-обработкой попадают под это требование. DPO может быть внутренним или внешним; он должен обладать функциональной независимостью и участвовать во всех решениях, влияющих на защиту данных, включая развёртывание новых цифровых HR-инструментов. Его роль консультативна, а не решающая: окончательная ответственность остаётся за ответственным за обработку, то есть работодателем.

Применимые нормативно-правовые акты в области обработки данных HR

RGPD : основополагающий текст

Регламент (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 г. (RGPD) является основополагающей нормативно-правовой базой обработки персональных данных в Европе. Непосредственно применяется во всех государствах-членах с 25 мая 2018 г., он обязателен для любого работодателя, обрабатывающего данные сотрудников, проживающих в ЕС, независимо от национальности компании. Основные применимые в HR-контексте статьи:

• Ст. 5: основные принципы (правомерность, добросовестность, прозрачность, минимизация, точность, ограничение срока, целостность и конфиденциальность, подотчётность)

• Ст. 6: законные основания обработки

• Ст. 9: режим чувствительных данных

• Ст. 12–22: права затронутых лиц

• Ст. 24–32: обязательства ответственного за обработку и подрядчика

• Ст. 33–34: уведомление об утечках данных (72 часа для CNIL и информирование лиц при высоком риске)

• Ст. 35: оценка влияния (DPIA), обязательная для обработки с высоким риском

• Ст. 83: административные санкции (до 20 млн. евро или 4% мирового дохода)

Изменённый Закон об информатике и свободах

Во французском праве Закон № 78-17 от 6 января 1978 г., касающийся информатики, файлов данных и свобод, изменённый Законом № 2018-493 от 20 июня 2018 г. и Ордонансом № 2018-1125 от 12 декабря 2018 г., дополняет RGPD, предоставляя поле для манёвров на национальном уровне («открытые статьи»). Наиболее важные в HR: возможность обработки профсоюзных данных в контексте управления представительными органами персонала (ст. 9 закона) или специальные правила обработки данных о здоровье на работе.

Трудовой кодекс и судебная практика в области трудовых отношений

Трудовой кодекс требует информирования и предварительной консультации с Комитетом по социальным и экономическим вопросам (CSE) перед развёртыванием любого устройства наблюдения или контроля над сотрудниками (ст. L. 2312-38). Отсутствие консультаций влечёт за собой невозможность использования собранных доказательств и уголовные санкции.

Судебная практика Кассационного суда регулярно напоминает, что инструменты контроля (геолокализация, системы учёта, программное обеспечение мониторинга деятельности) должны быть пропорциональны преследуемой цели и не могут быть использованы для целей, отличных от заявленных сотрудникам и CNIL.

Электронная подпись HR-документов : eIDAS и Гражданский кодекс

При электронизации трудовых договоров, приложений или дисциплинарных документов работодатель должен соблюдать Регламент (ЕС) № 910/2014 eIDAS, который определяет три уровня электронной подписи. Для таких важных документов, как трудовой договор с неопределённым сроком или документ о расторжении, рекомендуется усиленная электронная подпись (или даже квалифицированная), чтобы гарантировать личность подписавшего и целостность документа. Гражданский кодекс, статьи 1366 и 1367, подтверждают доказательственную ценность электронного документа и электронной подписи при условии надёжного удостоверения личности подписавшего и гарантии целостности.

Санкции CNIL в области HR-данных

CNIL наложила серьёзные штрафы в области обработки HR-данных: в 2022 году компания была оштрафована на 400 000 евро за чрезмерное наблюдение за сотрудниками, работающими удалённо, с помощью программного обеспечения для захвата экрана. В 2023 году охранная компания получила штраф в размере 200 000 евро за чрезмерный сбор биометрических данных без действительного законного основания. Эти решения иллюстрируют растущую бдительность регулятора в этой области.

Сценарии использования : RGPD HR на практике

Сценарий 1 — Промышленное предприятие среднего размера из 450 сотрудников приводит в соответствие процесс найма

Промышленное предприятие среднего размера, в котором работает около 450 человек на трёх объектах, получало ежегодно более 3 000 спонтанных заявок и отвечало примерно на 60 объявлений о вакансиях. Резюме и сопроводительные письма хранились неограниченное время в общей папке электронной почты между шестью руководителями отделов. Кандидатам не предоставлялась никаких информационных материалов об использовании их данных.

