RGPD trong HR: Xử lý dữ liệu nhân viên

Quản lý nhân sự tạo ra, mỗi ngày, một khối lượng dữ liệu cá nhân đáng kể: hợp đồng lao động, bảng lương, dữ liệu sức khỏe, đánh giá hiệu suất, thông tin tài khoản ngân hàng… Kể từ khi Quy định bảo vệ dữ liệu chung (RGPD) có hiệu lực vào tháng 5 năm 2018, các bộ phận quản lý nhân sự đã trở thành những diễn viên chính trong tuân thủ quy định trong các tổ chức. Tuy nhiên, theo báo cáo hoạt động năm 2024 của CNIL, lĩnh vực quản lý nhân sự vẫn là một trong ba lĩnh vực thường xuyên bị liên quan nhất trong quá trình kiểm tra. Bài viết này hướng dẫn bạn qua các nghĩa vụ chính, các thực tiễn tốt nhất và các công cụ có sẵn để xử lý dữ liệu nhân viên của bạn một cách tuân thủ.

Những dữ liệu cá nhân nào mà HR xử lý?

Các danh mục dữ liệu thông thường

Các bộ phận HR xử lý một phạm vi rất rộng của dữ liệu cá nhân. Ta phân biệt hai nhóm lớn:

Dữ liệu thông thường, được thu thập trong khuôn khổ hợp đồng lao động: tên, họ, địa chỉ, số bảo hiểm xã hội, RIB, CV, bằng cấp, lịch sử công việc, đánh giá hàng năm, giờ làm việc, dữ liệu tham dự và vắng mặt.

Dữ liệu nhạy cảm, được tính chế trong các hạn chế gia tăng theo nghĩa của Điều 9 của RGPD: dữ liệu sức khỏe (đơn xin nghỉ ốm, báo cáo tai nạn lao động, hạn chế y tế), dữ liệu công đoàn (tư cách thành viên công đoàn, ủy quyền đại diện), dữ liệu liên quan đến các kết án hình sự trong một số bối cảnh tuyển dụng nhất định.

Những dữ liệu cuối cùng chỉ có thể được xử lý với điều kiện có ngoại lệ rõ ràng do quy định dự kiến - chẳng hạn như thực hiện các nghĩa vụ pháp lý về luật lao động, hoặc sự đồng ý rõ ràng của người liên quan.

Trường hợp đặc biệt của quá trình tuyển dụng

Giai đoạn tuyển dụng tạo ra các xử lý cụ thể, thường bị kiểm soát kém. Việc thu thập CV, thư xin việc và kết quả bài kiểm tra liên quan đến các thời hạn lưu giữ chính xác: theo các khuyến nghị của CNIL, dữ liệu của các ứng viên không được chọn phải bị xóa hoặc anonimhóa trong thời gian tối đa hai năm sau lần liên hệ cuối cùng. Lưu giữ CV vô thời hạn trong một thư mục được chia sẻ không an toàn là một vi phạm rõ ràng.

Việc sử dụng các công cụ theo dõi trong ATS (Applicant Tracking Systems) hoặc các thuật toán phân tích hành vi phải được ghi chú rõ ràng trong chính sách bảo mật được truyền đạt cho các ứng viên, phù hợp với các Điều 13 và 14 của RGPD.

Cơ sở pháp lý của xử lý trong bối cảnh HR

Xác định cơ sở pháp lý đúng

RGPD yêu cầu rằng bất kỳ xử lý dữ liệu cá nhân nào cũng phải dựa trên một trong sáu cơ sở pháp lý được xác định trong Điều 6. Trong bối cảnh HR, ba cơ sở chủ yếu được sử dụng:

• Thực hiện hợp đồng lao động (Điều 6.1.b): biện minh cho việc xử lý dữ liệu cần thiết để quản lý lương, kỳ nghỉ hoặc đào tạo.

• Nghĩa vụ pháp lý (Điều 6.1.c): áp dụng cho các báo cáo xã hội bắt buộc (DSN), sổ đăng ký nhân viên hoặc theo dõi tai nạn lao động.

• Lợi ích hợp pháp (Điều 6.1.f): có thể được áp dụng cho các xử lý như quản lý thẻ truy cập hoặc giám sát video, với điều kiện là phải có bài kiểm tra cân bằng nghiêm ngặt.

