CNIL (Национальная комиссия по информатике и свободам) опубликовала новое руководство, посвященное срокам хранения персональных данных при управлении человеческими ресурсами. Этот документ призван помочь работодателям определить, как долго они могут, должны или больше не должны хранить определенные данные, используемые в их HR-деятельности. Руководство охватывает основные HR-процессы, такие как подбор персонала, административное управление сотрудниками, расчет заработной платы, обеспечение безопасности, управление служебными автомобилями, запись телефонных разговоров на рабочем месте, трудовые отношения, несчастные случаи на производстве, судебные разбирательства и профессиональные оповещения.
Ключевой особенностью руководства является разделение сроков хранения данных на два типа: срок хранения в активной базе (период ежедневного использования данных оперативными командами) и срок промежуточного архивирования (когда данные больше не используются в повседневной работе, но должны храниться для выполнения законодательных обязательств или защиты от потенциальных споров). Это разделение подчеркивает, что данные не должны оставаться неограниченно доступными, даже если они могут представлять периодический интерес.
Руководство относится к области «мягкого права» и устанавливает четкие рамки. Некоторые сроки являются обязательными, другие — рекомендуемыми CNIL, служа ориентиром для определения разумного и обоснованного срока.
Что конкретно меняет руководство CNIL для HR-специалистов:
- При подборе персонала: Для успешных кандидатов данные заявки могут храниться в течение всей процедуры найма. Для кандидатов, не прошедших отбор, данные могут храниться 5 лет с момента закрытия вакансии, особенно для целей доказательства в случае дискриминации. Резюме в базе данных могут храниться до 2 лет после последнего контакта с кандидатом, если его профиль все еще представляет интерес для работодателя, при условии отсутствия возражений со стороны кандидата.
- При учете рабочего времени: Документы, используемые для контроля рабочего времени, могут храниться в активной базе до выпуска соответствующего расчетного листка. Затем они могут храниться в промежуточном архиве в течение 1 года, или дольше в некоторых случаях (например, при гибком графике работы более года, или 3 года для сотрудников на фиксированном окладе).
- В области расчета заработной платы: Данные для управления и выпуска расчетных листков хранятся в течение всего периода работы сотрудника, затем 6 лет после подачи DSN (Declarations Sociales Nominatives), при наличии специфических ограничений. Сами расчетные листки могут оставаться в активной базе 1 месяц после передачи, затем храниться 5 лет. При использовании электронных расчетных листков работодатель должен обеспечить их доступность до 50 лет или до возраста выхода на пенсию плюс 6 лет.
- По видеонаблюдению: Записи могут храниться 1 месяц с момента их получения. CNIL уточняет, что часто достаточно нескольких дней для проверки в случае инцидента. При дисциплинарном или уголовном расследовании соответствующие записи должны быть извлечены и сохранены отдельно.
Руководство также затрагивает такие чувствительные темы, как геолокация служебных автомобилей, запись телефонных разговоров на рабочем месте, несчастные случаи на производстве, судебные разбирательства и профессиональные оповещения.
Что компаниям необходимо пересмотреть:
Первый шаг — провести картирование всех HR-процессов, связанных с персональными данными, и определить текущие сроки их хранения и причины.
Во-вторых, необходимо проверить фактические практики работы с данными в используемых инструментах (ATS, HRIS, системы видеонаблюдения и т.д.), чтобы выявить расхождения с заявленными правилами.
Важным этапом является четкое разграничение активной базы и промежуточного архивирования. Данные, которые больше не используются ежедневно, не должны оставаться легкодоступными.
Наконец, если компания решает хранить данные дольше рекомендованных CNIL сроков, это должно быть подкреплено четким и обоснованным объяснением.
Это руководство не только требует новых проверок, но и побуждает компании взять под контроль вопрос управления данными, что напрямую влияет на их соответствие законодательству, юридическую безопасность и авторитет HR-практик.
