RGPD в HR: обробка даних співробітників

Управління людськими ресурсами генерує щодня значний обсяг персональних даних: трудові договори, розрахункові листки, дані про здоров'я, оцінки продуктивності, банківські реквізити... З моменту вступу в силу Загального регламенту про захист даних (RGPD) у травні 2018 року відділи HR стали центральними гравцями в забезпеченні комплайансу в організаціях. Однак згідно з звітом про діяльність CNIL за 2024 рік, сектор управління людськими ресурсами залишається одним із трьох найбільш часто переданих на перевірку. Ця стаття проведе вас через ключові зобов'язання, найкращі практики та доступні інструменти для обробки даних ваших співробітників у повній відповідності.

Які персональні дані обробляють HR?

Типові категорії даних

Відділи HR маніпулюють дуже широким спектром персональних даних. Виділяють дві великі групи:

Звичайні дані, зібрані в рамках трудового договору: ім'я, прізвище, адреса, номер соціального страхування, банківські реквізити, CV, дипломи, історія роботи, щорічні оцінки, розклад роботи, дані про присутність та відсутність.

Чутливі дані, що підпадають під посилені обмеження згідно зі статтею 9 RGPD: дані про здоров'я (лікарняні, повідомлення про виробничі травми, медичні обмеження), дані про членство в профспілці (членство, представницькі мандати), дані про судимості у певних контекстах найму.

Останні можуть обробляються тільки за умови наявності явного винятку, передбаченого регламентом — наприклад, виконання законодавчих зобов'язань у сфері трудового права або явна згода особи, про яку йдеться.

Особливий випадок найму

Фаза найму генерує специфічні обробки, які часто недостатньо регульовані. Збір CV, мотиваційних листів та результатів тестування передбачає точні терміни зберігання: згідно з рекомендаціями CNIL, дані кандидатів, які не були обрані, мають бути видалені або анонімізовані протягом максимум двох років після останнього контакту. Невизначене збереження CV у загальній папці без захисту становить явне порушення.

Використання інструментів відстеження в ATS (системах відстеження кандидатів) або алгоритмів аналізу поведінки повинно бути явно зазначено в політиці конфіденційності, передану кандидатам, відповідно до статей 13 та 14 RGPD.

Юридичні основи обробки в контексті HR

Визначення правильної юридичної основи

RGPD вимагає, щоб будь-яка обробка персональних даних базувалася на одній із шести юридичних основ, визначених у статті 6. У контексті HR три основи основні:

• Виконання трудового договору (ст. 6.1.b): обґрунтовує обробку даних, необхідних для управління заробітною платою, відпустками або навчанням.

• Юридичне зобов'язання (ст. 6.1.c): застосовується до обов'язкових соціальних декларацій (DSN), реєстрів персоналу або контролю виробничих травм.

• Законний інтерес (ст. 6.1.f): може бути використаний для обробок, таких як управління пропускними картками або відеоспостереження, при умові суворого тесту урівноваження.

Згода (ст. 6.1.a) є натомість слабкою юридичною основою в контексті роботи: CNIL та Європейський комітет з захисту даних (EDPB) нагадують, що структурна дисбаланс між роботодавцем та працівником ускладнює доказ вільної згоди. Її слід використовувати лише як останній засіб.

Реєстр обробок, невід'ємне зобов'язання

Будь-яка організація, що працює щонайменше 250 людей — або обробляє чутливі дані в меншому масштабі — повинна вести реєстр діяльності обробки (ст. 30 RGPD). У HR цей реєстр повинен документувати для кожної обробки: мету, категорії даних, одержувачів, терміни зберігання та заходи безпеки.

Цей документ, зберіганий у розпорядженні CNIL на час перевірки, також є цінним інструментом управління. У поєднанні з рішенням електронного підпису, призначеним для HR, він дозволяє відстежувати та відмічати час кожного етапу життєвого циклу документа HR, посилюючи таким чином аудиторність процесів.

