Личните данни на служителя и GDPR - какви са задълженията на работодателя?

Обслужване

От май 2018 г. всеки работодател трябваше да адаптира своите процедури за защита на личните данни към изискванията на GDPR. Освен че налага на работодателите задължението да обръщат повече внимание на защитата на данните на служителите, регламентът ограничава и обхвата на информацията, която работодателят може да изисква от кандидати за служител и от вече наети лица. И така, какви лични данни на служител има право да обработва предприемач? Каква информация може да се прехвърля на трети страни? В какви ситуации обработката на данни на служителите изисква тяхното недвусмислено и изрично съгласие? Ще отговорим на тези въпроси в тази статия.

Във връзка с последния етап от прилагането на GDPR, т.е. Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица по отношение на обработката на лични данни и относно безплатното движение на такива данни и отмяна на Директива 95 / 46 / ЕО (общ регламент за защита на данните), на 4 май 2019 г. беше въведено изменение на Кодекса на труда (наричан по-долу Кодекс на труда). Съгласно новите разпоредби всеки работодател е длъжен да обработва личните данни на своите служители в съответствие с чл. 221 от КТ, а в особени случаи по чл. 221а 221б от Кодекса на труда. По правило изменението изискваше работодателите да обработват само личните данни на служител, които са необходими за изпълнение на работата им. Кодексът на труда обаче не урежда всички ситуации, които могат да възникнат на практика по време на дейността на предприятие, в което работят няколко десетки или стотици хора. Затова ще се опитаме да обясним какво е разрешено да правят работодателите и какво е абсолютно забранено, когато става въпрос за обработка на лични данни на служителите.

Сключване на трудов договор и GDPR

Сключването на трудовия договор е следващият етап, в който работодателят има право да поиска от работника или служителя да предостави личните му данни – първият е т.нар. Процесът на набиране на персонал. Когато предприемачът реши да назначи даден кандидат, възникват специфични права и задължения както от страна на работодателя, така и от страна на служителя, чието изпълнение изисква обработка на информация за служителя.

Съгласно чл. 221 § 2 и 4 от Кодекса на труда, работодателят има право да изиска от новоназначен служител заявление (независимо от личните данни, получени при назначаването):

  • име и фамилия;

  • дата на раждане;

  • номер на PESEL;

  • данни за контакт (няма право да изисквате адреса на пребиваване);

  • образование - при условие, че е необходимо да се извършва работа от определен вид или на определена длъжност;

  • професионална квалификация - ако е необходимо да се извършва работа от определен вид или на определена длъжност;

  • хода на предишна работа - само ако е необходимо да се извършва работа от определен вид или на определена длъжност;

  • имена и фамилни имена и дати на раждане на деца - ако предоставянето на такива данни е необходимо поради упражняване на особени права, предвидени в трудовото законодателство на служителя;

  • други лични данни, различни от посочените по-горе, ако задължението за предоставянето им произтича от отделни разпоредби.

Горните данни могат да бъдат включени в трудовия договор. По очевидни причини служителят може да откаже да предостави която и да е от изискваната от него информация, но тогава той трябва да вземе предвид, че работодателят ще се откаже от наемането му. Поради факта, че личните данни на служителя ще бъдат обработвани за цел, различна от кандидата, и групата на получателите на тези данни ще се промени, работодателят е длъжен да изпълни отново задължението за информация към служителя (също по отношение на данните получени от служителя по време на наемане).

Личните досиета на служителите и GDPR

Установяването на трудово правоотношение поражда редица задължения от страна на работодателя, свързани с документиране на работния процес на служителя. Цялата тази информация трябва да бъде в личните досиета на служителите. Какви документи и данни, освен посочените по-горе, може да съхранява работодателят?

Обичайна практика досега е да се прикачи фотокопие на личната карта (или паспорт) на служителя към файловете. Следва обаче да се отбележи, че Кодексът на труда и всеки друг акт не указва пряко правото на обработване на такива лични данни. Следователно следва да се заключи, че не е необходимо да се прави копие на този документ. Следователно притежаването на копие от доказателствата означава събиране на данни, несвързани с работата, извършена от служителя, което е забранено от GDPR и актовете за прилагане на регламента.

