Публикуване на обяви за работа и GDPR, 10 най-често задавани въпроса

Отправихме 10 от най-често задаваните въпроси във връзка с публикуването на обяви за работа и GDPR.

help_outline Администратор ли съм на лични данни, когато публикувам обява за работа?

С публикуването на обява за работа, независимо дали това е в сайт за работа, Вашия фирмен сайт, печатна медия или друго място, Вие определяте целта, във връзка с която кандидатите изпращат своите кандидатури. Поради тази причина, съгласно GDPR Вие сте администратор на събраните данни във връзка с обявата.

help_outline Какво се случва, когато някой кандидатства по моя обява на посочен в нея имейл?

Ако кандидатстването е на посочен от Вас имейл (в поща като Gmail, Yahoo, Abv.bg, Mail.bg и др.), от момента на пристигане на кандидатура във Вашия акаунт (пощенска кутия) Вие ставате “Администратор” на получената кандидатура и сте отговорен за нея, независимо дали я отваряте, копирате на друго място, разпечатвате или само я разглеждате.
Вие сте отговорни да пазите достъпа до Вашия акаунт, като използвате подходяща парола и не я разкривате пред други лица, както и да пазите по сигурен начин всички копия, направени на Вашия компютър или на друго място в електронен или в разпечатан вид.
Предвид изискването на GDPR да се гарантира сигурността на личните данни при пренос е добре да се уверите, че Вашата поща поддържа криптиран пренос (като TLS, какъвто се поддържа от повечето популярни пощи).

help_outline Какво се случва при кандидатстване по моя обява в сайт за работа?

С публикуването на обява за работа, Вие определяте целта, във връзка с която кандидатите изпращат своите кандидатури и съдържащите се в тях лични данни. По същия начин, както когато кандидатурата е изпратена на имейл, от момента на пристигане на кандидатура във Вашия акаунт в сайта за работа Вие ставате “Администратор” на получената кандидатура и сте отговорен за нея, независимо дали я отваряте, копирате на друго място, разпечатвате или само я разглеждате. Вие сте отговорни да пазите достъпа до Вашия акаунт, като използвате подходяща парола и не я разкривате пред други лица, както и да пазите по сигурен начин всички копия, направени на Вашия компютър, съхранявани във Вашата поща или на друго място в електронен или в разпечатан вид.

help_outline Колко дълго мога да съхранявам получена кандидатура и кой определя това?

Определянето на срока е отговорност на публикуващия обявата. При публикуване на обява, GDPR изисква съхранението на данни (кандидатури) да е за срок не по-дълъг от необходимото за постигане на обявената цел като, например, назначаването на служител на съответната длъжност, посочена в обявата (в повечето случаи това е срок по-дълъг от срока на обявата и включва времето, необходимо за насрочване, провеждане на интервюта, избор и назначаване на кандидат). В случай че нямате получено допълнително съгласие от кандидатите, след определения от Вас срок е необходимо да изтриете техните данни (с изключение на данните на назначените кандидати) от всички места, на които се съхраняват, независимо дали те са съхранени на Вашия компютър, в акаунт в електронна поща, в сайт за работа или са разпечатани на хартия.

help_outline Мога ли да запазя кандидатурите или да предложа други позиции за работа на кандидатите?

В случай че желаете да запазите кандидатурите, където и да е и по какъвто и да е начин, с цел да предложите други позиции за работа на кандидатите, различни от тази, по която те са кандидатствали, е необходимо да получите допълнително съгласие от тях за това. Ако кандидатстването е по имейл, бихте могли да поискате от кандидатите изрично да впишат това свое съгласие в кандидатурата си. Ако е през сайт за работа, бихте могли да използвате предвидени в сайта функционалности за получаване на допълнително съгласие по време на кандидатстването.

help_outline Какво представлява и кой определя правното основание?

GDPR изисква да определите правно основание за обработването на данните, за които отговаряте. С публикуване на обява за работа, Вие определяте целта, за която събирате кандидатурите, и правното основание за тази цел, като то може да бъде легитимен интерес, съгласие, предприемане на стъпки по сключване на договор или др.

help_outline Какво представлява политиката за защита на личните данни на кандидати?

GDPR изисква да информирате кандидатите преди тяхното кандидатстване по разбираем и прозрачен начин как отнасящите се до тях лични данни ще бъдат събирани, използвани и обработвани, с каква цел, на базата на какво правно основание и др. Също така е необходимо да ги информирате за техните права.
За да информирате кандидатите преди тяхното кандидатстване, бихте могли да ги запознаете с Вашата политика, като я направите достъпна от Вашата обява.

help_outline Как кандидатите упражняват своите права във връзка с GDPR?

Като работодател и администратор на лични данни GDPR изисква от Вас да посочите контакт за връзка, на който кандидатите могат да се свързват с Вас по въпроси относно техни лични данни (изпратени до Вас кандидатури). При получаване на запитвания или искания от кандидати, съгласно GDPR Вие сте длъжни да предприемете необходимите действия без ненужно забавяне.

help_outline Какво трябва да направя при откраднат лаптоп или достъп до акаунт?

В случай че сте допуснали инцидент, като например да загубите или да Ви откраднат лаптоп (компютър, флашка, външен хард диск), на който се съхраняват лични данни, или поради избор на слаба парола или нейно разкриване пред други лица е осъществен достъп до Ваша поща или друг Ваш акаунт, в който се съхраняват лични данни, съгласно GDPR Вие носите отговорност за това и е необходимо да предприемете съответни действия, като например да уведомите надзорния орган (КЗЛД), да вземете мерки за намаляване на последствията, да уведомите засегнатите лица и др.
За да намалите риска и последствията при такива инциденти, ако съхранявате лични данни на офис компютър или лаптоп, бихте могли да използвате възможностите на операционната система или допълнителен софтуер за криптиране. Добре е също така да се уверите, че Вашата поща поддържа криптиран пренос (като TLS, какъвто се поддържа от повечето популярни пощи). Изключително важно е и да подсигурите, че Вашите служители използват надеждни пароли за достъп до ползваните от Вас услуги.

help_outline Къде мога да се запозная с регламента (GDPR)?

Пълния текст на регламента можете да намерите тук: https://eur-lex.europa.eu/legal-content/BG/TXT/?uri=CELEX%3A32016R0679

Този материал е изготвен със съдействието на адв. Десислава Кръстева, съдружник в Адвокатско дружество „Димитров, Петров и Ко.“, член на International Association of Privacy Professionals (IAPP), Certified Information Privacy Professional Europe (CIPP/E), Certified Information Privacy Manager (CIPM) от IAPP.

Материалът е с информативна цел, не е изчерпателен и не представлява правен съвет. Относно прилагането на изискванията на GDPR конкретно от Вашата фирма е необходимо да се обърнете към Вашите юристи или правни консултанти.