Персональные данные контрагентов

  • автор:

Содержание

Пошаговая инструкция по назначению ответственного за организацию обработки персональных данных

Что это за статус?

Ответ содержится в статье 22.1 Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ. Согласно формулировке статьи, в каждой фирме должен работать сотрудник, на которого возлагаются обязанности по соблюдению законодательных требований к работе с личной информацией.

Часть 2 статьи указывает, что ответственное лицо отчитывается только перед руководством организации (генеральным директором или иным исполнительным органом), и от него же получает указания к работе.

Кого можно назначить?

Рассмотрим, кто может работать с такими данными. В законе нет четкого указания на перечень должностных лиц, которые могут быть ответственными за обработку личных сведений. Чаще ответственными назначаются лица, ведущие кадровое делопроизводство в компании, либо менеджеры по работе с клиентами. Реже – секретари и юристы.

Важно! В некоторых больших организациях (например, в банках) создаются отдельные департаменты по защите персональных данных. На сайтах поиска работы можно встретить вакансии специалистов по защите личных сведений.

Отдельный вопрос — кто обрабатывает информацию на малых предприятиях. Субъекты малого предпринимательства, штат которых состоит из нескольких человек, назначают ответственным лицом руководителя компании.

Кто не может осуществлять такую работу?

Запрета о назначении каких-либо категорий лиц закон также не содержит. Однако эксперты не рекомендуют назначать ответственными сотрудников, должности которых не предполагают работу с частной информацией, например уборщиков, инженеров или бухгалтеров.

Права и обязанности

Законодательно перечень прав ответственных лиц не закреплен. Обычно таким лицам разрешается проводить внутренние аудиты на соответствие деятельности по обработке сведений, ведущейся в фирме, требованиям закона. Они также вправе вносить предложения руководству об улучшении работы с личными данными сотрудников и клиентов компании.

Обязанности закреплены в части 4 статьи 22.1 ФЗ № 152. Тот, кто отвечает за работу с личной информацией и осуществляет ее обработку, должен:

  1. Проводить инструктажи сотрудникам компании по вопросам соблюдения законодательства и объяснять содержание локальных актов в части обработки и хранения личной информации.
  2. Контролировать соблюдение технических и административных мер, принимаемых компанией с целью защиты персональных данных – осуществлять проверку порядка заполнения носителей личных сведений, журналов доступа к ним.
  3. Регистрировать обращения, получаемые компанией от клиентов и контрольно-надзорных органов, и отвечать на них.

Чтобы избежать «утечки» информации, руководитель фирмы также может уполномочить ответственного:

  • на разработку локальных документов в сфере личной информации;
  • на осуществление учета носителей персональных сведений и оформление допуска сотрудников к ним.

Пошаговая инструкция по назначению

Назначение ответственного за ведение обработки персональных данных осуществляется руководителем юридического лица. Об этом говорится в части 1 статьи 22.1 ФЗ № 152.

Для назначения ответственного руководителю организации необходимо:

  1. Выбрать ответственного сотрудника.
  2. Подготовить необходимые документы.
  3. Издать приказ о назначении.
  4. Подготовка документов

Работу с личными сведениями в фирме регулируют несколько документов. Для того чтобы издать соответствующий приказ, руководителю необходимо подготовить локальную нормативную базу.

Документы, регулирующие работу с личными данными в компании:

  • должностная инструкция;
  • внутреннее положение об обработке персональных данных.

Должностная инструкция

В должностной инструкции сотрудника должны быть зафиксированы не только обязанности, прописанные в законе, но и дополнительные требования к лицу, занимающему выбранную должность. Описание должно быть емким и понятным.

Руководителю необязательно разрабатывать новую должностную инструкцию – можно дополнить необходимыми сведениями существующий документ. После издания руководитель, делопроизводитель или кадровик проводят ознакомление соответствующего работника с новой должностной инструкцией и просят подписать бумаги.

Скачать образец должностной инструкции ответственного за организацию обработки персональных данных

Рекомендуем ознакомиться со статьями об операторе, политике обработки, уведомлении, об автоматизированной и ручной обработке, о ЦОД и о целях обработки.

Составление положения

Более подробно все права и обязанности, а также меры ответственности уполномоченного лица необходимо отразить во внутреннем положении об обработке персональных данных.

В документе также должно содержаться описание порядка хранения и использования частной информации. Положение обязательно к ознакомлению всеми сотрудниками компании.