Права співробітників та зобов'язання роботодавця

Інформування працівників: невідкладне зобов'язання

Стаття 13 RGPD вимагає інформувати осіб, про яких йдеться, у момент збору їхніх даних. На практиці HR повинні надати працівникам — в ідеалі при підписанні трудового договору — повідомлення про інформацію RGPD, яке деталізує: особу відповідального за обробку, цілі та юридичні основи, терміни зберігання, доступні права та контакти DPO (Делегата з захисту даних), якщо організація його має.

Цифровізація та захист цього обміну є вирішальними. Використання електронного підпису в підприємстві для передачі цього повідомлення гарантує доказ передачі з позначкою часу та неспростовуваним, узгоджено з вимогами регламенту eIDAS.

Права співробітників, які необхідно дотримуватися

Співробітники мають розширені права щодо своїх даних:

• Право доступу (ст. 15): будь-який співробітник може запросити копію всіх даних про нього, оброблених роботодавцем.

• Право на виправлення (ст. 16): виправлення неточних даних (наприклад, поштова адреса, банківські реквізити).

• Право на стирання (ст. 17): застосовується в певних випадках, зокрема після закінчення договору та закінчення законодавчих термінів зберігання.

• Право на заперечення (ст. 21): працівник може заперечити обробку, засновану на законному інтересі.

• Право на обмеження (ст. 18): тимчасова заморозка обробки, яка оскаржується.

Роботодавець має один місяць для відповіді на будь-який запит про здійснення прав, який може бути продовжений на три місяці у разі складності (ст. 12 RGPD).

Безпека даних HR та управління субпідрядниками

Технічні та організаційні заходи

Стаття 32 RGPD вимагає впровадження заходів безпеки, «адекватних ризику». Для даних HR найкращі практики включають:

• Шифрування файлів, що містять чутливі дані (розрахункові листки, медичні досьє).

• Контроль доступу: принцип найменших привілеїв — менеджер з обробки платежів не має доступу до дисциплінарних даних.

• Журналювання доступу до систем HR (SIRH, інструменти обробки платежів).

• План реагування на порушення: у разі витоку даних роботодавець має 72 години для сповіщення CNIL (ст. 33) та потенційно осіб, про яких йдеться, якщо ризик високий (ст. 34).

повний аудит через керівництво електронного підпису може допомогти командам HR визначити незахищені обробки, що зберігаються на папері, та їх цифровізувати відповідно.

Регулювання HR-підрядників через DPA

Служби HR звертаються до багатьох субпідрядників: програмне забезпечення для обробки платежів, платформи навчання, інструменти управління часом. Кожен підрядник, що має доступ до персональних даних, повинен мати угоду про обробку даних (Data Processing Agreement — DPA), відповідно до статті 28 RGPD. Цей договір повинен уточнити інструкції обробки, гарантії безпеки, умови повернення або знищення даних та зобов'язання у разі порушення.

Вибір підрядників, які розташовують свою інфраструктуру в Європейському Союзі або регульовані типовими контрактними положеннями (SCC), затвердженими Комісією, залишається фундаментальною вимогою для запобігання будь-якому незаконному передаванню за межі ЄС.

Терміни зберігання: структурна проблема

Законні терміни, застосовні до досьє працівника

Термін зберігання даних HR регульується накопленням текстів: RGPD (принцип обмеження зберігання, ст. 5.1.e), Трудовий кодекс та різні положення щодо податків та соціальних послуг. На практиці основні терміни, які необхідно дотримуватися:

| Тип документа | Мінімальний термін зберігання | |---|---| | Розрахунковий листок | 5 років (соціальна давність) | | Трудовий договір | 5 років після закінчення договору | | Дані про обробку платежів (DSN) | 3 років (контроль URSSAF) | | Реєстр персоналу | 5 років після відходу працівника | | Дисциплінарні дані | Термін, пропорційний до заходу | | Медичне досьє (охорона праці) | 50 років (спеціальні норми) |

Впровадження політики архівування та автоматичної очистки в SIRH, поєднане з робочими процесами електронного підпису, які позначають час створення документів, сьогодні є найкращою практикою для демонстрації відповідності CNIL.

