От 25 май 2018 ще започне да се прилага Регламент (ЕС) 2016/679. Той касае защитата на физическите лица във връзка с обработването на лични данни. Регламентът въвежда по-строги изисквания по отношение на необходимото съгласие от страна на физическите лица. Как тези промени засягат компаниите в качеството им на работодатели? С този въпрос се обърнахме към адвокат Таня Стивасарева. Тя е мениджър в Адвокатско съдружие „Ърнст и Янг“, с повече от 10 години опит в консултиране на клиенти по въпроси, свързани със защитата на личните данни, трудово право и защита на конкуренцията. Адвокат Стивасарева е съпредседател на Комитета по човешки ресурси на КРИБ, участва активно в експертни групи по промяна на законодателството в България и има международна сертификация за специалист по защита на личните данни за Европа (CIPP/E). Ето какво сподели пред екипа на Economy.bg:
Кои са основанията, на които могат да бъдат обработвани лични данни? Вижте какво сподели адв. Таня Стивасарева пред Economy.bg
Адвокат Стивасарева, кои са основанията, на които могат да бъдат обработвани лични данни? Много е важно при обработката на личните данни да се определи правилно основанието, на което се обработват данните. Законът позволява следните основания за обработка на лични данни: съгласие на физическото лице, законово задължение за обработка на данните, сключване или изпълнение на договор, защита на жизненоважни интереси на физическото лице или легитимният интерес на администратора, когато той не противоречи на законните интереси на физическото лице.
Какво трябва да представлява съгласието на физическо лице за обработка на лични данни според Регламента? Регламентът има доста детайлни правила за това какво трябва да представлява съгласието. Те в голяма степен повтарят и сегашните разпоредби, но в някои аспекти са по-строги. Съгласието категорично не може да бъде мълчаливо. То трябва да бъде изрично. Не може да се съдържа в някакво предварително отбелязано поле. Лицето трябва да направи активна стъпка, за да даде съгласието си. Съгласието трябва да бъде освен изрично и информирано. Т.е лицето трябва да дава ясно съгласие за това кои негови данни, за какви цели ще се обработват, на кои лица ще бъдат предоставени, за какъв период ще бъдат обработвани и за правата на физическото лице да възрази срещу това обработване особено ако е за целите на профилиране. Фирмите трябва задължително да информират лицата, и това е едно от основните права по Регламента, че имат право да възразят срещу обработка на техните лични данни, които се използват за профилиране.
Кои са основанията, на които работодателите най-често обработват лични данни? В отношенията между работодател и работник най-често основанието е или законово задължение, или изпълнение на договор. Трябва обаче да имаме предвид, че това, което трудовият договор изисква като задължителна информация, която да включим в него, е определено в Кодекса на труда и то е доста ограничена информация. Всичко извън това би надхвърлило обхвата на законовото задължение на работодателя да събира и обработва личните данни.
Кои са личните данни, които работодателите са длъжни да събират по силата на разпоредби в Кодекса на труда? Това, което по Кодекса на труда работодателите могат да искат и да включват в трудовия договор, са: имената на работника, неговото ЕГН, неговият постоянен адрес, вид и степен на притежаваното образование.
Бихте ли дали пример за пропуски в тази насока, които компаниите допускат? Доста типична грешка при работодателите е, че те събират лични карти. Посочват в трудовия договор номера на личната карта, от кого е издадена, кога тя изтича и съхраняват в трудовите досиета лични карти. Комисията за защита на личните данни неведнъж се е произнасяла по казуси, свързни със съхранение на лични карти в трудовото досие, и счита, че не е законосъобразно. Това е прекомерна обработка на лични данни. Не е необходимо за трудовото правоотношение работодателят да има копие на личната карта. Това е потвърдено също и от Върховния административен съд. Това е един добър пример и напомняне, че работодателите трябва наистина да бъдат внимателни и да следят за пропорционалността на обработката на личните данни, така че те да не искат повече от това, което им е необходимо за изпълнение на трудовото правоотношение. И ако законът иска конкретни неща да бъдат включени в трудовия договор, работодателят на основание на това законово задължение може да включи и да поиска от физическото лице тези данни.
Какво трябва да направи работодателят, ако иска допълнителни данни? Ако обаче работодателят иска допълнителни данни, той трябва да получи съгласието на лицето за предоставяне на тези данни, като го информира за какви цели са му необходими, колко време ще ги съхранява, че лицето има право да откаже да предостави данните, на кое юридическо лице работодателят възнамерява да предостави за обработка тези данни и т.н. Така че да може физическото лице свободно да вземе решение да даде съгласието си или не.
