RGPD v kadrih: obdelava podatkov zaposlenih

Splošna uredba o varstvu podatkov (RGPD) se ne uporablja le za poslovne odnose med podjetjem in njegovimi strankami: prav tako in zelo natančno ureja obdelavo osebnih podatkov zaposlenih. Zaposlovanje, upravljanje plačil, nadzor dostopa, vrednotenje zmogljivosti, video nadzor… vsak korak v obdobju trajanja pogodbe o zaposlitvi ustvari osebne podatke, ki jih mora delodajalec obdelati v strogem skladu z evropsko zakonodajo. Z denarnimi kaznmi, ki lahko dosežejo 20 milijonov evrov ali 4 % letnega svetovnega prometa, je stakes izjemno velik. Ta članek podrobno opisuje veljave pravne osnove, praktične obveznosti kadrovskih služb in najbolje prakse za varnost vaših obdelav podatkov – tudi pri digitalizaciji kadrovskih dokumentov.

Pravni temelji obdelava kadrovskih podatkov

Pravne osnove, ki so dopustne v delovnem pravu

RGPD navaja šest pravnih osnov za obdelavo osebnih podatkov (člen 6). V kadrovskem kontekstu se tri od njih uporabljajo skoraj sistematično:

• Izvršitev pogodbe o zaposlitvi (člen 6.1.b): predstavlja glavno osnovo za upravljanje plačil, sledenje delovnemu času, dostavo plačilnih lističev ali upravljanje počitkov.

• Pravna obveznost (člen 6.1.c): upravičuje obdelave podatkov, ki jih zahtevata Kodeks o delu ali zakonodaja o socialni zaščiti, kot je predhodna prijava zaposlitve (DPAE), nominativna socialna prijava (DSN) ali vodenje registra osebja.

• Legitimni interes (člen 6.1.f): lahko predstavlja osnovo za nekatere obdelave podatkov za računalniško varnost ali preprečevanje notranje goljufije, pod pogojem, da ta interes ne preglasi temeljnih pravic zaposlenih.

⚠️ Osnova soglasja je treba z največjo previdnostjo uporabljati v kadrovskem kontekstu. NADZR (Nacionalni nadzornik za varstvo podatkov) redno opozarja, da neurejenost, značilna za razmerje delodajalec-zaposleni, soglasje redko naredi »prosto« v smislu člena 7 RGPD. Zatekanje k soglasju za obdelave, ki bi lahko izvirale iz druge pravne osnove, izpostavlja delodajalca tveganju za preformulacijo.

Posebne kategorije podatkov: okrepljeni režim

Nekateri podatki, zbrani s strani kadrovskih služb, sodijo v režim »občutljivih« podatkov iz člena 9 RGPD, katerih obdelava je načeloma prepovedana razen izjem:

• Podatki o zdravju: bolniške odsotnosti, nesposobnosti, ki jo je izrekla medicina dela, prilagoditve delovnega mesta za invalide.

• Podatki o sindikatih: članstvo v sindikatu, predstavniške funkcije.

• Biometrični podatki: nadzor dostopa prek prstnih odtisov ali prepoznavanje obraza.

• Podatki o kršitvah: preverjanje kazenskih registrov, dovoljeno samo v reguliranih sektorjih (varnost, obdelava otrok itd.).

Za te kategorije mora delodajalec identificirati jasno izjemo (člen 9.2), v večini primerov izvesti oceno vpliva na varstvo podatkov (OVPD), in pogosto pred začetkom preizkusa posvetovati z NADZR.

Praktične obveznosti kadrovskih služb

Register dejavnosti obdelave

Vsaka organizacija, ki zaposluje več kot 250 zaposlenih, mora voditi register dejavnosti obdelave (člen 30 RGPD). Pod tem pragom se obveznost vseeno vztrajne, če obdelave niso priložnostne ali se nanašajo na občutljive podatke – kar je v kadrih skoraj vedno. Ta register mora dokumentirati:

• Namen vsake obdelave (npr.: »upravljanje plačilnih lističev«)

• Kategorije zadevnih podatkov

• Prejemnike (tretje strani, obdelovalce podatkov, pristojnosti)

• Obdobja hrambe

• Ukrepe varnosti, ki so sprejeti

NADZR ponuja prosto dostopen obrazec registra. Natančna vodenja predstavlja prvo linijo obrambe v primeru nadzora.