Sự đồng ý (Điều 6.1.a) lại là một cơ sở pháp lý yếu ớt trong bối cảnh công việc: CNIL và Ủy ban Châu Âu về bảo vệ dữ liệu (EDPB) nhắc nhở rằng sự mất cân bằng cơ cấu giữa người sử dụng lao động và người lao động làm cho việc chứng minh sự đồng ý tự do là khó khăn. Nó chỉ nên được sử dụng như là một giải pháp cuối cùng.

Sổ đăng ký xử lý, nghĩa vụ không thể tránh khỏi

Bất kỳ tổ chức nào có ít nhất 250 nhân viên - hoặc xử lý dữ liệu nhạy cảm ở quy mô nhỏ hơn - phải duy trì một sổ đăng ký các hoạt động xử lý (Điều 30 của RGPD). Trong HR, sổ đăng ký này phải ghi lại, cho mỗi xử lý: mục đích, các danh mục dữ liệu, người nhận, thời hạn lưu giữ, và các biện pháp an niệm được thực hiện.

Tài liệu này, được duy trì sẵn sàng cho CNIL trong trường hợp kiểm tra, cũng là một công cụ điều hành quý giá. Kết hợp với một giải pháp ký điện tử dành cho HR, nó cho phép theo dõi và ghi thời gian mỗi bước trong vòng đời của một tài liệu HR, từ đó tăng cường khả năng kiểm toán các quy trình.

Quyền của nhân viên và nghĩa vụ của người sử dụng lao động

Thông báo cho nhân viên: một nghĩa vụ ngay lập tức

Điều 13 của RGPD yêu cầu thông báo cho những người liên quan tại thời điểm thu thập dữ liệu của họ. Trong thực tế, HR phải cung cấp cho nhân viên - tốt nhất là ngay khi ký hợp đồng lao động - một thông báo thông tin RGPD chi tiết: danh tính người chịu trách nhiệm xử lý, các mục đích và cơ sở pháp lý, thời hạn lưu giữ, các quyền có sẵn và thông tin liên hệ của DPO (Ủy viên Bảo vệ Dữ liệu) nếu công ty có.

Số hóa và bảo mật quá trình trao đổi này là điều cần thiết. Việc sử dụng ký điện tử trong doanh nghiệp để gửi thông báo này đảm bảo bằng chứng gửi được ghi thời gian và không thể tranh cãi, phù hợp với các yêu cầu của quy định eIDAS.

Các quyền của nhân viên phải được tôn trọng tuyệt đối

Nhân viên có các quyền mở rộng đối với dữ liệu của họ:

• Quyền truy cập (Điều 15): bất kỳ nhân viên nào cũng có thể yêu cầu sao chép tất cả dữ liệu liên quan đến họ được xử lý bởi người sử dụng lao động.

• Quyền sửa chữa (Điều 16): sửa lại một dữ liệu không chính xác (ví dụ: địa chỉ bưu điện, RIB).

• Quyền bị xóa (Điều 17): có thể áp dụng trong một số trường hợp, đặc biệt là sau khi kết thúc hợp đồng và khoảng thời gian lưu giữ theo luật pháp.

• Quyền phản đối (Điều 21): nhân viên có thể phản đối một xử lý dựa trên lợi ích hợp pháp.

• Quyền hạn chế (Điều 18): đóng băng tạm thời một xử lý bị tranh cãi.

Người sử dụng lao động có thời hạn một tháng để trả lời bất kỳ yêu cầu nào về hành sử các quyền, có thể mở rộng thêm ba tháng trong trường hợp phức tạp (Điều 12 của RGPD).

Bảo mật dữ liệu HR và quản lý nhà cung cấp

Các biện pháp kỹ thuật và tổ chức

Điều 32 của RGPD yêu cầu thực hiện các biện pháp an niệm "phù hợp với rủi ro". Đối với dữ liệu HR, các thực tiễn tốt nhất bao gồm:

• Mã hóa các tệp chứa dữ liệu nhạy cảm (bảng lương, hồ sơ y tế).

• Kiểm soát truy cập: nguyên tắc đặc quyền tối thiểu — một quản lý lương không có quyền truy cập vào dữ liệu kỷ luật.

