GDPR i HR: Hantering av anställdas data

Allmän dataskyddsförordningen (GDPR) tillämpas inte enbart på kommersiella relationer mellan ett företag och dess kunder: den reglerar även, på mycket exakt sätt, behandlingen av anställdas personuppgifter. Rekrytering, lönehantering, åtkomstkontroll, prestationsutvärdering, videoövervakning… varje etapp i arbetsavtalets livscykel genererar personuppgifter som arbetsgivaren måste behandla i strikt överensstämmelse med europeisk rätt. Med böter upp till 20 miljoner euro eller 4 % av den årliga världsomfattande omsättningen är insatsen betydande. Den här artikeln beskriver de tillämpliga rättsliga grunderna, HR-avdelningarnas praktiska skyldigheter och bästa praxis för att säkra dina behandlingar – även vid digitalisering av HR-dokument.

De juridiska grunderna för behandling av HR-data

De rättsliga grunder som erkänns i arbetsrätten

GDPR listar sex rättsliga grunder för behandling av personuppgifter (artikel 6). I HR-sammanhang tillämpas tre av dem nästan systematiskt:

• Utförande av arbetsavtalet (art. 6.1.b): utgör huvudgrunden för lönehantering, tidsregistrering, utdelning av lönebesked eller hantering av ledighet.

• Rättslig förpliktelse (art. 6.1.c): motiverar behandlingar som föreskrivs av arbetsrättslagen eller sociallagstiftningen, såsom förhandsanmälan före anställning (DPAE), nominativ socialdeklaration (DSN) eller upprätthållande av personalregistret.

• Berättigat intresse (art. 6.1.f): kan utgöra grund för vissa behandlingar avseende IT-säkerhet eller förebyggande av internt bedrägeri, förutsatt att detta intresse inte överglansas av anställdas grundläggande rättigheter.

⚠️ Samtyckebasen måste hanteras med extrem försiktighet i lönesammanhang. CNIL påminner regelbundet om att obalansen som är inneboende i arbetsgivar-anställdförhållandet gör att samtycke sällan är "fritt" enligt artikel 7 i GDPR. Att använda samtycke för behandlingar som kunde grunda sig på en annan rättslig grund exponerar arbetsgivaren för risk för omklassificering.

Särskilda datakategorier: en förstärkt regim

Vissa data som samlas in av HR faller under regelverket för "känsliga data" enligt artikel 9 i GDPR, vars behandling i princip är förbjuden förutom undantag:

• Hälsodata: sjukfrånvaro, arbetsoförmöga förklarad av arbetsläkare, arbetsställer anpassningar för funktionshinder.

• Fackföreningsdata: medlemskap i fackförening, representativ mandat.

• Biometriska data: åtkomstkontroll via fingeravtryck eller ansiktsigenkänning.

• Data relaterade till brott: kontroll av brottsregister, tillåtna endast inom reglerade sektorer (säkerhet, barnvård osv.).

För dessa kategorier måste arbetsgivaren identifiera ett uttryckligt undantag (art. 9.2), genomföra en konsekvensbedömning för dataskyddet (DPIA) i de flesta fall och ofta konsultera CNIL före lansering.

HR-avdelningarnas praktiska skyldigheter

Registret över behandlingsverksamheter

Varje organisation som sysselsätter mer än 250 anställda är skyldig att upprätthålla ett register över behandlingsverksamheter (artikel 30 i GDPR). Under denna gräns kvarstår skyldigheten så snart behandlingarna inte är tillfälliga eller berör känsliga data – vilket nästan alltid är fallet inom HR. Detta register måste dokumentera:

• Syftet med varje behandling (ex: "hantering av lönebesked")

• Datakategorier som berörs

• Mottagare (tredje parter, leverantörer, myndigheter)

• Lagringslängder

• Säkerhetsmåtmen som införts

CNIL tillhandahåller en kostnadsfri registermall för nedladdning. Dess noggranna upprätthållande utgör den första försvarslinjens mot kontroll.

