Потенциален работодател има право да се обади на предишния ви работодател само ако вие предварително сте му дали конкретно, писмено и доброволно съгласие. Без такова съгласие разговорът се смята за незаконно обработване на лични данни. Санкцията може да стигне 20 млн. € или 4 % от световния оборот на фирмата, плюс обезщетение за потърпевшия.
1. Защо темата е толкова чувствителна
Информацията къде сте работили и как сте се представяли е част от личните ви данни и GDPR я защитава, определяйки „всяка информация, отнасяща се до идентифицирано лице“ като лична (чл. 4, т. 1). За да я обработва, работодателят трябва да има правно основание; в рекрутмента това почти винаги е вашето съгласие (чл. 6, § 1, „а“).
2. „Свободно съгласие“ и капанът на дисбаланса
GDPR уточнява, че съгласието не е валидно, ако между страните има „очевидна неравнопоставеност“ — рецитал 43. Точно такава е връзката кандидат ↔ работодател: отказът може да ви коства работата. Затова клаузи от типа „ще се свържем с всички мои бивши работодатели“ са юридически крехки. Работещият вариант е конкретно и ограничено съгласие, например:
„Да, може да се обадите на Георги Иванов – мой пряк ръководител в Х ООД – само за целите на тази позиция.“
3. Българската рамка и гледната точка на КЗЛД
Българският Закон за защита на личните данни (ЗЗЛД) прилага същите принципи: данни се разкриват само при нормативно основание или изрично съгласие. Това е записано и в „Наръчника за неприкосновеността на работното място“, издаден от КЗЛД, който подчертава, че без съгласие „работодателят не бива да разкрива лични данни на трети лица“ .
4. Санкциите – колко струва едно „приятелско обаждане“
- GDPR, чл. 83 позволява глоба до 20 млн. € или 4 % от световния оборот, което е по-високо .
- ЗЗЛД, чл. 85 препраща директно към тези размери, налагайки ги в левова равностойност.
- В практиката: за изтичането на лични данни през 2019 г. НАП получи санкция 5,1 млн. лв. – доказателство, че глобите не са само теория.
Санкция може да понесе както фирмата, която е „проверявала“ без основание, така и тази, която е споделила информацията.
5. Как кандидатът може да защити правата си
a) Искане за достъп
Чл. 15 GDPR ви дава право да попитате всеки администратор дали обработва ваши данни и на кого ги е разкрил. Отговорът е задължителен в едномесечен срок. Направете запитването писмено (имейл, поща или онлайн форма) и пазете копие.
b) Оттегляне на съгласие
Чл. 7, § 3 GDPR казва, че можете „по всяко време“ да оттеглите съгласието си, и това трябва да е толкова лесно, колкото и даването му. След оттеглянето работодателят е длъжен веднага да спре контактите и да изтрие вече събраната информация, ако няма друго законно основание да я държи.
c) Жалба до КЗЛД
Ако смятате, че данните ви са използвани без основание, подайте жалба до КЗЛД (чл. 77 GDPR). Процедурата е без такса; Комисията трябва да ви информира за резултата и може да наложи корективи и глоба.
d) Иск за обезщетение
Чл. 82 GDPR и чл. 82 ЗЗЛД ви дават право на компенсация за имуществени и неимуществени вреди. Европейският съд потвърди, че и „неимуществените“ (стрес, уронена репутация) подлежат на обезщетяване, стига да се докажат последиците.
6. Какво трябва да знаят работодателите
- Вземайте писмено, отделно и конкретно съгласие за всяка референтна проверка.
- Свързвайте се само с лицата, които кандидатът е посочил ‒ ни повече, ни по-малко.
- Отказът да се даде съгласие не бива автоматично да изключва кандидата.
- Пазете всички доказателства – това е първото, което КЗЛД ще поиска при проверка.
Разговорът между стар и нов работодател е законен само след вашето свободно „ДА“. Без него прехвърлянето на информация нарушава GDPR и ЗЗЛД и може да струва скъпо – пари, репутация и съдебни спорове.
Нуждаете се от помощ? Ние защитаваме правата на кандидати и служители и помагаме на работодатели да изградят процедури, които държат любопитството в законови граници. Свържете се с нас – ще ви съдействаме да обезопасите данните си или бизнеса си.