Работодателят следва да представи на служителя необходимата информация във връзка с извършваната обработка, както и да информира служителя за правата му в качеството му на субект на лични данни

Служителите притежават и качеството на субекти на лични данни. Предвид това, същите се ползват с правата, с които субектите на лични данни разполагат по силата на Регламента и Закона за защита на личните данни ЗЗЛД, включително информационните права по чл. 13 от Регламента.

Препоръчително е работодателят да състави нарочен писмен документ (наричан различно в практиката – информационен лист, политика за защита на личите данни на служителите и др.), в който да опише:

• Данните за контакт на администратора, длъжностното лице по защита на личните данни (ако има такова) и надзорния орган.

• Получателите и категориите получатели на личните данни на субекта, сроковете за обработка, основанието за обработка, съществуването на намерение за трансфер на данните до трета държава или организация, наличието на автоматизирано вземане на решения;

• Правата на субекта на личните данни – вкл. подаване на жалба.

Препоръчително е този документ да е отделен, а не възпроизведен в трудовия договор.

Както бе изяснено по-горе, служителите имат право да подават искания и жалби във връзка с обработката на личните им данни от техните работодатели. Налице е практика на КЗЛД и съдилищата по такива жалби на служители (вж., например Решение № Ж-205 от 6.04.2016 г. на КЗЛД и Решение № ППН-133 от 2.10.2018 г. на КЗЛД). Основна част от тях се основават на неправомерно публикувани (напр. във вътрешни за работодателя софтуерни канали, достъпни за служителите) заповеди и други документи, изготвени във връзка с инициирано дисциплинарно производство срещу служителя.

Ограничения по отношение на личните данни на служители, които работодателят може да съхранява

Работодателят следва да съхранява единствено:

1. Лични данни на служителите, които следва да съхранява по закон:

• Лични данни, представляващи част от задължителното съдържание на трудовия договор.

• Лични данни, съдържащи се в документи – част от задължителното съдържание на трудовото досие на служителя.

• Други документи, необходими за упражняване на законови права и задължения от работодателя.

• По изключение – други лични данни, за чието съхранение работодателят по надлежен начин е установил (и документирал) наличие на законов интерес – например снимки, записи от видеонаблюдение и др.

Прието е разбирането, че съгласието като основание за обработка на лични данни е непрепоръчително по отношение на служители, тъй като същото трудно може да бъде прието като дадено свободно (поради характера на отношенията работодател-служител). Все пак може да се допуснат някои изключения – напр. даване на съгласие за публикуване на снимка на Уебсайта на работодателя.

Влизането в сила на Регламента сложи край на практиките за съхранение на копия на лични карти на служители, както и изискване на свидетелство за съдимост (в случаите, в които такова не е необходимо с оглед законово задължение за заемане на съответна длъжност).

2. В случай че при изпълнение на служебните си задължения служителят обработва лични данни (вкл. и единствено при достъп до такива) за работодателя възникват допълнителни задължения. Основното сред тях е да проведе обучение на служителите си относно изискванията за защита на личните данни, които същите следва да спазват. Обучението следва да бъде документирано (напр. с протокол, сертификат и др.), като може да се проведе и от външни специалисти. Работодателят следва и да предприеме необходимите стъпки с цел служителите му да обработват лични данни само по негови указания.

3. Работодателят има и други задължения, в случай че служителите му работят от разстояние или в хипотезата на извършван мониторинг. Можете да прочетете повече по темата тук.

4. Работодателят има задължения и при обработка на личните данни на кандидати за работа.

В ЗЗЛД е изрично определена горна граница на срока за съхранение на личните данни на кандидати за работа – 6 месеца. Съхранение на данните на кандидатите за повече от 6 месеца е допустимо единствено при недвусмислено и информирано съгласие или по молба на кандидата. В това съгласие следва да се уточни и размера на по-дългия срок за съхранение на данните. Разбира се, в тази хипотеза съществува възможността субектът на лични данни да оттегли своето съгласие – в такъв случай администраторът следва да изтрие или унищожи данните.

Срокът е относим за първичните документи на кандидатите за работа - автобиографии, мотивационни писма, документи, доказващи квалификация и опит и др.

Съгласно Становище № НДМСПО-01-211/2019 от 11.07.2019 г. на КЗЛД, "Няма нормативна пречка, лични данни на участници в конкурсна процедура, съдържащи се в създадените от работодателя или органа по назначаване вътрешни документи относно проведените процедури по набиране и подбор на персонал да се съхраняват за целите на предвидения в чл. 52 от Закона за защита от дискриминация 3-годишен срок, при спазване изискванията на Регламента."

Срокът за съхранение на лични данни на участници в процедури по набиране и подбор на персонал започва да тече от момента на окончателно приключване на процедурите, съответно след изтичане на сроковете за тяхното обжалване (ако има такива – напр. при конкурс).

След изтичане на срока за съхранение, данните следва да се унищожат по надлежния начин (със съставяне на протокол, който да документира това).

Този материал е изготвен с цел да информира, не претендира за изчерпателност и не представлява правен съвет. Ако имате допълнителни въпроси или нужда от съдействие, можете да ни пишете на office@kdbmlaw.com.