GDPR v HR: Spracovanie údajov zamestnancov

Riadenie ľudských zdrojov generuje každý deň značné množstvo osobných údajov: pracovné zmluvy, výplatné pásky, zdravotnícke údaje, hodnotenia výkonnosti, bankové koordináty... Od nadobudnutia účinnosti Všeobecného nariadenia na ochranu údajov (GDPR) v máji 2018 sa oddelenia ľudských zdrojov stali centrálnymi subjektami dodržiavania predpisov v rámci organizácií. Napriek tomu, podľa správy o činnosti CNIL z roku 2024, sektor ľudských zdrojov zostáva jednou z troch oblastí, ktoré sa najčastejšie objavujú v kontrolách. Tento článok vás prevedie kľúčovými povinnosťami, osvedčenými postupmi a dostupnými nástrojmi na právoplatné spracovanie údajov vašich zamestnancov.

Aké osobné údaje spracovávajú HR?

Bežné kategórie údajov

Služby ľudských zdrojov manipulujú s veľmi širokým spektrom osobných údajov. Rozlišujeme dve veľké skupiny:

Bežné údaje, zbierané v rámci pracovnej zmluvy: meno, priezvisko, adresa, číslo sociálneho poistenia, IBAN, CV, diplomy, história zamestnania, ročné hodnotenia, pracovný čas, údaje o dochádzke a neprítomnosti.

Citlivé údaje, podliehajúce zvýšeným obmedzeniam podľa článku 9 GDPR: zdravotnícke údaje (pracovné neschopnosti, ozámenia pracovných úrazov, lekárske obmedzenia), údaje o odboroch (príslušnosť k odborom, reprezentačné mandáty), údaje týkajúce sa trestných odsúdení v určitých kontextoch zamestnávania.

Tieto údaje môžu byť spracovávané iba na základe výslovnej výnimky stanovené v nariadení — ako je napríklad výkon právnych povinností v oblasti pracovného práva alebo výslovný súhlas dotknutej osoby.

Zvláštny prípad náboru

Fáza náboru generuje špecifické spracovanie, často nesprávne regulované. Zber CV, motivačných listov a výsledkov testov znamená presné lehoty na uchovávanie: podľa odporúčaní CNIL musia byť údaje nezvolených kandidátov vymazané alebo anonymizované do maximálne dvoch rokov po poslednom kontakte. Neobmedzené uchovávanie CV v nesecurizovanom zdieľanom repozitári predstavuje jasné porušenie.

Použitie nástrojov na sledovanie v systémoch ATS (Applicant Tracking Systems) alebo algoritmov analýzy správania sa musí výslovne uviesť v zásadách ochrany osobných údajov poskytnutých kandidátom v súlade s článkami 13 a 14 GDPR.

Právne podklady spracovávania v kontexte HR

Identifikácia správneho právneho podkladu

GDPR vyžaduje, aby bolo každé spracovanie osobných údajov založené na jednom zo šiestich právnych podkladov definovaných v článku 6. V kontexte HR sú primárne uplatňované tri podklady:

• Vykonávanie pracovnej zmluvy (čl. 6.1.b): odôvodňuje spracovanie údajov potrebných na riadenie platieb, dovolenky alebo vzdelávania.

• Právna povinnosť (čl. 6.1.c): vzťahuje sa na povinné sociálne hlásenia (DSN), registry personálu alebo sledovanie pracovných úrazov.

• Oprávnený záujem (čl. 6.1.f): možno sa odvoláva na spracovanie ako je riadenie prístupových kariet alebo videomonitorovanie, za predpokladu prísneho testu preskúšania rovnováhy.

Súhlas (čl. 6.1.a) je naopak krehkým právnym podkladom v pracovnom kontexte: CNIL a Európsky výbor na ochranu údajov (EWPD) pripomínajú, že štrukturálna nerovnosť medzi zamestnávateľom a zamestnancom sťažuje dôkaz slobodného súhlasu. Mal by sa použiť len ako posledná možnosť.

Registr spracovateľských činností, nevyhnutná povinnosť

Každá organizácia zamestnávajúca aspoň 250 osôb — alebo spracovávajúca citlivé údaje v menšom rozsahu — musí viesť registr spracovateľských činností (čl. 30 GDPR). V HR musí tento registr dokumentovať pre každé spracovanie: účel, kategórie údajov, príjemcov, lehoty uchovania a bezpečnostné opatrenia.

Tento dokument, udržiavaný v prípade kontroly CNIL, je tiež cenným nástrojom riadenia. V kombinácii s riešením elektronického podpisu určeným pre HR umožňuje sledovanie a časové značenie každej fázy životného cyklu dokumentu HR, čím sa posilňuje auditovateľnosť procesov.