Lagringslängder: en punkt som ofta försummas

Artikel 5.1.e i GDPR förutsätter principen om begränsning av lagring: data får inte lagras längre än vad som är nödvändigt för det ändamål för vilket de samlades in. Inom HR är referenslängderna följande:

| Datatyp | Rekommenderad lagringslängd | |---|---| | Lönebesked | 5 år (civil preskription) | | Arbetsavtal | 5 år efter avtalsupphörande | | Rekryteringsdata (icke vald kandidat) | Max 2 år efter sista kontakt | | Disciplinär fil | Variabel längd enligt sanktion (max 3 år för varning) | | Videoövervakning | 1 månad enligt huvudregel | | DSN och personalpersonal | 5 år efter anställds avslutning |

Dessa längder måste anges i registret och tillämpas via rensnings- eller definitiv arkiveringsprocedurer.

Information till anställda: en ofta underskattad skyldighet

Artikel 13 i GDPR kräver att man tillhandahåller en fullständig informationsanmärkning till berörda personer vid tidpunkten för datainsamlingen. Inom HR bör denna anmärkning idealt tillhandahållas:

• Från kandidatansökan: för data som samlas in under rekryteringsprocessen.

• Vid anställning: integrerad i arbetsavtalet eller tillhandahållen som bilaga vid undertecknande.

• Under avtalsrelationen: vid varje ny behandling som införs (ex: lansering av ett biometriskt registreringssystem).

Digitaliseringen av onboarding-processen, särskilt genom elektronisk signatur för HR, underlättar spårningen av denna informationsöverföring: läs- och underteckningsdatumet för anmärkningen är tidsstämplat på ett bevisbart sätt, vilket utgör ett värdefullt beviselement vid eventuell rättegång.

Säkerhet för HR-data: tekniska och organisatoriska åtgärder

Kryptering, åtkomstkontroll och uppdelning

Artikel 32 i GDPR kräver implementering av säkerhetsmåtmen anpassade till risken. För HR-data, som till sin natur är känsliga och ofta målgrupp vid intrång, omfattar minimumpraxis följande:

• Kryptering av data i vila och under överföring: lönefiler, kontrakt och personliga dossier måste lagras krypterade (AES-256 som minimum) och överförda via säkra protokoll (TLS 1.3).

• Rollbaserad åtkomstkontroll (RBAC): endast auktoriserade HR-förvaltare får åtkomst till lönedata; arbetslataren får endast åtkomst till nödvändiga ledningsuppgifter.

• Loggning av åtkomst: all visning eller ändring av en anställds dossier måste spåras med användaridentifierare, datum och tid.

• Pseudonymisering för analytiska behandlingar (HR-instrumentpaneler, kompensationsstudier).

Hantering av HR-underleverantörer

HR-avdelningar använder många underleverantörer: HRIS-redaktörer, externaliserade löneleverantörer, utbildningsplattformar, onlinerekryteringsverktyg. Var och en av dessa tredje parter måste omfattas av ett underleverantörsavtal som uppfyller artikel 28 i GDPR, som bland annat anger:

• Arten och syftet med underleverantörsbehandlingarna

• Underleverantörens skyldigheter avseende säkerhet och konfidentialitet

• Förbot mot underunderleverans utan föregående tillstånd

• Villkor för återlämnande eller förstöring av data vid avtalsslut

Vid val av leverantör bör du också verifiera om dess servrar finns i Europeiska ekonomiska samarbetsområdet (EES) eller om en lämplig överföringsmekanism (standardavtalsklausuler, lämplighetsbeslutet) är på plats för överföringar utanför EES.

