RGPD en RH : Traitement des données des salariés

Quy định Chung về Bảo vệ Dữ liệu (RGPD) không chỉ áp dụng cho các quan hệ thương mại giữa một công ty và khách hàng của nó: nó cũng điều chỉnh, một cách rất chính xác, xử lý dữ liệu cá nhân của nhân viên. Tuyển dụng, quản lý lương, kiểm soát truy cập, đánh giá hiệu suất, giám sát video... mỗi giai đoạn trong vòng đời hợp đồng lao động tạo ra dữ liệu cá nhân mà nhà tuyển dụng phải xử lý theo đúng ngành pháp luật châu Âu. Với mức phạt có thể lên tới 20 triệu euro hoặc 4% doanh thu toàn cầu hàng năm, vấn đề này rất quan trọng. Bài viết này chi tiết các cơ sở pháp lý áp dụng, các nghĩa vụ thực tế của các bộ phận RH và các thực tiễn tốt nhất để bảo mật các quá trình xử lý của bạn — bao gồm cả việc số hóa các tài liệu RH.

Nền tảng pháp lý của xử lý dữ liệu RH

Các cơ sở pháp lý được thừa nhận trong luật lao động

RGPD liệt kê sáu cơ sở pháp lý cho phép xử lý dữ liệu cá nhân (Điều 6). Trong bối cảnh RH, ba trong số chúng được sử dụng gần như thường xuyên:

• Thực hiện hợp đồng lao động (Điều 6.1.b): là cơ sở chính để quản lý lương, theo dõi thời gian làm việc, cấp phát bảng lương hoặc quản lý kỳ nghỉ.

• Nghĩa vụ pháp lý (Điều 6.1.c): biện minh cho các xử lý được yêu cầu bởi Bộ luật Lao động hoặc pháp luật xã hội, chẳng hạn như tờ khai trước khi tuyển dụng (DPAE), tờ khai danh nghĩa xã hội (DSN) hoặc duy trì sổ đăng ký cá nhân duy nhất.

• Lợi ích hợp pháp (Điều 6.1.f): có thể là cơ sở cho các xử lý nhất định về bảo mật thông tin hoặc phòng chống gian lận nội bộ, với điều kiện là lợi ích này không bị chi phối bởi các quyền cơ bản của nhân viên.

⚠️ Cơ sở sự đồng ý cần được xử lý một cách cực kỳ cẫn thận trong bối cảnh công việc. CNIL thường xuyên nhắc nhở rằng sự mất cân bằng vốn có trong mối quan hệ nhà tuyển dụng-nhân viên khiến sự đồng ý hiếm khi có tính "tự do" theo Điều 7 của RGPD. Sử dụng sự đồng ý cho các xử lý có thể dựa trên một cơ sở pháp lý khác khiến nhà tuyển dụng có rủi ro bị phân loại lại.

Các danh mục dữ liệu đặc biệt: một chế độ tăng cường

Một số dữ liệu được thu thập bởi RH thuộc chế độ "dữ liệu nhạy cảm" được quy định trong Điều 9 của RGPD, xử lý là nguyên tắc bị cấm ngoại trừ các trường hợp ngoại lệ:

• Dữ liệu sức khỏe: nghỉ phép bệnh, các trường hợp không thích hợp được phát hiện bởi dịch vụ y tế lao động, điều chỉnh công việc vì khuyết tật.

• Dữ liệu liên minh: tư cách thành viên công đoàn, các chức vụ đại diện.

• Dữ liệu sinh trắc học: kiểm soát truy cập bằng dấu vân tay hoặc nhận diện khuôn mặt.

• Dữ liệu liên quan đến vi phạm: xác minh sơ yếu lý lịch, chỉ được phép trong các ngành được quy định (bảo mật, trẻ em, v.v.).

Đối với những danh mục này, nhà tuyển dụng phải xác định một ngoại lệ rõ ràng (Điều 9.2), tiến hành phân tích tác động đến bảo vệ dữ liệu (AIPD) trong hầu hết các trường hợp, và thường phải tham vấn CNIL trước khi triển khai.

