Общи бележки
Работодателят е администратор на лични данни на свои служители. Често е администратор на лични данни и на свързани лица със свои служители – деца, семейство и т.н. Работодателят може да е администратор на лични данни и на други субекти, различни от неговите служители и/или свързани с тях лица.
Най-често работодателят обработва част от личните данни самостоятелно, а по отношение на друга част от личните данни възлага обработването им на обработващи личните данни.
Поради спецификата на отношението работодател – работник, работодателят е администратор на лични данни, при които следва да се имат предвид редица особености.
Преди обаче да разгледам спецификите на работодателя като администатор на лични данни, ще разгледам накракто основни понятия във връзка с обработването на лични данни.
Администратор
Според легалната дефиниция на Общия регламент относно защита на личните данни, по-известен като GDPR (General Data Protection Regulation), администраторът на лични данни е „физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни. Когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка“
Видно от тази дефиниция, ключовият белег за определяне на това дали едно лице е администратор е дали това лице определя целите и средствата за обработване на данните или с други думи – дали това лице взима решенията защо и как се обработват личните данни.
Определяне на целите и средствата (защо и как) за обработка на данните лицето може да взима самостоятелно – тогава имаме самостоятелен администратор или съвместно с други администратори и тогава сме изправени пред така наречените съвместни администратори.
Работодателят тук го разглеждам единствено самостоятелния администратор.
Трябва ли да работодателят да се регистрира като администратор на лични данни?
Важно е да се отбележи, че изискването за регистриране на администраторите на лични данни в Комисията за защита на личните данни (КЗЛД) отпадна с влизане в сила на GDPR. Въпреки това все още има хора, които имат неясноти дали фирмата им, след като не е регистрирана в КЗЛД, е администратор на лични данни или пък е обработващ лични данни, или изобщо няма никакви задължения по защита на данните.
В момента законодателството е такова, че работодателят става администратор на лични данни, в момента, в който започне тяхно обработване. Това може да стане още в процеса на търсене на кадри, а може и при сключване на трудовия договор – зависи от ситуацията.
Обработващ лични данни
Обработващият лични данни е определен в GDPR като „физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора“.
От тази дефиниция на GDPR се вижда, че основните характеризиращи белези на обработващия личните данни са:
1. Отделно, външно за администратора, лице. Обработващият лични данни не е служител на администратора и не е част от неговата структура, което лице
2. обработва личните данни от името на администратора, тоест действа в изпълнение на възлагане от страна на администратора.
Обработващият лични данни може да е едновременно и администратор на собствено основание за други данни – например данни на неговите служители.
GDPR изисква отношенията между администратора и обработващия лични данни да бъдат уредени чрез писмен договор, при това GDPR сочи изрично и минимално изискуемо съдържание на този договор.
Най-типични обработващи лични данни са счетоводителите, когато не са назначени при администратора; службите за трудова медицина; IT компании във връзка с поддържащи функции, предоставящи услуги по подбор, ТРЗ и други.
Какво са лични данни?
Лични данни са всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице
Обработване на лични данни
Това е всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.
Основания за обработване на лични данни
GDPR дава шест основания за обработване на лични данни.
Съгласие
Когато субектът на данни е дал изрично съгласие за обработване на личните му данни за една или повече конкретни цели.
Съгласието като основание за обработване има редица особености и е силно препоръчително да не е единственото основание за обработване.
Изпълнение на договор
Обработването на личните данни е необходимо за изпълнение на договор, по който субектът е страна или за предприемане на стъпки преди сключването на договор по искане на субекта на данни
Изпълнение на законово задължение
Обработването се изисква за спазване на законово задължение на админстратора.
За защита на жизненоважни интереси
Обработването касае защитата на жизненоважни интереси на субекта на данните или на друго лице
За целите на легитимните интереси на администратора или трета страна
Това основание се прилага при положение, че легитмните интереси на администратора или третата страна имат преимущество пред интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете.
Особености на работодателя като администатор на лични данни
На какви основания работодателят обработва лични данни?
Предвид спецификата на трудовото правоотношение за работодателя най-често са налице следните основания за обработване на лични данни:
- Изпълнение на законово задължение;
- Изпълнение на договор;
- Защита на легитимни интереси.