Práva zamestnancov a povinnosti zamestnávateľa

Informovanie zamestnancov: bezprostredná povinnosť

Článok 13 GDPR vyžaduje informovať dotknuté osoby v čase zberu ich údajov. V praxi musia HR poskytnúť zamestnancom — ideálne pri podpise pracovnej zmluvy — informačnú poznámku GDPR s detailmi: totožnosť správcu spracovávania, účely a právne podklady, lehotu uchovania, dostupné práva a kontakt na DPO (Delegáta na ochranu údajov), ak má podnik.

Digitalizácia a zabezpečenie tejto výmeny je podstatné. Používanie elektronického podpisu v podniku na doručenie tejto poznámky garantuje nepopierateľný a časovo označený dôkaz doručenia, v súlade s požiadavkami nariadenia eIDAS.

Práva zamestnancov, ktoré sa musia bezpodmienečne dodržiavať

Zamestnanci majú rozsiahle práva na svoje údaje:

• Právo na prístup (čl. 15): každý zamestnanec môže požiadať o kópiu všetkých údajov o ňom, ktoré spracováva zamestnávateľ.

• Právo na opravu (čl. 16): oprava nepresných údajov (napr. poštová adresa, IBAN).

• Právo na vymazanie (čl. 17): použiteľné v určitých prípadoch, najmä po skončení zmluvy a uplynutí lehôt na uchovávanie.

• Právo na námietku (čl. 21): zamestnanec sa môže namietať proti spracovaniu založenému na oprávnenom záujme.

• Právo na obmedzenie (čl. 18): dočasné zastavenie spracovávaného údaja v spore.

Zamestnávateľ má jeden mesiac na odpoveď na akúkoľvek žiadosť o výkon práv, extenzibilné na tri mesiace v prípade zložitosti (čl. 12 GDPR).

Bezpečnosť údajov HR a riadenie subdodávateľov

Technické a organizačné opatrenia

Článok 32 GDPR vyžaduje zavedenie bezpečnostných opatrení „primeraných riziku". Pre údaje HR zahŕňajú osvedčené postupy:

• Šifrovanie súborov obsahujúcich citlivé údaje (výplatné pásky, zdravotnícke spisy).

• Kontrola prístupu: princíp najmenších oprávnení — správca miezd nemá prístup k disciplinárnym údajom.

• Protokolovanie prístupu k systémom HR (SIRH, nástroje na paie).

• Plán reakcie na porušenia: v prípade úniku údajov má zamestnávateľ 72 hodín na oznámenie CNIL (čl. 33) a potenciálne dotknutým osobám, ak je riziko vysoké (čl. 34).

Kompletný audit prostredníctvom sprievodcu elektronickým podpisom môže pomôcť tímom HR identifikovať nezabezpečené spracovanie, ktoré pretrváva na papierovej podobe, a digitalizovať ho zodpovedajúcim spôsobom.

Regulácia subjektov HR prostredníctvom DPA

Služby HR sa uchyľujú k mnohým subdodávateľom: softvéru na paie, platformám vzdelávania, nástrojom na riadenie času. Každý poskytovateľ, ktorý má prístup k osobným údajom, musí byť predmetom zmluvy o spracovaní údajov (Data Processing Agreement — DPA), v súlade s článkom 28 GDPR. Táto zmluva musí spresniť pokyny spracovávania, záruky bezpečnosti, spôsoby vrátenia alebo zničenia údajov a povinnosti v prípade porušenia.

Výber poskytovateľov, ktorí majú svoje infraštruktúry v Európskej únii alebo sú upravení štandardnými zmluvnými klauzulami (SCT) schválenými Komisiou, zostáva základnou požiadavkou na zabránenie akémukoľvek nelegálnemu prenosu mimo EÚ.

Lehoty uchovania: rozhodujúca problematika

Zákonné lehoty na uchovávanie súboru zamestnanca

Lehota uchovania údajov HR je upravená viacerými textami: GDPR (princíp obmedzenia uchovania, čl. 5.1.e), Zákonník práce a rôzne daňové a sociálne ustanovenia. V praxi sú hlavné lehoty na dodržanie:

| Typ dokumentu | Minimálna lehota uchovania | |---|---| | Výplatná páska | 5 rokov (sociálna právomoc) | | Pracovná zmluva | 5 rokov po skončení zmluvy | | Údaje o paie (DSN) | 3 roky (kontrola URSSAF) | | Registr personálu | 5 rokov po odchode zamestnanca | | Disciplinárne údaje | Lehota proporcionálna k opatreniu | | Zdravotnícky spis (pracovné zdravotníctvo) | 50 rokov (špecifická regulácia) |

Zavedenie automatenej politiky archivácie a čistenia v SIRH, spojené s workflowami elektronického podpisu, ktoré čas-značia vytvorenie dokumentov, predstavuje dnes najlepšiu prax na preukázanie súladu s CNIL.