Digitalisering av HR-dokument och GDPR-efterlevnad

Den växande digitaliseringen av HR-processer – elektroniska arbetsavtal, digitaliserade lönebesked, avtal undertecknade på distans – väcker specifika GDPR-problem. Om elektronisk signatur som uppfyller eIDAS ger otvetydiga integritets- och autenticitetsgarantier måste arbetsgivaren säkerställa att den använda plattformen:

• Inte samlar överflödiga data under underteckningsprocessen (minimeringingsprincip, art. 5.1.c)

• Bevarar signaturbevis (granskningsmässig spårning) under säkra förhållanden och under lämplig tid

• Tillåter övning av undertecknares rättigheter (åtkomst, rättelse, radering inom lagliga gränser)

För mer information om efterlevnad av signeringsverktyg tillhandahåller Certyneokomplett guide till elektronisk signatur de tekniska och juridiska kriterierna att kontrollera före någon lansering.

Anställdas rättigheter och deras effektiva utövning

Översikt över rättigheter garanterade av GDPR

Anställda åtnjuter alla rättigheter enligt artiklarna 15 till 22 i GDPR. I HR-sammanhang är de mest ofta utnyttjade rättigheterna:

• Åtkomsträttighet (art. 15): den anställde kan begära en kopia av alla data som rör dem och som arbetsgivaren innehar, inklusive yrkesmail i vissa förhållanden.

• Rätt till rättelse (art. 16): rättelse av felaktig data (felaktig bankkonto, dåligt inskriven examen osv.).

• Rätt till radering (art. 17): begränsad inom HR genom rättsliga bevaringskrav, men tillämpbar på rekryteringsdata för en icke vald kandidat.

• Invändningsrätt (art. 21): kan utövas mot behandling baserad på berättigat intresse, såsom vissa övervakningsbehandlingar.

• Rätt till dataportabilitet (art. 20): tillämplig på data som tillhandahålls av den anställde själv som en del av avtalsutförandet.

Svarsfrist och interna procedurer

Arbetsgivaren har en månad på sig att svara på eventuell begäran om utövande av rättigheter, tid som kan förlängas till tre månader vid komplexitet eller högt volym av ansökningar (art. 12.3). För att effektivt organisera denna behandling rekommenderas det att:

• Utse en enda kontaktpunkt (DPO eller GDPR-referent) för att ta emot förfrågningar

• Implementera ett särskilt formulär som är tillgängligt för anställda

• Dokumentera varje begäran och dess svar i ett register över utövande av rättigheter

• Utbilda HR-chefer att identifiera en implicit begäran (en anställd som kräver "sitt personliga dossier" utövar de facto sin åtkomsträttighet)

DPO:s roll i företaget

GDPR föreskriver att en dataskyddsdelegerad (DPO) utses i tre fall (art. 37): offentlig myndighet, behandling i stor skala av känsliga data eller systematisk övervakning i stor skala. Många företag vars HR-behandling är betydande faller inom denna skyldighet. DPO kan vara intern eller externaliserad; den måste ha funktionell oberoende och måste vara involverad i alla beslut som påverkar dataskyddet, inklusive lansering av nya digitala HR-verktyg. Hans eller hennes roll är rådgivande och inte beslutsfattande: slutansvar ligger hos behandlingsansvarig, det vill säga arbetsgivaren.

Rättsram tillämplig på HR-databehandling

GDPR: grundtext

Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 (GDPR) utgör den grundläggande rättsliga basen för behandling av personuppgifter i Europa. Direkt tillämpad i alla medlemsstater sedan den 25 maj 2018 gäller den alla arbetsgivare som behandlar uppgifter om anställda bosatta i EU, oavsett företagets nationalitet. Huvudsakliga tillämpliga artiklar i HR-sammanhang är:

• Art. 5: grundprinciper (laglighet, ärlighet, transparens, minimering, korrekthet, begränsning av lagring, integritet och konfidentialitet, ansvar)

