RGPD i HR: Behandling av Medarbetardata

Personaladministrationen genererar dagligen en betydande mängd personuppgifter: anställningsavtal, löneslippar, hälsodata, prestationsutvärderingar, bankuppgifter… Sedan Allmän dataskyddsförordningen (RGPD) trädde i kraft i maj 2018 har HR-avdelningar blivit centrala aktörer för regelefterlevnad inom organisationer. Enligt CNIL:s aktivitetsrapport från 2024 är HR fortfarande en av de tre områden som oftast granskas. Denna artikel vägleder dig genom de viktigaste skyldigheterna, bästa praxis och tillgängliga verktyg för att behandla dina medarbetares data i full överensstämmelse.

Vilka personuppgifter hanterar HR?

De vanligaste datakategorierna

HR-avdelningar hanterar ett mycket brett spektrum av personuppgifter. Man skiljer mellan två huvudkategorier:

Vanliga data, insamlade i anställningsavtalets ramverk: namn, förnamn, adress, personnummer, bankkontouppgifter, CV, diplom, yrkeshistoria, årliga utvärderingar, arbetstider, närvaro- och frånvarodata.

Känslig data, underkastad starkare begränsningar enligt RGPD:s artikel 9: hälsodata (sjukskrivningar, arbetsolycksrapporter, medicinska begränsningar), fackföreningsdata (fackföreningsmedlemskap, representationsuppdrag), data om straffrättsliga domar i vissa rekryteringssammanhang.

Det senare kan endast behandlas under förutsättning av ett uttryckligt undantag enligt förordningen – såsom uppfyllelse av rättsliga skyldigheter inom arbetsrätt eller uttryckligt medgivande från den berörda personen.

Det särskilda fallet rekrytering

Rekryteringsfasen genererar specifika behandlingar som ofta är dåligt reglerade. Insamling av CV, motivationsbrev och testresultat kräver exakta lagringsperioder: enligt CNIL:s rekommendationer måste data för avslagna kandidater raderas eller anonymiseras senast två år efter senaste kontakt. Att för alltid lagra CV-filer på en osäker delad enhet utgör ett uppenbart regelbrott.

Användning av spårningsverktyg i ATS-system (Applicant Tracking Systems) eller algoritmer för beteendeanalys måste särskilt anges i sekretesspolicyn som tillhandahålls kandidaterna, i enlighet med RGPD:s artiklar 13 och 14.

Rättsliga grunder för behandling i HR-sammanhang

Identifiera rätt rättslig grund

RGPD kräver att all behandling av personuppgifter bygger på en av sex rättsliga grunder definierade i artikel 6. I HR-sammanhang används främst tre grunder:

• Uppfyllelse av anställningsavtal (artikel 6.1.b): motiverar behandling av data som är nödvändig för lönehantering, semesterhantering eller utbildning.

• Rättslig förpliktelse (artikel 6.1.c): gäller obligatoriska sociala deklarationer (DSN), personalregister eller övervakning av arbetsolyckor.

• Berättigat intresse (artikel 6.1.f): kan åberopas för behandlingar som åtkomstkort eller videoövervakning, förutsatt ett rigoröst avvägningstest.

Samtycke (artikel 6.1.a) är däremot en svag rättslig grund i arbetsmiljö: CNIL och Europeiska dataskyddsnämnden påminner om att den strukturella obalansen mellan arbetsgivare och anställd gör det svårt att bevisa fritt samtycke. Det bör endast användas i sista hand.

Behandlingsregistret, en oundviklig skyldighet

Alla organisationer med minst 250 anställda – eller som behandlar känslig data i mindre skala – måste upprätthålla ett register över behandlingsaktiviteter (artikel 30 i RGPD). I HR måste detta register dokumentera för varje behandling: syfte, datakategorier, mottagare, lagringsperioder och säkerhetsmåtmen.

Detta dokument, tillgängligt för CNIL vid granskning, är också ett värdefullt styrverktyg. I kombination med en elektronisk signeringslösning dedikerad till HR möjliggör det spårning och tidsstämpning av varje steg i en HR-documents livscykel, vilket förbättrar processgranskningsbarheten.

