Обработка персональных данных в процессах найма

How Can We Help?
Drukuj

Правовая основа:

  • Регламент (ЕС) 2016/679 Европейского Парламента и Совета от 27 апреля 2016 года о защите физических лиц в отношении обработки персональных данных и о свободном движении таких данных, а также об отмене Директивы 95/46/ЕС (Общий регламент защиты данных).
  • Закон о защите персональных данных от 10 мая 2018 года (далее: RODO)

Персональные данные: в соответствии с Директивой 95/46/EC, “персональные данные” означает любую информацию, касающуюся идентифицированного или возможно идентифицированного физического лица (“касательного субъекта данных”).

Это:

  • имя и фамилия
  • PESEL
  • адрес
  • дата рождения
  • электронная почта
  • Телефон
  • онлайн-идентификатор (IP-адрес, идентификатор cookie) или один или более факторов, характерных для физической, физиологической, генетической, психической, экономической, культурной или социальной идентичности.

Конфиденциальные персональные данные: RODO не содержит четкого определения понятия конфиденциальных персональных данных. В положениях о правилах обработки данных вы можете найти информацию в статье 9, которая подлежит особой защите, и определены правила этой защиты. Запрещается обработка персональных данных, указывающих на расовое или этническое происхождение, политические взгляды, религиозные или идеологические убеждения, членство в профсоюзах, а также генетические данные, биометрические данные с целью однозначной идентификации физического лица или данные о здоровье, сексуальной ориентации этого человека.

Правовая основа обработки персональных данных: Персональные данные могут обрабатываться на основе одного из трех условий:

Законный интерес. Ситуация, когда из-за законного интереса субъект может обрабатывать персональные данные даже без согласия. Пример: рекрутер имеет юридическую заинтересованность в обработке персональных данных кандидата, поскольку его работа заключается в подборе сотрудников.

Согласие. Согласие лица, данные которого обрабатываются. Это самая простая ситуация, когда кандидат прямо или косвенно дает согласие на обработку своих данных.

Юридическая обязанность. Ситуация, когда законодательство, например, Кодекс законов о труде, разрешает субъекту обрабатывать персональные данные.

Для обработки персональных данных в соответствии с законом достаточно одного из указанных оснований.

Обязательства работодателя в отношении RODO:

Потенциальный работодатель обязан cообщить кандидату на работу:

  • название и адрес компании
  • имя специалиста по защите данных (если в компании есть лицо, выполняющее функции ІОD)
  • цель, с которой он хочет обрабатывать данные (и правовую основу, то есть ссылку на конкретный параграф)
  • известные ему получатели персональных данных
  • намерение обрабатывать персональные данные за рубежом (при необходимости)
  • как долго будут обрабатываться персональные данные

и сообщить: как вы можете подать запрос на доступ к своим персональным даннымкогда вы имеете право отозвать свое согласие на обработку данныхна право обращения с жалобой к Председателю UODO о добровольности или обязательстве предоставить данные и последствия их непредоставления.

Где потенциальный работодатель должен разместить эту информацию?

в объявлении о работе или в обратной связи сразу после получения заявления от кандидата.

Личные данные, необходимые на этапе подбора персонала от кандидата: Согласно действующей редакции ст. 221 § 1 КЗоТ работодатель обязан получить (“требовать”) следующие персональные данные:

  • Имя (имена) и фамилия,
  • Дата рождения,
  • Контактные данные, указанные кандидатом. На практике, обычно это номер телефона или адрес электронной почты; ничто не мешает работодателю (например, в форме приема на работу) указать обе желаемые формы контакта, и кандидат должен предоставить по крайней мере одну из них,
  • Образование,
  • Профессиональные квалификации, понимаемые в широком смысле не только как опыт или навыки, но и как соответствующие психофизические особенности и склонности, Опыт предыдущей работы
  • Однако законодательно введено определенное ограничение, указывая, что сведения об образовании, профессиональной квалификации и ходе предыдущей работы могут требоваться только тогда, когда эти данные необходимы для выполнения работы определенного вида или на конкретной должности. Работодатель не должен собирать такую информацию, если для работы на определенной должности не требуется особая квалификация или опыт или каждый раз эта должность требует предварительного обучения. (Важно: вышеприведенный каталог данных не содержит имен родителей и адреса проживания/переписки, которые пока не могут требоваться от кандидата на этапе приема на работу).

Как компания документировала информацию, предоставленную кандидатом

Кандидат должен предоставить вышеуказанные данные работодателю в форме заявления (например, включив соответствующую информацию в CV). Но работодатель имеет право потребовать, чтобы они были документально подтверждены, в частности, подав соответствующие документы (например, диплом об окончании обучения или справки с места работы). Однако, принимая во внимание принцип минимизации и ограничения хранения (статья 5(1)(c) и (e) RODO), рекомендуется, как правило, не хранить копии таких документов, если: на основании предоставленных оригиналов мы можем сделать вывод, что информация, предоставленная в резюме, является правильной и соответствует фактам. Однако иногда такие копии могут быть полезными для выполнения обязательств работодателя, напр. Однако сбор таких документов должен происходить только в обоснованных случаях.

