GDPR у кадровій сфері: обробка даних співробітників

Вступ

З моменту набрання чинності Загальним регламентом захисту даних (GDPR) 25 травня 2018 року відділи кадрів були на передовій лінії відповідності. Служби управління персоналом щодня обробляють конфіденційні персональні дані: резюме, платіжні відомості, дані про стан здоров’я, оцінки, банківські реквізити. Погане управління піддає компанію санкціям у розмірі до 20 мільйонів євро або 4% світового обороту (стаття 83 GDPR). У цій статті представлено ключові зобов’язання та найкращі практики для забезпечення безпеки обробки даних співробітників протягом усього кадрового циклу.

Основні принципи, застосовні до кадрових даних

GDPR накладає шість основних принципів, кодифікованих у статті 5: законність, лояльність, прозорість, обмеження цілей, мінімізація, точність, обмеження зберігання та цілісність/конфіденційність. На практиці це означає, що відділ кадрів може збирати лише ті дані, які вкрай необхідні для певної мети. Наприклад, вимагати номер соціального страхування під час подачі заяви є непропорційним: це виправдано лише після прийняття на роботу за DSN.

CNIL, через своє засідання №. 2019-160, що стосується управління персоналом, визначає рекомендовані терміни зберігання: 2 роки для невдалих заявок (за відсутності згоди), 5 років після від’їзду для адміністративної справи, 6 років для платіжних відомостей у версії роботодавця.

Правова основа та інформація для працівників

Всупереч поширеній думці, згода рідко є належною правовою основою в кадровій сфері через відносини підпорядкування. Відповідними підставами є, скоріше, виконання трудового договору (стаття 6.1.b), юридичний обов’язок (стаття 6.1.c) або законний інтерес (стаття 6.1.f). Для конфіденційних даних (здоров’я, профспілка) стаття 9 вимагає спеціальної основи, такої як зобов’язання з точки зору трудового права.

Роботодавець має надати чітку інформацію через повідомлення GDPR, яке надається під час прийняття на роботу, оновити реєстр обробки (стаття 30) і проконсультуватися з CSE перед будь-якою новою обробкою, яка вплине на працівників (стаття L.2312-38 Кодексу законів про працю).

Безпека та права працівників

Технічна та організаційна безпека (стаття 32) вимагає: шифрування HRIS, контролю доступу за профілем, відстеження консультацій, положення про конфіденційність щодо субпідрядників із заробітної плати або найму (стаття 28). У разі виявлення порушення сповіщення CNIL протягом 72 годин.

Співробітники мають посилені права: доступ, виправлення, стирання (обмежене юридичними зобов’язаннями щодо збереження), перенесення, заперечення. Внутрішня процедура повинна дозволяти відповідь протягом максимум одного місяця. Відмова в ознайомленні з дисциплінарною справою має бути юридично обґрунтована.

Практичні приклади

Приклад 1 – Набір персоналу:МСП зберігало резюме всіх кандидатів у спільній папці протягом 5 років. Невідповідність: надмірна тривалість, відсутність безпеки. Рішення: автоматичне очищення через 2 роки, обмежений доступ до рекрутерів, згадка GDPR у пропозиції про роботу.

Приклад 2 – Відеоспостереження:Логістичний склад постійно знімає робочі місця. Можливі санкції (CNIL наклав санкції на Amazon France Logistique на 32 мільйони євро у 2024 році). Рішення: обмеження чутливими областями, індивідуальна інформація, консультація CSE, термін зберігання максимум один місяць.

Приклад 3 – Інструменти для спільної роботи:Для розгортання Microsoft 365 потрібен аналіз впливу (AIPD), якщо активовані функції моніторингу, а також відповідне положення про субпідряд із видавцем.

Відповідність вимогам і санкції

Крім штрафів CNIL, роботодавець піддається судовим позовам за вторгнення в приватне життя (стаття 9 Цивільного кодексу, стаття L.1121-1 Трудового кодексу). Призначення DPO є обов’язковим для організацій, які обробляють дані у великому масштабі. Щорічна карта обробки кадрів у поєднанні з навчанням менеджерів є найкращим юридичним та оперативним захистом.

Висновок

Відповідність GDPR у сфері управління персоналом – це не одноразовий проект, а постійний процес вдосконалення. Окрім юридичних зобов’язань, прав працівників і операційної ефективності, менеджери з персоналу повинні суворо контролювати управління даними. Інвестиції в сумісний HRIS, навчання команд і документування кожної обробки перетворюють нормативні обмеження на важіль довіри співробітників.