Medarbetares rättigheter och arbetsgivarens skyldigheter

Informera anställda: en omedelbar skyldighet

Artikel 13 i RGPD föreskriver att personer ska informeras när deras data insamlas. I praktiken måste HR ge anställda – helst när anställningsavtalet undertecknas – en RGPD-informationsnotis som anger: ansvarig för behandlingen, syften och rättsliga grunder, lagringsperiod, tillgängliga rättigheter och kontaktuppgifter för dataskyddsombudsmannen (DPO) om företaget har en.

Att digitalisera och säkra detta utbyte är väsentligt. Användning av elektronisk signering i företaget för överlämning av notisen garanterar ett tidsstämplet och obestridligt leveransbevis, i linje med eIDAS-förordningens krav.

De anställdas rättigheter som måste respekteras

Medarbetare har omfattande rättigheter över sina data:

• Rätt till åtkomst (artikel 15): varje anställd kan begära en kopia av all data om honom/henne som arbetsgivaren behandlar.

• Rätt till rättelse (artikel 16): korrigering av felaktig data (t.ex. postadress, bankkontouppgifter).

• Rätt till radering (artikel 17): tillämplig i vissa fall, särskilt efter kontraktets slut och efter lagringsperioder.

• Rätt till invändning (artikel 21): anställd kan invända mot behandling baserad på berättigat intresse.

• Rätt till begränsning (artikel 18): temporär frysning av omtvistad behandling.

Arbetsgivaren har en månad på sig att svara på varje begäran om utövande av rättigheter, förlängningsbar till tre månader vid komplexitet (artikel 12 i RGPD).

Säkerhet för HR-data och hantering av underentreprenörer

Tekniska och organisatoriska åtgärder

Artikel 32 i RGPD föreskriver implementering av säkerhetsmåtmen "lämpade till risken". För HR-data inkluderar bästa praxis:

• Kryptering av filer innehållande känslig data (löneslippar, medicinska dossier).

• Åtkomstkontroll: minsta behörighetsprincip – en löneadministratör har inte åtkomst till disciplinärdata.

• Loggning av åtkomst till HR-system (SIRH, löneverktyg).

• Incidentresponsplan: vid dataintrång har arbetsgivaren 72 timmar på sig att meddela CNIL (artikel 33) och potentiellt de berörda personerna om risken är höga (artikel 34).

En fullständig granskning via guiden för elektronisk signering kan hjälpa HR-team att identifiera osäkra behandlingar på pappersformat som fortfarande förekommer och digitalisera dem i enlighet med förordningen.

Reglera HR-leverantörer genom DPA:er

HR-avdelningar använder många underentreprenörer: löneprogram, utbildningsplattformar, tidshanteringsverktyg. Varje leverantör med åtkomst till personuppgifter måste omfattas av ett databehandlingsavtal (Data Processing Agreement – DPA), i enlighet med artikel 28 i RGPD. Detta avtal måste specificera behandlingsinstruktioner, säkerhetsskydd, restitutions- eller raderingsbetingelser och skyldigheter vid intrång.

Att välja leverantörer med infrastruktur inom Europeiska unionen, eller som omfattas av godkända standardiserade avtalsklausuler (SCCs), förblir ett grundläggande krav för att undvika otillåten överföring utanför EU.

Lagringsperioder: en strukturerande fråga

De tillämpliga lagringsperioderna för personalakten

Lagringsperioden för HR-data regleras av ett komplext regelverk: RGPD (principen om begränsning av lagring, artikel 5.1.e), arbetskodexen och olika skatte- och socialbestämmelser. I praktiken är de viktigaste tidsfrister att följa:

| Dokumenttyp | Minsta lagringsperiod | |---|---| | Löneslipp | 5 år (sociala frister) | | Anställningsavtal | 5 år efter kontraktets slut | | Lönedata (DSN) | 3 år (URSSAF-kontroll) | | Personalregister | 5 år efter medarbetarens avgång | | Disciplinärdata | Proportionell till åtgärden | | Medicinskt dossier (arbetsmedicin) | 50 år (särskild reglering) |

Implementering av en automatiserad arkiverings- och rensningspolicy i SIRH, tillsammans med elektroniska signalingsarbetsflöden som tidsstämplar dokumentskapandet, utgör idag bästa praxis för att visa CNIL-överensstämmelse.