• Art. 6: rättsliga grunder för behandling

• Art. 9: reglering av känsliga data

• Art. 12 till 22: berörda personers rättigheter

• Art. 24 till 32: skyldigheter för behandlingsansvarig och underleverantör

• Art. 33-34: anmälan av dataintrång (72 timmar till CNIL, och information till personer vid högrisk)

• Art. 35: konsekvensbedömning (DPIA) obligatorisk för högriskbehandlingar

• Art. 83: administrativa sanktioner (upp till 20 M€ eller 4 % av världsomsättningen)

Data- och integritetslagen ändrad

I fransk rätt kompletterar lag n° 78-17 från den 6 januari 1978 om datateknologi, register och friheter, ändrad genom lag n° 2018-493 från den 20 juni 2018 och förordning n° 2018-1125 från den 12 december 2018, GDPR genom att öppna utrymme för nationella handlingar ("öppningsklausuler"). Bland de viktigaste inom HR: möjligheten att behandla fackföreningsdata inom ramen för förvaltningen av personalrepresentationsorgan (art. 9 i lagen), eller särskilda regler för behandling av arbetsmiljöhälsodata.

Arbetskodex och socialrättspraxis

Arbetskoden föreskriver informations- och konsultationsskyldigheter för den sociala och ekonomiska kommittén (CSE) före lansering av någon enhet för övervakning eller kontroll av anställda (art. L. 2312-38). Bristande konsultation exponerar arbetsgivaren för genomföringsbarhet av bevis som samlats in samt för straffrättsliga sanktioner.

Kassationsdomstolens rättspraxis påminner regelbundet att övervakningsverktyg (geolokalisering, tidsklocka, aktivitetsövervakning software) måste vara proportionerliga till det eftersträvade syftet och kan inte missbrukas för andra ändamål än de som förklarats för anställda och CNIL.

Elektronisk signatur för HR-dokument: eIDAS och civil kod

Vid digitalisering av arbetsavtal, ändringar eller disciplinärdokument måste arbetsgivaren respektera Förordning (EU) nr 910/2014 eIDAS, som definierar tre nivåer av elektronisk signatur. För dokument lika strukturerande som ett CDI-arbetsavtal eller ett dokument för avtalsupphörande rekommenderas en avancerad elektronisk signatur (eller till och med kvalificerad) för att garantera undertecknares identitet och dokumentets integritet. Civil kod i artiklarna 1366 och 1367 bekräftar det bevisande värdet av elektronisk skrift och elektronisk signatur, under förutsättning av tillförlitlig identifiering av undertecknare och säkerställande av integritet.

Sanktioner utfärdade av CNIL om HR-behandling

CNIL har utfärdat flera betydande sanktioner för behandling av HR-data: 2022 dömdes ett företag till 400 000 € böter för överdriven övervakning av anställda i hemarbete via screenshot-fångstprogram. 2023 fick ett säkerhetsbeslut 200 000 € i böter för alltför omfattande insamling av biometriska data utan giltig rättslig grund. Dessa beslut illustrerar regulators växande uppmärksamhet på detta område.

Användarscenarios: GDPR HR i praktiken

Scenario 1 – Ett medelstort industriföretag med 450 anställda säkerställer sin rekryteringsprocess

Ett medelstor industriföretag som sysselsatte cirka 450 personer på tre anläggningar mottog mer än 3 000 spontana ansökningar årligen och besvarade ungefär sextio jobbannonser. CV:er och motivbrev lagrades utan tidsb begränsning i en delad e-postlåda mellan sex serviceansvarige. Ingen informationsanmärkning tillhandahölls kandidaterna om användningen av deras data.

