Les exigences légales concernant les dossiers du personnel sont énoncées dans la loi sur le travail n° 4857, dont l’article 75 oblige les employeurs à tenir des dossiers du personnel contenant des informations et des documents sur les employés. En effet, l’article 104 de la loi impose des amendes administratives aux employeurs qui ne tiennent pas de dossiers personnels. Les dossiers du personnel contiennent les données de l’employeur sur l’identité, l’éducation, la santé, le service militaire, la résidence, etc. d’un employé, et les informations et documents qu’ils contiennent sont légalement protégés par la loi sur la protection des données personnelles (« KVKK »). La loi sur la protection des données personnelles (KVKK) impose de sérieuses obligations à l’employeur en ce qui concerne le traitement des données personnelles des employés, l’obligeant à ne traiter que les informations nécessaires à l’exécution du travail et à conserver les données dans un environnement sécurisé. Le traitement de données effectué sans respecter les procédures et les principes de la loi constitue une violation des données à caractère personnel. Par conséquent, toute information contenue dans un dossier personnel doit être traitée conformément à la loi. La protection des données à caractère personnel dans les dossiers du personnel est analysée sous différents aspects ci-dessous.
Traitement, stockage et destruction des données à caractère personnel contenues dans les dossiers du personnel
Les informations contenues dans les dossiers du personnel ne peuvent être traitées que pour « des finalités déterminées, explicites et légitimes, dans le respect des principes de légalité et de loyauté » , conformément à l’article 4 de la loi sur la protection des données. L’employeur doit collecter ces données en veillant à ce qu’elles soient « pertinentes, limitées et proportionnées aux finalités pour lesquelles elles sont traitées » et ne traiter que celles qui répondent aux exigences de l’emploi concerné. Les données contenues dans les dossiers du personnel doivent être conservées dans un environnement sécurisé et n’être accessibles qu’aux personnes autorisées.
Conformément à l’article 7 de la KVKK, les employeurs doivent détruire les données lorsque la période de conservation a expiré et que le traitement n’est plus nécessaire. En outre, le « Règlement sur l’effacement, la destruction ou l’anonymisation des données à caractère personnel » et la « Politique de conservation et de destruction des données à caractère personnel de l’Autorité de protection des données à caractère personnel » exigent des employeurs qu’ils effacent, détruisent ou rendent anonymes les données lorsque leur traitement n’est plus nécessaire ou qu’elles deviennent inutiles à l’expiration de la période maximale requise pour la conservation des données à caractère personnel après la résiliation du contrat de travail, conformément à la réglementation applicable.
Protection et traitement des données relatives à la santé
Les données relatives à la santé sont considérées comme des « catégories particulières de données à caractère personnel » conformément à l’article 6 de la loi relative à la protection des personnes à l’égard du traitement des données à caractère personnel, et leur traitement nécessite un consentement explicite. Elles fournissent des informations sur la santé d’un employé, y compris les résultats des examens médicaux effectués à l’embauche et à intervalles réguliers, et ne doivent être collectées que par un médecin du travail ou un personnel de santé autorisé. En effet, les décisions de la Commission de protection des données personnelles indiquent qu’un médecin du travail peut traiter des données relatives à la santé dans les limites de ses fonctions prévues par la législation, à condition que les responsables du traitement prennent des mesures adéquates dans le cadre du traitement de catégories particulières de données à caractère personnel.
Il incombe aux employeurs de veiller à la santé de leurs employés et de les protéger contre les risques liés à la santé et à la sécurité au travail. Un médecin du travail peut examiner la santé d’un employé à l’embauche, lors d’un changement de poste, après un accident du travail ou en cas de problèmes de santé au travail, si cela est demandé, ou périodiquement en fonction du niveau de risque du poste ou de l’entreprise, un rapport étant établi après chaque examen. Les employeurs sont également tenus de veiller à ce que les données relatives à la santé soient collectées de manière ciblée et proportionnée, qu’elles se limitent aux informations requises par l’emploi, en fonction de la nature du travail à effectuer, et qu’elles soient traitées avec le consentement de l’employé.
En ce qui concerne la protection des données relatives à la santé, les formulaires d’examen de l’employé, les rapports médicaux et toutes les autres données relatives à la santé doivent être conservés par le médecin du travail, et non dans le dossier personnel, et doivent rester inaccessibles à d’autres personnes afin d’éviter toute atteinte à la confidentialité et à la sécurité des données.
Les casiers judiciaires peuvent-ils être conservés dans les dossiers du personnel ?
Les informations relatives aux condamnations pénales d’une personne font partie des catégories particulières de données à caractère personnel. Par conséquent, conformément à l’article 6 de la loi sur la protection des données, les casiers judiciaires ne peuvent être traités que lorsque « la loi l’exige expressément », « avec le consentement explicite de la personne concernée », ou dans d’autres cas spécifiés par la loi.
Certaines réglementations autorisent, voire exigent, l’obtention du casier judiciaire dans certains domaines ou fonctions (agents de sécurité, personnel travaillant dans des établissements d’enseignement privés, etc.) Toutefois, ces réglementations sont des exceptions et, en règle générale, les employeurs ne peuvent traiter les casiers judiciaires de leurs employés qu’après avoir obtenu leur consentement explicite. Par conséquent, sauf disposition légale spécifique, les casiers judiciaires des employés ne peuvent être légalement traités sans leur consentement explicite. En outre, lors de l’obtention de leur consentement explicite, les membres du personnel devraient être informés que leur décision de donner leur consentement explicite n’affectera pas le résultat de leur candidature ou de leur emploi et qu’ils peuvent retirer leur consentement explicite à tout moment et sans aucune condition. En outre, les données doivent être conservées avec des mesures adéquates telles que spécifiées par la Commission de protection des données personnelles et détruites dans les délais impartis.
Conclusion
L’obligation faite aux employeurs de ne traiter les données à caractère personnel des employés que lorsque cela est nécessaire à leur travail et de prendre toutes les mesures techniques et administratives de sécurité des données contribue à protéger les données des dossiers du personnel et à favoriser un environnement de travail fiable.
La conservation et la destruction des dossiers du personnel revêtent une grande importance pour les employeurs, car ces dossiers contiennent un grand nombre de catégories générales et particulières de données à caractère personnel. Les employeurs doivent donc traiter les données avec mesure en respectant les finalités et les limites du traitement des données stipulées dans la loi, se conformer aux principes énoncés dans la loi et dans d’autres textes législatifs, prendre les mesures nécessaires à la conservation des dossiers du personnel et se conformer à la politique de destruction à la fin de la période concernée. Les conseils juridiques sont essentiels à la réalisation diligente de chaque étape du processus, sans aucune infraction. En outre, la sensibilisation des employés par le biais d’une formation interne peut contribuer à éviter les amendes administratives pouvant résulter d’un manquement aux obligations découlant de la loi sur la protection des données.
