GDPR для німецьких компаній та для роботи на німецькому ринку

Німеччина відома своїм безкомпромісним ставленням до приватності. Як регулятори, так і споживачі ґрунтовно обізнані з основами правового регулювання та очікують найвищих стандартів обробки і захисту персональних даних.

Для компаній, які масштабуються у цю країну, знання GDPR (німецькою ‘DSVGO’) i Федерального закону про захист персональних даних (‘BDSG’) необхідне як пасок безпеки. Програму забезпечення його стандартів можна поділити на три ключові аспекти: первинна підготовка, обізнаність із трендами і культура. 

Інвентар для подорожі у німецьку приватність: маст-хев

Перші кроки для комплаєнсу вашої компанії будуть такими ж, як і в інших країнах ЄС. Ви почнете з документування даних, які збираються, цілей і підстав обробки та процесорів або третіх сторін, яким вони передаються. Цю інформацію слід буде розподілити у політику конфіденційності та ROPA. Особливості публічної документації для німецького вебсайту або додатку ми розглянемо нижче.

Тим часом ви, маючи на руках список процесорів, зможете урегулювати передавання даних через ДПА. Залежно від підстав обробки та категорій даних, слід буде обґрунтувати ваш легітимний інтерес та оцінити вплив на обробку даних у ДПІА. Можливо, також треба буде призначити ДПО (до яких у Німеччині є специфічні вимоги) і забезпечити йому процедуральні і фактичні гарантії незалежності. 

Privacy by default і by design та прозора конфігурація opt-in механізмів буде важливою частиною розбудови вашого продукту, адже Німеччина дотримується строгих вимог щодо законності згоди. 

Щоб якісно забезпечити комплаєнс із цими та іншими вимогами, слід звернути увагу на особливості німецького законодавства з приватності, які починаються з його обʼєму.

До законів, які регулюють збір даних, входить плеяда з BDSG (доповнює вимоги GDPR), TTDSG (Закон про телемедіа, який імплементує ePrivacy директиву), а також законодавство про рівне ставлення (Allgemeines Gleichbehandlungsgesetz – ‘AGG’) й різноманітні кодекси (наприклад, трудовий) та акти. Крім того, нещодавно Німеччина опублікувала драфт Закону про дані працівників (Beschäftigtendatengesetz). У разі ухвалення, Beschäftigtendatengesetz регулюватиме обробку ПД до, після та під час працевлаштування, а також використання ШІ в HR-процесах.

Ми нещодавно писали про GDPR правила та підводні камені в захисті персональних даних

BDSG у двох словах

Імплементуючи GDPR, Німеччина суттєво скористалася своєю дискрецією. BDSG вводить багато процедуральних уточнень, але також створює виключні підстави для обробки даних, яких не існує у GDPR. 

Наприклад, обробка персональних даних працівників за GDPR може відбуватися на підставі трудового договору, легітимного інтересу або, в окремих випадках, згоди. 

Німеччина підняла ці умови на інший рівень.  §26 (1) BDSG надає уточнений список підстав для використання даних працівників: 1) ухвалення рішення щодо прийняття на роботу, 2) виконання або припинення трудового договору і 3) згода, заснована на вільному волевиявленні. Ви також можете спиратися на легітимний інтерес у рамках GDPR, але оскільки інтерес — оціночне поняття, потрібно буде окремо вивчати німецький підхід у кожному окремому випадку. 

Згода як окрема підстава обробки (§26 (2) BDSG) підпадає під строгі вимоги. BDSG вимагає врахувати рівень залежності працівника від роботодавця та обставин надання згоди, щоб оцінити свободу волевиявлення. Крім того, за загальним правилом, згода надається у письмовій або електронній формі. Це стосується не тільки працівників: у цілому, щоб використовувати згоду як підставу обробки у Німеччині, необхідно зберігати документальний доказ її надання (§ 51 (1) BDSG). 

ДПО (‘DPO’, або Data Protection Officer) за GDPR повинні призначати компанії, які регулярно обробляють великі обсяги даних або працюють з чутливими даними. У Німеччині до обовʼязкових умов для призначення ДПО додаються ще три:

• компанія на постійній основі наймає щонайменше 20 осіб, які займаються автоматизованою обробкою персональних даних;
• компанія здійснює обробку, яка підпадає під вимоги проведення ДПІА; або
• компанія обробляє дані з метою трансферу або для цілей дослідження ринку чи громадської думки (§38 BDSG).

Найм німецького працівника і приватність

Іноді норми про обробку даних у Німеччині можна знайти у несподіваних місцях. Зокрема, на стадії збору даних кандидатів у гру вступає AGG — Закон про рівне ставлення. 