Các nghĩa vụ thực tế của các bộ phận RH

Sổ đăng ký hoạt động xử lý

Mọi tổ chức sử dụng hơn 250 nhân viên có nghĩa vụ duy trì sổ đăng ký hoạt động xử lý (Điều 30 của RGPD). Dưới ngưỡng này, nghĩa vụ vẫn tồn tại ngay cả khi các xử lý không phải là ngẫu nhiên hoặc liên quan đến dữ liệu nhạy cảm — đó gần như luôn luôn là trường hợp trong RH. Sổ đăng ký này phải ghi lại:

• Mục đích của mỗi quá trình xử lý (ví dụ: "quản lý bảng lương")

• Các danh mục dữ liệu liên quan

• Các bên nhận (bên thứ ba, nhà cung cấp dịch vụ, cơ quan có thẩm quyền)

• Thời hạn lưu giữ

• Các biện pháp bảo mật được thực hiện

CNIL cung cấp mẫu sổ đăng ký có sẵn miễn phí để tải xuống. Việc giữ nó cẩn thận tạo thành tuyến phòng thủ đầu tiên trong trường hợp kiểm tra.

Thời hạn lưu giữ: một điểm thường bị bỏ qua

Điều 5.1.e của RGPD áp đặt nguyên tắc giới hạn lưu giữ: dữ liệu không được lưu giữ vượt quá thời gian cần thiết cho mục đích mà chúng được thu thập. Trong RH, các thời hạn pháp lý tham khảo như sau:

| Loại dữ liệu | Thời hạn lưu giữ được khuyến nghị | |---|---| | Bảng lương | 5 năm (quy định dân sự) | | Hợp đồng lao động | 5 năm sau khi chấm dứt hợp đồng | | Dữ liệu tuyển dụng (ứng viên không được chọn) | Tối đa 2 năm sau liên hệ lần cuối | | Hồ sơ kỷ luật | Khoảng thời gian khác nhau tùy theo hình phạt (tối đa 3 năm cho cảnh cáo) | | Dữ liệu giám sát video | 1 tháng theo nguyên tắc chung | | DSN và sổ đăng ký cá nhân | 5 năm sau khi nhân viên rời khỏi |

Những thời hạn này phải được ghi lại trong sổ đăng ký và áp dụng thông qua các quy trình làm sạch hoặc lưu trữ vĩnh viễn.

Thông báo cho nhân viên: một nghĩa vụ thường bị đánh giá thấp

Điều 13 của RGPD yêu cầu cung cấp thông báo thông tin hoàn chỉnh cho những người liên quan tại thời điểm thu thập dữ liệu của họ. Trong RH, thông báo này nên được phát hành lý tưởng:

• Từ khi ứng tuyển: cho dữ liệu được thu thập trong quá trình tuyển dụng.

• Tại thời điểm tuyển dụng: được tích hợp vào hợp đồng lao động hoặc được gửi kèm theo khi ký.

• Trong quá trình tương tác hợp đồng: với mỗi xử lý mới được triển khai (ví dụ: triển khai công cụ chấm công sinh trắc học).

Việc số hóa quy trình đưa vào hoạt động, đặc biệt là thông qua ký điện tử cho RH, giúp tăng khả năng truy trách cho việc cung cấp thông tin này: thời gian đọc và ký thông báo được ghi thời gian một cách đáng tin cậy, đây là một yếu tố bằng chứng quý giá trong trường hợp tranh chấp.

Bảo mật dữ liệu RH: các biện pháp kỹ thuật và tổ chức

Mã hóa, kiểm soát truy cập và phân vùng

Điều 32 của RGPD yêu cầu thực hiện các biện pháp bảo mật phù hợp với rủi ro. Đối với dữ liệu RH, về bản chất nhạy cảm và được nhắm mục tiêu trong các cuộc xâm nhập, các thực tiễn tốt nhất tối thiểu bao gồm:

• Mã hóa dữ liệu khi đứng yên và khi truyền: các tệp lương, hợp đồng và hồ sơ cá nhân phải được lưu trữ được mã hóa (AES-256 tối thiểu) và được truyền qua các giao thức an toàn (TLS 1.3).

