Nodarbinātības derīguma termiņš: orientēšanās CNIL jaunajos HR datu glabāšanas noteikumos
Vai jūs zināt, kas notiek ar jūsu CV pēc tam, kad esat noraidīts vakancei, vai kur paliek jūsu algas aprēķina dati, kad esat pārgājis uz jaunu uzņēmumu? Gadiem ilgi atbilde bieži vien bija "digitālie bēniņi" — neorganizēta mapju un serveru kolekcija, kur personiskā informācija krāja putekļus, lielākoties aizmirsta, līdz datu aizsardzības pārkāpums pārvērta šos putekļus ugunsvētrā. Francijas datu aizsardzības iestādes CNIL skatījumā šī "glabāt visu mūžīgi" mentalitāte vairs nav tikai slikta higiēna; tā ir regulatīva atbildība.
Nesen CNIL publicēja visaptverošu pamatnostādņu ietvaru tieši personāla (HR) personas datu glabāšanai. Tas nav tikai kārtējais sausais kontrolsaraksts juridiskajai nodaļai. Tā ir fundamentāla maiņa tajā, kā organizācijām jāuztver sava jutīgākā aktīva — cilvēku, kas nodrošina uzņēmuma darbību — dzīves cikls. No atbilstības viedokļa vēstījums ir skaidrs: personas dati ir kā toksisks aktīvs. Tie ir neticami vērtīgi, kad tie ir nepieciešami, taču, jo ilgāk tos glabājat pēc to "derīguma termiņa" beigām, jo bīstamāki tie kļūst noplūdes gadījumā.
HR datu trīs līmeņu dzīves cikls
Saskaņā ar šo ietvaru CNIL ievieš strukturētu pieeju tam, kā datiem vajadzētu "novecot". Citiem vārdiem sakot, datiem nevajadzētu vienkārši atrasties vienā milzīgā tvertnē. Tā vietā tie iziet cauri trim atšķirīgiem dzīves cikla posmiem.
Pirmkārt, ir aktīvā datubāze. Šī ir informācija, kas HR nepieciešama ikdienas darbībām — jūsu pašreizējā adrese nākamajai algas izmaksai vai jūsu darbības novērtējumi gaidāmajai paaugstināšanai amatā. Tiklīdz tūlītējā vajadzība pāriet, dati nav obligāti jādzēš, bet tie jāpārvieto uz starpposma arhivēšanu. Šī ir atsevišķa, ierobežotas piekļuves zona, kurā dati tiek glabāti tikai tāpēc, ka to pieprasa likums (piemēram, nodokļu auditiem) vai tāpēc, ka tie varētu būt nepieciešami tiesiskam strīdam.
Galu galā, kad šie likumā noteiktie termiņi beidzas, datiem jāsasniedz galamērķis: galīgā dzēšana vai digitālā "liecinieku aizsardzības programma", citādi zināma kā anonimizācija. Šajā stāvoklī datiem tiek noņemti visi identifikatori, lai tos vairs nevarētu izsekot līdz personai, ļaujot uzņēmumam saglabāt statistikas tendences, nepārkāpjot privātumu.
Personāla atlases pulkstenis: divi gadi un viss
Viena no niansētākajām jaunā ceļveža jomām attiecas uz darba meklētājiem. Kad es pētu, kā uzņēmumi rīkojas ar personāla atlasi, es bieži atrodu kandidātu "spoku" profilus, kuri pieteicās amatam pirms pieciem gadiem un ar kuriem vairs nekad nav sazinājušies.
Praksē CNIL iesaka, ka kandidāta datus parasti nevajadzētu glabāt ilgāk par diviem gadiem pēc pēdējā kontakta ar pretendentu. Tas dod uzņēmumam saprātīgu laiku, lai apsvērtu kandidātu nākotnes lomai, vienlaikus cienot personas tiesības doties tālāk. Interesanti, ka gadījumā, ja uzņēmums vēlas glabāt datus visu šo divu gadu periodu, tiem ir jāinformē kandidāts un jādod viņam iespēja pieprasīt to dzēšanu. Pārredzamība ir šīs mājas pamats; bez tās visa uzticības struktūra sabrūk.
Darba līguma "pēcnāves dzīves" pārvaldība
Kas notiek, kad darbinieks pēdējo reizi iziet pa durvīm? Attiecības var būt beigušās, bet datu pēdas paliek. CNIL ietvars sniedz ceļvedi šai pārejai. Lai gan algas aprēķina ieraksti bieži vien ir jāglabā piecus gadus, lai ievērotu Francijas Darba likumu, citiem dokumentiem, piemēram, disciplinārsodu ierakstiem, ir daudz īsāks glabāšanas laiks.
Tāpēc organizācijām jākļūst par pedantiskiem redaktoriem. Kā digitālais detektīvs es bieži meklēju neatbilstības tajā, kā uzņēmumi attīra šos failus. Bieža kļūda ir darbinieka ID nozīmītes fotoattēla vai viņa ārkārtas kontaktu informācijas glabāšana ilgi pēc tam, kad viņš ir aizgājis. Tie ir nevajadzīgi "drupači" (breadcrumbs), kuriem nav nekāda juridiska mērķa pēc līguma izbeigšanas. Datu minimizēšanas princips nosaka: ja jums tas nav nepieciešams juridiska pienākuma izpildei, jums to nevajadzētu glabāt.
