Съхранение на данни на кандидатите за работа и GDPR

Обслужване

При набиране на служители работодателите получават данните на кандидатите. Възможно ли е да се съхраняват данни за кандидати за работа, които не са били наети? В крайна сметка това са лични данни, защитени от GDPR. Мога ли да ги запазя?

Документи за назначаване на безработни - какво да правя с тях?

Имаше много съмнения относно правилата, по които е възможно да се съхраняват данните на кандидатите за работа. Възможно ли е да се запази автобиографията на лицето, което не е работило след назначаването? На какви разпоредби трябва да се позова?
По искане на омбудсмана за малки и средни предприятия министърът на цифровизацията даде законови разяснения относно съхраняването на данни на бъдещи служители. Това са първите официални обяснения в Полша, базирани на Конституцията на бизнеса.

Когато кандидатът се е съгласил да участва само в едно набиране

Много кандидати изпращат своите данни на работодатели (например автобиография, мотивационно писмо) във връзка с конкретно назначаване.Те не въвеждат изявление, че данните могат да се използват и при бъдещи назначавания.
В такава ситуация:

  • данните могат да се използват само при това едно конкретно набиране на персонал;

  • не е необходимо да се получава съгласие за обработка на лични данни за целите на това единично набиране. Основата за обработка на данни са разпоредбите на Кодекса на труда и GDPR;

  • данните не могат да се използват при бъдещи назначавания, тъй като кандидатът няма съгласието на кандидата;

  • след приключване на набирането е възможно съхраняването на данните на кандидатите, за да се предпазят от евентуални искове (например, ако кандидатът твърди, че ненаемането му е било симптом на дискриминация).

Съхранение на данните за кандидатите до края на набирането

Какво е правното основание за обработка на данни по време на наемане? Министерството на цифровизацията посочва разпоредбите на Кодекса на труда (чл. 221 § 1 от Гражданския процесуален кодекс) и GDPR (чл. 6 (1) (б) от GDPR). Те дават възможност за обработка на данни за целите на набирането - до неговото приключване.

Какъв е резултатът от Кодекса на труда? Работодателят има право да изисква от лицето, кандидатстващо за работа, да предостави лични данни, включително:

  • собствено име (имена) и фамилия;

  • имената на родителите;

  • дата на раждане;

  • място на пребиваване (адрес за кореспонденция);

  • образование;

  • хода на предишната работа.

Ами ако служителят предостави повече данни? Основа за тяхната обработка е чл. 6 сек. 1 лит. b GDPR. След това обработването на данни се оправдава с „необходимостта от предприемане на преддоговорни мерки“.

След края на конкретно набиране на персонал данните не могат да се използват при други набирания. Това може да стане само ако кандидатът се е съгласил с това. По-късно в статията описваме такъв случай.

Това не означава, че след това данните трябва да бъдат върнати на служителя или унищожени. Възможно е допълнително съхраняване на кандидатски данни - с цел защита срещу евентуални искове на безработно лице. От Министерството на цифровизацията обясниха как трябва да се направи и на какви разпоредби трябва да се позовава.

Съхраняване на данни за кандидати след назначаване

Фактът, че кандидатът се е съгласил да участва само в едно набиране, не означава, че тези данни не могат да бъдат използвани за последващи набирания. Но работодателят има законен интерес да не се отърве от данните веднага. Защо?

Лице, което не е наето, може например да го намери за дискриминационно. И да поиска обезщетение от предприемача, който не я е наел. Работодателят трябва да може да се защити. Ако се отърве от всички документи за набиране, защитата ще бъде трудна, дори невъзможна. Следователно той може да съхранява тези документи. Тогава правното основание е 6 сек. 1 лит. f GDPR.

Колко дълго да се съхраняват данните в случай на искове?

Следователно не е необходимо да се изтриват данните на бъдещия служител веднага след приключване на назначаването. Но за колко време са възможни данните за кандидатите?

Това трябва да бъде преценено от работодателя. За тази цел тя следва да извърши оценка на риска от подобни искове. Трябва да се вземат предвид реалните заплахи. Срокът на съхраняване на документите обаче трябва да бъде възможно най-кратък. Тя трябва да бъде посочена във вътрешните процедури.

По правило няколко месеца са достатъчни, за да се съхранят данните за кандидатите след края на процеса на подбор.

Ами ако оценката покаже, че рискът от искове е висок? След това предприемачът може да съхранява личните данни на кандидатите за пълен тригодишен давностен срок. Такъв може да е случаят например в случай на много сравними приложения.

Министерството на цифровизацията посочва още, че дискриминацията по пол и отношение към синдикатите е най-често срещаната. Следователно е необходимо да се прецени дали при набирането са присъствали кандидати, които са имали сходни компетенции, но в същото време са се различавали по пол или разкрити нагласи към синдикатите. Ако рискът е висок, може да се използва най-дългият период на задържане.

Съгласие на кандидата за бъдещо назначаване

Много кандидати подават документи за назначаване по своя собствена инициатива. Те правят това дори когато компанията не обявява набиране на персонал. С подаването на документите те незабавно уведомяват работодателя, че искат използването на документите в случай, че на дадено работно място ще бъде организирано набиране на персонал. Това позволява да се съхраняват данните на кандидата.