Подробнее о важных сведениях о правовом обеспечении обработки персональных данных читайте .

Скачать образец положения об обработке персональных данных

Издание приказа

После того, как локальная нормативная база будет готова, руководителю организации необходимо издать приказ. Издание осуществляется по общим правилам делопроизводства в произвольной форме на бланке компании.

Приказ должен содержать:

  1. номер приказа;
  2. название документа;
  3. дату и место издания распоряжения;
  4. слово «Приказываю»;
  5. положение о назначении ответственного лица;
  6. положение о лице, замещающем ответственного во время его отсутствия;
  7. положение о лице, осуществляющем контроль над исполнением приказа;
  8. подпись руководителя;
  9. подписи ознакомившихся с приказом людей.

В приказе указывается должность работника и его инициалы. В случае замены сотрудника в документ вносятся изменения либо осуществляется подготовка нового приказа.

С 1 июля 2017 года усилилась административная ответственность за нарушения требований, содержащихся в статье 13.11 КоАП, регламентирующей работу с персональными данными в компании. Ответственным лицам необходимо внимательно относиться к своей работе, так как именно от них зависит, будут ли соблюдены требования законодательства. Это позволит компании и самим должностным лицам избежать неблагоприятных последствий в виде наложения штрафа.

Рассмотрев вопрос, мы пришли к следующему выводу:

Обработка персональных данных контрагентов — физических лиц (в том числе физических лиц, являющихся индивидуальными предпринимателями), с которыми непосредственно у организации заключен договор, может осуществляться без согласия на обработку персональных данных при условии, что эти данные не будут распространяться и предоставляться третьим лицам без согласия субъекта персональных данных и будут обрабатываться только в целях исполнения заключенных с ними договоров поставки (оказания услуг).

Обоснование вывода:

В соответствии со ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ) персональными данными (далее — ПДн) является любая информация, относящаяся к прямо или косвенно определенному или определяемому на основании такой информации физическому лицу (субъекту ПДн). Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн, признаются обработкой ПДн (п. 3 ч. 1 ст. 3 Закона N 152-ФЗ). Оператором ПДн, как следует из п. 2 ст. 3 Закона N 152-ФЗ, является лицо, в том числе юридическое, организующее и (или) осуществляющее обработку ПДн, а также определяющее цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн. При этом лицо признается оператором ПДн вне зависимости от какой-либо регистрации, наличия или отсутствия специальных разрешений, а в силу самого факта осуществления им деятельности по обработке ПДн.

Следовательно, Ваша организация в рассматриваемом случае является оператором ПДн.

Случаи, при которых допускается обработка ПДн без согласия субъекта таких данных, установлены ст. 6 Закона N 152-ФЗ. Причем установлены они исчерпывающим образом. Так, например, допускается обработка ПДн, если она необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем (п. 5 ч. 1 ст. 6 Закона N 152-ФЗ). По смыслу этой нормы лицом, которому предоставляется возможность обработки ПДн, является стороной по указанному договору. В силу ч. 1 ст. 22 Закона N 152-ФЗ до начала обработки ПДн операторы обязаны уведомить уполномоченный орган по защите прав субъектов ПДн (далее — уполномоченный орган) о своем намерении осуществлять обработку ПДн, за исключением случаев, предусмотренных ч. 2 ст. 22 Закона N 152-ФЗ. Так, уведомлять уполномоченный орган не нужно, если ПДн получены оператором в связи с заключением договора, стороной которого является субъект ПДн, при том, что ПДн не распространяются, не предоставляются третьим лицам без согласия субъекта ПДн и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом ПДн (п. 2 ч. 2 ст. 22 Закона N 152-ФЗ).

Таким образом, обработка ПДн контрагентов — физических лиц (в том числе являющихся индивидуальными предпринимателями), с которыми непосредственно у организации заключены договоры поставки (либо оказания услуг), может осуществляться без согласия на обработку ПДн и без уведомления уполномоченного органа при условии, что эти данные не будут распространяться и предоставляться третьим лицам без согласия субъекта ПДн и будут обрабатываться только в целях заключения с ними соответствующих договоров (определение СК по гражданским делам Московского городского суда от 06.04.2012 N 33-8687). Если же организация намерена осуществлять обработку ПДн в иных случаях, не связанных с исполнением договора, то она обязана получить согласие на обработку ПДн.

