GDPR v HR: Obdelava podatkov zaposlenih

Uvod

Od začetka veljavnosti Splošne uredbe o varstvu podatkov (GDPR) 25. maja 2018 so kadrovske službe v prvi črti skladnosti. Kadrovske službe vsakodnevno obdelujejo občutljive osebne podatke: življenjepise, plačilne liste, zdravstvene podatke, ocene, bančne podatke. Slabo vodenje je podjetje izpostavljeno sankcijam do 20 milijonov evrov ali 4 % svetovnega prometa (83. člen GDPR). Ta članek predstavlja ključne obveznosti in najboljše prakse za zagotavljanje obdelave podatkov o zaposlenih v celotnem kadrovskem ciklu.

Temeljna načela, ki veljajo za kadrovske podatke

GDPR nalaga šest glavnih načel, kodificiranih v 5. členu: zakonitost, zvestoba, preglednost, omejitev namenov, zmanjšanje, točnost, omejitev hrambe in celovitost/zaupnost. V praksi to pomeni, da lahko kadrovska služba zbira le podatke, ki so nujno potrebni za določen namen. Na primer, zahtevati številko socialnega zavarovanja ob prijavi je nesorazmerno: upravičeno je šele po zaposlitvi za DSN.

CNIL je s svojim posvetom št. 2019-160 v zvezi z upravljanjem osebja določa priporočena obdobja hrambe: 2 leti za neuspešne prijave (razen v primeru soglasja), 5 let po odhodu v upravni spis, 6 let za plačilne liste v različici delodajalca.

Pravna podlaga in informacije za zaposlene

V nasprotju s splošnim prepričanjem je soglasje le redko ustrezna pravna podlaga v HR, zaradi razmerja podrejenosti. Relevantne podlage so bolj izvrševanje pogodbe o zaposlitvi (člen 6.1.b), zakonska obveznost (člen 6.1.c) ali zakoniti interes (člen 6.1.f). Za občutljive podatke (zdravstvo, sindikat) člen 9 zahteva posebno podlago, kot je obveznost v smislu delovnega prava.

Delodajalec mora zagotoviti jasne informacije prek obvestila GDPR ob zaposlitvi, posodobiti register obdelav (člen 30) in se posvetovati s CSE pred kakršno koli novo obdelavo, ki vpliva na zaposlene (člen L.2312-38 delovnega zakonika).

Varnost in pravice zaposlenih

Tehnična in organizacijska varnost (32. člen) zahteva: šifriranje HRIS-a, nadzor dostopa po profilu, sledljivost posvetovanj, klavzule o zaupnosti s plačilno listo ali zaposlovanje podizvajalcev (28. člen). V primeru kršitve obvestilo CNIL v 72 urah.

Zaposleni imajo okrepljene pravice: dostop, popravek, izbris (omejen z zakonskimi obveznostmi hrambe), prenosljivost, ugovor. Interni postopek mora omogočati odgovor v največ enem mesecu. Zavrnitev vpogleda v disciplinski spis mora biti pravno utemeljena.

Praktični primeri

Primer 1 – Zaposlovanje:Malo in srednje podjetje je 5 let hranilo življenjepise vseh kandidatov v skupni mapi. Neskladno: predolgo trajanje, pomanjkanje varnosti. Rešitev: avtomatsko čiščenje po 2 letih, omejen dostop do kadrovnikov, omemba GDPR v ponudbi za delo.

Primer 2 – Videonadzor:Logistično skladišče nenehno snema delovne postaje. Možna sankcija (CNIL je leta 2024 kaznoval Amazon France Logistique v višini 32 milijonov EUR). Rešitev: omejitev na občutljiva področja, individualne informacije, posvetovanje s CSE, obdobje hrambe največ en mesec.

Primer 3 – Orodja za sodelovanje:Uvedba Microsoft 365 zahteva analizo vpliva (AIPD), če so aktivirane funkcije spremljanja, ter skladno podizvajalsko klavzulo z založnikom.

Skladnost in sankcije

Poleg denarnih kazni CNIL je delodajalec izpostavljen tožbam sodišč za delo zaradi vdora v zasebnost (9. člen civilnega zakonika, člen L.1121-1 delovnega zakonika). Imenovanje DPO je obvezno za subjekte, ki obdelujejo podatke v velikem obsegu. Letno načrtovanje kadrovske obdelave skupaj z usposabljanjem vodij predstavlja najboljšo pravno in operativno zaščito.

Zaključek

Skladnost z GDPR na področju človeških virov ni enkraten projekt, ampak stalen proces izboljšav. Med pravnimi obveznostmi, pravicami zaposlenih in operativno uspešnostjo morajo kadrovski menedžerji strogo upravljati upravljanje podatkov. Vlaganje v skladen HRIS, usposabljanje ekip in dokumentiranje vsake obdelave spremenijo regulativne omejitve v vzvod zaupanja zaposlenih.