GDPR inom HR: Behandling av anställdsdata

Introduktion

Sedan den allmänna dataskyddsförordningen (GDPR) trädde i kraft den 25 maj 2018 har HR-avdelningar legat i frontlinjen för efterlevnad. Personalfunktioner behandlar känsliga personuppgifter dagligen: CV, lönebesked, hälsodata, utvärderingar, bankuppgifter. Dålig ledning utsätter företaget för sanktioner på upp till 20 miljoner euro eller 4 % av den globala omsättningen (artikel 83 i GDPR). Den här artikeln presenterar de viktigaste skyldigheterna och bästa praxis för att säkra behandlingen av personaldata under hela HR-cykeln.

De grundläggande principerna som är tillämpliga på HR-data

GDPR inför sex huvudprinciper kodifierade i artikel 5: laglighet, lojalitet, transparens, begränsning av syften, minimering, noggrannhet, begränsning av lagring och integritet/konfidentialitet. I praktiken innebär detta att HR-avdelningen endast kan samla in de uppgifter som är strikt nödvändiga för ett specifikt ändamål. Att till exempel fråga efter personnumret när man ansöker är oproportionerligt: ​​det är bara motiverat efter anställning till DSN.

CNIL, via dess överläggning nr. 2019-160 som avser personalhantering, anger de rekommenderade lagringstiderna: 2 år för misslyckade ansökningar (om inte samtycke), 5 år efter avresa för den administrativa filen, 6 år för lönebesked i arbetsgivarversionen.

Rättslig grund och information för anställda

Tvärtemot vad många tror är samtycke sällan den lämpliga rättsliga grunden inom HR, på grund av underordningsförhållandet. De relevanta grunderna är snarare verkställandet av anställningsavtalet (artikel 6.1.b), den rättsliga skyldigheten (artikel 6.1.c) eller det berättigade intresset (artikel 6.1.f). För känsliga uppgifter (hälsa, fackföreningar) kräver artikel 9 en specifik grund såsom skyldigheten i termer av arbetsrätt.

Arbetsgivaren måste tillhandahålla tydlig information via ett GDPR-meddelande som ges vid anställning, uppdatera bearbetningsregistret (artikel 30) och konsultera CSE innan någon ny bearbetning som påverkar anställda (artikel L.2312-38 i arbetslagen).

Säkerhet och rättigheter för anställda

Teknisk och organisatorisk säkerhet (artikel 32) kräver: kryptering av HRIS, åtkomstkontroll genom profil, spårbarhet av konsultationer, sekretessklausuler med löne- eller rekryteringsunderleverantörer (artikel 28). I händelse av en överträdelse, anmälan till CNIL inom 72 timmar.

Anställda har förstärkta rättigheter: åtkomst, rättelse, radering (begränsad av lagliga lagringskrav), portabilitet, opposition. En intern procedur ska medge svar inom högst en månad. Att vägra tillgång till disciplinärendet måste vara rättsligt motiverat.

Praktiska exempel

Exempel 1 – Rekrytering:Ett små och medelstora företag har förvarat CV:n för alla kandidater i en delad mapp i 5 år. Icke-kompatibel: överdriven varaktighet, bristande säkerhet. Lösning: automatisk utrensning efter 2 år, begränsad tillgång till rekryterare, GDPR-omnämnande i jobberbjudandet.

Exempel 2 – Videoövervakning:Ett logistiklager filmar kontinuerligt arbetsstationer. Möjlig sanktion (CNIL sanktionerade Amazon France Logstique på 32 miljoner euro 2024). Lösning: begränsning till känsliga områden, individuell information, konsultation av CSE, lagringstid på högst en månad.

Exempel 3 – Samarbetsverktyg:Implementeringen av Microsoft 365 kräver en konsekvensanalys (AIPD) om övervakningsfunktioner är aktiverade, samt en kompatibel underleverantörsklausul med utgivaren.

Efterlevnad och sanktioner

Förutom CNIL-böter utsätts arbetsgivaren för stridsrättsliga åtgärder för intrång i privatlivet (artikel 9 i civillagen, artikel L.1121-1 i arbetslagen). Utnämningen av en DPO är obligatorisk för enheter som behandlar data i stor skala. En årlig kartläggning av HR-bearbetning, tillsammans med chefsutbildning, utgör det bästa juridiska och operativa skyddet.

Slutsats

GDPR-efterlevnad inom HR är inte ett engångsprojekt utan en kontinuerlig förbättringsprocess. Mellan juridiska skyldigheter, anställdas rättigheter och operativa prestationer måste HR-chefer noggrant hantera datastyrning. Att investera i en kompatibel HRIS, utbilda team och dokumentera varje bearbetning förvandlar regulatoriska begränsningar till en hävstång för medarbetarnas förtroende.