GDPR у сфері агентствного працевлаштування: що ви хотіли знати про GDPR, але ще не запитали, або що станеться з персональними даними після 25 травня 2018 року
Дехто вже чув про GDPR, дехто читав про нього. Що можна сказати напевно, так це те, що з 25 травня 2018 року він торкнеться всіх нас. Але вже зараз навколо GDPR існує плутанина, дезінформація та непорозуміння.
GDPR впливає майже на всі аспекти повсякденного життя. Починаючи від обробки ваших даних муніципальною адміністрацією в громаді, де ви проживаєте, через обробку ваших даних інтернет-магазином, де ви замовляєте товари, і закінчуючи обробкою ваших даних вашим роботодавцем.
Тут ми зосередимося на GDPR з точки зору управління персоналом та нарахування заробітної плати. Ця сфера багато в чому відрізняється, наприклад, від одноразової покупки в інтернет-магазині.
Що таке GDPR і де він застосовується?
GDPR діє на всій території ЄС. Це Регламент (ЄС) 2016/679 (Загальний регламент про захист даних) про захист фізичних осіб стосовно обробки персональних даних та про вільний рух таких даних. Найпростіший і найпоширеніший опис полягає в тому, що це регламент, який має на меті значно посилити захист персональних даних громадян.
Чи є GDPR новим у захисті персональних даних?
Ні. У різних формах захист персональних даних був частиною законодавства всіх країн ЄС (і не лише їх). Однак GDPR є революційним тим, що він уніфікує процедури та правила в усіх країнах ЄС.
Що таке персональні дані з точки зору GDPR?
Персональні дані – це будь-які дані про фізичну особу, які можуть бути використані для ідентифікації цієї особи. Це включає, наприклад, контактну інформацію (ім'я та прізвище, дату народження, номер народження, номер посвідчення особи, адресу, IP-адресу комп'ютера тощо), біометричні дані (відбиток пальців), генетичні дані, дані про здоров'я особи тощо.
Що саме являє собою обробка персональних даних?
Обробка персональних даних – це будь-яка операція з персональними даними – копіювання даних на ПК, їх перегляд, редагування тощо.
Чи зобов'язаний я надавати згоду на обробку персональних даних? І чи може хтось обробляти мої дані без моєї згоди?
Згода завжди є добровільною. Вас не можна жодним чином примушувати до її надання, на формі не повинно бути попередньо заповненого поля для згоди тощо. Однак згода не є і не може бути потрібна для так званих законодавчо встановлених даних (наприклад, даних, необхідних для укладення трудового договору та подальшого оформлення заробітної плати, страхових внесків тощо).
Чи можна відмовитися від обробки персональних даних, і якщо так, чи може це призвести до того, що запитувана вами послуга не буде надана?
Так, у вас має бути така можливість. Наприклад, якщо ви укладаєте договір на надання інтернет-з’єднання та не погоджуєтеся на використання електронної пошти для надсилання пропозицій, відсутність згоди не може бути підставою для відмови від укладення договору. Однак, якщо є законна підстава для обробки даних (наприклад, дані, необхідні для укладення трудового договору та подальшого оформлення заробітної плати, внесків тощо), у вас немає такої можливості. Без законодавчо обов’язкової реєстрації даних укласти договір неможливо.
Одні люди говорять про контролер, а інші — про процесор. Яка різниця між цими термінами?
Контролер персональних даних – це особа/компанія, яка має у своєму розпорядженні персональні дані та визначає цілі та спосіб їх обробки.
Обробник персональних даних – це особа/компанія, яка обробляє дані (сортує, архівує, надсилає рахунки-фактури тощо за вказівкою контролера), але не вирішує мету їх обробки.
Що таке право бути забутим?
Фактично це передбачає видалення даних, які контролер має про вас. Однак слід зазначити, що право бути забутим не завжди може бути реалізоване, навіть якщо засоби масової інформації представляють це право як необмежене.
Для того, щоб контролер міг знищити персональні дані, має бути виконана принаймні одна з наступних умов:
- персональні дані більше не є необхідними для цілей, для яких вони були зібрані або іншим чином оброблені,
- суб'єкт даних відкликає згоду, і немає інших законних підстав для обробки,
- суб'єкт даних заперечує проти обробки, і немає жодних законних підстав для обробки, що мають переважну силу,
- персональні дані були оброблені незаконно,
- персональні дані повинні бути видалені для виконання юридичного зобов'язання,
Якщо я попрошу про забуття, і запит буде задоволено, чи повинна компанія видалити всі дані, включаючи резервні копії, наприклад, за 10 років?
Право бути повністю забутим не завжди означає зобов'язання повністю та безповоротно видалити всі дані, які певна компанія/орган влади зберігає про вас і які можна видалити. Не те, щоб компанія все ж таки вирішила зберегти деякі дані. Це технічна можливість видалити дані, що зберігаються у резервних файлах та архівах. У випадку видалення даних з резервних копій це не лише трудомістка та технічно складна процедура, але й у деяких випадках може бути порушена цілісність, а дані інших людей будуть втрачені. Якщо це технічно складно або неможливо, GDPR дозволяє адміністратору зберігати дані в архівах. Однак це не означає, що він потім може ними обробити. У випадку відновлення даних адміністратор повинен видалити ваші персональні дані з „живої“ системи. Тому адміністратор повинен переконатися, що обробка ваших персональних даних неможлива.
А як щодо агентства з працевлаштування, з яким у мене є договір?
У випадку трудових відносин (агентство з працевлаштування є вашим прямим роботодавцем), ваші персональні дані обробляються з „законної причини“ відповідно до GDPR. Ваше ім'я, адреса, дата народження, персональний ідентифікаційний номер, заробітна плата тощо – це все дані, які ми зобов'язані записувати, обробляти та архівувати з причини, встановленої для нас одним із законів (наприклад, Закон № 586/1992 Зб. про податок на прибуток; Закон № 582/1991 Зб. про організацію та впровадження соціального забезпечення; Закон № 262/2006 Зб., Трудовий кодекс; Закон № 435/2004 Зб., Закон про зайнятість тощо).
Обов'язки роботодавця дуже чітко описані Управлінням із захисту персональних даних у статті від 2013 року - https://www.uoou.cz/zamestnavatel-jako-spravce-osobnich-udaju/d-6171. З точки зору GDPR, для агентств працевлаштування нічого не змінюється.
Чи можу я вимагати від NEO CRAFTS sro видалення моїх персональних даних?
Так, ви маєте право вимагати видалення. Однак, враховуючи, що роботодавці зобов’язані архівувати платіжні відомості протягом 30 років, „забути“ ваші дані, як того вимагає закон, буде неможливо.
Чи дотримується NEO CRAFTS sro чинної редакції Закону про захист персональних даних та чи готова вона до GDPR?
Ми ретельно готуємося до приходу GDPR з максимальним акцентом на точність та дотримання нормативних актів. З огляду на те, що ми вже обробляємо персональні дані відповідно до Закону 101/2000 Збірника законів про захист персональних даних, для нас немає жодних принципових змін. Наприклад, як контролер персональних даних, ми зареєстровані в Управлінні захисту персональних даних з моменту набрання чинності Закону 101/2000 Збірника законів про захист персональних даних, і ми успішно пройшли належну перевірку Управлінням захисту персональних даних.