Отметим, несмотря на то, что в рассматриваемом случае оператор подпадает под исключение и не обязан получать согласие субъекта ПДн на обработку и уведомлять Роскомнадзор о работе с ПДн, это не освобождает его от необходимости применения мер по защите ПДн. Лица, виновные в нарушении требований Закона N 152-ФЗ, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность (ст. 24 Закона N 152-ФЗ).

GDPR: как работать с персональными данными ваших работников, фрилансеров и европейских сотрудников контрагентов


Статья представляет собой краткую выжимку и мою интерпретацию положений Регламента GDPR (“Регламент”) в связке с Заключением (Opinion) 2/2017 об обработке данных в трудовых отношениях (on data processing at work) от 08.06.2017. Адресуется компаниям, у которых есть полноценные офисы либо дистанционные работники и/или фрилансеры в странах Евросоюза, а также контрагенты (партнеры) с европейскими сотрудниками, данные которых вы можете получать в процессе работы над совместными проектами.
Разбираем вопросы обработки персональных данных при найме (рекрутинге) работников, заключении договоров с фрилансерами или бизнес-партнерами; мониторинге сотрудников на рабочем месте и дистанционно, в том числе через автоматические системы снятия данных.
Заключение принято ранее даты вступления в силу Регламента и основано на Директиве 95/46/EC от 24.10.2005. Тем не менее, оно учитывает положения GDPR.
Для удобства и там, где это не противоречит контексту, работников, фрилансеров и сотрудников контрагентов будем обобщённо именовать «Сотрудник».

Убедитесь, что у вас есть основания для обработки данных сотрудников

Обработка персональных данных сотрудников обычно проводится, как минимум, на одном из следующих оснований:

  • личное согласие;
  • необходимость выполнения предписаний закона (как правило, трудового законодательства или AML/CFT при проведении платежей);
  • необходимость исполнения уже заключенного договора или необходимость заключения договора, по запросу самого владельца персональных данных;
  • наличие законного интереса у вашей компании в такой обработке.

Обработку на основании предписаний закона оставим за рамками статьи. Также не будем касаться личного согласия. Как уже отмечалось в предыдущей статье Согласие на обработку данных по GDPR: подробный разбор, обработка персональных данных работников на основании их личного согласия является сложным вариантом. Всегда сохраняется риск, что согласие где-то будет оформлено неправильно и его признают несвободным, а вашу компанию – нарушающей правила GDPR.
В отношениях с сотрудниками обработку персональных данных надежнее основывать на заключаемых договорах. Если все вопросы обработки технически сложно или нецелесообразно фиксировать в договорах, то потребуется ответственно подойти к обоснованию законного интереса вашей компании в такой обработке.
Рассмотрим, какие условия и как нужно сформулировать в трудовых или коммерческих договорах, чтобы они позволяли обрабатывать вам персональных данные в соответствии с GDPR. (Учитывая, что обработка на основании законного интереса, как и обработка на основании договора, тоже нуждается в документировании и совпадает с последней по многим параметрам, отдельно рассматривать ее не будем).
Приведем полностью формулировку статьи 6(1)(b) Регламента (перевод с анг.): «обработка необходима для исполнения договора, стороной которого является владелец данных, или для принятия мер по запросу владельца персональных данных до заключения договора».
Из данной формулировки следует ряд обязательных элементов.

Необходимость данных в рамках договора

Согласно пункту 44 Преамбулы Регламента, обработка является законной, если необходима в контексте договора или намерения его заключить. Значит, смотрим на контекст самого договора. Заключение 2/2017 рекомендует в таких случаях применять тест пропорциональности (proportionality test), чтобы оценить, нужна ли обработка для достижения законной цели (в частности, для исполнения или заключения договора), а также какие меры нужно предпринять, чтобы свести вмешательство в частную жизнь до минимума.
Регламент не расшифровывает, что включает в себя «тест пропорциональности». Заключение 2/2017 содержит только оговорку, что такой тест может стать частью процедуры DPIA. В самой процедуре DPIA пропорциональность обработки описывается через множество критериев, которым должна следовать компания-контролер. На мой взгляд, самые важные, это:

  • адекватность обрабатываемых данных целям обработки;
  • сами цели обработки должны быть конкретными (specific) и ясно выраженными (explicit).

