RGPD 人力資源：員工數據處理

介紹

自 2018 年 5 月 25 日《通用數據保護條例》(RGPD) 生效以來，人力資源部門一直處於合規的最前線。人力資源部門每天處理敏感的個人數據：簡歷、工資單、健康數據、評估、銀行坐標。管理不當會使企業面臨最高達 2000 萬歐元或全球營業額 4% 的罰款（RGPD 第 83 條）。本文介紹了在整個人力資源週期中確保員工數據處理安全的關鍵義務和最佳做法。

適用於人力資源數據的基本原則

RGPD 規定了第 5 條中規定的六項基本原則：合法性、誠實性、透明度、目的限制、最小化、準確性、存儲期限限制和完整性/保密性。實際上，這意味著人力資源部門只能收集嚴格必要的數據以實現既定目的。例如，在申請時就要求社會保障號碼是過度的：只有在招聘後才能為 DSN 辯護。

CNIL 通過其第 2019-160 號決議，涉及人員管理參考框架，規定了建議的保留期限：2 年用於未被錄用的申請（除非經過同意），5 年用於離職後的行政檔案，6 年用於雇主版本的工資單。

法律基礎和員工信息

與常見的誤解相反，同意很少是人力資源中適當的法律基礎，因為存在從屬關係。更相關的基礎是勞動合同的執行（第 6.1.b 條）、法律義務（第 6.1.c 條）或正當利益（第 6.1.f 條）。對於敏感數據（健康、工會），第 9 條要求具體的基礎，如勞動法義務。

雇主必須通過在招聘時提供的 RGPD 通知提供明確信息、更新處理登記簿（第 30 條）並在任何影響員工的新處理之前諮詢員工代表委員會（《勞動法》第 L.2312-38 條）。

安全和員工權利

技術和組織安全（第 32 條）要求：SIRH 加密、按角色控制訪問、諮詢跟蹤、與薪資或招聘分包商的保密條款（第 28 條）。如發生違規，必須在 72 小時內通知 CNIL。

員工享有強化的權利：訪問、更正、刪除（受法律保留義務限制）、可移植性、反對。內部程序必須允許在最多一個月內做出回應。拒絕訪問紀律檔案必須有法律依據。

實際例子

例 1 – 招聘：一家中小企業在共享文件夾中保留了過去 5 年所有候選人的簡歷。不符合規範：期限過長、缺乏安全保護。解決方案：2 年自動清除、限制招聘人員訪問、在職位發布中提及 RGPD。

例 2 – 視頻監控：物流倉庫持續監控工作站。可能受罰（CNIL 在 2024 年對亞馬遜法國物流公司罰款 3200 萬歐元）。解決方案：限制在敏感區域、個人信息、CSE 諮詢、保留期限最多一個月。

例 3 – 協作工具：Microsoft 365 的部署如果啟用了監控功能，需要進行影響評估（AIPD）以及與編輯的符合要求的分包條款。

合規性和處罰

除了 CNIL 罰款外，雇主還面臨因侵犯隱私權而提起的勞動仲裁訴訟（《民法》第 9 條、《勞動法》第 L.1121-1 條）。對於大規模處理數據的實體，必須指定一名數據保護官。年度人力資源處理製圖，加上對經理的培訓，構成最佳的法律和操作保護。

結論

RGPD 在人力資源中的合規性不是一次性項目，而是持續改進的方法。在法律義務、員工權利和業務績效之間，首席人力資源官必須以嚴格方式管理數據治理。投資於符合規範的 SIRH、培訓團隊和記錄每項處理將把監管約束轉變為員工信任的槓桿。