Каква информация могат да събират, на какво основание и при какви условия, коментира Ирена Колева, старши адвокат в Адвокатско дружество „Делойт Лигъл“
Ирена Колева, старши адвокат в Адвокатско дружество „Делойт Лигъл“. Снимка: личен архив.
Водени от желанието да намерят най-подходящия човек, експертите по подбор често са изкушени да се разровят в социалните профили на кандидатите за работа. Но имат ли право на това съгласно действащото законодателство в България? Каква информация могат да събират, на какво основание и при какви условия, коментира пред Economy.bg Ирена Колева, старши адвокат в Адвокатско дружество „Делойт Лигъл“ и сертифициран професионалист по поверителност на информацията (CIPP/E).
Имат ли право работодателите да събират информация за кандидати за работа от техни публично достъпни профили в социалните мрежи?
Събирането на информация за кандидати за работа от техни публично достъпни профили в социалните мрежи представлява дейност по обработване на лични данни, която работодателите могат да извършват само ако разполагат с правно основание за това и са уведомили надлежно кандидатите. В такива случаи най-често обработването се основава на т.нар. „легитимен интерес“ на работодателя, в качеството му на администратор на лични данни. Легитимен интерес е едно от шестте основания, позволяващи законосъобразно обработване на личните данни съгласно Общия регламент относно защитата на данните (GDPR).
В кои случаи би могло да се говори за легитимен интерес от страна на работодателя да събира такава информация?
За да може да се позове на легитимен интерес, работодателят трябва да извърши (и документира) „тест за балансиране“, т.е. да съпостави своите законни интереси, от една страна, и интересите или основните права и свободи на субекта на данни (кандидата за работа), от друга страна, като вземе предвид и основателните очаквания на субекта. Този тест трябва да бъде направен, преди да се пристъпи към събиране на информацията, а резултатът от него определя дали работодателят може да използва това основание за обработване на данните. Интересът на работодателя ще е законен, ако обработването на данните включва само подходяща, ограничена и необходима информация за целите на подбора, която е в рамките на разумните очаквания на кандидатите за работа. Такава ще е например информация за образование, професионален опит и други данни, относими към подбора за съответната позиция, споделени от кандидатите публично в професионални мрежи (напр. LinkedIn). Трябва да се има предвид също така, че интернет предоставя големи възможности на работодателите да се сдобият с информация за кандидатите, която те не биха имали право да изискват от тях при подбора, напр. „чувствителни“ данни за политически възгледи, религиозни убеждения, здравен статус, сексуална ориентация и др. Макар и да няма право да използва такава информация, узната например от личен Facebook профил на кандидата, решението на работодателя за наемането може да бъде повлияно от нея. Затова е важно физическите лица да са наясно, че могат да имат контрол върху информацията за тях в интернет и да подхождат с внимание към това какъв „дигитален отпечатък“ оставят.
Подходящо основание за обработване на тази информация ли е съгласието? Защо?
По принцип съгласието може да бъде подходящо основание за обработване на лични данни само ако на субекта на данни е предоставена възможност за реален избор дали да го даде, а при отказ – това няма да доведе до неблагоприятни последици за него. В противен случай съгласието няма да е свободно дадено и ще бъде невалидно. Предвид неравнопоставеността в отношенията между работодател и (бъдещ) служител е малко вероятно субектът на данни да бъде в състояние да откаже да даде съгласието си на работодателя за обработването на данни, без да изпитва притеснение от неблагоприятни последици в резултат на отказ (напр. риск от отхвърляне на кандидатурата и загуба на възможността за работа). Поради това и Европейският комитет по защита на данните счита за проблематично работодателите да обработват лични данни на настоящи или бъдещи служители въз основа на съгласие.
Има ли право работодателят да изисква да бъде включен към списък с контакти, за които информацията в социалния профил на кандидата е видима?
Работодателят не разполага с правно основание да изисква от потенциалните (а и от настоящи) служители да се „сприятеляват“ с него, да го включват в списък с контакти или по друг начин да предоставят достъп до съдържанието на техните профили в социалните мрежи. Нещо повече, за целите на подбора работодателят по принцип трудно би могъл да обоснове легитимен интерес от обработване на информация от социални мрежи, които имат „личен“, а не професионален характер, дори такава да е публично достъпна, освен ако не се касае за специфични хипотези.