На практика работодателят няма да може да изпълнява пълноценно задълженията си към работника или служителя, ако разчита единствено на предоставените му лични данни при сключване на трудовия договор. Следователно личните данни могат да съдържат и информация, която не е строго свързана с трудовото правоотношение. Често пъти, за да може служителят да упражни някои от правата си, той трябва да предостави на работодателя информация за личния си живот. Ако например той/тя иска да вземе специален отпуск, той/тя ще бъде длъжен да посочи дадено обстоятелство в личния си живот, обосноваващо правото на такъв отпуск, например погребение на близък човек.

Разкриване на лични данни на служителя и GDPR

По правило личните данни на служителя са поверителни, така че достъпът до тях трябва да бъде особено защитен и контролиран. Има обаче ситуации, когато публичното разкриване на някои (по-малко чувствителни) данни ще е необходимо за ефективното изпълнение на работата в предприятието.

Един от много често срещаните случаи на поставяне на данни за служителите за преглед от по-широка група субекти е воденето на списък с присъствие. За съжаление законът не урежда този въпрос. Следователно е необходимо да се разчита на настоящата юриспруденция и коментарите на доктрината. Следователно изглежда, че подписването на списъка за присъствие, достъпен за всички служители, не противоречи на GDPR. В противоречие с наредбата обаче ще бъде оставянето на информация за болничния отпуск на служителя или т.нар. напускат при поискване. Съгласно разпоредбите самите данни за заболяванията на служителите или болничните листове са чувствителни данни и не могат да бъдат разпространявани. Следователно списъците за присъствие, освен имената и фамилните имена на служителите, могат да съдържат само информация за присъствието или отсъствието на служител.

Друга често срещана практика, използвана в корпорациите, е даването на значки на служителите. Първият въпрос, който възниква е: може ли такъв документ да има снимка на служителя? Снимката, показваща изображението на служителя, не е информацията, посочена в чл. 221 от КТ, така че, за да ги постави работодателят на значката, той трябва да получи доброволно съгласие на служителя - което означава, че липсата му не може да доведе до негативни последици. Такова съгласие може да бъде отменено по всяко време. Изключение от горното са случаите, когато имиджът на служителя е тясно свързан с професията му и притежаването на лична карта с актуална снимка се изисква със специален закон. За пример можем да вземем охранител – съгласно чл. 9а от Закона за защита на хората и имуществото, личната карта на квалифициран работник по физическа охрана или на квалифициран работник по техническа охрана включва, наред с другото, текущата му снимка. В ерата на повсеместната виртуална реалност стана много популярно да се представя информация за служители на корпоративни уебсайтове, по-специално техните имена, длъжности, телефонни номера и имейл адреси. Трябва да се отбележи, че в повечето случаи разкриването на такива данни служи за изпълнение на служебни задължения от служителите, както и за повишаване на доверието на потенциалните клиенти на компанията. Следователно тези данни могат да бъдат предоставени от работодателя без съгласието на служителите. Това се дължи на факта, че не може да бъде възпрепятствано да разкрива имената на служители, заемащи определени длъжности в институцията и поддържащи връзка с контрагенти и клиенти.

Допустимо е също така в светлината на закона да се поставят имената и фамилните имена на служителите на вратите на работните места, печатите на служителите и заглавията на писмата, съставени от служителите.

Друг е въпросът дали работодателят може заедно с посочените по-горе данни да постави изображението на служителя на уебсайта без негово съгласие. Тук отговорът е прост – не. Публикуването на снимка на служител изисква доброволно съгласие. Горното правило няма да важи за т.нар корпоративни интранети (мрежи с достъп, ограничен до компютри в дадено предприятие). Ако поставянето на изображения на служители в интранет ще се използва единствено с цел подобряване и рационализиране на управлението на компанията, такова действие може да се счита за приемливо. Научете повече за защитата на личните данни на служителите:
Защита на личните данни на служителите – какви са задълженията на работодателя?
Какви лични данни може да обработва работодателят в светлината на разпоредбите на GDPR?
GDPR и лични данни на служител и кандидат за работа

Обработка на лични данни на служителите и трудова медицина

Следва да се подчертае, че насочването на служител за първоначални, периодични и контролни медицински прегледи, тоест профилактични прегледи, е задължение на работодателя по Кодекса на труда. Той също така е длъжен да съхранява тази информация в своята база данни. Поради факта, че здравните данни на служителите са чувствителни данни, работодателят трябва да обърне особено внимание на тяхната защита. Въпреки това съдебната практика е приела, че не е необходимо да се сключва договор за обработка на лични данни със служба по трудова медицина. Това се дължи на факта, че работодателят и медицинското звено работят независимо един от друг и следователно всеки от тях самостоятелно определя целите и средствата за обработка на лични данни.