• Ghi lại nhật ký truy cập vào các hệ thống HR (SIRH, các công cụ lương).

• Kế hoạch phản hồi vi phạm: trong trường hợp rò rỉ dữ liệu, người sử dụng lao động có 72 giờ để thông báo cho CNIL (Điều 33), và có khả năng những người liên quan nếu rủi ro cao (Điều 34).

Một kiểm toán hoàn chỉnh thông qua hướng dẫn ký điện tử có thể giúp các đội HR xác định các xử lý không an toàn vẫn tồn tại trên giấy và số hóa chúng một cách tuân thủ.

Kiểm soát các nhà cung cấp HR thông qua DPA

Các bộ phận HR sử dụng nhiều nhà cung cấp: phần mềm lương, nền tảng đào tạo, công cụ quản lý thời gian. Mỗi nhà cung cấp truy cập dữ liệu cá nhân phải là đối tượng của một thỏa thuận xử lý dữ liệu (Data Processing Agreement — DPA), phù hợp với Điều 28 của RGPD. Hợp đồng này phải chỉ rõ các hướng dẫn xử lý, các đảm bảo an niệm, các cách thức hoàn lại hoặc hủy dữ liệu, và các nghĩa vụ trong trường hợp vi phạm.

Lựa chọn các nhà cung cấp lưu trữ cơ sở hạ tầng của họ trong Liên minh Châu Âu, hoặc được kiểm soát bởi các mệnh đề hợp đồng tiêu chuẩn (CCT) được phê duyệt bởi Ủy ban, vẫn là một yêu cầu cơ bản để tránh bất kỳ chuyển giao bất hợp pháp nào ngoài EU.

Thời hạn lưu giữ: một vấn đề cấu trúc

Các thời hạn pháp lý áp dụng cho hồ sơ nhân viên

Thời hạn lưu giữ dữ liệu HR được kiểm soát bởi một tập hợp các văn bản: RGPD (nguyên tắc giới hạn lưu giữ, Điều 5.1.e), Bộ luật Lao động, và các quy định khác nhau về thuế và xã hội. Trong thực tế, các thời hạn chính cần tuân thủ là:

| Loại tài liệu | Thời hạn lưu giữ tối thiểu | |---|---| | Bảng lương | 5 năm (thời hiệu xã hội) | | Hợp đồng lao động | 5 năm sau khi kết thúc hợp đồng | | Dữ liệu lương (DSN) | 3 năm (kiểm soát URSSAF) | | Sổ đăng ký nhân viên | 5 năm sau khi nhân viên rời đi | | Dữ liệu kỷ luật | Thời lượng tương xứng với biện pháp | | Hồ sơ y tế (y tế lao động) | 50 năm (quy định cụ thể) |

Triển khai chính sách lưu trữ và xóa tự động trong SIRH, kết hợp với các quy trình ký điện tử ghi thời gian tạo tài liệu, hiện tại là thực tiễn tốt nhất để chứng minh tuân thủ với CNIL.

Những cạm bẫy cần tránh

Những lỗi thường thấy nhất được quan sát trong các cuộc kiểm tra CNIL về dữ liệu HR là: lưu giữ vô thời hạn CV của các ứng viên không được chọn, duy trì quyền truy cập máy tính của nhân viên cũ, thiếu mã hóa các tệp lương được xuất, và không xóa dữ liệu thẻ vào ra vượt quá các thời hạn quy định. Để bảo mật các điểm này, tham khảo so sánh các giải pháp ký điện tử cho phép xác định các công cụ tích hợp sẵn các hàm lưu trữ chứng minh và quản lý vòng đời tài liệu.

Khung pháp lý áp dụng cho xử lý dữ liệu HR

Xử lý dữ liệu cá nhân của nhân viên được nằm trong một khung chuẩn mực dày đặc, liên kết nhiều mức độ của quy định.