Следовательно, тест пропорциональности подразумевает не только необходимость прописать в самом договоре обязанность предоставлять какие-то персональные данные для обработки, или информировать владельца данных о такой обязанности до заключения договора. Сами договорные обязательства работника, на основании которых собираются данные, должны прямо вытекать из характера его будущей работы или особенностей проекта, в котором он будет задействован. Договорные обязательства должны предусматривать обработку только минимально необходимых персональных данных с привязкой к конкретной цели обработки, сформулированной предельно ясно и понятно.

Пример A: Разумно требовать от специалиста PR или менеджера по работе с клиентами предоставлять свое фото для размещения на сайте вашей компании. Это может быть обосновано особенностями работы данных сотрудников, когда внешность играет психологическую роль в продвижении интересов компании, росте продаж. Напротив, вряд ли нужно требовать и передавать клиентам (или размещать в публичном доступе) фото разработчиков, которые максимум участвуют митингах голосом, даже не включая веб-камеру, и большего от них никогда не требуется.
Думаю, будет непропорциональным сформулировать в договоре условие о контактных данных следующим образом:
Пример В: «Контактные данные работника: … email для направления предложения о работе, трудового контракта или информационных материалов /КОМПАНИИ/». Направление «информационных материалов» — явно лишняя цель для исполнения трудового договора, подразумевает и рассылку рекламы. Однако, если вы напишите немного по-другому: «уведомлений об изменении рабочего графика, информации о выходных днях и т.п.», это будет ясно выраженной, конкретной целью, и использование email будет адекватным ей.
(Очевидно, что просто указать «email» и затем использовать его для рассылки маркетинговых материалов, тоже недопустимо).
Пример С: Ваша компания работает в качестве агента и продвигает услуги тех же самых разработчиков на международных рынках. Так как размещение фото обусловлено особенностями работы с заказчиками, необходимостью оценки ими имиджа / психологического портрета разработчика перед принятием решения о найме, размещение фото может быть обоснованным.
(Только не забывайте предупредить разработчика об использовании фото до заключения договора с ним. Также рекомендуется, чтобы тем разработчикам, кто не согласится указать свое фото в профиле, вы все равно предоставили возможность пользоваться услугами вашей компании, хотя бы эффективность найма уменьшилась в связи с отсутствием фото).
Пример D: Ваш сотрудник (к примеру, системный администратор) работает с серверами, обслуживающими масштабные и высоконагруженные приложения, должен быть доступен 24 часа в сутки (если, конечно, вы еще соблюдаете и требования трудового законодательства о соответствующей оплате таким сотрудникам). Вы можете предусмотреть в договоре условие о звонках на его личный номер телефона в экстренных случаях. Напротив, если сотрудник в нерабочее время не нужен, лучше не используйте личный номер телефона (даже если он вам известен).
И пример из Заключения 2/2017: Компания по доставке не вправе рассылать покупателям фото курьеров (для проверки, что курьер действительно является таковым), так как для доставки посылок в передаче фото нет необходимости.
ВАЖНО! Тест пропорциональности рекомендуется применять не только при составлении договоров, но и обработке по любым иным основаниям; например, при получении согласия (статья 6(1)(a)) или для достижения законных интересов вашей компании (статья 6(1)(f) Регламента).
Какая бы необходимость в сборе персональных данных не возникала в вашей компании, всегда задавайте себе вопрос: а эти данные вам точно нужны? Даже если ваш сотрудник вроде и не возражает вам их предоставить. Помните, что ваш сотрудник изначально рассматривается с точки зрения GDPR уязвимой стороной трудовых отношений, а его согласие – априори несвободным. Поэтому, задача обеспечить минимальное вмешательство в частную жизнь (в том числе в рамках договоров с сотрудниками) лежит на вашей компании, а не на сотруднике.
Дополнительно рекомендую изучить требования регулирующего органа по защите персональных данных в государстве ведения вашего бизнеса. Например, на Кипре, популярном в последнее время месте релокации IT и финтех бизнеса из России и других стран СНГ, обязательно применение процедуры DPIA, если ведется систематический мониторинг активности работников, включая наблюдение за рабочими местами, интернет-активностью или используется GPS на транспортных средствах работников.