Fallgropar att undvika

De vanligaste felaktigheterna som observeras vid CNIL:s inspektioner i HR-data är: obegränsad lagring av CV från avslagna kandidater, bibehållna IT-åtkomsträttigheter för före detta anställda, avsaknad av kryptering av exporterade lönedata och raderas inte badgedata bortom lagstiftningsperioder. För att säkra dessa punkter, att konsultera jämförelse av elektroniska signeringslösningar hjälper till att identifiera verktyg med inbyggda funktioner för bevisbar arkivering och hantering av dokumentlivscykel.

Tillämplig rättslig ram för behandling av HR-data

Behandlingen av personuppgifter för medarbetare sker inom en tätt rättslig ram som artikulerar flera regelverksnivåer.

Förordning (EU) 2016/679 – RGPD utgör hörnstenen. Dess artiklar 5-11 definierar grundläggande principer (laglighet, lojalitet, transparens, ändamålsbegränsning, dataminimering, noggrannhet, lagringsbegränsning, integritet och konfidentialitet). Artikel 9 fastställer strikta villkor för särskilda datakategorier, inklusive hälsodata och fackföreningsdata, särskilt vanliga i HR. Artikel 83 föreskriver böter upp till 20 miljoner euro eller 4 % av världsomfattande omsättning vid allvarliga brott.

Lagen om dataskydd och privatlivet ändrad (lag nr 78-17 från 6 januari 1978), i sin konsoliderade version, anpassar RGPD till fransk rätt. Den ger CNIL sina befogenheter för kontroll och sanktionering och föreskriver särskilt undantag för hälsodata inom arbetsmedicin.

Arbetskodexen reglerar behandlingar relaterade till anställdas övervakning (artikel L. 1121-1 om integritet), konsultation av arbetstagarrepresentanter om digitala verktyg (artikel L. 2312-38) och obligatoriska register.

Förordning eIDAS (nr 910/2014), kompletterad av eIDAS 2.0 (EU-förordning 2024/1183), styr det juridiska värdet av elektroniska signaturer applicerade på HR-dokument. En kvalificerad elektronisk signatur (QES), i överensstämmelse med eIDAS bilaga I och standarder ETSI EN 319 132 och ETSI EN 319 122, erbjuder antagandet om motsvarighet till handskriftsunderskrift enligt artikel 1367 i fransk civillag.

Artikel 1366 i den franska civilkoden fastslår att "elektroniskt skrift har samma bevisvärde som skrift på pappersformat, under förutsättning att personen från vilken det utgår kan identifieras på lämpligt sätt och att det upprättas och bevaras på sådant sätt att integriteten säkerställs". Denna bestämmelse gäller direkt för anställningsavtal, ändringar, sekretessavtal och andra dematerialiserade HR-dokument.

Direktivet NIS2 (EU 2022/2555), implementerat i fransk rätt genom lag från 26 februari 2025, ställer förstärkta krav på väsentliga och viktiga enheter (särskilt stora industriföretag och digitala tjänsteleverantörer) angående hantering av risker relaterade till informationssäkerhet, inklusive skydd av känsliga HR-data.

Sanktioner från CNIL ökar kraftigt: 2024 överstiger det totala bötesbeloppet 100 miljoner euro, med flera beslut som direkt involverar brister i hantering av medarbetardata. Icke-compliance med lagringsperioder, avsaknad av DPA:er med HR-underentreprenörer och otillräckliga säkerhetsmåtmen är bland de vanligaste anklagelserna.