Darba vietas uzraudzība un uzbāzības robeža
Darba vietas uzraudzība — sākot no videonovērošanas kamerām vestibilā līdz programmatūrai, kas izseko tastatūras taustiņsitienus — ir, iespējams, visriskantākā HR datu pārvaldības joma. CNIL šeit ir īpaši stingra. Uzraudzības laikā savāktajiem datiem jābūt samērīgiem ar mērķi. Piemēram, ja uzņēmums izmanto nozīmīšu sistēmu, lai izsekotu piekļuvi ēkai, šo žurnālu glabāšana mēnešiem ilgi reti ir pamatota.
Parasti drošības nolūkos pietiek ar dažu nedēļu glabāšanas periodu. Glabājot šos datus ilgāk, rodas sistēmisks risks, kurā darba devējs varētu izmantot vēsturiskos datus, lai rekonstruētu katru darbinieka kustību, pārvēršot drošības rīku par uzbāzīgu novērošanas mehānismu. Atbilstība šeit darbojas kā kompass, nodrošinot, ka uzņēmuma vajadzība pēc drošības nenovirzās no kursa un nepārvēršas par pamata cilvēktiesību pārkāpumu.
Praktiski soļi privātumu cienošai HR nodaļai
Orientēšanās šajā regulatīvajā labirintā prasa vairāk nekā tikai politikas atjaunināšanu; tā prasa kultūras maiņu. Lūk, kā organizācijas var sākt saskaņot savu darbību ar CNIL cerībām:
- Auditējiet bēniņus: Veiciet visu pašlaik glabāto HR datu detalizētu pārskatīšanu. Nosakiet, kas atrodas aktīvajā datubāzē un kas būtu bijis jāarhivē vai jāizdzēš pirms gadiem.
- Nosakiet skaidrus termiņus: Izveidojiet formālu glabāšanas grafiku, kas nošķir dažādus datu veidus (piemēram, atlase, algas, veselības dati, uzraudzības žurnāli).
- Automatizējiet attīrīšanu: Nepaļaujieties uz cilvēka atmiņu, lai dzēstu failus. Izmantojiet programmatūras rīkus, kas automātiski atzīmē vai dzēš datus, kad tie sasniedz glabāšanas limitu.
- Informējiet subjektus: Atjauniniet savus paziņojumus par privātumu. Darbiniekiem un pretendentiem precīzi jāzina, cik ilgi viņu dati tiks glabāti un, kas ir vēl svarīgāk, kāpēc.
- Dokumentējiet pamatojumu: Ja nolemjat glabāt datus ilgāk par standarta CNIL ieteikumu, jums jādokumentē sava konkrētā leģitīmā interese vai likumā noteiktā prasība, kas to attaisno.
Kopsavilkuma tabula: Biežākie glabāšanas kritēriji
| Datu kategorija | Tipisks glabāšanas periods (aktīvs) | Pamatojums |
|---|---|---|
| Darba pieteikumi | 2 gadi kopš pēdējā kontakta | Nākotnes atlases vajadzības |
| Algas aprēķina dati | 5 gadi pēc nodarbinātības | Francijas Darba/Nodokļu likums |
| Disciplinārsodi | Atšķirīgs (bieži 3 gadi) | Darba likuma ierobežojumi |
| CCTV ieraksti | 1 mēnesis | Drošība un aizsardzība |
| Piekļuves karšu žurnāli | 3 mēneši | Drošības uzraudzība |
Galu galā šo glabāšanas periodu ievērošana nozīmē atzīšanu, ka informācija nav tikai aktīvs, bet arī saistības. Sakārtojot mūsu digitālās pēdas, mēs pasargājam ne tikai uzņēmumu no regulatīvajiem sodiem, bet arī personas, kuru dzīves ir attēlotas šajos failos.
Avoti:
- CNIL: Reference framework for the processing of personal data for the purpose of HR management.
- GDPR Article 5(1)(e): Storage Limitation Principle.
- GDPR Article 17: Right to Erasure ('Right to be Forgotten').
- French Labor Code (Code du travail).
Atruna: Šis raksts ir paredzēts tikai informatīviem un žurnālistikas mērķiem un nav uzskatāms par oficiālu juridisku padomu. Privātuma likumi ir sarežģīti un var mainīties; lūdzu, konsultējieties ar kvalificētu juridisko speciālistu par jūsu konkrētajām atbilstības vajadzībām.
Uz tikšanos otrā pusē.
Mūsu end-to-end šifrētais e-pasta un mākoņdatu glabāšanas risinājums nodrošina visefektīvākos līdzekļus drošai datu apmaiņai, garantējot jūsu datu drošību un konfidencialitāti.
/ Izveidot bezmaksas kontu