Pasce, ktorým sa treba vyhnúť

Najčastejšie chyby pozorované počas kontrol CNIL týkajúcich sa údajov HR sú: neobmedzené uchovávanie CV nezvolených kandidátov, zachovanie prístupu IT bývalých zamestnancov, absencia šifrovania exportovaných súborov miezd a neviazanosť odstránenia údajov z registra prítomnosti mimo zákonných lehôt. Na zabezpečenie týchto bodov, porovnanie riešení elektronického podpisu pomáha identifikovať nástroje s natan zabudovanými funkciami archivácie a riadenia životného cyklu dokumentov.

Právny rámec vzťahujúci sa na spracovanie údajov HR

Spracovanie osobných údajov zamestnancov je vnorené do hustého normatívneho rámca, ktorý spája viacero úrovní regulácie.

Nariadenie (EU) 2016/679 — GDPR predstavuje základný kameň. Jeho články 5 až 11 definujú základné princípy (zákonnosť, férovosť, transparentnosť, obmedzenie účelu, minimalizácia údajov, presnosť, obmedzenie uchovania, integritu a dôvernosť). Článok 9 stanovuje prísne podmienky vzťahujúce sa na osobitné kategórie údajov, vrátane zdravotníckeho a odborového, zvlášť časté v HR. Článok 83 stanovuje pokuty do výšky 20 miliónov EUR alebo 4 % svetového obratu v prípade vážneho porušenia.

Zákon o informatike a slobodách upravený (zákon č. 78-17 z 6. januára 1978), v jeho konsolidovanej verzii, prispôsobuje GDPR francúzskemu právu. Poskytuje CNIL jej právomoci na kontrolu a sankcie a predpokladá najmä sektorové výnimky pre zdravotnícke údaje v pracovnom zdravotníctve.

Zákonník práce upravuje spracovanie súvisiace s dohľadom nad zamestnancami (čl. L. 1121-1 na ochranu súkromia), poradenstvom s reprezentantmi personálu na číslicových nástrojoch (čl. L. 2312-38) a povinných registrov.

Nariadenie eIDAS (č. 910/2014), doplnené eIDAS 2.0 (Nariadenie EÚ 2024/1183), upravuje právnu hodnotu elektronických podpisov uložených na dokumentoch HR. Kvalifikovaný elektronický podpis (SEQ), v súlade s prílohou I eIDAS a normami ETSI EN 319 132 a ETSI EN 319 122, ponúka predpoklad rovnocennosti s rukopísnym podpisom podľa článku 1367 francúzskeho Občianskeho zákonníka.

Článok 1366 Občianskeho zákonníka stanovuje, že „elektronický spis má rovnakú dôkaznú silu ako spis na papierovej podložke, za predpokladu, že može byť riadne identifikovaná osoba, z ktorej vychádza, a že je usporiadaný a vedený tak, aby sa zabezpečila jeho integritu". Toto ustanovenie je priamo použiteľné na pracovné zmluvy, dodatky, dohody o dôvernosti a ďalšie dematerializované dokumenty HR.

Smernica NIS2 (EÚ 2022/2555), transponovaná do francúzskeho práva zákonom z 26. februára 2025, ukladá podstatným a dôležitým subjektom (zvlášť veľkým priemyselným podnikmi a poskytovateľom digitálnych služieb) posilnené požiadavky na riadenie rizík súvisiacich s bezpečnosťou informácií, vrátane ochrany citlivých údajov HR.

Sankcie CNIL sú v rýchlom raste: v roku 2024 celková výška pokút prekročila 100 miliónov EUR, s viacerými rozhodnutiami priamo zahŕňajúcimi porušenia pri spracovaní údajov zamestnancov. Nedodržanie lehôt na uchovávanie, absencia DPA s poskytovateľmi HR a nedostatočnosť bezpečnostných opatrení patria medzi najčastejšie vytknuté nedostatky.

