ГДПР у ХР: Обрада података о запосленима

Увод

Од ступања на снагу Опште уредбе о заштити података (ГДПР) 25. маја 2018., одељења за људске ресурсе су на првој линији поштовања. Функције људских ресурса свакодневно обрађују осетљиве личне податке: биографије, платне листе, здравствене податке, процене, банковне податке. Лош менаџмент излаже компанију санкцијама до 20 милиона евра или 4% глобалног промета (члан 83 ГДПР-а). Овај чланак представља кључне обавезе и најбоље праксе за обезбеђивање обраде података о запосленима током циклуса људских ресурса.

Основни принципи који се примењују на ХР податке

ГДПР намеће шест основних принципа кодификованих у члану 5: законитост, лојалност, транспарентност, ограничење сврхе, минимизација, тачност, ограничење задржавања и интегритет/поверљивост. У пракси, то значи да одељење за људске ресурсе може да прикупља само податке који су стриктно неопходни за одређену сврху. На пример, тражење броја социјалног осигурања приликом пријаве је несразмерно: оправдано је само након запошљавања за ДСН.

ЦНИЛ је путем своје расправе бр. 2019-160 који се односи на управљање кадровима, прецизира препоручене периоде задржавања: 2 године за неуспеле пријаве (осим уз сагласност), 5 година након одласка на административни досије, 6 година за платне листе у верзији послодавца.

Правни основ и информације за запослене

Супротно популарном веровању, сагласност је ретко одговарајући правни основ у људским ресурсима, због односа подређености. Релевантни основ су пре извршење уговора о раду (члан 6.1.б), законска обавеза (члан 6.1.ц) или легитимни интерес (члан 6.1.ф). За осетљиве податке (здравство, синдикат), члан 9 захтева посебну основу као што је обавеза у смислу закона о раду.

Послодавац мора да пружи јасне информације путем ГДПР обавештења датог приликом запошљавања, ажурира регистар обраде (члан 30) и консултује ЦСЕ пре било какве нове обраде која утиче на запослене (члан Л.2312-38 Закона о раду).

Безбедност и права запослених

Техничка и организациона безбедност (члан 32) захтева: шифровање ХРИС-а, контролу приступа по профилу, следљивост консултација, клаузуле о поверљивости са платним списком или подизвођачима за запошљавање (члан 28). У случају кршења, обавестити ЦНИЛ у року од 72 сата.

Запослени имају појачана права: приступ, исправљање, брисање (ограничено законским обавезама задржавања), преносивост, противљење. Интерна процедура мора да омогући одговор у року од највише месец дана. Одбијање приступа дисциплинском спису мора бити правно оправдано.

Практични примери

Пример 1 – Регрутовање:МСП чува биографије свих кандидата у заједничкој фасцикли 5 година. Неусаглашено: прекомерно трајање, недостатак сигурности. Решење: аутоматизована чистка после 2 године, ограничен приступ регрутерима, ГДПР помињање у понуди посла.

Пример 2 – Видео надзор:Логистичко складиште непрекидно снима радне станице. Могућа санкција (ЦНИЛ је санкционисао Амазон Франце Логистикуе од 32 милиона евра 2024.). Решење: ограничење на осетљива подручја, појединачне информације, консултације са ЦСЕ, период задржавања од највише месец дана.

Пример 3 – Алати за сарадњу:Примена Мицрософт 365 захтева анализу утицаја (АИПД) ако су функције надгледања активиране, као и усаглашену клаузулу о подуговарању са издавачем.

Усклађеност и санкције

Поред казни ЦНИЛ-а, послодавац је изложен тужбама индустријског суда због нарушавања приватности (члан 9 Грађанског законика, члан Л.1121-1 Закона о раду). Одређивање ДПО је обавезно за субјекте који обрађују податке у великом обиму. Годишње мапирање обраде људских ресурса, заједно са обуком менаџера, представља најбољу правну и оперативну заштиту.

Закључак

Усклађеност са ГДПР-ом у људским ресурсима није једнократан пројекат већ континуирани процес побољшања. Између законских обавеза, права запослених и оперативног учинка, менаџери људских ресурса морају ригорозно управљати управљањем подацима. Улагање у усклађени ХРИС, тимове за обуку и документовање сваке обраде трансформише регулаторна ограничења у полугу поверења запослених.