Владелец данных должен быть стороной договора

Казалось бы, здесь все очевидно. Однако, есть один тонкий момент, на который мало кто обращает внимание. Это обработка персональных данных сотрудников ваших партнеров (клиентов, исполнителей, посредников и пр.), при которой возникает юридический разрыв.
У вашей компании нет никакого договора с сотрудниками ваших партнеров. И даже согласие на обработку данных чаще всего не получится запросить. Да, такие люди являются работниками вашего партнера (хотя могут быть фрилансерами и даже персоналом, предоставленным третьими лицами). И логично предположить, что раз они у него работают, то рамках договора с вашим партнером уже согласились передавать свои данные вам. Но это не так.
Вы не знаете, насколько качественно ваш партнер оформил все документы в рамках GDPR. Получено ли от его сотрудника согласие и дано ли оно свободно, или была ли оговорена обработка персональных данных в договоре с таким сотрудником. Я очень сомневаюсь, что вы можете полностью положиться на вашего партнера в этом вопросе. Между тем, получив данные его сотрудников, ваша компания как минимум становится обработчиком (processor), т.е. обрабатывающей персональные данные от имени и по поручению контролера (controller). И чтобы избежать ответственности за нарушение GDPR, ваша компания-обработчик должна как минимум действовать на основании законных инструкций вашего партнера.
Обработчиком ваша компания будет только в том случае, если она на основании договора с вашим партнёром получает четко оговоренные персональные данные его сотрудников (например, ФИО и контакты) и использует их только для четко оговоренных целей; например, общение по телефону, электронной почте или мессенджерам в ходе работы над проектом. Если же вдруг вы решите еще отправить таким сотрудникам какую-то маркетинговую рассылку или предложение о работе, то автоматические попадете в категорию «контролер», с повышенной ответственностью. Так как уже сами начнете определять цели и способы обработки персональных данных.
В таких ситуациях я бы рекомендовал включать в любой договор с вашими партнерами отдельный пункт о том, что контрагент гарантирует соблюдение им всех правил работы с персональными данными его сотрудников или связанных лиц, которые могут быть применимы к нему по месту ведения бизнеса, в том числе освобождает вашу компанию от любых претензий, исков, которые могут быть связаны с любыми нарушениями применимого закона при передаче вам данных, и гарантирует самостоятельное возмещение ущерба по таким искам и претензиям. Классический пункт об освобождении от ответственности и возмещения ущерба (indemnity), но только в отношении персональных данных.

На практике, как только вы включите в договор пункт об освобождении вас от ответственности, юристы вашего партнера, скорее всего, захотят его вычеркнуть. Как быть?
Оформляйте передачу персональных данных в соответствии с положениями Регламента, и вашему партнеру будет сложно не согласиться с этим.
Для компаний-обработчиков, получающих данные от своих партнеров (контролеров), Регламент (статья 28(3)) содержит обязательные требования к содержанию договора в части передаваемых данных. В частности, нужно указать, какие данные (категории), для каких целей и на какой срок передаются вашей компании, и многое другое. Если же персональные данные передаются вашей компанией дальше, новому обработчику, с ним необходимо согласовать идентичные обязательства.
Если совместная работа по проекту предполагает передачу персональных данных за пределы Евросоюза, в третьи страны без адекватного уровня защиты персональных данных, вместе с заключаемым договором необходимо составить и подписать Стандартные договорные условия защиты персональных данных (Standard contractual clauses)(статья 46(1)(2)(с) Регламента). Даже если партнер не требует такого документа, при передаче данных европейских сотрудников лучше иметь заранее разработанный шаблон и самим настоять на его подписании. Это позволит значительно уменьшить риск ответственности за обработку персональных данных в нарушение GDPR.
Стандартные условия, разработанные и одобренные Еврокомиссией на основании Директивы 95/46/EC для обработчиков (processors) можно найти . Там же можно найти стандартные условия для контролеров (controllers).

Принятие мер, необходимых до заключения договора, по запросу владельца персональных данных

Здесь должна прослеживаться чёткая взаимосвязь: мероприятия проводятся в отношении самого владельца данных, и он сам дает разрешение на их проведение в запросе.
Пример: Проверка криминальной истории кандидата, если его должность предполагает работу с данными повышенной секретности и без проверки нельзя получить приглашение на работу. При этом работодатель заранее в описании вакансии информирует кандидата о необходимости пройти проверку каких-то криминальных фактов в его биографии. И кандидат, направляя свое резюме или иным способом подтверждает, что согласен с такой проверкой.
Для того, чтобы правильно сформировать от кандидата легитимный запрос на обработку его данных, нужно до начала обработки предоставить кандидату максимум необходимой информации о будущей обработке, включая методы принятия решений по ее результатам. (Подробнее см. Соблюдаем процедуру: вначале информирование, затем – обработка ниже.

