Обязанности компаний из ЕС при обработке персональных данных в сфере трудовых отношений

18 января 2020

Новое европейское регулирование в сфере защиты персональных данных, кроме всего, также значительно усиливает требования к компаниям в рамках ведения ими своего бизнеса, также требует обеспечения соблюдения условий законной обработки персональных данных в процессе взаимодействия компании со своими работниками. Такие требования на первый взгляд могут показаться общими и необязательными, но они все же имеют определенные особенности, на которые компаниям стоит обратить свое внимание в не в последнюю очередь.

Персональные данные работников

Европейские компании, выступая в роли работодателей, собирают, хранят и другим образом обрабатывают персональные данные своих потенциальных, настоящих и бывших работников для различных целей, в том числе, но не исключительно, для целей учета, мониторинга и начисления заработной платы.

В общем, компании могут собирают те персональные данные, с помощью которых есть возможность как прямо идентифицировать физическое лицо, так и персональные данные, которые относятся к специальным категориям данных, в частности, но не исключительно, данные, раскрывающие этническое, расовое происхождение лица или его вероисповедания. К персональным данным относится также вся другая информация, которая собирается о работнике в процессе осуществления им своих трудовых обязанностей. К таким данным может относиться информация, которая является результатом проведенного мониторинга деятельности работников, в частности с помощью средств электронного мониторинга и видеонаблюдения.

В рамках взаимодействия с сотрудниками, компания-работодатель должна соблюдать требования не только GDPR, но и требования внутреннего трудового законодательства страны-члена ЕС, в которой она зарегистрирована или осуществляет деятельность. В отличие от Украинского, трудовое законодательство в европейских странах чрезвычайно развитое и прогрессивное. Например, в некоторых вопросах, связанных с вопросами трудоустройства, обеспечения надлежащих условий труда и обработки персональных данных работника от компании-работодателя может потребоваться обязательная консультация с рабочими советами (work councils), которые уполномочены представлять интересы работников или действовать от их имени. Такие консультации обычно требуются в странах, где авторитет и действенность соответствующих трудовых советов чрезвычайно велика, например, в Германии и Франции.

Вместе со всем, каждая страна — член Европейского Союза, имеет право разрабатывать отдельные положения законодательства, регулирующие вопросы как обработки персональных данных работников так и вопросы трудовых отношений. При этом, каждая страна должна сообщать Европейскую Комиссию о принятии соответствующего законодательства, для возможности осуществления общеевропейского мониторинга законодательных инициатив, а также для избежание злоупотребления своими правами определенными странами.

Основания для обработки персональных данных работников

В общем, в рамках отношений между компанией-работодателем и работником, могут применяться различные основания для обработки персональных данных, основанные, например, на получении согласия работника, заключении или выполнении трудового контракта, использовании законных интересов компаний-работодателей, или же необходимости выполнения определенных юридических обязанностей, определенных законодательством, субъектом которых является компания-работодатель.

До недавнего времени, большое количество компаний обычно получали согласие от своих работников для того, чтобы узаконить обработку их персональных данных. Как показывают исследования европейских органов и институтов, такого законного основания не всегда будет достаточно, ведь оно может вызвать определенную диспропорцию в законных интересах компании-работодателя и работника. Например, когда без получения согласия на обработку персональных данных от физического лица, компания-работодатель не примет на работу такое лицо, тем самым, лишив его права на трудоустройство, которое предусмотрено европейским законодательством. Именно в связи с такими обстоятельствами, не рекомендуется использовать «согласие» как законное основание для обработки персональных данных работников, так как это может нести значительные риски для компании-работодателя.

На наш взгляд, более рационально для компании-работодателя было бы рассмотреть возможность использовать такое законное основание как «обеспечение законных интересов» или же «заключение с работником трудового контракта».

Когда речь идет об обработке чувствительных персональных данных, компании стоит особенно сосредоточить свое внимание на обеспечении законных оснований для обработки именно таких данных. Замечательным основанием для этого может служить требование, предусмотренное статьей 9 GDPR, которая опирается на необходимость обработки персональных данных именно в целях трудоустройства и трудовых отношений, регулируемых законодательством ЕС или законодательством отдельной страны — члена Европейского Союза.