Obdobja hrambe: punkt, ki se pogosto prezre

Člen 5.1.e RGPD vsiljuje načelo omejitve hrambe: podatki ne smejo biti hranjeni dlje, kot je potrebno za namen, za katerega so bili zbrani. V kadrih so referenčna obdobja hrambe naslednja:

| Tip podatka | Priporočeno obdobje hrambe | |---|---| | Plačilni listič | 5 let (državljansko zastaranje) | | Pogodba o zaposlitvi | 5 let po koncu pogodbe | | Podatki o zaposlitvi (neuvrščeni kandidat) | Največ 2 leti po zadnjem stiku | | Disciplinski dossier | Spremenljiva glede na kazen (največ 3 leta za opozorilo) | | Podatki iz video nadzora | 1 mesec po splošnem pravilu | | DSN in register osebja | 5 let po izpisu zaposlenega |

Ta obdobja morajo biti vpisana v register in izvršena prek postopkov brisanja ali dokončne arhivacije.

Obveščanje zaposlenih: pogosto premalo cenjena obveza

Člen 13 RGPD zahteva dajanje celovite obvestilne listine zadevnim osebam ob zbliževanju njenih podatkov. V kadrih mora biti ta listina v idealnem primeru predložena:

• Že ob prijavi: za podatke, zbrane med postopkom zaposlitve.

• Ob zaposlitvi: vključena v pogodbo o zaposlitvi ali predana v priponi ob podpisu.

• Med trajanjem pogodbe: pri vsaki novi obdelavi podatkov (npr.: uvedba biometričnega nadzora dostopa).

Digitalizacija postopka uvajanja, še posebej prek elektronske podpisa za kadre, olajša sledenje tem obvestitvam: datum branja in podpisa listine je vremensko označen na dokazljiv način, kar predstavlja dragocen dokazni element v primeru spora.

Varnost kadrovskih podatkov: tehnični in organizacijski ukrepi

Šifriranje, nadzor dostopa in ločitev

Člen 32 RGPD zahteva izvedbo varnostnih ukrepov prilagojenih tveganju. Za kadrovske podatke, ki so po naravi občutljivi in tarča vdorov, minimalne dobre prakse vključujejo:

• Šifriranje podatkov v mirovanju in v prenosu: plačilne datoteke, pogodbe in osebni dossierjii morajo biti shranjeni šifrirani (najmanj AES-256) in prenešeni prek varnih protokolov (TLS 1.3).

• Upravljanje dostopa na osnovi vlog (RBAC): samo pooblaščeni kadrovci dostopajo do plačilnih podatkov; vodja ekipe dostopa le do podatkov, potrebnih za upravljanje.

• Beleženje dostopov: vsakršen dostop ali sprememba osebnega dossieja mora biti sled z identifikatorjem uporabnika, datumom in časom.

• Pseudonimizacija za analitske obdelave (nadzorne plošče kadrov, študije plač).

Upravljanje podizvajalcev kadrov

Kadrovske službe se zanašajo na številne podizvajalce: izdajatelje SIRH, izvajalce prenosne plače, platforme za učenje, spletna orodja za zaposlovanje. Vsak od teh tretjih lahko vstopi v pogodbo podizvajalca v skladu s členom 28 RGPD, ki posebej navaja:

• Vrst in namena obdelav, ki se podizvajalcu podeljujejo

• Obveznosti podizvajalca glede varnosti in zaupnosti

• Prepoved podpodizvajalcem brez predhodnega pooblaščenja

• Način povrnitve ali uničenja podatkov na koncu pogodbe

Pri izbiri izvajalca je priporočljivo tudi preveriti, ali so njegovi strežniki v Evropskem gospodarskem prostoru (EGP) ali pa je na voljo primeren mehanizem prenosa (pogodbene klavzule, odločba o ustreznosti) za prenose zunaj EGP.