• Quản lý quyền truy cập dựa trên vai trò (RBAC): chỉ các quản lý RH được phép truy cập dữ liệu lương; người quản lý đội chỉ có quyền truy cập dữ liệu cần thiết để quản lý.

• Nhật ký hóa truy cập: mọi truy vấn hoặc sửa đổi hồ sơ nhân viên phải được theo dõi bằng mã định danh người dùng, ngày và giờ.

• Giả danh cho các xử lý phân tích (bảng điều khiển RH, nghiên cứu công việc).

Quản lý nhà cung cấp dịch vụ RH

Các bộ phận RH sử dụng nhiều nhà cung cấp dịch vụ: nhà cung cấp SIRH, nhà cung cấp dịch vụ lương ngoài, nền tảng đào tạo, công cụ tuyển dụng trực tuyến. Mỗi bên thứ ba này phải có hợp đồng nhà cung cấp dịch vụ phù hợp với Điều 28 của RGPD, xác định cụ thể:

• Bản chất và mục đích của các xử lý được ủy thác

• Các nghĩa vụ của nhà cung cấp dịch vụ liên quan đến bảo mật và bảo mật

• Cấm ủy thác tiếp mà không có sự phê duyệt trước

• Cách thức hoàn trả hoặc tiêu hủy dữ liệu khi kết thúc hợp đồng

Khi chọn nhà cung cấp dịch vụ, bạn cũng nên xác minh xem máy chủ của họ có nằm trong Khu vực Kinh tế châu Âu (EEA) hay cơ chế chuyển giao phù hợp (điều khoản hợp đồng mẫu, quyết định tính phù hợp) có để xử lý việc chuyển giao bên ngoài EEA hay không.

Số hóa các tài liệu RH và tuân thủ RGPD

Sự số hóa ngày càng tăng của các quy trình RH — hợp đồng lao động điện tử, bảng lương được chia sẻ điện tử, các sửa đổi được ký từ xa — đặt ra các vấn đề RGPD cụ thể. Nếu ký điện tử phù hợp với eIDAS mang lại những bảo đảm tính toàn vẹn và xác thực không thể phủ nhận, nhà tuyển dụng phải đảm bảo rằng nền tảng được sử dụng:

• Không thu thập dữ liệu dư thừa trong quá trình ký (nguyên tắc giảm thiểu, Điều 5.1.c)

• Lưu giữ bằng chứng ký (đường dẫn kiểm toán) trong các điều kiện an toàn và trong một khoảng thời gian thích hợp

• Cho phép thực hiện các quyền của những người ký (truy cập, sửa chữa, xóa trong các giới hạn pháp lý)

Để tìm hiểu thêm về tuân thủ RGPD của các công cụ ký, hướng dẫn toàn diện về ký điện tử của Certyneo chi tiết các tiêu chí kỹ thuật và pháp lý cần xác minh trước bất kỳ triển khai nào.

Quyền của nhân viên và thực hiện hiệu quả của chúng

Tổng quan các quyền được đảm bảo bởi RGPD

Nhân viên hưởng tất cả các quyền quy định tại các Điều 15 đến 22 của RGPD. Trong bối cảnh RH, các quyền được thực hiện thường xuyên nhất là:

• Quyền truy cập (Điều 15): nhân viên có thể yêu cầu sao chép tất cả dữ liệu liên quan đến họ mà nhà tuyển dụng nắm giữ, bao gồm trao đổi thư điện tử công việc trong những điều kiện nhất định.

• Quyền chỉnh sửa (Điều 16): sửa chữa dữ liệu không chính xác (lỗi trên số tài khoản ngân hàng, bằng cấp bị ghi sai, v.v.).

• Quyền bị xóa (Điều 17): bị giới hạn trong RH bởi các nghĩa vụ lưu giữ pháp lý, nhưng áp dụng cho dữ liệu tuyển dụng của ứng viên không được chọn.

• Quyền phản đối (Điều 21): có thể được thực hiện chống lại xử lý dựa trên lợi ích hợp pháp, như một số xử lý giám sát.

• Quyền di động dữ liệu (Điều 20): áp dụng cho dữ liệu do nhân viên cung cấp trong bối cảnh thực hiện hợp đồng.

Thời hạn phản hồi và quy trình nội bộ

Nhà tuyển dụng có một tháng để trả lời bất kỳ yêu cầu nào về thực hiện quyền, thời hạn này có thể kéo dài thêm ba tháng trong trường hợp độ phức tạp hoặc khối lượng yêu cầu cao (Điều 12.3). Để tổ chức quá trình xử lý này một cách hiệu quả, bạn nên:

• Chỉ định một điểm liên hệ duy nhất (DPO hoặc người tham khảo RGPD) để tiếp nhận yêu cầu

• Đưa ra một biểu mẫu chuyên dụng có thể truy cập được cho nhân viên

• Ghi lại từng yêu cầu và câu trả lời của nó trong sổ đăng ký yêu cầu thực hiện quyền

• Đào tạo các nhà quản lý RH để nhận dạng yêu cầu ẩn (nhân viên yêu cầu "hồ sơ cá nhân" của họ thực hiện quyền truy cập của họ)

Vai trò của DPO trong công ty

RGPD áp đặt việc chỉ định Nhân viên Bảo vệ Dữ liệu (DPO) trong ba trường hợp (Điều 37): cơ quan công quyền, xử lý quy mô lớn dữ liệu nhạy cảm, hoặc giám sát có hệ thống quy mô lớn. Nhiều công ty có xử lý RH đáng kể rơi vào nghĩa vụ này. DPO có thể là nội bộ hoặc được ngoài; anh ấy phải có độc lập chức năng và được liên kết với tất cả các quyết định ảnh hưởng đến bảo vệ dữ liệu, bao gồm triển khai các công cụ RH số hóa mới. Vai trò của anh ấy là tư vấn và không có quyền quyết định: trách nhiệm cuối cùng vẫn là của người chịu trách nhiệm xử lý, tức là nhà tuyển dụng.

Khung pháp lý áp dụng cho xử lý dữ liệu RH

RGPD: văn bản sáng lập

Quy định (EU) 2016/679 của Nghị viện châu Âu và Hội đồng ngày 27 tháng 4 năm 2016 (RGPD) tạo thành nền tảng quy định cho xử lý dữ liệu cá nhân tại châu Âu. Áp dụng trực tiếp ở tất cả các quốc gia thành viên kể từ ngày 25 tháng 5 năm 2018, nó được áp dụng cho mọi nhà tuyển dụng xử lý dữ liệu của nhân viên cư trú trong EU, bất kể quốc tịch của công ty. Các bài viết chính áp dụng trong bối cảnh RH là:

• Điều 5: nguyên tắc cơ bản (sự hợp pháp, tính trung thực, tính minh bạch, giảm thiểu, độ chính xác, giới hạn lưu giữ, tính toàn vẹn và bảo mật, trách nhiệm)

• Điều 6: cơ sở pháp lý của xử lý

• Điều 9: chế độ của dữ liệu nhạy cảm

• Điều 12 đến 22: quyền của những người liên quan

• Điều 24 đến 32: nghĩa vụ của người chịu trách nhiệm xử lý và nhà cung cấp dịch vụ

• Điều 33-34: thông báo vi phạm dữ liệu (72 giờ cho CNIL, và thông báo cho những người nếu rủi ro cao)

• Điều 35: phân tích tác động (AIPD) bắt buộc đối với các xử lý có rủi ro cao

• Điều 83: hình phạt hành chính (tới 20 triệu euro hoặc 4% doanh thu toàn cầu)

Luật Thông tin và Tự do được sửa đổi

Theo pháp luật Pháp, Luật số 78-17 ngày 6 tháng 1 năm 1978 về thông tin, tệp tin và tự do, được sửa đổi bởi Luật số 2018-493 ngày 20 tháng 6 năm 2018 và Sắc lệnh số 2018-1125 ngày 12 tháng 12 năm 2018, bổ sung RGPD bằng cách mở ra các lề toàn quốc ("điều khoản mở"). Trong số những điều quan trọng nhất trong RH: khả năng xử lý dữ liệu công đoàn trong bối cảnh quản lý các cơ chế đại diện cá nhân (Điều 9 của Luật), hoặc các quy tắc cụ thể để xử lý dữ liệu sức khỏe công việc.

Bộ luật Lao động và ngành pháp luật xã hội

Bộ luật Lao động áp đặt các nghĩa vụ thông báo và tham vấn trước của Ủy ban Xã hội và Kinh tế (CSE) trước bất kỳ triển khai nào của thiết bị giám sát hoặc kiểm soát nhân viên (Điều L. 2312-38). Không tham vấn khiến nhà tuyển dụng phải đối mặt với việc không thể áp dụng bằng chứng được thu thập cũng như hình phạt hình sự.

Pháp luật của Tòa Dân sự Tối cao thường xuyên nhắc nhở rằng các công cụ kiểm soát (định vị địa lý, máy chấm công, phần mềm theo dõi hoạt động) phải phù hợp với mục đích theo đuổi và không được sử dụng lại cho các mục đích khác ngoài những mục đích được khai báo cho nhân viên và CNIL.

Ký điện tử các tài liệu RH: eIDAS và Bộ luật Dân sự

Khi số hóa các hợp đồng lao động, sửa đổi hoặc tài liệu kỷ luật, nhà tuyển dụng phải tuân thủ Quy định (EU) số 910/2014 eIDAS, xác định ba mức ký điện tử. Đối với các tài liệu có tác động như hợp đồng lao động CDI hoặc tài liệu chấm dứt, ký điện tử nâng cao (thậm chí có thể là đủ tiêu chuẩn) được khuyến nghị để đảm bảo danh tính của người ký và tính toàn vẹn của tài liệu. Bộ luật Dân sự tại các Điều 1366 và 1367 công nhận giá trị bằng chứng của bản viết điện tử và ký điện tử, tùy thuộc vào xác định danh tính đáng tin cậy của người ký và đảm bảo tính toàn vẹn.

Hình phạt do CNIL ra quyết định trong vấn đề RH

CNIL đã ra quyết định một số hình phạt đáng kể liên quan đến xử lý dữ liệu RH: năm 2022, một công ty đã bị phạt 400.000 euro vì giám sát quá mức nhân viên khi làm việc từ xa thông qua phần mềm chụp ảnh màn hình. Năm 2023, một công ty bảo mật đã bị phạt 200.000 euro vì thu thập quá mức dữ liệu sinh trắc học mà không có cơ sở pháp lý hợp lệ. Những quyết định này minh họa sự cẩn trọng ngày càng tăng của cơ quan quản lý về phạm vi này.

Các kịch bản sử dụng: RGPD RH trong thực tế

Kịch bản 1 — Một ETI công nghiệp có 450 nhân viên đưa quá trình tuyển dụng vào tuân thủ

Một công ty công nghiệp quy mô trung bình, sử dụng khoảng 450 người trên ba địa điểm, nhận được hơn 3.000 đơn xin việc tự phát mỗi năm và phản hồi với khoảng 60 công việc được niêm yết. CV và thư xin việc được lưu trữ mà không có giới hạn thời gian trong một hộp thư điện tử dùng chung giữa sáu người quản lý bộ phận. Không có thông báo thông tin nào được gửi cho các ứng viên về việc sử dụng dữ liệu của họ.

Sau khi kiểm toán RGPD, các hành động sau đây được triển khai trong sáu tháng:

• Di chuyển sang ATS (Hệ thống theo dõi Ứng viên) được chứng nhận tuân thủ RGPD, với làm sạch tự động các hồ sơ sau 24 tháng không hoạt động

• Thêm thông báo thông tin RGPD vào mỗi biểu mẫu ứng tuyển trực tuyến

• Ký điện tử các thư tuyển dụng và hợp đồng lao động thông qua nền tảng tuân thủ eIDAS, giảm thời gian trả về hợp đồng được ký từ trung bình 8 ngày xuống dưới 48 giờ

• Cập nhật sổ đăng ký hoạt động xử lý với 12 tờ xử lý RH mới

Kết quả: không có yêu cầu CNIL nào được nhận trong 18 tháng tiếp theo; lợi ích ước tính là 1,2 ETP trong quản lý hành chính tuyển dụng nhờ vào việc số hóa.

Kịch bản 2 — Một nhóm phân phối 1.200 nhân viên kiểm so