Хранение персональных данных работников

Как уже отмечалось ранее, компания-работодатель, в рамках трудовых отношений работником, сохраняет персональные данные следующих категорий физических лиц:

  • потенциальные работники;
  • нынешние работники;
  • работники, трудовые отношения с которыми закончились.

Информация о кандидатах на определенные должности в рамках компании должны храниться до того момента, пока соответствующая должность не будет заполнена. В таком случае, например, нет никакой необходимости и никаких оснований для дальнейшей обработки резюме кандидатов, кроме тех случаев, когда информация о такого кандидата может быть рассмотрена компанией для заполнения других открытых вакансий в рамках компании.

Данные о физических лицах, являющихся работниками компании, должны храниться не дольше периода, в течение которого существуют трудовые отношения между компанией-работодателем и работником. Однако, в компании могут возникать обязанности хранить персональные данные дольше, когда это необходимо для целей, определенных национальным законодательством страны — члена ЕС. Такие цели могут касаться бухгалтерской или налоговой отчетности. Кроме этого, компания-работодатель может хранить персональные данные экс-работников для целей, связанных с подачей, обеспечением или защиты от претензий или судебных исков, которые могут возникать в связи с соответствующими трудовыми отношениями.

Независимо от того, какие персональные данные работников компания-работодатель сохраняет, меры защиты, предпринимаемые компанией, должны соответствовать требованиям, которые определяются в тексте GDPR, в частности, но не исключительно, по защищенности ресурсов хранения данных, технических инструментов, которые компания использует, а также компаний-подрядчиков, которых компания привлекает к обработке персональных данных.

Мониторинг работников

Работник, какую бы должность в рамках компании он не занимал, ни в коем случае не теряет право на свою приватность, а также право на защиту своей чести и достоинства. Однако, иногда может возникать тонкая грань между приватностью работника и защитой законных интересов работодателя, в частности, но не исключительно, в тех случаях, когда это угрожает компании потерей ее финансовых и других ресурсов, деловой и бизнес репутации.

Осуществляя мониторинг публичных мест, в пределах помещений и офисов компании, работодатель должен соблюдать общие требования по сбору персональных данных в контексте систематического мониторинга публичных мест. Например, в этом случае, компания должна осуществить оценку воздействия на защиту данных (Data Protection Impact Assessment), который требуется GDPR, а также разместить все необходимые информационные сообщения, которые бы максимально описывали цели и специфику обработки видеозаписей, сделанных компанией.

Если же речь идет о мониторинге рабочего места работника, то в таком случае, компании-работодателю необходимо определить основания такого мониторинга, учитывая необходимость, законность, пропорциональность и прозрачность совершаемых операций по обработке. Обеспечивая мониторинг рабочего места, речь может идти как об организации видеонаблюдения, так и об осуществлении контроля за использованием работником интернета и рабочей адреса электронной почты.

Для возможности избежание нарушения прав и законных интересов работника, компании стоит уведомить работника об осуществлении такого мониторинга перед началом его фактического проведения. Такое информирование может, например, быть обеспечено путем письменого ознакомления работника с внутренней мониторинговой политикой, утвержденной компанией, которая дает четкие соответствующие на вопрос: кто, что, как и когда осуществляет мониторинг. Кроме этого должны указываться четкие цели и законные основания для осуществления такого мониторинга.

Вывод

Компании, зарегистрированные в ЕС, должны максимально осторожно и взвешенно подходить к вопросу организации обработки персональных данных своих работников, ведь от такой компании могут требоваться совершение специфических действия и осуществления неординарных мер, которые определяются законодательством той страны, где компания зарегистрирована или осуществляет свою операционную деятельность.

По нашему мнению, каждой компании, которая имеет в своем штате работников, необходимо получить надлежащую консультацию специалистов в сфере приватности и защиты персональных данных, прежде всего для возможности минимизировать или избежать наступления рисков в сфере обработки персональных данных, в процессе осуществления своей деятельности .