На 25 май тази година влиза в сила Общият регламент относно защитата на данните (GDRP) (Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година), с който се хармонизират правилата за защита на личните данни в държавите-членки. GDRP цели да предостави по-голям контрол на физическите лица относно обработката на личните им данни, да повиши сигурността на данните, както и да предпази субектите, в случаи на нарушения на поверителността или целостта на данните им. Въпреки че основните принципи и понятия в Регламента са приложими и съгласно настоящия режим, съответно са в значителна степен вече познати на работодателите, има няколко ключови промени с важно значение за тях. GDPR въвежда нови стандарти за съгласието, като правно основание за обработка на данни, укрепва и създава нови права на субектите и предвижда завишени задължения при обработването на данни.

  1. Кандидати за работа и служители

В Регламента дефиницията на „лични данни“ е разширена и включва както име, ЕГН, адрес на физическо лице, така и някои нови категории, като онлайн идентификатор (IP address), местонахождение на лицето, генетични и биометрични данни. В работната среда лични данни представляват и автобиографията на кандидата за работа, информацията, събирана от социални мрежи, дисциплинарните наказания, оценката за работата на служителите, данните за поведението им. В този смисъл работодателите следва да актуализират своите политики и процедури или да въведат нови такива, така че да уведомят ясно своите служители кои данни са лични по смисъла на Регламента.

Преди събирането на данните, работодателите трябва да предоставят на кандидатите за работа и своите служители кратка, прозрачна, разбираема и лесно достъпна информация за обработката на данните, включително информация за трети лица, с които работодателите ще обменят данните (чл. 12 и 13). Необходимо е политиките за обработка да отразяват следните обстоятелства:

  • Идентификация и контакти на администратора на данни и на длъжностното лице по защита на данните (ако такова е назначено);
  • Целта на обработването и правното основание за обработването;
  • Срок на съхранение на данните;
  • Дали кандидатът/служителят има законово или договорно задължение, или друга причина да предостави данните и какви последици ще произтекат от непредоставянето им;
  • Лицата, на които ще бъдат разкрити личните данни;
  • Информация относно трансфера на данни извън Европейското икономическо пространство.

При трудовите правоотношения работодателите често обработват лични данни на основание техния легитимен интерес, което означава, че обработването е необходимо за целите на легитимните интереси на работодателя или на трета страна. В този случай работодателят трябва да обясни на субектите в какво се състои легитимният му интерес, както и да извърши оценка дали интересите или основните права и свободи на служителите нямат преимущество пред неговия легитимен интерес. В тази връзка, работодателят следва също да съобрази, че при обработване за целите на легитимния интерес, по всяко време служителите имат право на възражение срещу обработването на основания, свързани с неговата конкретна ситуация.

Работодателят следва също да предостави и следната допълнителна информация:

  • Информация относно правата на кандидатите/служителите във връзка с личните им данни;
  • Правото им да оттеглят съгласието си, в случай че данните са събрани на това основание;
  • Правото да подадат жалбата пред националния регулатор – Комисия за защита на личните данни;
  • Съществуването на автоматизирано вземане на решения, включително профилирането, ако такова е налице.
  1. Съгласието като правно основание за обработване на данни на работното място

Новите правила за обработване на лични данни въз основа на съгласие са най-значимото изменение на законодателството от гледната точка на работодателите и трудовите правоотношения. В трудовите договори често се включват стандартни клаузи, обективиращи съгласието на служителя, работодателят да обработва личните му данни. Спорно е доколко съгласно действащия закон такава бланкетна клауза съставлява валидно правно основание за обработването с оглед на зависимостта, която възниква в резултат на отношенията работодател/служител[1]. GDPR затвърждава това положение, като ясно посочва, че съгласието няма да се счита за валидно дадено, когато е „налице очевидна неравнопоставеност между субекта на данните и администратора“. Това е обусловено от самата дефиниция на съгласие, според която то следва да е свободно изразено, конкретно, информирано и недвусмислено. Предвид неравнопоставеността на силите, служителите могат да изразят свободно своето съгласие само в изключителни обстоятелства, когато приемането или отхвърлянето на дадено предложение не е обвързано с никакви последици. Това становище е ясно застъпено от КЗЛД и Работната група по чл. 29[2], чиито указания за задължителни за националните регулатори.

На следващо място, Регламентът изисква оттеглянето на съгласието да е също толкова лесно, колкото и даването му. Следователно това поставя предизвикателства пред работодателите, тъй като служителят има право да оттегли съгласието си по всяко време, от който момент обработването на данни на това основание ще бъде незаконосъобразно. Дори да са налице предпоставки за обработването на данните на друго основание, Регламентът въвежда забрана за преминаване от едно основание на друго, поради което работодателят следва незабавно да преустанови обработването на данните. В случай че е налице друго правно основание, преди обработването на данните е необходимо работодателят да уведоми служителя, че ще обработва данните на това основание и да предостави информацията, подробно описана в предходната точка. Например, при извършване на видеонаблюдение на работното място работодателите често разчитат на съгласието на служителите си, но е препоръчително да преразгледат тази си политика и да преценят дали не могат да се позоват на друго основание за обработването.

  1. Повече права на служителите като субекти на лични данни

Регламентът извежда като водещи принципите на прозрачност и отчетност. Конкретните проявления на тези принципи са в ясно формулираните права на служителите и кореспондиращи на тях задължения на работодателите. Служителите се ползват с право на информираност, съгласно което при събирането на личните им данни те следва да получат информация относно обработването, съдържащо реквизитите на чл. 12 и 13, описани в първата част на тази статия.

Други, относими в работната среда, права на служителите са правото на достъп, правото на коригиране, правото на изтриване (право „да бъдеш забравен“), правото на ограничаване на обработването от страна на работодателя и трети лица, на които е предоставил данните и правото на преносимост. Работодателят, съответно, трябва да осигури условия служителят да упражни правата си.

Особени предизвикателства се поставят пред работодателите във връзка с правото на достъп, тъй като Регламентът изисква в срок до един месец от получаване на искането, работодателят да предостави на служителя информация какви лични данни обработва за него, целите и основанието за обработването, за какъв срок се съхраняват данните, право на жалба срещу обработването и други, изброени в чл. 15. В допълнение служителят има право да получи копие от личните данни, които са в процес на обработване, когато това не влияе неблагоприятно върху правата и свободите на други лица.

Правото на изтриване изисква от работодателя да изтрие личните данни за служителя при искане от него, когато личните данни повече не са необходими за целите, за които са били събрани, служителят е оттеглил съгласието си и не е налице друго основание за обработването, или служителят е възразил и няма други законни основания за обработването, които да имат преимущество. В допълнение работодателите имат задължение да уведомят и трети лица, на които се предоставили данните, че служителят е поискал тяхното заличаване, или че е поискал достъп до тях и техни копия. Следва да се има предвид, че работодателите не са задължени да изтрият данните, ако обработването е необходимо за спазване на правно задължение, напр. съхраняване на ведомости за заплати за срок от 50 години съгласно Закона за счетоводството.

В заключение, завишените изисквания към защитата на личните данни поставят редица предизвикателства пред работодателите и необходимост от задълбочен анализ на процесите на обработка на данни. Въз основа на резултатите от този анализ, работодателите следва да въведат необходимите организационни и технически мерки, за да демонстрират съответствие с Регламента. С оглед задължението им да създадат възможност служителите да упражнят правата си, работодателите следва да предвидят процедури, които да им позволят в разумен срок да идентифицират личните данни и удовлетворят исканията на служителите, когато са налице предпоставките за това.

