Обробка персональних даних у процесах найму

Drukuj

Правова основа:

  • Регламент (ЄС) 2016/679 Європейського Парламенту та Ради від 27 квітня 2016 року про захист фізичних осіб щодо обробки персональних даних і про вільний рух таких даних, а також про скасування Директиви 95/46/ЄС (Загальний регламент захисту даних).
  • Закон про захист персональних даних від 10 травня 2018 року (далі: RODO

Персональні дані: відповідно до Директиви 95/46/EC, «персональні дані» означає будь-яку інформацію, що стосується ідентифікованої або можливо ідентифікованої фізичної особи («дотичного суб’єкта даних»).

Це:

  • ім’я та прізвище
  • PESEL
  • адресу
  • дата народження
  • електронна пошта
  • Телефон
  • онлайн-ідентифікатор (IP-адреса, ідентифікатор cookie) або один чи більше факторів, характерних для фізичної, фізіологічної, генетичної, психічної, економічної, культурної чи соціальної ідентичності.

Конфіденційні персональні дані: RODO не містить чіткого визначення поняття конфіденційних персональних даних. У положеннях про правила обробки даних ви можете знайти інформацію в статті 9, яка підлягає особливому захисту, і визначено правила цього захисту. Забороняється обробка персональних даних, що вказують на расове чи етнічне походження, політичні погляди, релігійні чи ідеологічні переконання, членство в профспілках, а також генетичні дані, біометричні дані з метою однозначної ідентифікації фізичної особи або дані щодо здоров’я, сексуальної орієнтації цієї людини.

Правова основа обробки персональних даних: Персональні дані можуть оброблятися на основі однієї з трьох умов:

  • Законний інтерес. Ситуація, коли через законний інтерес суб’єкт може обробляти персональні дані навіть без згоди. Приклад: рекрутер має юридичну зацікавленість в обробці персональних даних кандидата, оскільки його робота полягає в підборі співробітників.
  • Згода. Згода особи, дані якої обробляються. Це найпростіша ситуація, коли кандидат прямо чи непрямо дає згоду на обробку своїх даних.
  • Юридичний обов’язок. Ситуація, коли законодавство, наприклад, Кодекс законів про працю, дозволяє суб’єкту обробляти персональні дані.

Для обробки персональних даних відповідно до закону достатньо однієї із зазначених підстав.

Зобов’язання роботодавця щодо RODO:

Потенційний роботодавець зобов’язаний розкрити кандидату на роботу:

  • назву та адресу компанії
  • ім’я спеціаліста із захисту даних (якщо в компанії є особа, яка виконує функції ІОD)
  • мету, з якою він хоче обробляти дані (і правову основу, тобто посилання на конкретний параграф)
  • відомі йому отримувачі персональних даних
  • намір обробляти персональні дані за кордоном (за необхідності)
  • як довго будуть оброблятися персональні дані
  • та повідомити:
    як ви можете подати запит на доступ до своїх персональних даних
    коли ви маєте право відкликати свою згоду на обробку даних
    на право звернення зі скаргою до Голови UODO
    про добровільність або зобов’язання надати дані та наслідки їх ненадання.

Де потенційний роботодавець повинен розмістити цю інформацію?
В оголошенні про роботу або у зворотному зв’язку одразу після отримання заяви від кандидата.

Особисті дані, необхідні на етапі підбору персоналу від кандидата:
Відповідно до чинної редакції ст. 221 § 1 КЗпП роботодавець зобов’язаний отримати («вимагати») такі персональні дані:

  • Ім’я (імена) та прізвище,
  • Дата народження,
  • Контактні дані, зазначені кандидатом. На практиці, зазвичай це є номер телефону або адреса електронної пошти; ніщо не заважає роботодавцю (наприклад, у формі прийому на роботу) вказати обидві бажані форми контакту, і кандидат повинен надати принаймні одну з них,
  • Освіта,
  • Професійні кваліфікації, що розуміються в широкому сенсі не лише як досвід чи навички, а й як відповідні психофізичні особливості та схильності,
  • Досвід попередньої роботи