Срок хранения персональных данных кандидата

Срок хранения персональных данных кандидатов зависит от результата процесса набора. Если конкретное лицо не выбрано, оснований для дальнейшей обработки его персональных данных нет. Их следует немедленно удалить, если кандидат не дал согласия на обработку этих данных для будущего найма на определенный период времени. Опубликовано решение суда, которое отменяет решение главы Управления по защите персональных данных и предусматривает, что работодатель может хранить резюме кандидата в течение 3 лет после завершения процесса найма.

При определенных обстоятельствах, особенно когда существует высокая вероятность того, что неудачный кандидат будет подавать претензии, ссылаясь на вероятную дискриминацию в процессе найма, работодатель может хранить персональные данные такого кандидата до окончания срока исков, ссылаясь на свой законный интерес (ст. 6 раздел 1 литера f RODO). Однако такую ситуацию следует считать исключительной и должным образом обосновать ходом конкретного процесса найма.

С другой стороны, если данный кандидат трудоустроен, заявления и документы по его персональным данным, собранные при приеме на работу, должны храниться в личном деле работника (часть А). Они будут обрабатываться до окончания его трудовых отношений и в течение 10 лет после окончания календарного года, в котором закончились трудовые отношения. (Распоряжение Министра семьи, труда и социальной политики от 10 декабря 2018 г. о документации работников, § 3 п. 1 ст. 94 п. 9б Кодекса законов о труде)

Персональные данные кандидатов могут обрабатываться работниками, которые имеют соответствующее разрешение, предоставленное работодателем и связанное с их профессиональными обязанностями. Они также должны взять на себя обязательство сохранять эти данные конфиденциальными. Только в случае обработки конфиденциальных данных обязательство о конфиденциальности не обязательно вытекает из содержания разрешения, поскольку это законодательное обязательство, которое непосредственно вытекает из ст. 22(1)b § 3 второе предложение Кодекса законов о труде.

Обязательства по информации о кандидате: работодатель как распорядитель персональных данных также должен выполнять обязательства по информации о каждом кандидате, о которых говорится в статье 13 RODO. Это нужно делать каждый раз, когда собирается любая личная информация. Такое положение должно быть доступно как можно быстрее, то есть вместе с объявлением о работе (путем размещения его содержания, ссылки, перенаправляющей на его содержание, или в виде флажка), в электронном письме в ответ на полученную заявку от кандидата (в виде вложения, содержания электронного письма или путем предоставления ссылки, после нажатия которой вы будете перенаправлены на этот пункт), и в крайнем случае, его следует предоставить в бумажном виде до начала собеседования.

Может ли работодатель использовать данные кандидатов на работу, полученные в конкретном процессе найма, для целей будущего найма?

Нет, если кандидат на это не дал согласия. После завершения процесса найма работодатель должен удалить персональные данные кандидата. Однако, если кандидат на работу в документах, поданных потенциальному работодателю, дал согласие на обработку его данных для участия в будущих наборах, которые проводит работодатель, эти данные могут быть обработаны с этой целью.

Можно ли искать работников под т.н. скрытый рекрутинг?

Для проведения “скрытого” рекрутинга обычно используются интернет-порталы, которые выступают посредниками в вербовке, предоставляя инструмент, используемый для публикации объявлений. Такой тип найма нельзя считать соответствующим положениям о защите персональных данных, поскольку кандидат не знает, какая организация собирает его персональные данные и против какой организации он может реализовать свои права. Мы не можем говорить о правильном выполнении обязательства об информации также в ситуации, когда оговорка об информации направляется потенциальным работодателем в ответ на полученное заявление, поскольку обязанность проинформировать, среди прочего, о личности работодателя должна осуществляться им на этапе сбора персональных данных, а не на этапе их записи. Лицо, предоставляющее персональные данные, должно знать, с кем оно ими делится. Это особенно важно в ситуациях, когда объявления о работе являются способом для нечестных организаций получить персональные данные для собственных целей, не связанных с трудоустройством работников.

Штрафные санкции за нарушение RODO

RODO указывает максимальные размеры штрафов, которые контролирующие органы могут наложить на организацию, которая обрабатывает персональные данные и совершает нарушения. Обработкой персональных данных считается любая операция с персональными данными, например просмотр, отправка, сбор, загрузка, изменение или удаление.

В Польше органом, уполномоченным налагать санкции, предусмотренные RODO, является президент Управления защиты персональных данных. По результатам проведенного производства в порядке административного постановления накладываются взыскания. Административные штрафы направлены на предотвращение недобросовестных практик обработки персональных данных. В случае нарушения RODO контролирующий орган может наложить административный штраф. UODO также может применить, например, напоминание или ввести ограничения по обработке данных. Административный штраф налагается, когда другие меры признаются недостаточными.