Пастки, яких слід уникати

Найбільш часті помилки, спостережувані під час перевірок CNIL щодо даних HR: невизначене збереження CV кандидатів, які не були обрані, збереження комп'ютерного доступу колишніх працівників, відсутність шифрування файлів обробки платежів, які експортуються, та не видалення даних про значки крім встановлених термінів. Для захисту цих моментів консультація порівняння рішень електронного підпису дозволяє визначити інструменти з вбудованими функціями доказового архівування та управління життєвим циклом документів.

Законна база, що застосовується до обробки даних HR

Обробка персональних даних співробітників проводиться в рамках густої нормативної бази, що узгоджує кілька рівнів регулювання.

Регламент (ЄС) 2016/679 — RGPD становить наріжний камінь. Його статті 5-11 визначають фундаментальні принципи (законність, чесність, прозорість, обмеження цілей, мінімізація даних, точність, обмеження зберігання, цілісність та конфіденційність). Стаття 9 встановлює суворі умови, що застосовуються до особливих категорій даних, включаючи дані про здоров'я та синдикальні, особливо часто зустрічаються в HR. Стаття 83 передбачає штрафи аж до 20 мільйонів євро або 4% світового обороту у разі серйозного порушення.

Закон про інформатику та свободи, змінений (закон № 78-17 від 6 січня 1978 року), у своїй консолідованій версії, адаптує RGPD до французької правової системи. Він надає CNIL її повноваження щодо контролю та санкцій та передбачає, зокрема, секторальні винятки для даних про здоров'я в охороні праці.

Трудовий кодекс регулює обробки, пов'язані з наглядом за працівниками (ст. L. 1121-1 про повагу до приватного життя), консультацією представників персоналу щодо цифрових інструментів (ст. L. 2312-38) та обов'язковими реєстрами.

Регламент eIDAS (№ 910/2014), доповнений eIDAS 2.0 (Регламент ЄС 2024/1183), регулює юридичну цінність електронних підписів на документах HR. Кваліфікований електронний підпис (SEQ), що відповідає додатку I eIDAS та стандартам ETSI EN 319 132 та ETSI EN 319 122, надає презумпцію еквівалентності рукописному підпису у розумінні статті 1367 французького Цивільного кодексу.

Стаття 1366 Цивільного кодексу встановлює, що «електронна письмо має таку ж силу доказу, як письмо на паперовому носії, при умові, що особа, від якої воно походить, може бути належним чином ідентифікована та воно складено та зберігається в умовах, що гарантують його цілісність». Цей провідомлення безпосередньо застосовується до трудових договорів, змін, угод про конфіденційність та інших цифровізованих документів HR.

Директива NIS2 (ЄС 2022/2555), запозичена французького права законом від 26 лютого 2025 року, накладає на сутності, що мають жизненно важливе значення та важливі (зокрема великі промислові підприємства та оператори послуг цифрових технологій) посилені вимоги щодо управління ризиками, пов'язаними з безпекою інформації, включаючи захист чутливих даних HR.

Санкції, винесені CNIL, швидко зростають: у 2024 році загальна сума штрафів перевищує 100 мільйонів євро, з кількома рішеннями, що прямо стосуються порушень в управлінні даними співробітників. Невідповідність термінам зберігання, відсутність DPA з HR-підрядниками та недостатність заходів безпеки є серед найбільш часто затверджених претензій.