Фрилансеры: они тоже работники?


В Заключении 2/2017 под работниками рекомендуется рассматривать не только тех, кто работает по трудовому договору, но и фрилансеров, если отношения с ними носят характер трудовых. Здесь есть сложность.
Что означает «трудовые отношения» с фрилансерами, причем, именно в плане GDPR? Заключение 2/2017 не дает ответа на этот вопрос. Думаю, что нужно смотреть на контекст, в каком любые работники упоминаются в Регламенте. Это их априори невыгодное положение перед работодателем, когда они не могут отказать предоставить свои данные без риска не получить или потерять работу, или других негативных последствий. Если следовать такой логике, то фрилансер может быть приравнен к работнику в ситуациях, когда ваша компания будет для него единственным источником заказов. Если же доля заказов (и оплаты) со стороны вашей компании невелика и фрилансер может выбрать, сотрудничать ли с вами и на каких условиях, то у него появляется больше свободы принимать решения относительно своих персональных данных. И в этом случае его можно рассматривать как независимого предпринимателя, а не работника.

В любом случае, следует подождать развития практики применения GDPR или раскрытия данного вопроса в т.н. «мягком праве» (soft laws) Евросоюза: заключениях и рекомендациях, а также в национальном законодательстве.

Соблюдаем процедуру: вначале – информирование, затем – обработка

Владелец данных должен быть проинформирован до начала обработки. Это общее требование статьи 13 Регламента. В каждом отдельном случае (обработка в рамках договора или до его заключения), а также без договора, но при наличии законного интереса у вашей компании, владелец данных должен получить необходимый минимум информации.
В случае с сотрудниками такое информирование лучше производить одновременно с размещением требований к кандидату на вакансию. Если же заключается коммерческий договор с фрилансером – проинформировать нужно до заключения договора, или, в крайнем случае, одновременно с его подписанием. Вместе с иной информацией, перечисленной в статье 13 Регламента, обязательно нужно указать, включено ли предоставление персональных данных в обязанности будущего сотрудника и какие последствия могут быть, если он откажется их предоставить.
Не забывайте, что форма информирования должна быть как можно более простой и доступной. Не включайте эту информацию в текст основного договора, где она может затеряться. Лучше оформляйте в виде отдельного документа. Желательно, чтобы такой документ был датирован до даты подписания основного договора.
Лирическое отступление про hh.ruСлучайно обратил внимание на российский hh.ru, который часто размещает часто европейские вакансии. И, как я понимаю, на них могут откликаться, в том числе, кандидаты, уже находящиеся на территории ЕС. На сайте hh.ru я не нашел, каким способом можно отозвать резюме, ранее направленное в адрес конкретной компании. (Может, где-то еще есть?). Как я понимаю, здесь возможен только общий способ: в настройках видимости ограничить доступ к резюме. Но такая реализация, во-первых, противоречит принципам GDPR: отзыв согласия должен быть также прост, как и отправка, т.е. кликом на одну кнопку. А во-вторых, это никак не обязывает компанию, уже получившую и сохранившую данные (к примеру, в виде распечатки), их уничтожить. Думаю, сервису бы доработать соглашение с работодателями об уничтожении данных по автоматическому запросу кандидатов через сайт hh, а еще лучше – сделать отдельные процедуры обработки персональных данных для кандидатов из Евросоюза.
Это были общие требования к обработке персональных данных на основании заключенного договора, в связи с необходимостью заключения договора по запросу владельца данных или при наличии законного интереса. Далее кратко рассмотрим обработку персональных данных при рекрутинге сотрудников, мониторинг сотрудников на рабочем месте и в удаленном режиме, а также мониторинг времени присутствия на рабочем месте и/или затраченного времени.

Обработка данных при рекрутинге (найме) сотрудников

Рекрутеры любят просматривать профили кандидатов в соцсетях. Некоторые даже просят указать ссылки на них в анкетах или в резюме. При сборе данных из социальных сетей вашей компании необходимо выяснить, предназначены ли данные профили для личного использования или использования в бизнес-целях. Ключевое здесь – использование. Знайте, что даже открытые для публичного просмотра профили нельзя использовать в целях рекрутинга, оценки кандидата при приеме на работу, если это прямо не связано с будущей функцией кандидата в вашей компании или на проекте.