Digitalizacija kadrovskih dokumentov in skladnost z RGPD

Naraščajočo digitalizacijo kadrovskih procesov – elektronske pogodbe o zaposlitvi, dematerializirane plačilne listke, odstavke, podpisane na daljavo – sproža posebna vprašanja RGPD. Čeprav elektronska podpisa, skladna z eIDAS, daje zagotovila o integriteti in avtentičnosti, ki niso dvomljiva, mora delodajalec zagotoviti, da platforma, ki jo uporablja:

• Ne zbira nepotrebnih podatkov med postopkom podpisovanja (načelo minimizacije, člen 5.1.c)

• Hrani dokaze o podpisu (revizijska sled) v varnih razmerah in za primerno dobo

• Omogoča uveljavljanje pravic podpisnikov (dostop, popravek, izbris v dovoljenem obsegu)

Za poglabljanje skladnosti orodij za podpisovanje razročilo celoten vodnik elektronske podpisa Certyneota podrobno opisuje tehnične in pravne merila, ki jih je treba preveriti pred uvedbo.

Pravice zaposlenih in njihova dejanska uporaba

Pregled pravic, zagotovljenih z RGPD

Zaposleni uživajo vse pravice, predvidene v členih 15 do 22 RGPD. V kadrovskem kontekstu se najpogosteje uveljavijo naslednje pravice:

• Pravica do dostopa (člen 15): zaposleni lahko zahteva kopijo vseh podatkov, ki se nanašajo nanj in ki jih ima delodajalec, vključno z izmenjavo e-pošte v delovnem kontekstu v določenih pogojih.

• Pravica do popravka (člen 16): popravka nenatančnih podatkov (napaka pri podatkih bančnega računa, slabo vpisani diplomi itd.).

• Pravica do izbris (člen 17): omejena v kadrih s strani pravne obveznosti hrambe, vendar se uporablja za podatke o zaposlitvi neuvrščenega kandidata.

• Pravica do ugovora (člen 21): se lahko uveljavlja proti obdelavi, utemeljeni na legitimnem interesu, kot so nekatere obdelave nadzora.

• Pravica do prenosljivosti podatkov (člen 20): primerna za podatke, ki jih je zaposleni sam zagotovil v sklopu izvršitve pogodbe.

Rok za odgovore in notranji postopki

Delodajalec ima en mesec za odgovore na katerokoli zahtevo za uveljavljanje pravic, rok, ki se lahko podaljša na tri mesece v primeru zapletenosti ali velike količine zahtev (člen 12.3). Za učinkovito ureditev te obdelave je priporočljivo:

• Določiti edino stično točko (Nadzornika za varstvo podatkov ali referenta RGPD) za sprejem zahtev

• Vzpostaviti namenjeni obrazec dostopen zaposlenim

• Dokumentirati vsako zahtevo in njen odgovor v registru zahtev za uveljavljanje pravic

• Usposobiti kadrovske vodje, da prepoznajo implicitno zahtevo (zaposleni, ki zahteva »svoj osebni dossier«, dejansko uveljavlja pravico do dostopa)

Vloga Nadzornika za varstvo podatkov (NVP) v podjetju

RGPD zahteva imenovanje Nadzornika za varstvo podatkov (NVP) v treh primerih (člen 37): javne oblasti, obdelava v obsežnem merilu posebnih kategorij podatkov ali sistematičan nadzor v obsežnem merilu. Mnoga podjetja, katerih kadrovska obdelava je znatna, spadajo pod to obveznost. NVP je lahko notranji ali zunanja; mora imeti funkcionalno neodvisnost in biti vključen v vse odločitve, ki vplivajo na varstvo podatkov, vključno z uvedbo novih digitalnih orodij za kadre. Njegova vloga je svetovalca in brez odločilnega pomena: končna odgovornost ostane na strani odgovornega za obdelavo, to je delodajalca.

Veljavni pravni okvir za obdelavo kadrovskih podatkov

RGPD: temeljni besedilo

Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 (RGPD) tvori regulatory temelj za obdelavo osebnih podatkov v Evropi. Neposredno se uporablja v vseh državah članicah od 25. maja 2018 in je zavezujoča za vsakega delodajalca, ki obdeluje podatke zaposlenih, naselnjenih v EU, ne glede na narodno pripadnost podjetja. Največje člene, ki se uporabijo v kadrovskem kontekstu, so:

• Člen 5: temeljnim načeli (zakonitost, poštenje, preglednost, minimizacija, natančnost, omejitev hrambe, celovitost in zaupnost, odgovornost)