Проте законодавчо введено певне обмеження, вказуючи, що відомості про освіту, професійну кваліфікацію та перебіг попередньої роботи можуть вимагатися лише тоді, коли ці дані необхідні для виконання роботи певного виду або на конкретній посаді. Роботодавець не повинен збирати таку інформацію, якщо для роботи на певній посаді не потрібна особлива кваліфікація чи досвід або щоразу ця посада потребує попереднього навчання. (Важливо: вищенаведений каталог даних не містить імен батьків та адреси проживання/листування, які наразі не можуть вимагатися від кандидата на етапі прийому на роботу.)

Як компанія документувала інформацію, надану кандидатом
Кандидат повинен надати вищевказані дані роботодавцю у формі заяви (наприклад, включивши відповідну інформацію в CV). Але роботодавець має право вимагати, щоб вони були документально підтверджені, зокрема, подавши відповідні документи (наприклад, диплом про закінчення навчання або довідки з місця роботи). Однак, беручи до уваги принцип мінімізації та обмеження зберігання (стаття 5(1)(c) і (e) RODO), рекомендується, як правило, не зберігати копії таких документів, якщо: на підставі наданих оригіналів ми можемо зробити висновок, що інформація, надана в резюме, є правильною та відповідає фактам.
Однак іноді такі копії можуть бути корисними для виконання зобов’язань роботодавця, напр. Однак збір таких документів має відбуватися лише в обґрунтованих випадках.

Термін зберігання персональних даних кандидата

Термін зберігання персональних даних кандидатів залежить від результату процесу набору. Якщо конкретну особу не обрано, підстав для подальшої обробки її персональних даних немає. Їх слід негайно видалити, якщо кандидат не дав згоди на обробку цих даних для майбутнього найму на певний період часу. Опубліковано рішення суду, яке скасовує рішення голови Управління захисту персональних даних і передбачає, що роботодавець може зберігати резюме кандидата протягом 3 років після завершення процесу найму.

За певних обставин, особливо коли існує висока ймовірність того, що невдалий кандидат подаватиме претензії, посилаючись на ймовірну дискримінацію в процесі найму, роботодавець може зберігати персональні дані такого кандидата до закінчення терміну позовів, посилаючись на свій законний інтерес (ст. 6 розділ 1 літера f RODO). Однак таку ситуацію слід вважати винятковою та належним чином обґрунтувати перебігом конкретного процесу найму.

З іншого боку, якщо даний кандидат працевлаштований, заяви та документи щодо його персональних даних, зібрані під час прийому на роботу, повинні зберігатися в особовій справі працівника (частина А). Вони будуть оброблятися до закінчення його трудових відносин і протягом 10 років після закінчення календарного року, в якому закінчилися трудові відносини. (Розпорядження Міністра сім’ї, праці та соціальної політики від 10 грудня 2018 р. про документацію працівників, § 3 п. 1 ст. 94 п. 9б Кодексу законів про працю)

Персональні дані кандидатів можуть оброблятися працівниками, які мають відповідний дозвіл, наданий роботодавцем і пов’язаний з їх професійними обов’язками. Вони також повинні взяти на себе зобов’язання зберігати ці дані конфіденційними. Лише у випадку обробки конфіденційних даних зобов’язання щодо конфіденційності не обов’язково випливає зі змісту дозволу, оскільки це є законодавче зобов’язання, яке безпосередньо випливає зі ст. 22(1)b § 3 друге речення Кодексу законів про працю.

