GDPR в сфере управления персоналом: обработка данных сотрудников

Введение

С момента вступления в силу Общего регламента по защите данных (GDPR) 25 мая 2018 года отделы кадров находятся на переднем крае соблюдения требований. Службы управления персоналом ежедневно обрабатывают конфиденциальные персональные данные: резюме, платежные ведомости, данные о состоянии здоровья, оценки, банковские реквизиты. Плохой менеджмент подвергает компанию санкциям на сумму до 20 миллионов евро или 4% мирового оборота (статья 83 GDPR). В этой статье представлены ключевые обязательства и лучшие практики по обеспечению безопасности обработки данных сотрудников на протяжении всего HR-цикла.

Фундаментальные принципы, применимые к данным HR

GDPR устанавливает шесть основных принципов, закрепленных в статье 5: законность, лояльность, прозрачность, ограничение целей, минимизация, точность, ограничение хранения и целостность/конфиденциальность. На практике это означает, что отдел кадров может собирать только те данные, которые строго необходимы для конкретной цели. Например, запрашивать номер социального страхования при подаче заявления несоразмерно: это оправдано только после приема на работу в DSN.

CNIL в своем совещании №. В Законе № 2019-160 об управлении персоналом указаны рекомендуемые сроки хранения: 2 года для неуспешных заявлений (без согласия), 5 лет после увольнения для административного дела, 6 лет для расчетных ведомостей в версии работодателя.

Правовая основа и информация для сотрудников

Вопреки распространенному мнению, согласие редко является подходящей правовой основой в сфере управления персоналом из-за отношений подчинения. Соответствующими основаниями являются, скорее, исполнение трудового договора (статья 6.1.b), юридическое обязательство (статья 6.1.c) или законный интерес (статья 6.1.f). Для конфиденциальных данных (здравоохранение, профсоюз) статья 9 требует конкретного основания, такого как обязательство с точки зрения трудового законодательства.

Работодатель должен предоставить четкую информацию в уведомлении о GDPR, выдаваемом при приеме на работу, обновить реестр обработки (статья 30) и проконсультироваться с CSE перед любой новой обработкой, затрагивающей сотрудников (статья L.2312-38 Трудового кодекса).

Безопасность и права сотрудников

Техническая и организационная безопасность (статья 32) требует: шифрования HRIS, контроля доступа по профилю, отслеживаемости консультаций, положений о конфиденциальности при расчете заработной платы или подборе субподрядчиков (статья 28). В случае нарушения уведомление CNIL в течение 72 часов.

У сотрудников усилены права: доступ, исправление, удаление (ограничено юридическими обязательствами по хранению), переносимость, возражение. Внутренняя процедура должна позволять получить ответ в течение максимум одного месяца. Отказ в доступе к дисциплинарному делу должен быть юридически обоснован.

Практические примеры

Пример 1 – Набор персонала:МСП хранит резюме всех кандидатов в общей папке в течение 5 лет. Не соответствует: чрезмерная продолжительность, отсутствие безопасности. Решение: автоматическая чистка через 2 года, ограничение доступа к рекрутерам, упоминание GDPR в предложении о работе.

Пример 2. Видеонаблюдение:Логистический склад постоянно снимает на видео рабочие станции. Возможные санкции (CNIL наложил санкции на Amazon France Logistique на сумму 32 миллиона евро в 2024 году). Решение: ограничить конфиденциальные области, индивидуальную информацию, консультацию CSE, срок хранения максимум один месяц.

Пример 3. Инструменты для совместной работы:Для развертывания Microsoft 365 требуется анализ воздействия (AIPD), если активированы функции мониторинга, а также соответствующее положение о субподряде с издателем.

Соблюдение требований и санкции

Помимо штрафов CNIL, работодатель подвергается иску трудового суда за вторжение в частную жизнь (ст. 9 Гражданского кодекса, статья L.1121-1 Трудового кодекса). Назначение DPO является обязательным для организаций, обрабатывающих данные в больших масштабах. Ежегодное картирование обработки кадров в сочетании с обучением менеджеров представляет собой лучшую юридическую и оперативную защиту.

Заключение

Соблюдение GDPR в сфере управления персоналом — это не разовый проект, а непрерывный процесс совершенствования. Между юридическими обязательствами, правами сотрудников и операционной эффективностью менеджеры по персоналу должны строго управлять управлением данными. Инвестиции в соответствующую HRIS, обучение команд и документирование каждой обработки превращают нормативные ограничения в рычаг доверия сотрудников.