Ar ko ir jāsāk uzņēmumam personas datu apstrādē personālvadības vajadzībām?
Atsaucoties uz Eiropas Komisijas Regulā pausto mudinājumu izstrādāt rīcības kodeksus, kas paredzēti, lai veicinātu Regulas atbilstīgu piemērošanu, un, ņemot vērā dažādo datu apstrādes nozaru specifiskās iezīmes, atzinīgi jānovērtē Latvijas Personāla vadīšanas asociācija, kas ir izstrādājusi vadlīnijas personāla datu apstrādes jomā[1] (turpmāk – Vadlīnijas).
Vadlīnijas izstrādātas, lai precizētu pārziņu – darba devēju – un to nolīgto apstrādātāju pienākumus saistībā ar personas datu apstrādi, nodrošinot personāla vadības funkciju un Regulas pareizu piemērošanu personāla vadības jomā.
Vadlīnijās noteiktais, ciktāl konkrētu rīcību kā obligātu nenosaka tiesību akti, ir uzskatāms par labās prakses ieteicamu rīcību.
Vadlīnijās cita starpā ir norādīti tiesiskie pamati datu apstrādes personāla jomā, kas varētu būt lietderīgi jebkuram uzņēmumam, definējot tiesisko pamatu personas datu apstrādē personālvadībā, jo bez līguma kā tiesiskā pamata starp darba devēju un darba ņēmēju ir norādītas citas (plašākas) darba devēja iespējamās leģitīmās intereses: personāla resursu nodrošināšana, plānošana ("institucionālā atmiņa"), attīstība un izaugsme, informācijas, infrastruktūras, personu drošības nodrošināšana, personas datu apstrāde uzņēmumu grupā/iestāžu sistēmā iekšējiem administratīvajiem nolūkiem (piemēram, iekšējā komunikācija), vienota elektroniskā pasta sistēma, finanšu, personāla pārvaldības nodrošināšana, korporatīvās kultūras nodrošināšana (piemēram, dokumenta dalībnieka pasākumi), apbalvojumi, sporta un citas saliedējošas aktivitātes u.c.
Tomēr, ar ko ir jāsāk uzņēmumam personas datu apstrādē personālvadības vajadzībām?
Darbinieku atlase ir viens no pirmajiem soļiem personas datu apstrādē uzņēmumā. Potenciālie darba pretendenti nereti savos CV norāda datus, kas netiek prasīti darba sludinājumā (un nebūtu jānorāda), piemēram, personas kods, dzimšanas datums.
Redzu, ka uzņēmumi piekopj divu veidu praksi: vienā gadījumā darba sludinājumā norāda datu apstrādes apjomu un pamatu, un otrā – ierodoties uz pirmo interviju, datu apstrādes apjoms tiek minēts piekrišanas formā, kuru potenciālais darba pretendents paraksta.
Ja plānojat pretendentu pieteikumus izmantot ne tikai viena amata atlasei, bet arī citu amatu atlases procesos, vai iekļaut attiecīgā datu bāzē, tas ir norāda darba sludinājumā, vai vēlāk, intervijas laikā, jāprasa piekrišana, norādot, kur un cik ilgi dati tiks uzglabāti.
Latvijas Personāla vadīšanas asociācija iesaka atlases dokumentiem piemērot 4 mēnešu uzglabāšanas termiņu (viena amata konkursa ietvaros). Ja ir plānots pieprasīt atsauksmes par potenciālo kandidātu no iepriekšējiem darba devējiem, tas ir jānorāda darba sludinājumā vai jāgūst piekrišana intervijas laikā.
Saskaņā ar Vadlīnijām, ja intervijas tiek protokolētas, pretendentu iepriekš par to informē. Lai veiktu intervijas video vai audio ierakstu, ir jābūt attiecīgam iemeslam, kas dod tam leģitīmu/juridisku pamatojumu, piemēram, tas izriet no normatīvā akta, drošības apsvērumiem vai intervijas attālinātu norisi. Dokumenti un citi materiāli, kas rodas intervijas rezultātā, jāglabā tādu pašu termiņu, kā visi atlases dokumenti. Personāla atlases procesa un darba intervijas laikā iesniegtie un radītie personas dati tiek glabāti tā, lai tie nebūtu pieejami citām personām. Ja pretendents nav ticis pieņemts darbā, tad darba devējam ir pienākums informāciju dzēst un iesniegtos dokumentus iznīcināt, kad personāla atlase uz attiecīgo amatu ir pabeigta un ir pagājis termiņš lēmuma pārsūdzēšanai, kā arī ir pagājis termiņš, kurā var kļūt zināms, ka pieņemtais darbinieks var neizturēt pārbaudes laiku vai valsts iestādēs – netiek piešķirta pielaide noteiktai informācijai, un darba devējam var rasties nepieciešamība izmantot atlasei iesniegtos dokumentus. Datus par pretendentu ilgāk var glabāt tikai ar pretendenta piekrišanu un tikai noteiktam mērķim – citas personālas atlases mērķim, norādot glabāšanas laiku.
Ja atlases ietvaros tiek piesaistīta cita kompānija, tad šai citai kompānijai ir jānodrošina datu apstrāde Regulas ietvaros. To ieteicams fiksēt savstarpējā sadarbības līgumā, sīkāk definējot būtiskākos riskus. Ierakstot tikai vienu vispārēju teikumu – atlases kompānija nodrošina datu apstrādi atbilstoši spēkā esošajiem tiesību aktiem –, līguma slēdzējs uzliek atbildību uz atlases kompāniju tikai daļēji, un personas datu pārkāpuma gadījumā potenciālais darba devējs būs līdzatbildīgs. Tāpēc labā prakse ir pārliecināties par atlases kompānijas personas datu aizsardzības pasākumiem praksē, iepazīstoties ar tās iekšējiem dokumentiem, un, iespējams, veikt pārbaudes klātienē. Paļaušanās, ka ikkatra trešā puse (šajā gadījumā – ikkatra atlases kompānija) pēc noklusējuma pildīs tiesību aktu, var būt maldinoša. Pilnīgai pārliecībai iesaku veikt pārbaudes ikkatram augsta riska piegādātājam. No prakses atceros audita un revīzijas pakalpojumu sniegšanas kompāniju, kuru pārbaudot atklāju elementārus IT drošības pārkāpumus.
11.1.3. Personas datu apstrāde personāla atlases procesā uzņēmumā
11.1.3.1. Datu apstrādes darbību reģistrēšana – vai tikai vidējiem un lieliem uzņēmumiem?
11.1.3.2. Datu apstrādes novērtējuma veikšana par ietekmi uz datu aizsardzību – vai obligāti visiem?
11.1.3.3. Kad un kam ir jāziņo par datu aizsardzības incidentu?
11.1.3.4. Informācijas pieprasījums par uzņēmuma uzkrātajiem datiem – kā rīkoties?
- ^ Latvijas Personāla vadīšanas asociācijas vadlīnijas personāla datu apstrādes jomā, 2018. gads. Pieejams: http://www.dvi.gov.lv/lv/wp-content/uploads/Vadl%C4%ABnijas-person%C4%81la-datu-apstr%C4%81des-jom%C4%81.pdf