Зобов’язання щодо інформації щодо кандидата: роботодавець як розпорядник персональних даних також повинен виконувати зобов’язання щодо інформації щодо кожного кандидата, про які йдеться у статті 13 RODO. Це потрібно робити щоразу, коли збирається будь-яка особиста інформація. Таке положення має бути доступним якнайшвидше, тобто разом із оголошенням про роботу (шляхом розміщення його змісту, посилання, що переспрямовує на його вміст, або у вигляді прапорця), у електронному листі у відповідь на отриману заявку. від кандидата (у вигляді вкладення, вмісту електронного листа або шляхом надання посилання, після натискання якого ви будете перенаправлені на цей пункт), і в крайньому випадку, його слід надати в паперовому вигляді до початок співбесіди.

Чи може роботодавець використовувати дані кандидатів на роботу, отримані в конкретному процесі найму, для цілей майбутнього найму?

Ні, якщо кандидат на це не дав згоди. Після завершення процесу найму роботодавець повинен видалити персональні дані кандидата. Однак, якщо кандидат на роботу в документах, поданих потенційному роботодавцю, дав згоду на обробку його даних для участі в майбутніх набірах, які проводить роботодавець, ці дані можуть бути оброблені з цією метою.

Чи можна шукати працівників під т.зв. прихований рекрутинг?

Для проведення «прихованого» рекрутингу зазвичай використовуються інтернет-портали, які виступають посередниками у вербуванні, надаючи інструмент, який використовується для публікації оголошень. Такий тип найму не можна вважати таким, що відповідає положенням про захист персональних даних, оскільки кандидат не знає, яка організація збирає його персональні дані та проти якої організації він може реалізувати свої права. Ми не можемо говорити про правильне виконання зобов’язання про інформацію також у ситуації, коли застереження про інформацію надсилається потенційним роботодавцем у відповідь на отриману заяву, оскільки обов’язок проінформувати, серед ін. про особу роботодавця має здійснюватися ним на етапі збору персональних даних, а не на етапі їх запису. Особа, яка надає персональні дані, повинна знати, з ким вона ними ділиться. Це особливо важливо в ситуаціях, коли оголошення про роботу є способом для нечесних організацій отримати персональні дані для власних цілей, не пов’язаних із працевлаштуванням працівників.

Штрафні санкції за порушення RODO

RODO вказує максимальні розміри штрафів, які контролюючі органи можуть накласти на організацію, яка обробляє персональні дані та вчиняє порушення. Обробкою персональних даних вважається будь-яка операція з персональними даними, наприклад перегляд, надсилання, збір, завантаження, зміна або видалення.

У Польщі органом, уповноваженим накладати санкції, передбачені RODO, є президент Управління захисту персональних даних. За результатами проведеного провадження в порядку адміністративного постанови накладаються стягнення. Адміністративні штрафи спрямовані на запобігання недобросовісним практикам обробки персональних даних. У разі порушення RODO контролюючий орган може накласти адміністративний штраф. UODO також може застосувати, наприклад, нагадування або ввести обмеження щодо обробки даних. Адміністративний штраф накладається, коли інші заходи визнаються недостатніми.

Адміністративний штраф

У разі порушення основних принципів обробки даних (стаття 5 RODO), таких як законність, надійність і прозорість, мінімізація даних, відсутність базування обробки на одній із передумов, зазначених у статті 6 або статті 9 RODO, на адміністратора накладається адміністративний штраф у розмірі до 20 000 000 євро, а у випадку підприємства – до 4% від його загального річного обороту в усьому світі.

Менший штраф (10 000 000 євро, компанія 2% річного світового обороту) ризикує порушити положення щодо, наприклад, впровадження відповідних організаційних і технічних заходів (стаття 32 RODO) або зобов’язання проводити дані оцінка впливу на захист (стаття 35 RODO) .

RODO вказує на ряд факторів, які слід брати до уваги при визначенні суми фінансового штрафу, зокрема:

  • характер порушення, його тяжкість і тривалість,
  • дії, вжиті для мінімізації збитків,
  • ступінь відповідальності контролера даних,
  • поведінка після порушення правил захисту (наприклад, ступінь співпраці з наглядовим органом),
  • категорії персональних даних, яких стосується порушення положень RODO,
  • інші обтяжуючі або пом’якшувальні фактори (наприклад, отримані фінансові вигоди або уникнення збитків).