Саме з огляду на можливі позови про дискримінацію відповідно до §15 (4) AGG, роботодавець має право зберігати особисті дані відхиленого кандидата лише протягом 6 місяців після закінчення процесу найму. Це обумовлено тим, що 6 місяців є строком для подання позову та вжиття правових заходів проти компанії за AGG та трудовим законодавством. Лише у випадках, коли надано явну згоду, роботодавець може зберігати особисті дані кандидата після закінчення цього строку. 

Крім того, коли ви збираєте дані кандидатів, вони мають чітко розуміти, що інформація обробляється у цілях найму за §26 (1) BDSG. Формулювання на зразок “заповніть цю форму, щоб залишатися з нами на звʼязку” в опитувальниках для кандидатів можуть вважатися некоректними, оскільки із них неясно, який саме звʼязок мається на увазі. 

Важливо забезпечити, щоб кандидати не були вимушені надавати більше інформації, ніж потрібно для найму на роботу. Запитання, які не відносяться напряму до позиції, обовʼязків, досвіду і кваліфікації повинні бути необовʼязковими. Якщо кандидат не зможе податися на посаду або пройти відбір без надання інформації про свій улюблений серіал, це буде вважатися порушенням.

Звісно ж, зберігаючи дані потенційних кандидатів слід також утриматися від необовʼязкових розсилок або пропозицій. Тут, як і в інших випадках, дані можуть використовуватися лише з тією метою, для якої їх початково зібрали. 

Політика, імпресум… що це і для чого?

Імпресум — це німецьке визначення для інформації про власника ресурсу і контактні дані, які повинні бути вказані на окремій сторінці. Зазвичай посилання на нього додають поруч із політикою приватності. Інформація, яку слід вказувати в імпресумі, регулюється §5 TMG. До неї входять: 

• повна назва компанії або фізичної особи та, якщо це доречно, юридична форма (наприклад, GmbH, AG); 
• повна поштова адреса, за якою розташоване підприємство, адреса електронної пошти та, бажано, номер телефону для прямого зв’язку; 
• реєстраційна інформація;
• ідентифікаційний номер платника ПДВ або інша інформація, пов’язана з оподаткуванням;
• ім’я особи, яка несе юридичну відповідальність за вміст (зазвичай це генеральний директор або власник).

Уся публічна документація повинна бути доступна німецькою мовою, якщо ваш ресурс спрямований на німецького користувача. Наприклад, компанія, яка продає різдвяні іграшки за євро і надає доставку у Німеччину, повинна мати політику, імпресум та іншу документацію німецькою.

Також хорошою практикою є надавати окремі політики для кандидатів на роботу. Якщо компанія постійно розширяється і активно наймає, її ресурси для найму на роботу, такі як форми, опитувальники і тестування, можуть ставати більш деталізованими. Відтак кандидати повинні чітко розуміти, для чого і на яких підставах збираються їхні дані, які у них є права щодо їхнього захисту, і як довго компанія має право їх зберігати.

Радимо почитати про те, Що таке персональні дані за GDPR?

Взаємодія із субʼєктами даних

Субʼєкти, які подають запити до бізнесів, зазвичай готові захищати свої права і скептично перечитують відповіді компаній. У Німеччині вони можуть піти в обхід конвенційних методів і звернутися до тих, хто дасть їм правове озброєння — колекторів.

Компанії, які надають послуги стягнення збитків за порушення GDPR, зазвичай відомі у місцевих юридичних колах. Їхні запити можуть бути складені за доволі розумною схемою: до основних вимог, які компанія, скоріше за все, має право не задовольняти, вони додають запит про інформацію за статтею 15 GDPR, від якого неможливо відмовитися.

Отримавши такий запит, потрібно уважно перевіряти, чи мають право колектори представляти субʼєкта. Навіть якщо у них є довіреність, надсилати їм дані у чистому вигляді може бути ризиково. Найкраще буде описати категорії даних й іншу загальну інформацію, яка стосується запиту.

Виплачувати кошти, щоб уникнути наслідків, якими колектори зазвичай погрожують, також не бажано. Це може вважатися визнанням вини і призвести до вимагання вищих сум, заперечити які буде важче.

Збалансований підхід

Кожен, хто піклується про комплаєнс своєї компанії, уже захищений від основних правових наслідків і, що не менш важливо, репутаційних втрат. Хоча німецька специфіка може видаватися строгою і небезпечною, вона лише уточнює існуючі положення GDPR. Якщо у вашій компанії налагоджені основи захисту персональних даних, дотриматися її важливо, але зовсім не складно.