Към кой момент работодателят трябва да уведоми кандидата за работа, че ще извърши проверка на активността в социалните мрежи?
Препоръчително е кандидатът да бъде уведомен, че ще бъде проверявана активността му в социалните мрежи (и в кои) още преди да се включи в процеса по набиране на персонал – например с уведомлението за поверителност към обявата за работа. Ако това не е направено или ако лицето е кандидатствало за работа „спонтанно“, без да има публикувана обява, то уведомлението следва да му се връчи при първия контакт с него след получаване на кандидатурата, преди работодателят да е пристъпил към проверката и съпътстващото я обработване на лични данни.
Може ли кандидатът за работа да възрази срещу такава проверка?
Кандидатът може да възрази срещу проверка на активността му в социалните мрежи, като той следва да бъде уведомен от работодателя за това свое право. В случай че кандидатът направи възражение, работодателят трябва да преустанови обработването, освен ако докаже, че съществуват убедителни законови основания, които имат предимство пред интересите, правата и свободите на кандидата.
Има ли право работодател да изключи кандидат от процеса по подбор поради негово възражение срещу проверка на активността му в социалните мрежи?
Поначало работодателят не разполага с такова право и изключването на кандидат от подбора поради направено възражение би накърнило прекомерно правата и интересите му. При „балансирането“ им спрямо легитимните интереси на работодателя трудно би било за последния да обоснове, че няма никакъв друг начин, алтернативен на проверката в социалните мрежи, по който да се постигне целта на обработването с по-малко намеса в личната сфера на кандидата. Освен това в такива случаи кандидатът би могъл да повдигне въпроса дали е налице дискриминация.
Какъв тип информация има право работодателят да събира от социалните профили на кандидатите за работа? Има ли право например да събира информация за семейно положение, или изразено лично мнение по различни обществени теми?
Работодателят има право да събира само такива данни, които са свързани със и ограничени до необходимото във връзка с целите, за които се обработват – това е т.нар. принцип за „свеждане на данните до минимум“, заложен в GDPR. Събирането на информация за семейно положение и изразено лично мнение по различни обществени теми поначало ще е в нарушение на този принцип и работодателят няма право да го извършва. Освен това обработването на такива данни крие риск от дискриминация при подбора въз основа например на етнически произход, религия или убеждения, вследствие на узнатата лична информация.
В някоя от държавите от ЕС имало ли е случай досега на наложена санкция на работодател, който неправомерно е събрал информация от социалните профили на кандидат за работа?
Доколкото ми е известно от публично достъпната информация за практиката на надзорните органи по защита на данните в отделните държави членки от ЕС, до момента няма наложени санкции на работодатели за неправомерно събиране на информация от социални профили на кандидати. Въпросите за законосъобразността на подобни проверки, извършвани от работодатели (а и от агенции за подбор на персонал) все пак са попаднали в полезрението на надзорните органи, които са дали разяснения в различни становища, насоки и други документи. В Италия например има одобрен кодекс за поведение във връзка с дейността на агенциите за подбор на персонал, в който се посочва, че проверки може да се правят само в профили на кандидата в социални мрежи с професионален характер, като събирането на информация трябва да е ограничено до такава, която е свързана с необходимите професионални качества на кандидата.
Съгласно българското законодателство може ли дейност, осъществена чрез личен социален профил в извънработно време, да бъде основание за дисциплинарно уволнение?
Съгласно трудовото законодателство част от задълженията на служителя са да бъде лоялен към работодателя, като не злоупотребява с неговото доверие и не разпространява поверителни за него сведения, както и да пази доброто име на предприятието. При неизпълнение на всяко едно от посочените задължения (напр. ако са разпространени поверителни сведения в публикации на служителя) е допустимо ангажирането на дисциплинарна отговорност, като наказанието може да бъде забележка, предупреждение за уволнение или уволнение. При анализ на съдебната практика може да се направи извод, че задълженията за опазване на доброто име на работодателя са по-строги за служителите на ръководни длъжности. Например, ако такъв служител публикува непристойни материали, макар да е в личен социален профил и в извънработно време, това би могло да се приеме за уронване на доброто име на работодателя.