Кримінальна відповідальність. Окрім відповідальності, пов’язаної з можливістю накладення адміністративного штрафу, можлива також кримінальна відповідальність (ст. 107 RODO). Кримінальна відповідальність може бути притягнута лише до фізичних осіб, на практиці це будуть, наприклад, службовці або особи керівного складу чи конкретні посадові особи. Однак жодна організація, наприклад товариство з обмеженою відповідальністю, фонд чи державний орган, не може бути притягнута до кримінальної відповідальності.

Цивільна відповідальність. Закон RODO також передбачає цивільну відповідальність перед суб’єктами даних. Будь-яка особа, яка зазнала матеріальної чи нематеріальної шкоди внаслідок порушення положень RODO, має право на отримання компенсації за завдану шкоду. Запит може бути адресований як процесору, так і контролеру. Що стосується можливих компенсацій, то нормативно-правові акти не визначають їхні максимальні розміри.

За що можуть бути накладені штрафи RODO у розмірі до 20 мільйонів євро або на суму до 4% від загального річного обороту компанії?

Положення перераховує такі види порушень:

  • порушення основних принципів обробки, включаючи умови згоди, зазначені в статтях 5, 6, 7 і 9 RODO,
  • невиконання зобов’язань щодо належного інформування та зв’язку відповідно до статті 12 RODO,
  • недотримання інформаційних зобов’язань у разі збору первинних і вторинних даних відповідно до статей 13 і 14 RODO,
  • недотримання прав особи, чиї дані обробляються: право на доступ до даних, право на виправлення даних, право на видалення даних, право на обмеження обробки, право на передачу даних, право на заперечення, право не підлягати автоматичному прийняттю рішень,
  • порушення правил передачі даних за межі ЄЕЗ, тобто передача персональних даних одержувачу в третій країні або міжнародній організації,
  • невиконання тимчасового розпорядження або остаточного обмеження обробки чи призупинення потоку даних, виданого наглядовим органом відповідно до статті 58 абз. 2 RODO або ненадання доступу, що призвело до порушення статті 58(1) RODO.

Наглядовий орган може накласти штрафи в розмірі до 10 мільйонів євро або до 2% річного обороту у разі порушення:

  • правила обробки персональних даних дітей в рамках умов згоди дитини у випадку послуг інформаційного суспільства ст.8 RODO,
  • правила, пов’язані з обробкою, яка не вимагає ідентифікації Стаття 11 RODO,
  • зобов’язання брати до уваги принципи конфіденційності за проектом і конфіденційності за замовчуванням,
  • правила та зобов’язання, що випливають із спільного контролю статті 26 RODO,
  • зобов’язання суб’єкта обробки та зобов’язання адміністратора, пов’язані з дорученням обробки статті 28 RODO,
  • пов’язані з обробкою даних без відповідних дозволів, наданих контролером або обробником, стаття 29 RODO,
  • обов’язок вести реєстр діяльності або реєстр категорій діяльності – стаття 30 RODO
  • зобов’язання співпрацювати з наглядовим органом, стаття 31 RODO,
  • зобов’язання забезпечити безпеку обробки відповідно до статті 32 RODO,
  • зобов’язання повідомити наглядовий орган про порушення захисту персональних даних, стаття 33 RODO,
  • зобов’язання повідомляти суб’єкта даних про порушення персональних даних відповідно до статті 34 RODO,
  • зобов’язання провести оцінку впливу на захист даних, стаття 35 RODO,
  • обов’язковість попередньої консультації, стаття 36 RODO
  • зобов’язання призначити уповноваженого із захисту даних, а також гарантія статусу інспектора та положення, що описують його завдання,
  • положення, що стосуються подання заявки на сертифікат, містяться в статті 42 RODO.
Unions Help Refugees