[1] Становище 8/2001 РГ29
[2] Становище 2/2017 относно обработването на данни на работното място

16
Коментирайте

avatar
нови хронологично най-добре оценени
GDPR-Audit
GDPR-Audit
11 юли 2018 14:24
Гост
GDPR-Audit
GDPR-Audit
11 юли 2018 14:18
Гост

Точно за работодателите при трудово-правни отношения легитимния интерес е последен като основание /използва се най-вече при видеонаблюдение, контрол на достъпа/ , преди това са преддоговорни и договорни отношения, законови задължения , а съгласието е в изключително крайни редки случаи, които нямат общо с трудово-правните отношения!!!

Юлиан Узунов
Юлиан Узунов
16 май 2018 0:42
Гост

Интересувам се как се третират личните данни на лица, с които администраторът на данни няма пряка връзка. Например правна кантора, на която клиентът е предоставил документи (например договори и други), където фигурират трети лица. Също така преводаческа агенция, на която е възложено превод на документи, които съдържат лични данни на трети лица, с които тя няма контакт (например документи за собственост, договори и т.н.).

Economix
Economix
22 май 2018 20:17
Гост

Въпросът не е напълно ясен, но вероятно става дума за отношения между администратор (този, който предоставя данните и казва какво да се прави с тях) и обработващ. За да се предоставят данни може да е необходимо съгласие на съответното лице и то да бъде информирано за какво става дума (освен ако данните не се предоставят на законово основание)

Анонимен
Анонимен
13 април 2018 10:46
Гост

Здравейте, интересувам се ЕТ, трябва ли да попълва някакъв формуляр във връзка с новата ситуация и какъв трябва да бъде?

МАРИЯ МИТАЛОВА
МАРИЯ МИТАЛОВА
10 май 2018 19:57
Регистриран

Трябва ми информация за да ви отговоря. Ако желаете ми пишете на mmitalova@abv.bg
адв. Миталова

Сузана
Сузана
03 април 2018 12:24
Гост

Интересна е възможността „да бъдеш забравен“. Не звучи особено приложима хипотеза, предвид факта, че в 90 % от случаите съществува законово изискване за субекта, който обработва личните данни, да пази архиви. Въпросът е дали средностатистическият гражданин наистина ще получи възможност да защитава допълнителните права, които му дава този регламент и как ще се справя комисията с вероятното рязко завишаване обема на работа.

Анонимен
Анонимен
03 април 2018 23:07
Гост

Как ще се справя ли? Подозирам, че след като бъде залята със сигнали, комисията ще раздуе щата с оправдание „натовареност”, а накрая ще симулира дейност, каквато е практиката на държавните органи.

Анонимен
Анонимен
03 април 2018 9:40
Гост

Освен предизвикателства, пред работодателите се поставят и множество спънки. Да не говорим за чудовищните глоби.

Анонимен
Анонимен
03 април 2018 8:36
Гост

Пълни глупости. Ако се откажа да ми обработват личните данни и да бъда „изтрит“ какво ми гарантира, че информацията за мен няма да е архивирана предварително и да бъде използвана, въпреки несъгласието ми.

Минувач
Минувач
03 април 2018 8:49
Гост

Има си Закон за защита на личните данни, който предполагам ще бъде допълнен, или изменен

възмутена
възмутена
03 април 2018 16:41
Гост

Регламентът влиза в сила със или без изменения в закона. Уж трябваше да има, ама нищо не е написано!

Петя
Петя
03 април 2018 8:31
Гост

Харесва ми, че се въвеждат по-строги правила във връзка с международния трансфер на данни, защото по този начин преносимостта на данни става основно право на субекта.

Анонимен
Анонимен
03 април 2018 8:00
Гост

Този регламент беше написан за компании като Фейсбук, но ще ни побъркат всички

човешки ресурси
човешки ресурси
03 април 2018 7:23
Гост

Според мен трябва да има данни, за които се презюмира, че си дал съгласие да бъдат обработвани от работодателя със самия факт, че вече работиш при него. Друго е със сивитата и други документи, които се изикват при кандидатстване за работа, а после не си бил нает.

Анонимен
Анонимен
03 април 2018 7:17
Гост

Изискванията изглеждат съвсем логични, ама ще затънем в поредната бумащина