• Člen 6: pravne osnove obdelave

• Člen 9: režim občutljivih podatkov

• Členi 12 do 22: pravice zadevnih oseb

• Členi 24 do 32: obveznosti odgovornega za obdelavo in obdelovalca podatkov

• Členi 33-34: obvestilo o kršitvah podatkov (72 ur na NADZR in obveščanje oseb, če je tveganje visoko)

• Člen 35: ocena vpliva (OVPD) obvezna za obdelave z visokim tveganjem

• Člen 83: upravne sankcije (do 20 M€ ali 4 % svetovnega prometa)

Zakon o informacijah in svobodah, spremenjen

V francoskem pravu zakon n. 78-17 z dne 6. januarja 1978 o informacijah, datotekah in svobodah, spremenjen z zakonom n. 2018-493 z dne 20. junija 2018 in odlokom n. 2018-1125 z dne 12. decembra 2018, dopolnjuje RGPD tako, da odpira nacionalne prostore za ravnanje (»izhodne klauzule«). Med najpomembnejšimi v kadrih: možnost obdelave podatkov o sindikatih v sklopu upravljanja institucij za predstavništvo delavcev (člen 9 zakona) ali tudi posebna pravila za obdelavo podatkov o zdravju pri delu.

Kodeks o delu in socialna sodna praksa

Kodeks o delu vsiljuje obveznosti obveščanja in predhodnega posvetovanja Odbora za zaposlene in gospodarstvo (OSG) pred vsako uvedbo nadzornega ali kontrolnega sredstva za zaposlene (člen L. 2312-38). Pomanjkanje posvetovanja izpostavlja delodajalca nepopravljanju dokazov, zbranih na ta način, ter kazenskim sankcijam.

Sodna praksa Vrhovnega sodišča redno opominja, da morajo nadzorna orodja (geolokacijski sistem, časovna ura, programska oprema za spremljanje dejavnosti) biti sorazmerna s ciljem in jih ni mogoče spremeniti za druge namene, kot so deklarirali zaposlenim in NADZR.

Elektronska podpisa kadrovskih dokumentov: eIDAS in Civilni zakonik

Pri digitalizaciji pogodb o zaposlitvi, odstavkov ali disciplinskih dokumentov mora delodajalec spoštovati Uredbo (EU) n. 910/2014 eIDAS, ki določa tri raven elektronske podpisa. Za tako strukturne dokumente, kot je pogodba o trajni zaposlitvi ali dokument o dogovoru o prekinitvi, je priporočljiva napredna elektronska podpisa (ali celo kvalificirana), da se zagotovi istovetnost podpisnika in celovitost dokumenta. Civilni zakonik v členih 1366 in 1367 potrjuje dokazno vrednost elektronskega pisnega materiala in elektronske podpisa, pod pogojem zanesljive identifikacije podpisnika in zagotovila integritete.

Sankcije, ki jih je izrekla NADZR pri obdelavi kadrovskih podatkov

NADZR je izrekla več resnih sankcij pri obdelavi kadrovskih podatkov: leta 2022 je podjetje prejelo kazen 400 000 € za prekomernega nadzora zaposlenih v delu od doma prek programske opreme za zajem zaslona. Leta 2023 je podjetje varnostne storitve dobilo kazen 200 000 € za prekomerno zbiranje biometričnih podatkov brez veljavne pravne osnove. Te odločitve poudarjajo naraščajočo pozornost regulatorja na ta segment.

Scenariji uporabe: RGPD v kadrih v praksi

Scenarij 1 – Srednje velika industrijska organizacija s 450 zaposlenimi skladniosti svojo proceduro zaposlitve

Industrijska organizacija moyenne velikosti, ki zaposluje približno 450 oseb na treh lokacijah, je prejela letno več kot 3000 spontanih prijav in je odgovarjala na šestdeset razpisov za prosta mesta. Življenjepisi in pisma o motivaciji so bila shranjena brez omejitve trajanja v skupinskih e-poštnih nabiralnikih med šestimi vodjami oddelkov. Noben kandidat ni prejel obvestila o uporabi svojih podatkov.