Правното основание за събиране на такива документи от работодателя е изразеното от кандидата за работа съгласие. Ако съгласието за използване на лични данни за целите на бъдещо набиране на персонал е дадено само устно, може да възникне проблем с доказателствата. Работодателят може да не е в състояние да докаже, че кандидатът действително е дал такова съгласие. Тогава е трудно да се докаже, например, при проверка, че съхраняването на данни за кандидати е законосъобразно.

Прехвърляне на документи на работното място заедно с информацията, че те могат да бъдат използвани при бъдещо набиране - съгласие за тяхното обработване. В този случай съхраняването на данните на кандидатите от работодателя е възможно до отмяна на съгласието от лицето, което ги е изпратило. Това се дължи на разясненията, дадени от Министерството на цифровизацията.

Предприемачът трябва:

  • във всеки отделен случай преценете дали обхватът на събраните в документите данни не надвишава целта, свързана с наемането на персонал;

  • да имат доказателство, че кандидатът се е съгласил да използва данните при бъдещи назначавания;

  • да премахне предоставените от кандидата документи, за които е известно, че поради тяхното съдържание никога няма да бъдат използвани в процеса на набиране на персонал.

Задължение за информиране на работодателя - чл. 13 GDPR

Предприемачът трябва да помни за задължението за информация, произтичащо от чл. 13 GDPR. Ако той получи документи за набиране на работа и реши, че може да използва данните на кандидата за целите на набирането в бъдеще, той определя по този начин целта на обработката. В резултат на това следва да изпълни задължението за информация по чл. 13 GDPR. Това може да се избегне чрез публикуване, изисквано от чл. 13 GDPR, информация на уебсайта. Ако лицето, подаващо документите, е могло да прочете данните предварително, например като посети уебсайта на предприемача, тази информация не е необходимо да му се предоставя отделно.

Започнете безплатен 30-дневен пробен период без прикачени условия!

Примери и препоръчани действия

В обясненията Министерството на цифровизацията даде три примера и препоръча действия, които обясняват съхранението на данни на кандидатите за работа.

Пример 1. - оставяте автобиографията си на рецепцията

Лице, което се интересува от работата, се отчита на рецепцията на фирмата, въпреки че в момента няма набиране на длъжност. Той обаче иска да остави автобиографията си, в която няма писмена информация, че е съгласен с обработването на лични данни при всички наемания в тази фирма – информира само рецепционистката устно.

Препоръчително действие:

От такова лице следва да бъде получено потвърждение за съгласие за обработка на лични данни за целите на бъдещи наемания, организирани от даден предприемач (получаващ декларацията) в писмена форма, записан за доказателствена цел (напр. ръкописно изявление на оставени документи) и задължението за информация по чл. 13 GDPR. То може да се осъществи чрез публикуване на съответната информация на рецепцията, при условие че тя информира точно за съдържанието, предвидено в чл. 13 GDPR. Като част от това задължение трябва да информирате, inter alia, на правното основание за обработка на данни, т.е. че е чл. 6 сек. 1 лит. GDPR. Като се има предвид участието на това лице в бъдещо набиране на персонал и факта, че това лице може да не получи работа в резултат на набирането, си струва да се гарантира правото на обработка на данни с цел евентуално обезщетение на този етап - като основание за това цел, като се посочва и чл. 6 сек. 1 лит. f GDPR (т.е. законният интерес на администратора).

Пример 2 - имейл до фирмата с автобиография

Автобиография се изпраща на компанията по имейл заедно с информацията в имейла, че лицето би искало да бъде включено при евентуални бъдещи назначавания.

Препоръчително действие:

Такова съобщение следва да се разглежда като съгласие за обработка на лични данни от потенциален работодател за цели, свързани с организацията на наемане на служители. Освен това задължението за информация по чл. 13 GDPR. Като част от това задължение трябва да информирате, inter alia, за правното основание за обработка на данни, т.е. че това е гореспоменатият чл. 6 сек. 1 лит. GDPR. Както в описаната по-горе ситуация, като се има предвид участието на това лице в бъдещи набирания и факта, че това лице може да не получи работа в резултат на участие в набирането, си струва да се гарантира правото на обработка на данни за целта на евентуално обезщетение - като основание за тази цел, посочвайки чл. 6 сек. 1 лит. f GDPR (т.е. законният интерес на администратора).

Пример 3. - CV за конкретен подбор

На компанията се изпраща автобиография във връзка с едно конкретно набиране на персонал, без информация, че лицето иска да участва в бъдещи процеси по набиране на персонал в дадената компания. Предложението за работа е за мениджърска позиция с висока заплата и има риск неизбраните да поискат обяснения.

Препоръчително действие:

Не е необходимо да се получава съгласие за обработката на личните им данни от такова лице. Основанието за обработване в случая е чл. 221. § 1 КТ, а по отношение на допълнителните данни - преди всичко необходимостта от предприемане на действия преди сключване на договора, т.е. 6 сек. 1 лит. b GDPR. Ако кандидатът не бъде нает, потенциалният работодател все още има право да запази данни за защита срещу евентуални искове. Такова по-нататъшно съхранение на лични данни е резултат от законни интереси (т.е. въз основа и като се вземе предвид съдържанието на член 6, параграф 1, буква е) от GDPR). Следователно е достатъчно да се изпълни задължението за информация по чл. 13 GDPR. Всяка от посочените цели на обработване в този случай произтича от различно правно основание, за което кандидатът следва да бъде информиран.