Як компанії з ЄС повинні обробляти персональні дані у сфері трудових відносин

18 Січня 2020

Нове європейське регулювання в сфері захисту персональних даних, окрім того, що значно посилює вимоги до компаній в рамках ведення ними свого бізнесу, також вимагає забезпечення дотримання умов законної обробки персональних даних в процесi взаємодії компанії зі своїми працівниками. Такі вимоги на перший погляд можуть здатися загальними та необов’язковими, але вони все ж мають певні особливості, на які компаніям варто звернути свою увагу в першу чергу.

Персональні дані працівників

Європейські компанії, виступаючи в ролі роботодавців, збирають, зберігають та іншим чином оброблюють персональні дані своїх потенційних, теперішніх та колишніх працівників для різноманітних цілей, в тому числі, але не виключно, для цілей обліку, моніторингу та нарахування заробітної плати.

Загалом, компанії можуть збирати як персональні дані, з допомогою яких є можливість прямо ідентифікувати фізичну особу, так персональні дані, які відносяться до спеціальних категорій даних, зокрема але не виключно, дані, що розкривають етнічне, расове походження особи або її віросповідання. До персональних даних відноситься також вся інша інформація, яка збирається про працівника в процесі здійснення ним своїх трудових обов’язків. До таких даних може відноситися інформація, яка є результатом здійсненого моніторингу діяльності працівників, зокрема за допомогою засобів електронного моніторингу та відеонагляду.

В рамках взаємодії з працівниками, компанія-роботодавець повинна дотримуватися вимог внутрішнього трудового законодавства країни-члена ЄС, в якій вона зареєстрована або здійснює діяльність.  На відміну від Українського, трудове законодавство в європейських країнах надзвичайно розвинене та прогресивне. Наприклад, в деяких питаннях, що пов’язані з питаннями працевлаштування, забезпечення належних умов праці та обробки персональних даних працівника, від компанії-роботодавця може вимагатися обов’язкова консультація з робочими радами (work councils), які уповноважені представляти інтереси працівників або ж діяти від їхнього імені. Такі консультації зазвичай вимагаються в країнах, де авторитет та дієвість відповідних трудових  рад є надзвичайно великою, наприклад, в Німеччині та Франції.

Разом до всього, кожна країна – член Європейського Союзу, має право розробляти окремі положення законодавства, які б регулювали питання як обробки персональних даних працівників так і питання трудових відносин. При цьому, кожна країна повинна повідомляти Європейську Комісію про прийняття відповідного законодавства, для можливості загальноєвропейського моніторингу законодавчих ініціатив та уникнення зловживання певними країнами своїх прав.

Підстави для обробки персональних даних працівників

В загальному, в рамках відносин між компанією-роботодавцем та працівником, можуть застосовуватися різноманітні підстави для обробки персональних даних, що базуються на отриманні згоди працівника, укладенні або виконанні трудового контракту, використанні законних інтересів компаній-роботодавців, або ж на необхідності виконання певних юридичних обов’язків, визначених законодавством, суб’єктом яких є компанія-роботодавець.

До недавнього часу, велика кількість компаній зазвичай отримували згоду від своїх працівників для того, щоб узаконити обробку їхніх персональних даних. Як показали дослідження європейських органів та інституцій, така законна підстава не завжди буде достатньою, адже вона може викликати певну диспропорцію в законних інтересах компанії-роботодавця та працівника. Наприклад, коли без отримання згоди на обробку персональних даних від фізичної особи, компанія-роботодавець не прийме на роботу таку особу, тим самим, позбавивши її права на працевлаштування, яке передбачене європейським законодавством.  Саме у зв’язку з такими обставинами, не рекомендується використовувати згоду як законну підставу для обробки персональних даних працівників, так як це може нести значні ризики для компанії-роботодавця.

На наш погляд, більш раціональніше для компанії-роботодавця було б розглянути можливість покластися на свої законні інтереси або ж на трудовий контракт, укладений з працівником.

Коли мова йде про обробку чутливих персональних даних, компанії варто особливо зосередити свою увагу на забезпеченні законних підстав для обробки саме таких даних. Чудовою підставою для цього може слугувати вимога, передбачена статтею 9 GDPR, яка опирається на необхідність обробки персональних даних саме в цілях працевлаштування та трудових відносин, що регулюються законодавством ЄС або ж законодавством окремої країни – члена Європейського Союзу.

