Защо е важно фирмите да имат правила за обработване на лични данни при подбор на персонала?

КЗЛД разпореди на администратор на лични данни да съобрази операциите по обработване с изискванията на GDPR, като за месец трябва да изготви и представи политика за обработване на лични данни в процедура за подбор на персонал, както и обработване на искания за упражняване на права по чл. 15-22 от Регламент 2016/679, получени по електронен път. При неспазване на разпореждането може да бъде наложена имуществена санкция по чл. 83, параграф 6 от GDPR

„Съгласно чл. 17 от Регламент 2016/679 субектът на данни има право да поиска от администратора изтриване на свързани с него лични данни без ненужно забавяне, а администраторът има задължението да изтрие без ненужно забавяне личните данни при наличие на някое от основанията по букви „а“ до „е“ от същия член, освен ако не е налице някое от основанията за отказ по параграф 3 на същия член.“ Това пише в Решине на Комисията за защита на личните данни, публикувано в бюлетина и.

Решението е по повод на сигнал на В. Т. срещу дружеството П. В.Т. иска заличаване на личните му данни, след като те са дадени в П. за обработване във връзка с кандидатстване за работа. Според протокол от 03.09.2018 г., заявлението е уважено и личните данни са заличени.

Какво пише още в решението на КЗЛД:

„Освен предприемане на действия по заявлението, в срок от един месец от получаване на искането администраторът на лични данни дължи предоставяне на информация на заявителя относно действията, предприети във връзка с искането, съгласно чл. 12, параграф 3 от Регламент 2016/679.

В конкретния случай липсва отговор до жалбоподателя относно предприетите действия. Такъв е предоставен едва след повторно запитване от страна на субекта. Неоснователно е твърдението на П., че на жалбоподателя е отговорено в срок, тъй като заявлението не е от 30.08.2018 г., а от по-късна дата – второто запитване от жалбоподателя от 31.12.2018 г. В самия протокол за заличаване, който е от 03.09.2018 г., е посочено, че заличаването се прави по искане на жалбоподателя, отправено по имейл, т.е. искането от 30.08.2018 г. е получено от администратора и е прието, че заявлението е надлежно подадено.

Предвид изложеното, администраторът на лични данни е предприел действия по заявлението за изтриване на данните по чл. 17 от Регламент 2016/679 в законоустановения срок, но в нарушение на чл. 12, параграф 3 от Регламент 2016/679 не е изпълнил задължението си за уведомяване на субекта на данни за предприетите действия.

При така констатираното нарушение жалбата следва да бъде уважена.

В допълнение към горното, процесуалният представител на П. заяви, че дружеството е сертифицирано по ISO за информационна сигурност. Въпреки това е допуснато нарушение. Няма спор, че личните данни са предоставени на администратора за обработване от самия жалбоподател, макар и в една неофициална процедура за подбор. Не е ясно обаче как се обработват тези данни –  не е представена политика за обработване на личните данни, която да посочва какви лични данни се обработват, за какви цели, по какъв начин се обработват, за какъв срок се съхраняват (в рамките на чл. 25к от ЗЗЛД) и др. Предвид изложеното, администраторът следва да изготви ясни правила за обработване на лични данни при подбор на персонал, включително и при специфични ситуации като разглежданата неофициална процедура.

Освен горното, липсват правила как се обработват постъпили по електронната поща, посочена в Търговския регистър, искания за упражняване на права по чл. 15-22 от Регламент 2016/679. От една страна, съгласно чл. 37б, ал. 2 от ЗЗЛД заявленията за упражняване на права могат да бъдат подадени по електронен път при спазване на съответните правила за идентификация (напр. с електронен подпис по Закона за електронния документ и електронните удостоверителни услуги). От друга страна, съгласно чл. 12, параграфи 2 и 6 от Регламент 2016/679, администраторът съдейства за упражняването на правата по чл. 15-22 от Регламента, но когато има основателни опасения във връзка със самоличността на физическото лице може да поиска допълнително информация за идентификация.

В случай че не е в състояние да идентифицира лицето, администраторът може да откаже разглеждането на отправеното до него искане. И в двете хипотези администраторът дължи отговор на искателя.