Уточнявам, че за работодателя може да е налице и всяко едно друго основание за обработване на лични данни, включително и съгласие. Посочените горе са типичните основания за обработване на лични данни от работодател.
Работодател и съгласие за обработване на лични данни
Съгласието, за да е валидно основание за обработване на лични данни, трябва отговаря на следните условия: да е свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени.
Обработването на лични данни от работодателя на основание съгласие на работника има своите специфики и крие редица рискове за работодателя.
Особеността на съгласието като основание за обработване на лични данни се състои в това, че администраторът трябва да е в състояние да докаже даването на съгласието. Съгласието трябва да е дадено свободно. В GDPR са дадени критерии относно преценката дали съгласието е дадено свободно.
Съгласието като основание за обработване на лични данни е най-нестабилно в сравнение с другите основания.
Съгласието може да бъде оттеглено, при това оттеглянето трябва да е толкова лесно, колкото и даването. След оттегляне на съгласието, администаторът не разполата с основание да продължи да обработва личните данни.
В какво се състоят рисковете за работодателя, ако обработва лични данни по съгласие
Съгласието е нестабилно
На първо място съгласието като основание за обработване на лични данни е нестабилно – ако не е налице друго основание за обработването, след оттеглянето му работодателят (администраторът) трябва да преустанови последващо обработване.
От практическа гледна точка това не е толкова често срещана хипотеза, тъй като работодателят обработва личните данни на своите служители обикновено на други основания. Това означава, че няма как, например, ако поради незнание работодателят е поискал съгласие от своя работник за обработване на данните му за сключване на трудов договор, да преустанови тяхното обработване, ако работникът реши да оттегли съгласието си, защото това обработване се изисква за изпълнението на законово задължение например.
Връзката работодател – работник е особена
На второ място трябва да се има предвид връзката между работодателя и работника. Това е връзка, при която страните се намират в йерархична подчиненост и зависимост, което означава, че не са равнопоставени и в този контекст свободното даване на съгласие се поставя под въпрос. В този смисъл следва да се имат предвид становищата на Работната група за защита на личните данни по чл. 29 с правоприемник Европейския комитет за защита на данни относно съгласието като основание за обработване на лични данни на работното място.
Според становищата се приема, че работниците и служителите рядко са в позиция да дават, отказват или оттеглят свободно своето съгласие с оглед на зависимостта, която възниква в резултат на отношенията работодател – работник/служител. Ето защо, освен в изключителни ситуации, работодателите трява да могат да се позовават на друго основание за обработването на лични данни.
Както вече отбелязах, нашето законодателство изисква от работодателите да обработват редица лични данни на своите служители, така че основанието е поне едно – изпълнение на законово задължение.
Следва да се отбележи, че съгласието като основание за обработване на лични данни рядко е самостоятелно основание, дори и на пръв поглед да изглежда, че това не е така. Най-често наред със съгласието е налице още едно основание.
Работодателят като администратор има право да обработва чувствителни данни
GDPR забранява обработването на специални категории лични данни (чувствителни данни), освен в случаите на изключение.
Чувствителни лични данни са лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, както и обработването на генетични данни, биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице
По силата на изключенията, дадени в GDPR, работодателят има право да обработва чувствителни данни (най-често свързани със здравословното състояние) на своите служители, защото това се изисква за целите на изпълнение на задължения и упражняване на специални права. Така например, за да може да получи обезщетение за временна неработоспособност (болничен) служителят трябва да предостави на своя работодател данни за своето здравословно състояние. От своя страна работодателят е длъжен да обработи тези данни в изпълнение на законови задължения.
Друго от изключенията, даващи право на работодателя да обработва чувствителни лични данни е по необходимост за целите на превантивната или трудова медицина, за оценка на работоспособността, медицинска диагноза, осигуряване на здравни или социални грижи или лечение, или ечение, или за целите на управлението на услугите и системите за здравеопазване или социални грижи въз основа на правото на ЕС или правото на държава членка или съгласно договор с медицинско лице и при условията и гаранциите, дадени в GDPR.