Зберігання персональних даних працівників

Як вже зазначалося раніше, компанія-роботодавець, в рамках трудових відносин  працівником, зберігає персональні дані наступних категорій фізичних осіб:

  • потенційні працівники;
  • теперішні працівники;
  • працівники, трудові відносини з якими скінчилися.

Інформація про кандидатів на певні посади в рамках компанії повинні зберігатися до того моменту, поки відповідна посада не буде заповнена. В такому випадку, наприклад, немає жодної необхідності та жодних підстав для подальшої обробки резюме кандидатів, окрім тих випадків, коли інформація про такого кандидата може бути розглянута компанією для заповнення іншої відкритої вакансії в рамках компанії.

Дані про фізичних осіб, які є працівниками компанії, повинні зберігатися не довше періоду, протягом якого існують трудові відносини між компанією-працедавцем та працівником. Однак, у компанії можуть виникати обов’язки зберігати персональні дані довше, коли це необхідно для цілей, визначених внутрішнім законодавством країн – члена ЄС. Такі цілі можуть стосуватися бухгалтерської або податкової звітності. Окрім цього, компанія-роботодавець може зберігати персональні дані екс-працівників для цілей, пов’язаних з подачею, забезпеченням або захисту від претензій або судових позовів, що можуть виникати у зв’язку з відповідними трудовими відносинами.

Не залежно від того, які персональні дані працівників компанія-роботодавець зберігає, заходи захисту, що вживаються компанією, повинні відповідати вимогам, що визначаються в тексті GDPR, зокрема але не виключно, щодо захищеності ресурсів зберігання даних, технічних інструментів, які компанія використовує, а також компаній-підрядників, яких компанія залучає до обробки персональних даних.

Моніторинг працівників

Працівник, яку б посаду в рамках компанії він не займав, в жодному разі не втрачає право на свою приватність, а також право на захист своє честі та гідності.  Однак, інколи може виникати тонка грань між приватністю працівника та захистом законних інтересів роботодавця, зокрема, але не виключно, в тих випадках, коли це загрожує компанії втратою її фінансових або інших ресурсів, ділової та бізнес репутації.

Здійснюючи моніторинг публічних місць, в межах приміщень та офісів компанії, роботодавець повинен дотримуватися загальних вимог щодо збору персональних даних в контексті систематичного моніторингу публічних місць. Наприклад, в цьому випадку, компанія повинна здійснити оцінювання впливу на захист даних (Data Protection Impact Assessment), який вимагається GDPR, а також розмістити всі необхідні інформаційні повідомлення, які б максимально описували цілі та специфіку обробки відеозаписів, зроблених компанією.

Якщо ж мова йде про моніторинг робочого місця працівника, то в такому випадку, компанії-працедавцю необхідно визначити підстави такого моніторингу, враховуючи необхідність, законність, пропорційність та прозорість здійснюваних операцій з обробки. Забезпечуючи моніторинг робочого місця, мова може йти як про організацію відеоспостереження, так і про здійснення контролю за використанням працівником інтернету та робочої адреси електронної пошти.

Для можливості уникнення порушення прав та законних інтересів працівника, компанії варто повідомити працівника про здійснення такого моніторингу перед початком його фактичного проведення. Таке інформування може, наприклад, бути забезпечене шляхом ознайомлення працівника з внутрішньою моніторинговою політикою, затвердженою компанією, яка дає чіткі відповідні на запитання: хто, що, як та коли здійснює моніторинг. Окрім цього повинні зазначатися чіткі цілі та законні підстави для здійснення такого моніторингу.

Висновок

Компанії, які зареєстровані в ЄС, повинні максимально обережно та виважено підходити до питання організації обробки персональних даних своїх працівників, адже від такої компанії можуть вимагатися вчинення специфічних дії та здійснення неординарних заходів, які визначаються законодавством тієї країни, де компанія зареєстрована або здійснює свою операційну діяльність.

На нашу думку, кожній компанії, яка має в своєму штаті працівників, необхідно отримати належну консультацію спеціалістів у сфері приватності та захисту персональних даних, перш за все за-для можливості мінімізувати або уникнути настання ризиків у сфері обробки персональних даних, в  процесі здійснення своєї діяльності.