Glede na revijo RGPD so bila naslednja dela izvedena v šestih mesecih:

• Migracija na ATS (Applicant Tracking System), potrdjen kot skladen z RGPD, s samodejnim brisanjem datotek po 24 mesecih neaktivnosti

• Dodajanje obvestilne listine RGPD v vsak obrazec spletne prijave

• Elektronski podpis pisem o zaposlitvi in pogodb o zaposlitvi prek platforme, skladne z eIDAS, s skrajšanjem časa povratka podpisanih pogodb s 8 dni v povprečju na manj kot 48 ur

• Posodobitev registra dejavnosti obdelave z 12 novimi kartami obdelave kadrov

Rezultat: nobena zahteva NADZR v naslednjih 18 mesecih; ocenjena prihranek 1,2 enote na upravljanju kadrovske administracije zahvaljujoč digitalizaciji.

Scenarij 2 – Distributerska skupina s 1200 zaposlenimi ureja svojo politiko video nadzora

Gruppe, specializirane za živilsko distribucijo, je imela vpeljana video nadzornega sistema, ki pokriva 34 točk prodaje. Slike so bile hranjene 45 dni na nekaterih lokacijah, brez obvestila za zaposlene. Več kamer je pokrivalo blagajne brez prekinitve, kar je ustvarilo tveganje nesorazmernega nadzora.

Po pritožbi zaposlenca pri NADZR je podjetje sprožilo posodobitev, ki vključuje:

• Zmanjšanje hrambe na največ 30 dni na vseh lokacijah

• Prestavitev kamer za izključitev stalnega nadzora posameznih delovnih mest

• Posvetovanje in privolitev OSG pred vsako novo uvedbo

• Sistematično obveščanje zaposlenih prek pogodb o zaposlitvi in internega čarterca, prikazanega na vidnih mestih

Rezultat: zaprtje pritožbe NADZR brez kazni; izboljšanje delovne klime, merjena v naslednji letni anketi zadovoljstva (+11 točk na elementi »zaupanje v delodajalca«).

Scenarij 3 – Kadrovska svetovalnica, ki je premestljena, varuje prenos podatkov s svojimi strankami

Svetovalnica, specializirana za prenos plače in upravljanje osebja, je upravljala dossierjie zaposlenih za dvajset manjših poslovnih podjetij, ki predstavljajo približno 1800 plačilnih lističev na mesec. Plačilne datoteke so bile poslane e-pošto brez šifriranja, brez pogodbe o obdelavi podatkov v smislu člena 28 RGPD.

Svetovalnica je sprožila celovito prenovo svojih praks:

• Podpis Sporazumov o obdelavi podatkov (DPA), skladnih s členom 28, z vsakim strankama prek platforme za napredni elektronski podpis, ki omogoča sledenje

• Uvajanje varnega portala za stranke (šifriranje TLS + dvojno faktorsko avtentifikacijo) za prenos in prenos plačilnih datotek

• Gostovanje podatkov na strežnikih, lociranih v Franciji, certificiranih za podatke o zdravju pri delu

• Redakcija politike obdelave podatkov, ki ureja uporabo tretjih oseb (izdajatelj plačilnega programja, archivist)

Rezultat: 100-odstotna zmanjšanja negotovosti podatkov kadrov prek nešifrirane e-pošte; pridobivanje dveh novih pogodb s strankami, ki so skladnost z RGPD storile obvezno merilo izbire v svojih razpisih.

Zaključek

RGPD v kadrih ni samo dodatna upravna omejitev: je vzvodec zaupanja med delodajalcem in sodelavci ter dejavnik konkurenčnosti na trgu dela, kjer je preglednost vse bolj cenjena. Register obdelav, ki je redno voden, nadzirana obdobja hrambe, formalizirana obveščanja zaposlenih, okrepljena varnost občutljivih podatkov in pogodljeni podizvajalci: vsak od teh stebrov prispeva k gradnji politike kadrov, ki je sočasno zakonita in odgovorna.

Digitalizacija kadrovskih dokumentov – pogodbe, odstavki, plačilni lističi, obvestilne listine – nudi edinstven primer, da kombinirate skladnost z RGPD in delovno učinkovitost, pod pogojem, da se opirате na potrdjena orodja. Certyneo vas spremlja pri tej poti s slovenskim rešitvijo za elektronski podpis, skladnim z eIDAS, oblikovanim za kadrovske ekipe. Découvrez nos tarifs et lancez votre essai gratuit sur CertyneoOdkriji naše cene in začni svoj brezplačni preizkus na Certyneotu⟧/L3⟦, da takoj zavarujete svoje kadrovske dokumente.