Като работодател обработвате значителен обем лични данни на служителите — имена, ЕГН, адреси, здравна информация, банкови сметки, дори биометрични данни при електронен контрол на достъпа. GDPR поставя строги правила за тази обработка, а нарушенията могат да доведат до сериозни санкции.
Какви данни можете да събирате
Можете да събирате данни, необходими за трудовото правоотношение и законовите задължения. Идентификационни данни (име, ЕГН, адрес) за трудовия договор и осигуровките. Банкова сметка за превод на заплатата. Образование и квалификации за длъжностната характеристика. Здравна книжка за позиции, които я изискват.
Не можете да събирате данни, които не са необходими за дейността. Семейно положение, религиозна принадлежност, политически убеждения, сексуална ориентация — нито при наемане, нито след това.
Видеонаблюдение
Видеонаблюдение на работното място е допустимо при спазване на определени условия. Трябва да имате легитимна цел (сигурност, контрол на достъпа), да информирате служителите, да ограничите наблюдението до необходимото (без камери в тоалетните и съблекалните) и да определите срок за съхранение на записите.
Мониторинг на електронна поща и интернет
Мониторингът на служебния имейл и интернет трафик е допустим при определени условия — ясна политика, информиране на служителите и пропорционалност. Не можете да четете личната кореспонденция на служители, дори ако е от служебен компютър, без изрична политика, която го позволява.
GPS проследяване
GPS проследяването на служебни превозни средства е допустимо за управление на флота и безопасност, но служителите трябва да бъдат информирани. Проследяването не трябва да продължава извън работно време.
Практически стъпки
Създайте вътрешна политика за обработка на лични данни на служители. Информирайте служителите какви данни събирате и защо. Ограничете достъпа — не всеки в екипа трябва да вижда ЕГН и заплатите на колегите. Определете срокове за съхранение и унищожавайте данните, когато вече не са необходими.