Quy định (EU) 2016/679 — RGPD tạo thành nền tảng. Các Điều 5 đến 11 của nó xác định các nguyên tắc cơ bản (hợp pháp, lòng thành thực, minh bạch, hạn chế mục đích, giảm thiểu dữ liệu, chính xác, hạn chế lưu giữ, toàn vẹn và bảo mật). Điều 9 thiết lập các điều kiện nghiêm ngặt áp dụng cho các danh mục đặc biệt của dữ liệu, bao gồm dữ liệu sức khỏe và công đoàn, đặc biệt là thường xuyên trong HR. Điều 83 dự kiến các khoản phạt có thể lên tới 20 triệu euro hoặc 4% doanh thu toàn cầu trong trường hợp vi phạm nghiêm trọng.

Luật Thông tin và Tự do được sửa đổi (Luật số 78-17 ngày 6 tháng 1 năm 1978), trong phiên bản được hợp nhất của nó, điều chỉnh RGPD với luật pháp Pháp. Nó trao cho CNIL quyền kiểm soát và trừng phạt của nó, và dự kiến đặc biệt là các ngoại lệ theo lĩnh vực cho dữ liệu sức khỏe trong y tế lao động.

Bộ luật Lao động kiểm soát các xử lý liên quan đến giám sát nhân viên (Điều L. 1121-1 về tôn trọng quyền riêng tư), tham vấn với các đại diện của nhân viên về các công cụ kỹ thuật số (Điều L. 2312-38), và các sổ đăng ký bắt buộc.

Quy định eIDAS (số 910/2014), được bổ sung bởi eIDAS 2.0 (Quy định EU 2024/1183), kiểm soát giá trị pháp lý của các chữ ký điện tử được đặt lên các tài liệu HR. Một chữ ký điện tử đủ điều kiện (SEQ), phù hợp với Phụ lục I của eIDAS và các tiêu chuẩn ETSI EN 319 132 và ETSI EN 319 122, cung cấp sự giả định tương đương với chữ ký viết tay theo nghĩa của Điều 1367 của Bộ luật Dân sự Pháp.

Điều 1366 của Bộ luật Dân sự quy định rằng "tài liệu điện tử có cùng hiệu lực bằng chứng như tài liệu trên giấy, với điều kiện là người phát hành có thể được xác định đúng cách và nó được thiết lập và lưu giữ theo các điều kiện có tính chất đảm bảo tính toàn vẹn của nó". Quy định này được áp dụng trực tiếp cho các hợp đồng lao động, các sửa đổi, các thỏa thuận bảo mật và các tài liệu HR số hóa khác.

Chỉ thị NIS2 (EU 2022/2555), được chuyển tiếp vào luật pháp Pháp bởi Luật ngày 26 tháng 2 năm 2025, áp đặt cho các thực thể cơ bản và quan trọng (đặc biệt là các công ty công nghiệp lớn và các nhà cung cấp dịch vụ kỹ thuật số) các yêu cầu gia tăng về quản lý rủi ro liên quan đến bảo mật thông tin, bao gồm bảo vệ dữ liệu HR nhạy cảm.

Các khoản phạt được áp dụng bởi CNIL đang tăng mạnh: năm 2024, tổng số tiền phạt vượt quá 100 triệu euro, với nhiều quyết định liên quan trực tiếp đến những vi phạm trong quản lý dữ liệu nhân viên. Không tuân thủ các thời hạn lưu giữ, thiếu DPA với các nhà cung cấp HR, và sự không đủ của các biện pháp an niệm nằm trong số các điểm khiếu nại thường được giữ lại nhất.

Các tình huống sử dụng: tuân thủ RGPD trong HR trong thực tế

Tình huống 1 — Một ETI công nghiệp 450 nhân viên số hóa các quy trình onboarding của nó

Một công ty công nghiệp kích thước trung bình, phân bố trên ba địa điểm ở Pháp, quản lý các hợp đồng lao động và sửa đổi của nó trên giấy. Hồ sơ của những người mới vào được truyền đạt đến dịch vụ lương chỉ sau thời gian chờ trung bình 12 ngày làm việc, tạo ra lỗi lương trong khoảng 8% trường hợp. Ngoài ra, không có thông báo RGPD nào được truyền đạt chính thức cho những người mới vào: thông tin chỉ xuất hiện ở cuối quy định nội bộ, không được ký riêng.