Пример: Кандидат принимается на позицию менеджера по связям с общественностью или первого лица компании, которая предполагает формирование общественного имиджа компании. В этом случае может быть оправдано изучение каких-либо политических предпочтений кандидата, отсутствия его связи с радикальными течениями или неоднозначных публичных высказываний, что может причинить ущерб компании. Или же кандидат принимается на должность менеджера по развитию бизнеса. Поэтому, может быть оправданным для работодателя перед заключением трудового договора убедиться, что у кандидата имеется наработанная сеть деловых контактов.

Обработка данных в процессе работы и после прекращения договора

Социальные сети

Общий мониторинг данных бывших сотрудников из профилей в социальных сетях обычно не допустим. (Такой мониторинг может проводиться, чтобы выяснить, не нарушил ли бывший сотрудник условие о запрете в течение какого-то времени переходить на работу к конкурентам). Однако, если работодатель докажет, что эти сведения нельзя получить иначе, чем через просмотр профилей, сбор данных из социальных сетей может быть признан допустимым. Здесь также должно быть соблюдено условие о необходимости заранее проинформировать работника о проводимом мониторинге.
Очевидно, что информировать о мониторинге лучше до прекращения договора (а в идеале – до его заключения). В противном случае высока вероятность, что сотрудник, получив уведомление, просто удалит все компрометирующие его сведения и контакты.
Не допускается принуждать работников использовать в социальных сетях только профиль, связанный с работодателем. Даже если такая обязанность предусмотрена особенностями их работы (например, представитель PR-службы, пресс-секретарь, менеджер по работе с клиентами и т.п.). В любом случае у таких сотрудников должна сохраняться возможность использования личного, непубличного профиля.

Установка средств (систем, приложений) электронной обработки данных на рабочие компьютеры сети

Речь идет о любых системах и приложениях, в том или ином виде собирающих персональных данные и передающие их работодателю или третьим лицам. Установка требует информированного согласия работника. Даже самостоятельные действия сотрудника по активации приложения на своей рабочей машине или предоставление доступа для удаленной установки системы с настройками по умолчанию не будут считаться выражением согласия на установку. Так как согласие должно быть дано собственными активными действиями пользователя, только установка с изменением дефолтных настроек может быть приравнена к информированному и свободному выражению воли сотрудника на установку.
При мониторинге сотрудников или данных их устройств (включая личных, подключаемых к корпоративной сети или WiFi) у работодателя должна быть разработанная, легко и постоянно доступная и понятная каждому сотруднику Политика мониторинга рабочего места. Чтобы каждый четко понимал, что и как собирается, и в каких целях будет использовано.
ВАЖНО! Нельзя придерживаться подхода, который любят многие российские «кадровики»: при приеме на работу дать прочитать стопку инструкций страниц на сто-двести, а затем попросить все запомнить и забыть убрать навсегда. Типа, ознакомились. Политика должна быть легко доступна для ознакомления в любое время.

Политика мониторинга, как и любая иная политика по обработке персональных данных (о конфиденциальности) должна регулярно пересматриваться. Необходима переоценка, насколько мониторинг является необходимым для удовлетворения законных интересов компании. Поэтому, я бы рекомендовал тем, кто хотел бы снять возможные претензии в случае конфликта или проверок, но не готов выделять на это много ресурсов:

  • делайте минимум раз в год протоколы / приказы с поручениями провести инвентаризацию всей вашей системы сбора и обработки персональных данных;
  • по результатам инвентаризации вносите хотя-бы минимальные изменения в Политику (например, сокращайте срок хранения отдельных категорий данных);

Вместо постоянной слежки за сотрудниками, старайтесь предотвратить нежелательное поведение. Если блокирование каких-либо ресурсов/сайтов позволяет достичь вашу цель, – лучше блокировать доступ сотрудников к ним, нежели постоянно мониторить. Это общий принцип взаимодействия между работодателем и сотрудником, которого рекомендует придерживаться Заключение 2/2017.
Пример A из Заключения 2/2017: Блокирование подряд всех имейлов, которые могут потенциально представлять угрозу утечки данных компании-работодателя, требует обязательного информирования об этом работника (каждый раз до отправки письма), с возможностью отказаться от отправки. Иначе существует риск превышения необходимого вмешательства в частную жизнь и произвольного доступа к личной переписке работника.
Пример B из Заключения 2/2017: При использовании облачных сервисов для загрузки или редактирования рабочей информации работнику нужно выделить приватное пространство. Например, календари могут использоваться для фиксирования рабочих и частных событий (встреч, например).
Пример С из Заключения 2/2017: Если для предотвращения рисков, связанных с удаленным доступом к базе данных работодателя, нельзя отказаться от постоянного мониторинга рабочего компьютера дистанционного сотрудника, рекомендуется совсем запретить использование рабочего компьютера в частных целях.