Административный штраф

В случае нарушения основных принципов обработки данных (статья 5 RODO), таких как законность, надежность и прозрачность, минимизация данных, отсутствие базирования обработки на одной из предпосылок, указанных в статье 6 или статье 9 RODO, на администратора налагается административный штраф в размере до 20 000 000 евро, а в случае предприятия – до 4% от его общего годового оборота во всем мире.

Меньший штраф (10 000 000 евро, компания 2% годового мирового оборота) рискует нарушить положения относительно, например, внедрения соответствующих организационных и технических мер (статья 32 RODO) или обязательства проводить данные оценка воздействия на защиту (статья 35 RODO).

RODO указывает на ряд факторов, которые следует принимать во внимание при определении суммы финансового штрафа, в частности:

  • характер нарушения, его тяжесть и продолжительность,
  • действия, предпринятые для минимизации убытков,
  • степень ответственности контролера данных,
  • поведение после нарушения правил защиты (например, степень сотрудничества с надзорным органом),
  • категории персональных данных, которых касается нарушение положений RODO,
  • другие отягчающие или смягчающие факторы (например, полученные финансовые выгоды или избежание убытков).

Уголовная ответственность. Кроме ответственности, связанной с возможностью наложения административного штрафа, возможна также уголовная ответственность (ст. 107 RODO). Уголовная ответственность может быть привлечена только к физическим лицам, на практике это будут, например, служащие или лица руководящего состава или конкретные должностные лица. Однако ни одна организация, например общество с ограниченной ответственностью, фонд или государственный орган, не может быть привлечена к уголовной ответственности.

Гражданская ответственность. Закон RODO также предусматривает гражданскую ответственность перед субъектами данных. Любое лицо, которое понесло материальный или нематериальный ущерб в результате нарушения положений RODO, имеет право на получение компенсации за причиненный ущерб. Запрос может быть адресован как процессору, так и контроллеру. Что касается возможных компенсаций, то нормативно-правовые акты не определяют их максимальные размеры.

За что могут быть наложены штрафы RODO в размере до 20 миллионов евро или на сумму до 4% от общего годового оборота компании?

Положение перечисляет следующие виды нарушений:

  • нарушение основных принципов обработки, включая условия согласия, указанные в статьях 5, 6, 7 и 9 RODO,
  • невыполнение обязательств по надлежащему информированию и связи в соответствии со статьей 12 RODO,
  • несоблюдение информационных обязательств в случае сбора первичных и вторичных данных в соответствии со статьями 13 и 14 RODO,
  • несоблюдение прав лица, чьи данные обрабатываются: право на доступ к данным, право на исправление данных, право на удаление данных, право на ограничение обработки, право на передачу данных, право на возражение, право не подлежать автоматическому принятию решений,
  • нарушение правил передачи данных за пределы ЕЭЗ, то есть передача персональных данных получателю в третьей стране или международной организации,
  • невыполнение временного распоряжения или окончательного ограничения обработки или приостановления потока данных, выданного надзорным органом в соответствии со статьей 58 абз. 2 RODO или непредоставление доступа, что привело к нарушению статьи 58(1) RODO.

Надзорный орган может наложить штрафы в размере до 10 миллионов евро или до 2% годового оборота в случае нарушения:

  • правила обработки персональных данных детей в рамках условий согласия ребенка в случае услуг информационного общества ст.8 RODO,
  • правила, связанные с обработкой, которая не требует идентификации Статья 11 RODO,
  • обязательства принимать во внимание принципы конфиденциальности по проекту и конфиденциальности по умолчанию,
  • правила и обязательства, вытекающие из совместного контроля статьи 26 RODO,
  • обязательства субъекта обработки и обязательства администратора, связанные с поручением обработки статьи 28 RODO,
  • связанные с обработкой данных без соответствующих разрешений, предоставленных контролером или обработчиком, статья 29 RODO,
  • обязанность вести реестр деятельности или реестр категорий деятельности – статья 30 RODO
  • обязательство сотрудничать с надзорным органом, статья 31 RODO,
  • обязательство обеспечить безопасность обработки в соответствии со статьей 32 RODO,
  • обязательство уведомить надзорный орган о нарушении защиты персональных данных, статья 33 RODO,
  • обязательство уведомлять субъекта данных о нарушении персональных данных в соответствии со статьей 34 RODO,
  • обязательство провести оценку влияния на защиту данных, статья 35 RODO,
  • обязательность предварительной консультации, статья 36 RODO
  • обязательство назначить уполномоченного по защите данных, а также гарантия статуса инспектора и положения, описывающие его задачи,
  • положения, касающиеся подачи заявки на сертификат, содержатся в статье 42 RODO.
Unions Help Refugees