GDPR – революция в Кодекса на труда в областта на защитата на личните данни

Обслужване

На 25 май 2018 г. ще влезе в сила Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица по отношение на обработката на лични данни и за свободното движение на такива данни сила и отмяна на Директива 95 / 46 / ЕО, известна в Полша като GDPR. Регламентът ще се прилага в 28 страни от Европейския съюз. Горните разпоредби ще бъдат важни по отношение на новите правила за обработка на лични данни на служителите.

Трябва да се отбележи, че проектозаконът за защита на личните данни в Полша все още е на законодателен етап. При липса на преходни разпоредби от 25 май 2018 г. работодателите и предприемачите следва да въведат промени в обработката на лични данни въз основа на гореспоменатия регламент на ЕС.

Подготовка на работодателите за въвеждането на GDPR

Трябва да се подчертае, че новите разпоредби относно GDPR налагат по-голяма отговорност за обработката на данни към работодателите. Следователно те трябва да анализират риска от обработката на данни, за да подготвят процедури, как да осигурят документация и след това да прилагат подходяща ИТ и организационна сигурност на работните места. Информацията за служителите и клиентите на компанията трябва да бъде обект на процедури, които ще гарантират подходящ стандарт за сигурност.

На първо място, работодателите трябва да възложат на администраторите на лични данни да изготвят одит, който ще определи какви данни се обработват, от кого, откъде се събират и къде отиват. Струва си да запомните да създадете подходяща политика за обработка на лични данни.

Следващата стъпка трябва да бъде преразглеждане на клаузите за разкриване на лични данни, поради факта, че разпоредбите на наредбата задължават работодателите да коригират информационните клаузи за лицата, чиито данни ще бъдат обработвани. Освен това трябва да подготвите информационен пакет, в който да посочите срока на съхранение, целта на обработката на данните и лицата, на които ще бъде предоставен. Лицата, чиито данни се обработват, трябва да имат контрол върху обработката на техните данни, по-специално да имат право да ги изтрият или да ги прехвърлят на друг администратор на данни.

Когато събират и обработват данни за лицата за целите на процесите по набиране на персонал, работодателите следва да въведат подходящи процедури.

Сегашната институция на администратора на лични данни (ABI) е заменена от инспектора на лични данни, който трябва да има експертни познания, подкрепени от професионален опит в тази област. В съответствие с горния регламент инспекторите ще отговарят за документацията и регистрите на лични данни и за обработката на тези данни. Горното ще е необходимо, за да се потвърди правилното функциониране на процесите за обработка на лични данни в дружеството в съответствие с въведените регулации.

Регистрите на лични данни трябва да включват:

  • най-важните данни на администратора;

  • целта на обработката на данните;

  • правното основание за обработка на данни;

  • списък на лицата, чиито данни се обработват;

  • срока на съхранение на личните данни;

  • списък на получателите на лични данни;

  • подробен достъп на други хора до лични данни;

  • списък на лицата, които ще могат да обработват събраните лични данни;

  • времето, след което личните данни ще бъдат изтрити.

Освен това ще е необходимо да се създаде процедура в случай на изтичане на лични данни, процедура за докладване на нарушение на защитата на личните данни до съответния орган и подготовка на процедури в случай на проверка от Службата за защита на личните данни. Офис (Служба за защита на личните данни).

Работодателите, които наемат над 250 души, ще трябва да създадат списък с администратори, занимаващи се със сигурността на обработваните лични данни.

Всеки инцидент, нарушаващ защитата на личните данни, ще трябва да бъде докладван спешно (72 часа от настъпване на нарушението). Докладването до съответния орган и засегнатото лице ще трябва да следва предварително разработената процедура.

Промени в GDPR в Кодекса на труда

На първо място си струва да се обърне внимание на промените относно чл. 221 и следващите от Кодекса на труда, което позволи да се поиска информация от служител, участващ в процеса на назначаване. По-специално, на този етап работодателят не може да изисква информация за имената на родителите или адреса на пребиваване. Важно е, че в замяна работодателят може да задължи лицето да предостави пощенски адрес и имейл адрес или телефонен номер. В случай на наемане на служител, искането за предоставяне на адреса на пребиваване ще бъде основателно. Трябва да се отбележи, че горните данни могат да бъдат обработвани само със съгласието на служителя в съответно изявление. Личните данни на обработвания служител следва да са свързани изключително с изпълнението на трудовото правоотношение. В случай на получаване на други данни, които не са посочени в горната разпоредба, работодателят ще трябва да получи съгласието на работника или служителя под формата на декларация.

Съгласията за обработка на лични данни могат да бъдат изразени в декларации на хартиен или електронен носител. Струва си да се отбележи обаче, че липсата на съгласие за обработка на данни не може да представлява основание за негативно третиране на кандидат за работа или служител, по-специално, може да не е причина за прекратяване на трудов договор или отказ от работа.

Започнете безплатен 30-дневен пробен период без прикачени условия!

Следва да се обърне внимание на въпроса за биометричните данни, които могат да се обработват само по отношение на наети служители заедно с полученото от тях съгласие в декларацията. Работодателят не трябва да получава лични данни относно здравето (с изключение на удостоверение за трудоспособност), зависимости или сексуална ориентация.

Струва си да се добави, че новите разпоредби за мониторинг показват, че той трябва да служи за конкретни цели, като безопасност на служителите, съхраняване на фирмени тайни и защита на собствеността. Мониторингът не трябва да се използва за контрол върху работата на служител, така че работодателят няма да може да използва получените по този начин материали срещу него, ако открие нарушения, причинени от служителя. Устройствата за наблюдение не трябва да се разполагат в помещения, които не са свързани с извършването на работа, като съблекални, кухня за персонала, санитарни помещения и др. Работодател, който възнамерява да инсталира наблюдение, трябва да информира служителите по обичаен за дадено работно място начин, не по-късно от 14 дни преди старта му.