Sau khi triển khai giải pháp ký điện tử được tích hợp vào SIRH của nó, với việc gửi đồng thời một thông báo RGPD được ký đồng thời bởi nhân viên và DRH, công ty đã giảm thời gian onboarding tài liệu xuống còn 2 ngày làm việc (giảm 83%). Những lỗi lương liên quan đến dữ liệu còn thiếu đã giảm xuống dưới 1%. Mỗi tài liệu được ký được lưu trữ với dấu thời gian đủ điều kiện, cung cấp bằng chứng có thể đối chứng trong trường hợp kiểm tra CNIL hoặc tranh chấp prud'homal.

Tình huống 2 — Một nhóm phân phối 1 200 nhân viên đưa chính sách lưu giữ của nó vào tuân thủ

Một nhóm hoạt động trong phân phối chuyên biệt đã trải qua cuộc kiểm tra CNIL sau yêu cầu từ một cựu nhân viên. Cuộc thanh tra đã tiết lộ rằng các tệp Excel chứa dữ liệu lương của nhân viên rời đi hơn 8 năm trước vẫn còn có thể truy cập được trên một máy chủ được chia sẻ không an toàn, không có mã hóa. Một cảnh báo chính thức đã được đưa ra, kèm theo lệnh buộc tuân thủ trong 3 tháng.

Nhóm sau đó đã tiến hành kiểm toán hoàn chỉnh các xử lý HR của nó, lập bản đồ 23 hoạt động xử lý của nó, và triển khai kế hoạch xóa tự động được kích hoạt bởi SIRH. Các tài liệu được ký điện tử đã được chuyển sang một hộc tài liệu kỹ thuật số với thời hạn lưu giữ được cấu hình theo các nghĩa vụ pháp lý. DPO đã tạo ra một sổ đăng ký hoàn chỉnh các hoạt động xử lý HR, được trình bày trong một cuộc kiểm tra thứ hai của CNIL 18 tháng sau đó, cuộc kiểm tra đã kết thúc mà không có kết quả. Chi phí của việc tuân thủ được ước tính ở mức dưới 60% của số tiền phạt tiềm năng.

Tình huống 3 — Một công ty tư vấn HR 35 người bảo mật dữ liệu của các cố vấn của nó và của các khách hàng

Một công ty chuyên biệt về quản lý nhân sự quản lý cả dữ liệu của các cố vấn của riêng nó và các ứng viên và nhân viên của các công ty khách hàng của nó (trong bối cảnh các nhiệm vụ đánh giá hoặc tái hòa nhập). Do đó, nó thấy mình ở vị trí kép: chịu trách nhiệm xử lý cho HR của riêng nó, và nhà cung cấp (hoặc chịu trách nhiệm chung) cho dữ liệu của bên thứ ba.

Công ty đã thực hiện một kiến trúc tài liệu khác nhau: ký điện tử đơn giản cho các cuộc trao đổi nội bộ thường xuyên, ký nâng cao cho các hợp đồng nhiệm vụ với các khách hàng, và các thỏa thuận xử lý dữ liệu (DPA) được tích hợp một cách có hệ thống vào các thư nhiệm vụ. Tất cả các cố vấn đã nhận được một bảng RGPD được cập nhật, được ký điện tử và lưu giữ trong một sổ đăng ký dành riêng. Tổ chức này đã cho phép công ty thể hiện tuân thủ của nó như một đối số thương mại với các tài khoản lớn phải chịu kiểm tra nhà cung cấp nghiêm ngặt, giảm thời gian ký kết hợp đồng trung bình từ 7 xuống 2 tuần.

Kết luận

RGPD áp đặt cho các bộ phận quản lý nhân sự một sự thay đổi sâu sắc trong các thực tiễn của họ: xác định cơ sở pháp lý một cách chặt chẽ, thông báo hiệu quả cho nhân viên, quản lý các quyền, kiểm soát hợp đồng các nhà cung cấp, bảo mật dữ liệu và tuân thủ các thời hạn lưu giữ. Những nghĩa vụ này không phải là những hình thức hành chính đơn thuần — chúng điều kiện khả năng của công ty để tránh các khoản phạt có thể lên tới hàng triệu euro và duy trì sự tin tưởng của các đội của nó.

Số hóa các quy trình HR, thông qua các giải pháp ký điện tử phù hợp eIDAS, tạo thành một trong những đòn bẩy hiệu quả nhất để kết hợp hiệu quả hoạ