Сценарії використання: RGPD-конформність у HR на практиці

Сценарій 1 — промислова компанія з 450 працівниками цифровізує свої процеси адаптації

Промислова компанія середнього розміру, розташована на трьох місцях у Франції, управляла своїми трудовими договорами та змінами на папері. Досьє новачків передавалися до служби обробки платежів лише в середньому через 12 робочих днів, що викликало помилки обробки приблизно у 8% випадків. Крім того, жодне повідомлення RGPD не передавалося офіційно новим працівникам: інформація була розташована лише внизу правил компанії, не підписувалася окремо.

Після розгортання рішення електронного підпису, інтегрованого в його SIRH, з одночасною передачею повідомлення RGPD, підписаного як працівником, так і DRH, компанія скоротила термін документообігу адаптації до 2 робочих днів (скорочення на 83%). Помилки обробки платежів, пов'язані з відсутніми даними, впали нижче 1%. Кожен підписаний документ архівується з кваліфікованим позначкою часу, надаючи доказ, що можна використовувати в разі перевірки CNIL або судового розбору.

Сценарій 2 — група з 1200 працівниками приводить свою політику збереження у відповідність

Група, яка працює в спеціалізованому розподілі, була перевірена CNIL у результаті скарги колишнього працівника. Перевірка виявила, що файли Excel, що містять дані про обробку платежів співробітників, які пішли більше ніж 8 років тому, все ще були доступні на незахищеному загальному сервері без шифрування. Було вынесено формальне попередження з вказівкою про приведення у відповідність протягом 3 місяців.

Група потім проводила повний аудит своїх обробок HR, картографувала свої 23 виді обробки та впроваджувала план автоматичної очистки, спроваджений SIRH. Документи, підписані електронно, були мігровані до цифрового сейфа з терміни зберігання, сконфіговані відповідно до юридичних зобов'язань. DPO створив повний реєстр обробок HR, представлений під час другої перевірки CNIL 18 місяців пізніше, що завершилася без наслідків. Вартість приведення у відповідність була оцінена менше ніж на 60% від суми можливого штрафу.

Сценарій 3 — консультаційна фірма HR з 35 людьми захищає дані власних консультантів та клієнтів

Консультаційна фірма, що спеціалізується на управлінні людськими ресурсами, управляє як даними своїх власних консультантів, так і даними кандидатів та працівників своїх корпоративних клієнтів (у рамках місій оцінки або перепрофілювання). Таким чином вона опиняється в подвійній позиції: відповідальна за обробку для власного HR та субпідрядник (або спільна відповідальна) для даних третіх осіб.

Фірма впроваджувала диференціровану документальну архітектуру: прості електронні підписи для звичайного внутрішнього обміну, розширені підписи для контрактів місій з клієнтами та угоди про обробку даних (DPA), систематично інтегровані до листів про прийняття. Всім консультантам була передана оновлена таблиця RGPD, підписана електронно та збережена у спеціальному реєстрі. Ця організація дозволила фірмі демонструвати свою відповідність як комерційний аргумент для великих рахунків, що підпадають під суворі аудити постачальників, скорочуючи середній час контрактації з 7 до 2 тижнів.

Висновок

RGPD накладає на відділи управління людськими ресурсами глибоку трансформацію їхніх практик: суворе визначення юридичних основ, ефективне інформування співробітників, управління правами, договірне регулювання субпідрядників, захист даних та дотримання термінів зберігання. Ці зобов'язання не є просто адміністративними формальностями — вони обумовлюють здатність компанії уникати санкцій, які можуть дорівнювати кільком мільйонам євро, та підтримувати довіру своїх команд.

Цифровізація процесів HR через рішення електронного підпису, що відповідають eIDAS, є одним із найефективніших способів поєднати операційну ефективність та нормативну відповідність. Certyneo супроводжує команди HR в цьому переході, від підписання трудового договору до захищеного архівування досьє працівників.

Дізнайтеся, як Certyneo може захистити ваші процеси HR, перейшовши до нашого пропозиції для команд HR або починаючи безкоштовно для тестування рішення без зобов'язань.