Използване на съществуващи съгласия

По правило работодателят може да използва събраните до момента съгласия за обработка на лични данни преди 25 май 2018 г., ако лицата са дали това съгласие доброволно, съзнателно, недвусмислено и конкретно и са били информирани за възможността за оттеглянето им. по всяко време (чл. 11 GDPR). Получените до момента съгласия трябва да отговарят на стандартите, заложени в новите разпоредби.

Съгласно съображение 171 от GDPR, ако обработването на лични данни се основава на съгласие съгласно Директива 95/46 / ЕО, субектът на данните не трябва да дава повторно съгласие, при условие че първоначалният метод отговаря на разпоредбите на този Регламент; това позволява на администратора да продължи обработката след датата на прилагане на настоящия регламент. Следователно, ако съществуващите съгласия отговарят на горните условия, те ще останат валидни.

След 25 май 2018 г. съгласието за обработка на лични данни следва да бъде изрично изразено. Методът за оттегляне на съгласието трябва да бъде възможен по всяко време, без ненужни затруднения. Работодателите трябва да се погрижат за правното основание на дадените до момента съгласия.

Работодателите трябва да бъдат подготвени, че в случай на проверка от Службата за защита на личните данни (UODO), те трябва да покажат не само настоящи съгласия, но и исторически съгласия за обработка на лични данни, заедно с правното основание.

Съгласно чл. 5 сек. 1, буква а от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица по отношение на обработката на лични данни и за свободното движение на такива данни и за отмяна на Директива 95/ 46 / ЕО (GDPR) личните данни трябва да бъдат:

  • обработвани законно, справедливо и прозрачно за субекта на данните („законосъобразност, справедливост и прозрачност“);

  • обработвани по начин, осигуряващ адекватна сигурност на личните данни, включително защита срещу неразрешена или незаконна обработка и случайна загуба, унищожаване или повреда, чрез подходящи технически или организационни мерки („целостта и поверителността“) (вж. член 5, параграф 1, буква е) .

Поради гореизложеното работодателят е бил длъжен да съхранява документацията по начин, който гарантира конфиденциалност, наличност, пълнота и цялост. (чл. 94 т. 9б от Кодекса на труда).

Като се вземат предвид състоянието на техническите познания, разходите за изпълнение, както и естеството, обхвата, контекста и целите на обработката, както и риска от нарушаване на правата или свободите на физически лица с различна вероятност и тежест на риска, администраторът и процесорът прилагат подходящи технически и организационни мерки, за да гарантират нивото на сигурност, съответстващо на този риск. , включително, но не само:

  • псевдонимизиране и криптиране на лични данни;

  • способността да се гарантира текущата конфиденциалност, цялост, наличност и устойчивост на системите и услугите за обработка;

  • възможността за бързо възстановяване на наличността и достъпа до лични данни в случай на физически или технически инцидент;

  • редовно тестване, измерване и оценка на ефективността на техническите и организационни мерки за гарантиране на сигурността на обработката (вижте член 32, параграф 1, буква б) от GDPR).

Нарушаването на разпоредбите за защита на личните данни се наказва с тежки глоби

Струва си да се отбележи, че новите разпоредби на GDPR предвиждат високи наказания за нарушения на защитата на личните данни. Съгласно чл. 83 сек. 5 относно GDPR нарушения на разпоредбите, отнасящи се до следните въпроси, в съответствие с ал. 2 административна глоба до 20 000 000 евро, а за предприятие - до 4% от общия му годишен световен оборот от предходната финансова година, като по-голямата от:

  • основните принципи на обработка, включително условията за съгласие, сроковете и условията, посочени в чл. 5, 6, 7 и 9;

  • правата на субектите на данни, посочени в чл. 12-22;

  • прехвърлянето на лични данни на получател в трета държава или международна организация, както е посочено в чл. 44-49;

  • всички задължения по законодателството на държава-членка, приети съгласно глава IX;

  • неспазване на разпореждане, временно или окончателно ограничаване на обработването или спиране на потока от данни от надзорния орган по реда на чл. 58 сек. 2 или неосигуряване на достъп в нарушение на чл. 58 сек. 1.

Ето защо работодателите и предприемачите трябва да се погрижат особено за правилната защита на личните данни, изготвянето на политика за защита на личните данни и подходящи процедури поради огромните наказания, които могат да бъдат наложени в резултат на проверки след 25 май 2018 г.

В заключение си струва да припомним за каталога с лични данни, които работодателят ще може да получи от кандидата за работа. По-специално това са: име и фамилия, дата на раждане, адрес за кореспонденция, имейл адрес, телефонен номер, образование, информация за предишна работа. Що се отнася до служителя, за да обработва данните му, работодателят може да получи такава информация като: адрес на пребиваване, номер на PESEL или вид и номер на лична карта, данни на деца или други членове на семейството, ако са необходими за получаване на други права на служителите. Назначените инспектори по лични данни трябва да имат експертни познания, поради водените регистри, събраните документи и дейностите по обработване на лични данни. Уведомление за нарушение на личните данни ще трябва да бъде направено спешно в рамките на 72 часа. Наблюдението на работното място и получаването на биометрични данни ще бъде възможно след получаване на съответните съгласия и информиране на служителите за горното. Съществуващите съгласия за обработка на лични данни ще останат валидни, ако отговарят на разпоредбите на регламента. Служителите трябва да имат право да оттеглят съгласието си по всяко време, като липсата на съгласие за обработка на лични данни не трябва да има отрицателни последици за тях.