Scenáre používania: súlad GDPR v HR v praxi

Scenár 1 — ETI priemyselný podnik s 450 zamestnancami digitalizuje procesy onboardingu

Priemyselný podnik strednej veľkosti rozdelený na tri miesta vo Francúzsku spravoval svoje pracovné zmluvy a dodatky na papieri. Spisy nových zamestnancov boli do služby miezd doručené až po priemerne 12 pracovných dňoch, čo spôsobilo chyby v miezde v približne 8 % prípadov. Okrem toho neboli kandidátom formálne doručené žiadne ozámenia GDPR: informácie sa nachádzali iba v spodnej časti Pracovného poriadku, ktorý sa samostatne nepodpísal.

Po zavedení riešenia elektronického podpisu integrovaného do jeho SIRH s simultánnym doručením gemeinsam-podpísaného oznámenia GDPR sa podnik znížil čas dokumentárneho onboardingu na 2 pracovné dni (zníženie o 83 %). Chyby v miezde súvisiace s chýbajúcimi údajmi klesli pod 1 %. Každý podpísaný dokument je archivovaný s kvalifikovanou časovníkovou značkou, ktorá poskytuje preukazateľný dôkaz v prípade kontroly CNIL alebo pracovnoprávneho sporu.

Scenár 2 — Skupina s 1 200 zamestnancami v distribúcii uvádza svoju politiku uchovania do súladu

Skupina pôsobiaca v špecializovanej distribúcii prešla kontrolou CNIL v dôsledku sťažnosti bývalého zamestnanca. Inšpekcia odhalila, že súbory Excel obsahujúce údaje o miezde zamestnancov, ktorí odišli pred viac ako 8 rokmi, boli stále prístupné na zdieľanom serveri bez bezpečnosti, bez šifrovania. Bolo vydané formálne upozornenie so záväzkom na uvedenie do súladu do 3 mesiacov.

Skupina potom podnikla kompletnú revíziu svojich spracovateľských činností HR, zmapovala svoje 23 spracovateľské činnosti a zaviedla automatizovaný plán čistenia spúšťaný SIRH. Dokumenty podpísané elektronicky boli migrované do digitálneho sejfu s lehótami uchovania nakonfigurovanými podľa právnych povinností. DPO vyprodukoval úplný registr spracovateľských činností HR, predstavený počas druhej kontroly CNIL 18 mesiacov neskôr, ktorá sa uzavrela bez problémov. Náklady na uvedenie do súladu sa odhadovali na menej ako 60 % potenciálnej pokuty.

Scenár 3 — Poradcovská kancelária HR s 35 osobami zabezpečuje údaje svojich vlastných konzultantov a klientov

Poradcovská kancelária špecializovaná na ľudské zdroje spravuje údaje svojich vlastných konzultantov a údaje kandidátov a zamestnancov svojich podnikateľských klientov (v kontexte misií posúdenia alebo vonkajšieho umiestnenia). Nachádza sa tak v dvojakej pozícii: správcu spracovávania pre svoje vlastné HR a subdodávateľa (či dokonca spolusprávcu) pre údaje tretích strán.

Kancelária zaviedla diferencovanú dokumentárnu architektúru: jednoduché elektronické podpisy na bežné vnútorné výmeny, pokročilé podpisy na zmluvy o projekte s klientmi a dohody o spracovaní údajov (DPA) systematicky zabudované do listov o projekte. Všetci konzultanti dostali aktualizovanú chartu GDPR, podpísanú elektronicky a uchovávanú v dedikovanom registri. Táto organizácia umožnila kancelári prezentovať svoju zhodu ako obchodný argument pre veľkých klientov podliehajúcich prísnym auditom dodávateľov, čím sa znížil priemerný čas uzavretia zmluvy z 7 na 2 týždne.

Záver

GDPR ukladá oddeleninám ľudských zdrojov hlbokú transformáciu ich praktík: dôsledné identifikácia právnych podkladov, účinné informovanie zamestnancov, riadenie práv, zmluvné záväzky voči subdodávateľom, bezpečenie údajov a dodržiavanie lehôt na uchovávanie. Tieto povinnosti nie sú len administratívnymi formalitami — určujú schopnosť podniku vyhnúť sa sankciám v hodnote niekoľko miliónov EUR a udržať dôveru svojich tímov.

Digitalizácia procesov HR prostredníctvom riešení elektronického podpisu v súlade s eIDAS predstavuje jeden z najúčinnejších pákaní na zladenie operačnej efektívnosti a súladu s reguláciami. Certyneo sprievodí tímy HR touto transformáciou, od podpisu zmluvy o zamestnávateľstve až po bezpečné archiváciu spisu zamestnanca.

Zistite, ako Certyneo môže zabezpečiť vaše procesy HR konzultáciou našej ponuky určenej pre tímy HR alebo bezplatným spustením na testovanie riešenia bez záväzku.