От друга страна, разпоредбите за медицинските досиета по принцип се отнасят за съхранението на документация от профилактични прегледи на служителите. Трябва да се има предвид, че данните, съдържащи се в обсъжданата документация, са предмет на строга професионална и служебна тайна, т.е. могат да бъдат предоставяни само на лица, посочени в отделни наредби и при посочените в тях условия.

Започнете безплатен 30-дневен пробен период без прикачени условия!

Лични данни на служителите и обучение на служителите

Друга ситуация, която може да създаде проблеми по отношение на защитата на личните данни, е организирането на обучение. Най-често работодателите наемат външни фирми, специализирани в даден вид обучение. Това означава, че в по-голямата част от подобни курсове работодателят е принуден да прехвърля в по-голяма или по-малка степен личните данни на своите служители на такава външна компания.

По правило първото задължително обучение, с което всеки служител ще трябва да се справи, е обучение по безопасност и здраве при работа. То може да бъде извършено от служител, определен за здравословни и безопасни условия на труд, или от външен субект. Както служителят по OHS, така и външният субект трябва да бъдат упълномощени да обработват данните на лицата, участващи в обучението.Освен това външна компания е длъжна да сключи споразумение за обработка на лични данни с работодателя.

При други обучения, включително и незадължителни, положението на работодателя зависи от това дали служителят участва в него частно (той сам се е записал) или работодателят го е делегирал на дадено обучение. В първия случай, ако служителят се е записал индивидуално за обучението и работодателят покрива само неговия дял, той няма задължения, свързани със защитата на данните на този служител. Тук външната компания действа като отделен администратор, така че трябва да изпълнява всички информационни задължения и други задачи, посочени в GDPR към своя студент. Ако обаче работодателят е изпратил служителя на курса, а външната компания за обучение е лицето, на което работодателят е поверил обработката на лични данни, тогава работодателят ще трябва да сключи договор за възлагане с външната компания. В ситуация, в която курсът няма да изисква обработка на лични данни на служителите и това всъщност няма да се случи (напр. обучаващата компания няма да води списък на присъстващите), тогава работодателят не трябва да сключва договор за поверяване с тази компания .

Личните данни на служителя и GDPR - резюме

Обработката на лични данни, особено в големите предприятия, може да постави администраторите на данни пред много трудности при тълкуване и практически проблеми. Не е достатъчно да се гарантира, че информацията, получена от служителите, отговаря на Кодекса на труда и GDPR. Управлението на бизнес е толкова сложно и разнообразно, че не всички аспекти на защитата на данните са пряко регулирани от законодателството. Много практически въпроси изискват сложни тълкувания на разпоредбите и дълго търсене на уебсайтове с решения на Върховния съд. Това обаче е информация, с която трябва да разполага всеки предприемач, който наема служители, защото всяко действие, което не отговаря на изискванията на GDPR, може да доведе до много високи финансови санкции.

Системата WFirma.pl е съвместима с GDPR!

В системата wFirma.pl можете да изтеглите отчет за обработката на личните данни на служителя. Просто отидете в раздела ПЕРСОНАЛ »СЛУЖИТЕЛИ» ПОДРОБНОСТИ ЗА СЛУЖИТЕЛЯ (като щракнете върху името и фамилията на служителя). В горния десен ъгъл се появяват три икони. Иконата на отворена папка означава ODO отчет.

След щракване върху него ще се появи прозорец с данните на служителя и всички вписвания относно въвеждането/смяната на данните.

Такъв отчет може да бъде изтеглен, просто кликнете върху опцията ГЕНЕРИРАНЕ НА ОТЧЕТ.