Мониторинг сотрудников в режиме «home-office» и дистанционных сотрудников

Использование технологий, позволяющих отслеживать клики и движения мышкой, иные подобные действия сотрудников, а также снятие скриншотов (как выборочно, так и в периодическом интервале), получение сведений о загруженных приложениях и времени их загрузки, получение данных с вебкамер или снятие показаний о пути, пройденном сотрудником (привет обители зла Амазону и остальным!), считается непропорциональным. Такой мониторинг, скорее всего, будет за пределами законных интересов работодателя (пункт 5.4.1. Заключения 2/2017).
Что здесь можно рекомендовать?
Во-первых, (как бы знакомо это уже не звучало), понять – нужен ли вам такой мониторинг или нет. Во-вторых, четко обозначить (с документированием), в чем состоит ваш законный интерес, и если возможно, зафиксировать такой мониторинг в действующих договорах.
К примеру, работа программиста по проекту не может быть заранее оценена с точки зрения необходимого времени. Оплата формируется по количеству отработанных часов. Ваш заказчик настаивает на мониторинге активности вашего работника через снятие скриншотов или отслеживает его действия на облачном сервере. Условие заказчика о скриншотах или о контроле на сервере следует зафиксировать в договоре с заказчиком (если рабочее время оценивается через любые иные системы учета — аналогично). Сотрудник, работающий по проекту данного заказчика, также должен быть заранее уведомлен о мониторинге, а в договоре с ним должна быть прописана возможность такого мониторинга.

Мониторинг рабочего времени/присутствия на рабочем месте через систему доступов

Это любимая “фишка” многих отечественных компаний, от «мала до велика»: поставить электронную проходную и взимать штрафы за минутные опоздания, либо заносить эти сведения в личное дело. Так вот, с вашими европейскими сотрудниками такое почти всегда недопустимо.
Пример из Заключения 02/2017: Можно использовать систему учета доступа (дата, время, владелец ключа доступа) для того, чтобы контролировать доступ в особо режимные места. Например, в серверную, где хранится важная информация. Но нельзя использовать полученные данные в целях оценки производительности сотрудников (время присутствия/отсутствия на рабочем месте).

Мониторинг «атмосферы счастья» в компании

Не допускается наблюдение за выражением лиц сотрудников с использованием автоматических средств, для выявления отклонений от заранее определённых двигательных паттернов. Дополнительно к мониторингу, данные такого наблюдения могут лечь в основу профилирования сотрудника и принятия в отношении него автоматических решений. Это является непропорциональным по отношению к правам и свободам сотрудников. По общему правилу, работодатель должен воздерживаться от использования таких технологий распознавания лиц. Хотя определенные изъятия из общего правила могут допускаться.
(Предполагаю, изъятия допустимы там, где имеют место вредные производства (они еще остались в Европе?) или для контроля усталости водителей и операторов, как описано в статье про Амазон, по ссылке выше).

Краткие выводы и рекомендации:

  1. Разработать в качестве отдельного документа (или как часть общей Политики по обработке персональных данных) политику по обработке персональных данных сотрудников, если в вашей компании имеет место мониторинг их данных в любой форме. Ознакомить с ней сотрудников и разместить в легком и свободном доступе (для сотрудников, конечно)
  2. Оформлять документы, подтверждающие, что вы регулярно (не реже одного раза в год) пересматриваете вашу политику. Рекомендуется вносить хотя бы минимальные изменения.
  3. Любые случаи обработки персональных данных документировать в договорах, заключаемых с сотрудниками. Если происходят какие-то изменения (начинают собираться дополнительные данные, изменяются условия обработки ранее полученных данных), не забывайте составлять с сотрудниками дополнительные соглашения.
  4. Разработать в качестве шаблона Стандартные договорные условия защиты персональных данных (Standard contractual clauses), которые нужно будет подписывать при получении персональных данных европейских сотрудников, если такие данные передаются в третью страну без адекватного уровня защиты.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *