GDPR trong nhân sự: Xử lý dữ liệu nhân viên

Giới thiệu

Kể từ khi Quy định bảo vệ dữ liệu chung (GDPR) có hiệu lực vào ngày 25 tháng 5 năm 2018, các bộ phận nhân sự đã đi đầu trong việc tuân thủ. Bộ phận nhân sự xử lý dữ liệu cá nhân nhạy cảm hàng ngày: CV, phiếu lương, dữ liệu sức khỏe, đánh giá, chi tiết ngân hàng. Quản lý kém khiến công ty phải chịu các lệnh trừng phạt lên tới 20 triệu euro hoặc 4% doanh thu toàn cầu (điều 83 của GDPR). Bài viết này trình bày các nghĩa vụ chính và các phương pháp hay nhất để bảo mật việc xử lý dữ liệu nhân viên trong suốt chu trình nhân sự.

Các nguyên tắc cơ bản áp dụng cho dữ liệu nhân sự

GDPR áp đặt sáu nguyên tắc cơ bản được quy định trong Điều 5: tính hợp pháp, lòng trung thành, tính minh bạch, giới hạn mục đích, giảm thiểu, độ chính xác, giới hạn lưu giữ và tính toàn vẹn/bảo mật. Trên thực tế, điều này có nghĩa là bộ phận nhân sự chỉ có thể thu thập dữ liệu thực sự cần thiết cho một mục đích cụ thể. Ví dụ: việc yêu cầu số an sinh xã hội khi nộp đơn là không tương xứng: việc này chỉ hợp lý sau khi tuyển dụng DSN.

CNIL, thông qua nghị quyết số. 2019-160 liên quan đến quản lý nhân sự, chỉ định thời gian lưu giữ được khuyến nghị: 2 năm đối với hồ sơ không thành công (trừ khi có sự đồng ý), 5 năm sau khi khởi hành đối với hồ sơ hành chính, 6 năm đối với phiếu lương trong phiên bản của người sử dụng lao động.

Cơ sở pháp lý và thông tin dành cho nhân viên

Ngược lại với suy nghĩ phổ biến, sự đồng ý hiếm khi là cơ sở pháp lý thích hợp trong nhân sự, do mối quan hệ cấp dưới. Các căn cứ liên quan là việc thực hiện hợp đồng lao động (điều 6.1.b), nghĩa vụ pháp lý (điều 6.1.c) hoặc lợi ích hợp pháp (điều 6.1.f). Đối với dữ liệu nhạy cảm (y tế, công đoàn), Điều 9 yêu cầu căn cứ cụ thể như nghĩa vụ về mặt pháp luật lao động.

Người sử dụng lao động phải cung cấp thông tin rõ ràng thông qua thông báo GDPR khi tuyển dụng, cập nhật sổ đăng ký xử lý (điều 30) và tham khảo ý kiến ​​của CSE trước khi có bất kỳ quy trình xử lý mới nào ảnh hưởng đến nhân viên (điều L.2312-38 của Bộ luật Lao động).

Bảo mật và quyền lợi của nhân viên

Bảo mật kỹ thuật và tổ chức (điều 32) yêu cầu: mã hóa HRIS, kiểm soát truy cập theo hồ sơ, truy xuất nguồn gốc của cuộc tư vấn, điều khoản bảo mật với nhà thầu phụ trả lương hoặc tuyển dụng (điều 28). Trong trường hợp vi phạm, hãy thông báo cho CNIL trong vòng 72 giờ.

Nhân viên có các quyền được tăng cường: truy cập, cải chính, xóa (bị giới hạn bởi nghĩa vụ lưu giữ hợp pháp), tính di động, phản đối. Thủ tục nội bộ phải cho phép phản hồi trong vòng tối đa một tháng. Việc từ chối tiếp cận hồ sơ kỷ luật phải có căn cứ pháp lý.

Ví dụ thực tế

Ví dụ 1 – Tuyển dụng:Một SME đã lưu giữ CV của tất cả các ứng viên trong một thư mục dùng chung trong 5 năm. Không tuân thủ: thời lượng quá lâu, thiếu bảo mật. Giải pháp: tự động thanh lọc sau 2 năm, hạn chế quyền tiếp cận với nhà tuyển dụng, đề cập đến GDPR trong lời mời làm việc.

Ví dụ 2 – Giám sát video:Kho hậu cần liên tục quay phim các máy trạm. Có thể có hình phạt (CNIL đã xử phạt Amazon France Logistique 32 triệu euro vào năm 2024). Giải pháp: giới hạn ở các khu vực nhạy cảm, thông tin cá nhân, tư vấn của CSE, thời gian lưu giữ tối đa một tháng.

Ví dụ 3 – Công cụ cộng tác:Việc triển khai Microsoft 365 yêu cầu phân tích tác động (AIPD) nếu chức năng giám sát được kích hoạt, cũng như điều khoản hợp đồng phụ tuân thủ với nhà xuất bản.

Tuân thủ và xử phạt

Ngoài tiền phạt CNIL, người sử dụng lao động còn phải đối mặt với các hành động của tòa án công nghiệp vì xâm phạm quyền riêng tư (điều 9 Bộ luật Dân sự, điều L.1121-1 của Bộ luật Lao động). Việc chỉ định DPO là bắt buộc đối với các thực thể xử lý dữ liệu trên quy mô lớn. Việc lập bản đồ hàng năm về xử lý nhân sự, cùng với việc đào tạo người quản lý, tạo thành sự bảo vệ hoạt động và pháp lý tốt nhất.

Kết luận

Việc tuân thủ GDPR trong lĩnh vực nhân sự không phải là dự án thực hiện một lần mà là một quá trình cải tiến liên tục. Giữa nghĩa vụ pháp lý, quyền của nhân viên và hiệu suất hoạt động, nhà quản lý nhân sự phải quản lý chặt chẽ việc quản trị dữ liệu. Đầu tư vào HRIS tuân thủ, đào tạo nhóm và ghi lại từng quy trình sẽ biến các ràng buộc về quy định thành đòn bẩy tạo niềm tin cho nhân viên.