Какви данни обработва най-често работодателя
Най-често работодателите обработват лични данни като имена, ЕГН, адрес, образование, квалификации, здравословно състояние, семейно положение, лични данни на деца и други.
Задължения на работодателя по Закона за защита на личните данни
GDPR е основният акт, който регулира обработватено на лични данни в България. Съществува обаче и Закон за защита на личните данни, в който също има специфични задължения, правила и условия, касаещи обработването на лични данни, които допълват GDPR. Част от тях касаят директно работодателите.
Задължения при набиране и подбор на персонал
В процеса на набиране и подбор на персонал се събират лични данни на кандидатите. Най-често тези данни идват от CV-та, но може да са предоставени и допълнително в процеса на подбор.
Нашият закон задължава работодателя като администратор на лични данни да определя срок за съхранение на лични данни на участници в процедури по набиране и подбор на персонала. Определеният срок не може да е по-дълъг от 6 месеца, освен ако кандидатът е дал своето съгласие за съхранение за по-дълъг срок.
След изтичането на срока работодателят изтрива или унищожава съхраняваните документи с лични данни, освен ако специален закон предвижда друго.
Когато в процедурата по набиране и подбор работодателят е изискал да се представят оригинали или нотариално заверени копия на документи, които удостоверяват физическа и психическа годност на кандидата, необходимата квалификационна степен и стаж за заеманата длъжност, той връща тези документи на субекта на данни, който не е одобрен за назначаване, в 6-месечен срок от окончателното приключване на процедурата, освен ако специален закон предвижда друго.
Други задължения на работодателя по Закона на защита на личните данни
Законът за защита на лични данни изисква работодателят да приема правила и процедури при:
1. използване на система за докладване на нарушения;
2. ограничения при използване на вътрешнофирмени ресурси;
3. въвеждане на системи за контрол на достъпа, работното време и трудовата дисциплина.
Правилата и процедурите съдържат информация относно обхвата, задълженията и методите за прилагането им на практика. С тях се отчитат предметът на дейност на работодателя и свързаното с него естество на работата. Правата на субектите на лични данни, предоставени от GDPR и по Закона за защита на личните данни не могат да бъдат ограничавани от работодателя.
Работодателят уведомява работниците за приетите правила и процедури.
Може ли работодателят да обработва лични данни от профили в социални медии на свои служители или на кандидати за работа?
Такова обработване може да бъде обосновано, ако е налице основание за това. Следва да се има предвид, че дори и профилът да е публичен, това не е достатъчно да се приеме, че работодателят има право да обработва лични данни от там.
Видеонаблюдение на работното място
Работодател може да извършва видеонаблюдение на работното място само когато:
1. целта е контрол на работния процес и спазване на работното време и
2. целта не може да бъде постигната по друг начин.
Едновременно с това трябва да е налице нормативно основание за видеонаблюдението на работното място или изрично съгласие на работниците/служителите.
Когато става въпрос за наблюдение на работното място при работа от разстояние (най-често при home office), следва да се има предвид, че Кодексът на труда позволява това, ако системата за наблюдение се поставя само ако се налага и е получено писмено съгласие на работника или служителя. При поставянена системата за наблюдение задължително се отчита правото на лично пространство.
Копиране на лични карти
Един често срещан въпрос от страна както на работодатели, така и на работници или служители.
Съгласно Закона за защита на личните данни администратор или обработващ лични данни може да копира документ за самоличност, свидетелство за управление на моторно превозно средство или документ за пребиваване само ако това е предвидено със закон.
Други задължения на работодателя като администратор на лични данни
Следва да се има предвид, че разгледаните тук задължения на работодателя не са изчерпателно изброени. За работодателя като администратор на лични данни са налице и други задължения, които той следва да спазва.
Автор: Радостина Янева, адвокат трудово право и медиатор.
Тази публикация не представлява правно становище или правен съвет, свързан с конкретна ситуация или конкретен субект и не претендира за изчерпателност. Ако тази публикация ви е харесала или я намирате за полезна, споделете я в социалните мрежи.
За консултация по трудово право или за медиация може да се запишете на посочените телефон, адрес или форма за контакт.