После аудита RGPD в течение шести месяцев были реализованы следующие действия:

• Миграция на ATS (Applicant Tracking System), сертифицированную как соответствующую RGPD, с автоматическим удалением архивов через 24 месяца неиспользования

• Добавление информационной справки RGPD в каждую форму онлайн-заявки

• Подписание электронной подписью писем о найме и трудовых договоров через платформу, соответствующую eIDAS, сокращение сроков возврата подписанных контрактов с 8 дней в среднем до менее чем 48 часов

• Обновление реестра деятельности по обработке 12 новыми картами обработки данных HR

Результат: никаких запросов в CNIL в течение следующих 18 месяцев; предполагаемая экономия 1,2 FTE по административному управлению наймом благодаря электронизации.

Сценарий 2 — Торговая группа из 1 200 сотрудников внедряет политику видеонаблюдения

Группа компаний, специализирующаяся на оптовой торговле пищевыми продуктами, развернула систему видеонаблюдения, охватывающую 34 точки розницы. Изображения сохранялись 45 дней на отдельных объектах без информирования сотрудников. Несколько камер постоянно покрывали кассовые станции, создавая риск непропорционального наблюдения.

После поступления жалобы сотрудника в CNIL компания инициировала приведение в соответствие, включая:

• Сокращение сроков хранения до максимум 30 дней на всех объектах

• Переустановку камер для исключения постоянного наблюдения за отдельными рабочими местами

• Консультацию и согласие центрального комитета социального и экономического развития перед любым новым развёртыванием

• Систематическое информирование сотрудников через трудовые договоры и внутренний регламент, вывешенный в доступных местах

Результат: закрытие жалобы в CNIL без санкций; улучшение социального климата, отмеченное в следующем ежегодном опросе удовлетворения (+11 пункт по пункту «доверие к работодателю»).

Сценарий 3 — Консалтинговая компания по HR, предоставляющая услуги аутсорсинга, защищает передачу данных с клиентами

Консалтинговая компания, специализирующаяся на аутсорсинге заработной платы и администрирования персонала, управляла личными делами сотрудников примерно для двадцати клиентов-компаний малого и среднего бизнеса, представляя около 1 800 зарплатных слипов в месяц. Файлы заработной платы передавались по незащифрованной электронной почте без формального договора подрядчика в соответствии со статьёй 28 RGPD.

Компания инициировала полное переоформление своих практик:

• Подписание Соглашений об обработке данных (DPA), соответствующих статье 28, с каждым из своих клиентов через платформу усиленной электронной подписи, позволяющую отслеживать процесс

• Внедрение защищённого портала клиента (шифрование TLS + двухфакторная аутентификация) для загрузки и загрузки файлов заработной платы

• Размещение данных на серверах, расположенных во Франции и сертифицированных для работы с данными о здоровье

• Разработка политики субподряда, регулирующей привлечение третьих сторон (поставщик ПО для обработки заработной платы, архивариус)

Результат: 100% сокращение передачи HR-данных по незащищённой электронной почте; получение двух новых контрактов с клиентами, включившими соответствие RGPD в обязательные критерии отбора в своих тендерах.

Заключение

RGPD в HR — это не просто дополнительное административное бремя: это рычаг доверия между работодателем и его сотрудниками, а также фактор конкурентоспособности на рынке труда, где прозрачность становится всё более цениться. Актуальный реестр деятельности по обработке, контролируемые сроки хранения, формализированная информация для сотрудников, усиленная безопасность чувствительных данных и контрактные подрядчики — каждый из этих столпов способствует созданию HR-политики, которая одновременно является законной и ответственной.

Электронизация HR-документов — контрактов, приложений, зарплатных слипов, информационных справок — представляет уникальную возможность сочетать соответствие RGPD и операционную эффективность при условии использования сертифицированных инструментов. Certyneo помогает вам в этом процессе с решением электронной подписи, соответствующей eIDAS и разработанной для HR-команд. Узнайте наши тарифы и начните бесплатный пробный период на Certyneo, чтобы защитить ваши HR-документы уже сегодня.