Efter en GDPR-revision implementerades följande åtgärder under sex månader:

• Migrering till ett ATS (Applicant Tracking System) certifierat för GDPR-efterlevnad, med automatisk rensning av dossier efter 24 månaders inaktivitet

• Tillägg av en GDPR-informationsanmärkning i varje onlinekandidaturformulär

• Elektronisk signatur av erbjudandebrev och arbetsavtal via en eIDAS-kompatibel plattform, vilket minskar tiden för undertecknade kontraktsåterföringar från i genomsnitt 8 dagar till mindre än 48 timmar

• Uppdatering av registret över behandlingsverksamheter med 12 nya HR-behandlingsfiler

Resultat: inga CNIL-begäranden mottagna under de följande 18 månaderna; uppskattad vinst på 1,2 årsarbetare inom administrativ hantering av rekrytering tack vare digitalisering.

Scenario 2 – En distributionsgrupp med 1 200 anställda reglerar sin videoövervakning

En grupp specialiserad på livsmedeldistribution hade implementerat ett videoövervakaningssystem som täckte 34 försäljningsställen. Bilderna behölls i 45 dagar på vissa platser, utan information som visades för anställda. Flera sensorer täckte kassaposer på permanent basis och genererade en risk för oproportionerad övervakning.

Efter ett anställdklagomål till CNIL engagerade sig företaget i en efterlevnadsprocedur inklusive:

• Minskning av lagringslängden till högst 30 dagar på alla webbplatser

• Ompositionering av kameror för att utesluta kontinuerlig övervakning av individuella arbetsstationer

• Konsultation och avtal från den centrala CSE:n före någon ny lansering

• Systematisk information till anställda via arbetsavtal och en interna instruktioner affischerade

Resultat: avslutning av CNIL-klagomål utan sanktion; förbättring av socialklimat uppmätt vid följande årliga tillfredsställelseundersökning (+11 poäng på objektet "förtroende gentemot arbetsgivaren").

Scenario 3 – En externaliserad HR-konsultbyrå säkrar dataöverföringar med sina kunder

En byrå specialiserad på externalisering av lön och personaladministration förvaltade anställdas dossier för ungefär tjugo små och medelstora företagskunder, motsvarande cirka 1 800 lönebesked månadsvis. Lönefiler överfördes per icke-krypterad e-post, utan ett officiellt underleverantörsavtal enligt artikel 28 i GDPR.

Byrån implementerade en komplett omstrukturering av dess praktiker:

• Undertecknande av databehandlingsavtal (DPA) som uppfyller artikel 28 med var och en av dess kunder, via en avancerad elektronisk signaturplattform som möjliggör spårning

• Implementering av en säker kundeporthal (TLS-kryptering + tvåfaktorsautentisering) för insättning och hämtning av lönefiler

• Hosting av data på servrar lokaliserade i Frankrike, certifierade HDS för hälsodata

• Skrivning av en underleverantörspolicy som reglerar användning av tredje parter (löneprogrameditör, arkivapparat)

Resultat: 100 % reduktion i HR-dataöverföringar via osäker e-post; erhållande av två nya kundkontrakt som gjorde GDPR-efterlevnad till ett obligatoriskt urvalskriterium i sin upphandling.

Slutsats

GDPR i HR är inte bara en ytterligare administrativ börda: det är ett förtroendeverktyg mellan arbetsgivaren och dess medarbetare, och en konkurrensfaktor på en arbetsmarknad där transparens blir allt mer värderad. Uppdaterat behandlingsregister, kontrollerade lagringslängder, formaliserad information till anställda, förstärkt säkerhet för känsliga data och kontrakterade underleverantörer: var och en av dessa pelare bidrar till att bygga en HR-policy som är både laglig och ansvarsfull.

Digitaliseringen av HR-dokument – kontrakt, ändringar, lönebesked, informationsanmärkningar – erbjuder en unik möjlighet att kombinera GDPR-efterlevnad och operativ effektivitet, förutsatt att man förlitar sig på certifierade verktyg. Certyneo ledsagar dig i denna process med en eIDAS-kompatibel elektronisk signaturlösning, designad för HR-team. Upptäck våra priser och starta din kostnadsfria testversion på Certyneo för att säkra dina HR-dokument redan idag.