GDPR и HR-данные: 7 требований к вашей системе управления персоналом
Имена, адреса, часы, отпуска, оценки, иногда биометрия - системы управления персоналом хранят чувствительные персональные данные. Разбираем, что именно GDPR требует от ваших инструментов.
- Команда hours24
GDPR (Регламент 2016/679) относится к данным сотрудников с той же строгостью, что и к данным клиентов, а иногда и строже - из-за дисбаланса сил между работодателем и работником. Системы управления персоналом хранят имена, адреса, договоры, часы, отпуска, оценки, данные о местоположении и - если вы используете биометрические терминалы - данные особой категории. Вот чек-лист из 7 пунктов, которым должен соответствовать ваш инструмент.
1. Правовое основание: обычно «договор» или «правовая обязанность»
Обработка рабочего времени сотрудников, как правило, опирается на трудовой договор (ст. 6(1)(b)) и на обязательства по трудовому законодательству (ст. 6(1)(c)). Согласие на работе редко бывает правильным основанием - дисбаланс сил мешает признать его действительно свободным.
2. Особые категории: биометрия требует дополнительных мер
Отпечатки пальцев, распознавание лица, сканирование радужки - это данные особой категории по ст. 9. Нужно дополнительное правовое основание (обычно ст. 9(2)(b): обязательства трудового права). В ряде стран ЕС орган по защите данных рекомендует предлагать сотрудникам небиометрическую альтернативу (PIN, карта).
3. Минимизация данных: собирать только то, что используете
Если GPS-координаты не нужны для расчёта зарплаты, не собирайте их. Если фотодоказательство не нужно, не храните его. Ст. 5(1)(c) - минимизация это не «приятно иметь».
4. Сроки хранения, а не «навсегда»
Записи о рабочем времени в Эстонии хранятся 10 лет после окончания трудовых отношений. Записи об оценках могут храниться гораздо меньше. Система должна позволять настраивать сроки хранения для разных типов данных, а не предлагать один общий выключатель «удалить всё через N лет».
5. Запрос доступа субъекта: 30 дней
Сотрудник просит: «дайте мне всё, что у вас есть обо мне». У вас 30 дней, чтобы предоставить это в переносимом формате (ст. 15, 20). Ваша система должна выдавать это экспортом, а не вручную собранной папкой.
6. Уведомление о нарушении: 72 часа
Если нарушение создаёт риск для прав или свобод, вы уведомляете надзорный орган (в Эстонии - AKI) в течение 72 часов. Договор с вендором должен обязывать его сообщать ВАМ достаточно быстро, чтобы вы уложились в этот срок.
7. DPA: подпишите соглашение с вендором
Ст. 28 требует соглашения о обработке данных (DPA) между вами (контролером) и SaaS-вендором (обработчиком). Это не опция. Проверьте, что DPA вашего инструмента покрывает субобработчиков, место обработки и право на аудит.
Source: Полный текст GDPR (EUR-Lex)
Хотите увидеть, что AI-ассистент сможет сделать для вашей команды?