Освен това самото заявление следва да бъде заведено в регистратурата на администратора, за да бъде спазен принципът за отчетност по чл. 5, параграф 2 от Регламент 2016/679 – т.е. следва да има информация, че има постъпило заявление от субект на данни, какво е искането и какви са предприетите действия. В разглеждания случай заявлението е подадено без електронен подпис, но администраторът го е приел за надлежно и го е изпълнил, но не е отговорил. Предвид изложеното, администраторът следва да изготви и правила при получаване на заявления за упражняване на права по Регламента.

Комисията разполага с оперативна самостоятелност, като в съответствие с предоставените ѝ функции преценява кое от корективни правомощия по чл. 58, пар. 2 от Регламент 2016/679 да упражни. Преценката се основава на съображенията за целесъобразност и ефективност на решението при отчитане на особеностите на всеки конкретен случай и степента на засягане на интересите на конкретното физическо лице – субект на данни, както и на обществения интерес. Правомощията по чл. 58, пар. 2, без тази по буква „и”, имат характера на принудителни административни мерки, чиято цел е да предотвратят или да преустановят извършването на нарушение, като по този начин се постигне дължимото поведение в областта на зашитата на личните данни. Административното наказание „глоба” или „имуществена санкция” по чл. 58 пар. 2, буква „и” има санкционен характер.

При прилагането на подходящата корективна мярка по член 58, пар. 2 от Регламента се взема предвид естеството, тежестта и последиците от нарушението, както и всички смекчаващи и отегчаващи отговорността обстоятелства. Оценката за това какви мерки са ефективни, пропорционални и възпиращи във всеки отделен случай отразява и целта, преследвана с избраната корективна мярка – предотвратяване или преустановяване на нарушението, санкциониране на неправомерното поведение или и двете, каквато възможност е предвидена в чл. 58, пар. 2, буква „и” от Регламент 2016/679.

В допълнение към горното, съгласно чл. 10г от ЗЗЛД при упражняване на задачите и правомощията си по отношение на администратори или обработващи лични данни, които са микропредприятия, малки и средни предприятия, КЗЛД следва да вземе предвид техните специални потребности и налични ресурси. Това следва да се вземе предвид при преценката дали да се наложи административното наказание „имуществена санкция“ вместо друга корективна мярка по чл. 58, параграф 2 от Регламента или в допълнение към нея. Анализ на публикуваните данни на дружеството показва, че по смисъла на чл. 3 от Закона за малките и средните предприятия администраторът е средно предприятие.

С оглед посочените общи изисквания при определяне на корективна мярка, в разглеждания случай са налице и следните смекчаващи обстоятелства – нарушението е първо за администратора, нарушени са правата на един субект, освен това действия по заявлението му са предприети и при повторното запитване е получил отговор (макар и не конкретен), че заявленията са разгледани и личните данни са изтрити.

Предвид горното, най-целесъобразна мярка, която има за цел да предотврати бъдещи нарушения, е по чл. 58, пар. 2, буква „г” от Регламента – разпореждане до администратора на лични данни да съобрази операциите по обработване с изискванията на Регламента, като изготви и представи политика за обработване на лични данни в процедура за подбор на персонал, както и обработване на искания по чл. 15-22 от Регламент 2016/679, постъпили по електронен път.

При неспазване на разпореждане по чл. 58, параграф 2 от Регламент 2016/679 може да бъде наложена имуществена санкция по чл. 83, параграф 6 от Регламент 2016/679.

Така мотивирана и на основание чл. 38, ал. 3 от ЗЗЛД, Комисията за защита на личните данни

РЕШИ:

  1. Обявява жалба рег. № ПП Н-02-31/24.01.2019 г., подадена от В.Т. за основателна за нарушение на чл. 12, параграф 3 от Регламент 2016/679;
  2. На основание чл. 58, параграф 2, буква „г” от Регламент 2016/679 разпорежда на администратора „П.” ЕАД в едномесечен срок от влизане в сила на решението да изготви и представи пред КЗЛД политика за обработване на лични данни при подбор на персонал и за администриране на искания за упражняване на права по чл. 15-22 от Регламент 2016/679, получени по електронен път.

Настоящото решение може да бъде обжалвано в 14-дневен срок от връчването му чрез Комисията за защита на личните данни, пред Административен съд София – град.“

Можете да споделите: