Pentru multe companii, GDPR „începe” cu clienții.
În realitate, una dintre cele mai sensibile și expuse zone este HR-ul.
Recrutarea, angajarea și încetarea contractelor de muncă presupun un volum mare de date personale, multe dintre ele sensibile, gestionate pe perioade lungi de timp și de mai multe persoane din organizație. Tocmai de aceea, HR-ul este una dintre primele zone verificate în controale și una dintre cele mai frecvente surse de incidente.
Recrutarea: când un CV devine responsabilitate legală
Procesul de recrutare este, de regulă, primul contact dintre firmă și datele personale ale unui viitor (sau posibil) angajat.
De multe ori, acest proces este tratat informal: CV-uri primite pe e-mail, recomandări pe WhatsApp, profile LinkedIn analizate „din curiozitate”.
Din perspectivă GDPR, însă, orice CV este deja un set complex de date personale:
– nume, date de contact,
– experiență profesională,
– studii, certificări,
– uneori vârstă, fotografie, stare civilă,
– alteori informații care pot deveni sensibile (ex. apartenențe, pauze medicale explicate, dizabilități).
Chiar dacă persoana nu este angajată, datele sale sunt prelucrate.
Iar aici apar primele întrebări-cheie:
– cât timp păstrăm CV-urile respinse?
– cine are acces la ele?
– le folosim pentru recrutări viitoare sau le „uităm” într-un folder?
Una dintre cele mai frecvente neconformități este păstrarea CV-urilor „pentru orice eventualitate”, fără o bază legală clară și fără informarea candidatului.
Angajarea: de la selecție la dosarul de personal
Odată cu angajarea, volumul și sensibilitatea datelor cresc semnificativ.
Dosarul de personal nu este doar o formalitate administrativă, ci un nucleu GDPR.
În această etapă apar:
– date de identificare complete,
– CNP, serie și număr CI,
– date bancare,
– date despre familie (persoane în întreținere),
– date medicale (aptitudine de muncă, concedii medicale),
– evaluări profesionale.
Multe firme presupun că „dacă legea muncii cere documentele, GDPR nu se mai aplică”.
În realitate, GDPR se aplică în paralel.
Da, există obligații legale de colectare.
Dar GDPR cere în plus:
– limitarea accesului (nu toată lumea din firmă trebuie să vadă tot dosarul),
– securitate (fizică și digitală),
– claritate privind scopul fiecărei informații colectate.
De exemplu, copia actului de identitate este justificată la angajare, dar nu este justificat ca ea să fie accesibilă nelimitat sau stocată neprotejat.
Viața profesională: datele se acumulează, riscurile cresc
Pe durata raportului de muncă, datele personale ale angajaților nu stagnează. Ele se adună constant:
– evaluări de performanță,
– avertismente, sancțiuni disciplinare,
– concedii, absențe,
– date de pontaj, acces, monitorizare IT,
– corespondență profesională.
Aici apare una dintre cele mai delicate zone GDPR: monitorizarea angajaților.
E-mailuri, log-uri de acces, camere video, sisteme de control – toate pot fi legale, dar nu automat.
Fără reguli clare, informare corectă și proporționalitate, aceste instrumente pot deveni rapid surse de încălcare a drepturilor angajaților.
Concedierea: datele nu dispar odată cu contractul
Un alt mit frecvent este că, odată cu încetarea contractului, „GDPR se încheie”.
În realitate, relația cu datele continuă.
După concediere sau demisie, firma rămâne cu:
– documente din dosarul de personal,
– decizii de încetare,
– eventuale litigii,
– obligații legale de arhivare.
Problema apare atunci când:
– datele sunt păstrate mai mult decât este necesar,
– accesul nu este restricționat,
– documentele sunt folosite ulterior în scopuri neclare („să vedem ce a mai făcut X”).
GDPR nu cere ștergerea imediată a tuturor datelor, dar cere o justificare clară pentru păstrarea lor și respectarea termenelor legale.
De ce HR-ul este una dintre cele mai riscante zone GDPR
HR-ul combină:
– date personale clasice,
– date sensibile,
– dezechilibru de putere (angajat–angajator),
– procese repetitive, dar rar standardizate corect.
Multe firme descoperă problemele abia când:
– un angajat solicită acces la datele sale,
– apare un conflict de muncă,
– are loc un control sau o sesizare.
În acel moment, improvizațiile nu mai funcționează.
GDPR în HR nu înseamnă rigiditate, ci claritate
Un sistem GDPR sănătos în HR nu blochează recrutarea, nu îngreunează munca și nu creează birocrație inutilă.
Dimpotrivă, aduce:
– procese clare,
– roluri bine definite,
– protecție pentru firmă și pentru angajați.
La A&T COMPLIANCE CONSULTING SRL, lucrăm frecvent cu organizații care își dau seama că HR-ul este zona unde „știu că fac ceva, dar nu sunt sigure că fac corect”.
Exact acolo apare nevoia de clarificare, structurare și implementare reală, adaptată modului concret de lucru al fiecărei firme.
Datele de HR nu sunt doar documente. Sunt responsabilitate.
De la primul CV primit până la ultimul document arhivat după concediere, datele de HR spun povestea completă a relației dintre firmă și oameni.
GDPR nu cere ca această poveste să fie perfectă.
Cere doar să fie asumată, controlată și respectuoasă.
Iar atunci când aceste lucruri nu sunt clare, nu este un eșec, ci semnul că este momentul potrivit pentru o abordare profesionistă.