GDPR v HR: Spracovanie údajov o zamestnancoch

Úvod

Od 25. mája 2018, keď vstúpilo do platnosti všeobecné nariadenie o ochrane údajov (GDPR), sú personálne oddelenia v prvej línii dodržiavania predpisov. Funkcie ľudských zdrojov denne spracúvajú citlivé osobné údaje: životopisy, výplatné pásky, zdravotné údaje, hodnotenia, bankové údaje. Zlý manažment vystavuje spoločnosť sankciám až do výšky 20 miliónov eur alebo 4 % globálneho obratu (článok 83 GDPR). Tento článok predstavuje kľúčové povinnosti a osvedčené postupy na zabezpečenie spracovania údajov zamestnancov počas celého cyklu ľudských zdrojov.

Základné princípy vzťahujúce sa na HR údaje

GDPR ukladá šesť základných princípov kodifikovaných v článku 5: zákonnosť, lojalita, transparentnosť, obmedzenie účelov, minimalizácia, presnosť, obmedzenie uchovávania a integrita/dôvernosť. V praxi to znamená, že HR oddelenie môže zbierať len údaje nevyhnutne potrebné na konkrétny účel. Napríklad žiadať pri podávaní žiadosti o číslo sociálneho poistenia je neprimerané: je to opodstatnené až po prijatí do DSN.

CNIL prostredníctvom svojho rokovania č. 2019-160 týkajúci sa personálneho manažmentu špecifikuje odporúčané doby uchovávania: 2 roky pre neúspešné žiadosti (ak nie je súhlas), 5 rokov po odchode do administratívneho spisu, 6 rokov pre výplatné pásky v zamestnávateľskej verzii.

Právny základ a informácie pre zamestnancov

Na rozdiel od všeobecného presvedčenia je súhlas len zriedka vhodným právnym základom v oblasti ľudských zdrojov, kvôli vzťahu podriadenosti. Relevantnými základmi sú skôr plnenie pracovnej zmluvy (článok 6 ods. 1 písm. b), zákonná povinnosť (článok 6 ods. 1 písm. c) alebo oprávnený záujem (článok 6 ods. 1 písm. f). V prípade citlivých údajov (zdravie, odbory) vyžaduje článok 9 špecifický základ, akým je povinnosť v zmysle pracovného práva.

Zamestnávateľ musí poskytnúť jasné informácie prostredníctvom oznámenia GDPR vydaného pri prijímaní do zamestnania, aktualizovať register spracovania (článok 30) a konzultovať CSE pred akýmkoľvek novým spracovaním, ktoré má vplyv na zamestnancov (článok L.2312-38 Zákonníka práce).

Bezpečnosť a práva zamestnancov

Technické a organizačné zabezpečenie (článok 32) vyžaduje: šifrovanie HRIS, kontrolu prístupu podľa profilu, vysledovateľnosť konzultácií, doložky o dôvernosti so mzdovými alebo náborovými subdodávateľmi (článok 28). V prípade porušenia, oznámenie CNIL do 72 hodín.

Zamestnanci majú posilnené práva: prístup, opravu, vymazanie (obmedzené zákonnými povinnosťami uchovávania), prenosnosť, odpor. Interný postup musí umožniť odpoveď maximálne do jedného mesiaca. Odmietnutie prístupu k disciplinárnemu spisu musí byť právne odôvodnené.

Praktické príklady

Príklad 1 – Nábor:MSP uchovávajú životopisy všetkých kandidátov v zdieľanom priečinku po dobu 5 rokov. Nevyhovujúce: nadmerné trvanie, nedostatok bezpečnosti. Riešenie: automatické čistenie po 2 rokoch, obmedzený prístup k recruiterom, zmienka o GDPR v pracovnej ponuke.

Príklad 2 – Video dohľad:Logistický sklad nepretržite natáča pracovné stanice. Možná sankcia (CNIL sankcionovala Amazon France Logistique vo výške 32 miliónov EUR v roku 2024). Riešenie: obmedzenie na citlivé oblasti, individuálne informácie, konzultácia s CSE, doba uchovávania maximálne jeden mesiac.

Príklad 3 – Nástroje na spoluprácu:Nasadenie Microsoft 365 si vyžaduje analýzu dopadu (AIPD), ak sú aktivované funkcie monitorovania, ako aj doložku o subdodávkach s vydavateľom, ktorá je v súlade.

Dodržiavanie súladu a sankcie

Okrem pokút CNIL je zamestnávateľ vystavený žalobám na pracovnom súde za narušenie súkromia (článok 9 Občianskeho zákonníka, článok L.1121-1 Zákonníka práce). Určenie DPO je povinné pre subjekty spracúvajúce údaje vo veľkom rozsahu. Každoročné mapovanie spracovania ľudských zdrojov spolu so školením manažérov predstavuje najlepšiu právnu a prevádzkovú ochranu.

Záver

Súlad s GDPR v HR nie je jednorazový projekt, ale neustály proces zlepšovania. Medzi zákonnými povinnosťami, právami zamestnancov a prevádzkovým výkonom musia manažéri ľudských zdrojov dôsledne riadiť správu údajov. Investovanie do vyhovujúceho HRIS, školiace tímy a dokumentovanie každého spracovania premieňajú regulačné obmedzenia na páku dôvery zamestnancov.