Användningsscenarier: RGPD-överensstämmelse i HR i praktiken

Scenario 1 – En mellanstora industriell företag med 450 anställda digitaliserar onboarding-processer

Ett mellanstort industriföretag, utspritt på tre platser i Frankrike, hanterade anställningsavtal och ändringar på pappersformat. Dosskiärer för nya anställda överfördes till löneadministrationen först efter ett genomsnitt på 12 arbetsdagar, vilket genererade lönefel i cirka 8 % av fallen. Dessutom gavs ingen RGPD-notis formellt till nya anställda: informationen fanns endast längst ned i organisationsreglementet, ej separat undertecknat.

Efter distribution av en elektronisk signeringslösning integrerad med deras SIRH, tillsammans med samtidig överlämning av en RGPD-notis co-undertecknad av medarbetaren och HR-direktören, reducerade företaget dokumentära onboarding-tiden till 2 arbetsdagar (83 % reduktion). Lönefel relaterade till saknade data sjönk till mindre än 1 %. Varje undertecknat dokument arkiveras med kvalificerad tidsstämpel, vilket ger bevis mot granskning från CNIL eller rättstvist.

Scenario 2 – En distributionsgrupp med 1 200 medarbetare överensstämmer sin bevarandepolicy

En grupp som verkar inom specialiserad distribution genomgick en CNIL-inspektion efter ett klagomål från en före detta anställd. Inspektionen avslöjade att Excel-filer innehållande lönedata för anställda som gick i pension för mer än 8 år sedan fortfarande var åtkomliga på en osäker delad server, utan kryptering. En formell varning utfärdades, tillsammans med ett påbud om efterlevnad inom 3 månader.

Gruppen företog sedan en fullständig granskning av sina HR-behandlingar, kartlade 23 behandlingsaktiviteter och implementerade en automatiserad rensningsplan som utlöstes av SIRH. Elektroniskt signerade dokument migrerades till ett digitalt valv med konfigurerade kvarhållningsperioder enligt rättsliga skyldigheter. DPO:n producerade ett omfattande HR-behandlingsregister, presenterat vid en andra CNIL-inspektion 18 månader senare, som avslutades utan påföljd. Kostnaden för regelefterlevnad uppskattades till mindre än 60 % av möjlig bötesbelopp.

Scenario 3 – Ett HR-konsultbolag med 35 personer säkrar data för egna konsulter och klienter

En specialiserad HR-konsultfirma hanterar både data för sina egna konsulter och data för kandidater och anställda hos sina klientföretag (i samband med assessments eller outplacement-uppdrag). Det befinner sig således i dubbel roll: ansvarig för egen HR och underentreprenör (eller co-ansvarig) för data från tredje part.

Bolaget implementerade en differentierad dokumentarkitektur: enkla elektroniska signaturer för vanlig intern kommunikation, avancerade signaturer för missionavtal med klienter och databehandlingsavtal (DPA:er) systematiskt integrerade i uppdragsbrev. Alla konsulter mottog en uppdaterad RGPD-charta, elektroniskt undertecknad och bevarad i ett dedikerat register. Denna organisation möjliggjorde för bolaget att visa regelefterlevnad som ett försäljningsargument bland större konton som genomgår strikta leverantörrevisioner, vilket reducerade genomsnittlig avtalsförhandlingstid från 7 till 2 veckor.

Slutsats

RGPD ålägger HR-avdelningar en djupgående omvandling av deras praxis: rigorös identifiering av rättsliga grunder, effektiv information till medarbetare, hantering av rättigheter, avtalsmässig reglering av underentreprenörer, datasäkerhet och respekt för lagringsperioder. Dessa skyldigheter är inte blotta administrativa formaliteter – de bestämmer organisationens förmåga att undvika sanktioner som kan uppgå till flera miljoner euro och att bibehålla sina medarbetares förtroende.

Digitalisering av HR-processer via eIDAS-kompatibla elektroniska signeringslösningar utgör en av de mest effektiva spakanterna för att förena drifteffektivitet med regelefterlevnad. Certyneo bistår HR-team i denna övergång, från undertecknande av anställningsavtal till säker arkivering av medarbetardossier.

Upptäck hur Certyneo kan säkra dina HR-processer genom att konsultera vår specialiserade erbjudande för HR-team eller genom att börja gratis för att testa lösningen utan åtagande.