За предоставянето на лични данни от страна на работодателя на трето лице необходимо ли е съгласието на субекта на данните? Много важен е въпросът дали винаги е необходимо съгласие от страна на служителя. Не, невинаги. Съгласието е самостоятелно основание за обработка на лични данни тогава, когато не е налице някое от другите основания, които са: законово задължение или изпълнение на договор. В работодателските отношения много често ще бъдем изправени пред законово задължение или изпълнение на договор. Случаите, в които работодателите използват външна фирма, която предоставя payroll услуги или правни услуги и във връзка с тази услуга работодателят трябва да предостави данни на физическото лице на това трето лице. Тогава работодателят трябва да информира физическото лице, че негови определени данни, да кажем неговото име, банкова сметка и заплата ще бъдат предоставени на фирма Х за конкретни цели, която ще ги обработва в определен срок. Така че много важно е компаниите, когато се подготвят да преведат процесите и практиките съобразно с изискванията на Регламента, да направят един анализ на типовете данни, които обработват и какво е правното основание, на което ги обработват.
Какви грешки допускат работодателите най-често при обработка на лични данни?
Бихте ли дали и други примери за законови задължения? Задължения, да кажем, за предоставяне за обработка на болничен лист, изпращане на болничния в НОИ, за съхраняване на ТЕЛК решения, съответно предоставяне на определена закрила на служителите, когато имат ТЕЛК решения - всичко това идва от закона. Така че обработката на тази информация лежи в самия закон. В тези случаи работодателят няма нужда от съгласието на физическото лице за самата обработка на личните данни.
Пример за случаи, в които е необходимо съгласие? В голяма част от случаите при работник и работодател отношенията ще бъдат базирани на договорно основание, но много често има неща, които на нас ни изглежда, че са естествена част от трудовото правоотношение като например допълнителните придобивки - ваучери за храна, подаръчни карти, карти за транспорт или спорт, допълнително здравно осигуряване. Даването на данните на служителите на фирмите, доставчици на тези услуги, не е част нито от законово задължение, нито от изпълнение на договор, освен ако в договора ние не включим още при подписването му с всички служители изрична клауза че служителят ще получава конкретна придобивка, която ще бъде предоставяна конкретно юридическо лице и в тази връзка работодателят ще му предостави конкретни данни на служителя. . По този начин служителят би изразил съгласието си за обработване на данните за тази нова цел в рамките на самия договор.
Имат ли нужда от съгласие агенциите за подбор, които съхраняват автобиографии? Говорейки за работодателите и отношенията им със служителите, когато има сключен трудов договор, казахме, че те обработват лични данни на законовото си право като работодател. Когато обаче събираме CV-та и правим подбор на служители все още не сме работодател, така че е много важно компаниите, които правят подбор да се уверят, че имат съгласието на физическите лица за обработка на техните лични данни особено когато възнамеряват да съхраняват CV-та в база данни отвъд позицията, за която конкретният служител е кандидатствал. Защото, когато кандидатстваме за една позиция, изпращаме CV. Това е преддоговорно отношение. Ние имаме намерение да влезем в договор с компанията и по този начин заявяваме съгласието си да се обработват личните данни. Когато обаче това CV остане години още в база данни на агенция, която прави подбор на персонал, и ще обработва данните на служителя за целите на различни работодатели, за други позиции - трябва да има съгласие на физическото лице изрично за това.
Възможно ли е съгласието въобще да отпадне като основание за обработка на лични данни от страна на работодателите? Има нещо интересно при отношенията работник и работодател и то е отново във връзка със съгласието. Регламентът казва, че съгласието не е валидно основание за обработка на лични данни тогава, когато отношението между обработващия и субекта на данните са неравнопоставени. Трудовите правоотношения са точно един такъв пример за неравнопоставеност на субектите и сега предстои да видим как българският закон ще имплементира тази клауза и дали ще въведе забрана за работодателите да използват съгласието като основание за обработка на личните данни изобщо в трудовите правоотношения Защото обикновено съгласието е в едни стандартни форми - декларации или в самия трудов договор, направено по начин, по който не изглежда, че служителят може да се откаже от него или да даде съгласие за част от данните, за друга част да не даде. Това е нещо, което Регламентът не разрешава, особено в отношения на силно подчинение, каквито са отношенията между работник и работодател. Така че това е нещо интересно, което предстои да видим как ще бъде доразвито в нашия закон и важно в работодателските отношения.
Австрийските инвестиции в България са около 5 млрд. евро, притежавате специализирано ноу-хау, което се оценява от австрийските компании – Герд Бомер, регионален мениджър за Югоизточна Европа и Централна Азия в Австрийската стопанска камара,пред Economy.bg