Захист персональних даних на роботі: гайд для роботодавців

Захист персональних даних на роботі: гайд для роботодавців

Зазвичай роботодавці мають справу з великою кількістю персональних даних майбутніх, поточних чи колишніх працівників. Ці дані можуть включати базову інформацію, таку як імена, адреси, контакти, так само й інформацію про здоров’я, національність, лікарняні відпустки чи дисциплінарні заходи. Як контролери цієї інформації, роботодавці зобов’язані забезпечити дотримання правил захисту персональних даних.

Порушення цих норм може стати результатом накладення великого штрафу наглядовими органами. Наприклад, у 2020 році наглядовий орган Гамбургу наклав штраф у розмірі 35.3 мільйонів євро на H&M за порушення статей 5 і 6 Регламенту. Зокрема, точні деталі про життя деяких працівників (захворювання, медичні діагнози, релігійні вірування і сімейні проблеми) були записані і зберігались на мережевому диску. Цей факт став відомий, коли на серверах виникла технічна помилка, і дані з диску стали наявними для усіх працівників компанії на декілька годин. 

Необхідні кроки, які роботодавці мають здійснити для GDPR комплаєнсу, читайте далі у нашій статті.

Персональні дані & трудові відносини 

Відповідно до Рекомендацій Ірландської комісії з захисту персональних даних (DPC), робочі емейли, outlook календар чи опис робочих обов’язків не є персональними даними, але за певних обставин можуть бути.

Ім’я у адресі робочої пошти 

Якщо адреса робочої пошти, наприклад, JohnSmith@abc.ie, то це вважатиметься персональними даними, оскільки така адреса містить повне ім’я особи і дозволяє її ідентифікацію.

Робочі імейли 

Малоймовірно, що зміст імейлу написаного людиною під час виконання своїх робочих обов’язків, буде вважатись її персональними даними. Але якщо було зроблено запит на доступ до даних, то роботодавець має обов’язок перевірити зміст робочих імейлів для того, щоб визначити, чи інформація у імейлі містить персональні дані працівників.

Outlook календар і опис робочих обов’язків 

Опис робочих обов’язків і outlook календар не вважаються персональними даними відповідно до визначення, наданого у статті 4 (1) GDPR.

Захист персональних даних на роботі: гайд для роботодавців

Обов’язки роботодавця щодо персональних даних працівників згідно з GDPR

Оскільки працівники діють як контролери щодо даних їхніх працівників, то вони мають обов’язок демонструвати дотримання принципів захисту персональних даних, встановлених у статті 5 GDPR, а саме законність, правомірність і прозорість, цільове обмеження, мінімізація даних, точність, обмеження зберігання, цілісність і конфіденційність.

Законність, правомірність і прозорість

Роботодавці зобов’язані надавати працівникам чітку та прозору інформацію щодо цілей опрацювання їхніх персональних даних та правових підстав, на які вони покладаються. Щоб продемонструвати прозорість у робочих відносинах, роботодавець може імплементувати легко доступну HR систему, яка дозволяє працівникам переглядати дані, які зберігаються роботодавцем, і розуміти, як вони використовуються.

Повідомлення працівників про опрацювання персональних даних 

Крім того, роботодавець повинен повідомити працівників про опрацювання їхніх даних. Роботодавці можуть виконати цю вимогу, включивши необхідну інформацію в хендбук для працівників або в спеціальний документ-повідомлення, який надається всім новим працівникам. Повідомлення має бути актуальним, а працівники повинні бути повідомлені, коли додаються нові цілі опрацювання даних.

Відповідно до Регламенту, повідомлення повинно містити достатньо деталей, щоб працівники могли зрозуміти:

  • цілі опрацювання,
  • правові підстави для опрацювання,
  • які є законні інтереси,
  • коли на ці підстави покладаються,
  • одержувачі їхніх даних,
  • куди будуть передані їхні дані,
  • і як довго роботодавець їх зберігатиме.

Цільове обмеження

Персональні дані слід збирати лише для визначених, чітких і законних цілей. Їх не можна опрацьовувати у спосіб, який є несумісним із цими початковими цілями. Наприклад, якщо роботодавець збирає особисту адресу електронної пошти працівника виключно для того, щоб повідомити про конкретні робочі питання до початку роботи працівника, роботодавець не може пізніше використовувати цю адресу електронної пошти для інших цілей або надавати її іншій організації без законної підстави. Це пояснюється тим, що таке подальше опрацювання, швидше за все, буде несумісним з початковою метою, для якої було зібрано адресу електронної пошти.

Мінімізація даних

Роботодавці зобов’язані оцінити необхідність опрацювання персональних даних. Опрацювання має бути адекватним, релевантним та обмеженим запланованими цілями опрацювання. Будь-яке опрацювання, що виходить за межі необхідного, не має дійсної правової підстави.

Точність

Принцип точності вимагає від роботодавців вживати заходів для забезпечення дійсності і постійного оновлення персональних даних працівників, які вони опрацьовують. 

Обмеження зберігання

Роботодавці повинні зберігати персональні дані у формі, яка дозволяє ідентифікувати суб’єкта даних, лише доки це потрібно для цілей опрацювання. Саме тому необхідно встановити часові обмеження для зберігання персональних даних, щоб гарантувати, що дані не зберігаються довше, ніж необхідно. Ці часові обмеження повинні підлягати періодичному перегляду. 

Як правило, поки особа працює, роботодавець має законні підстави зберігати дані працівника. Однак, як тільки працівник покидає роботу, законні причини для збереження його даних, ймовірно, будуть відсутні або зміняться. 

Різні національні закони вимагають від роботодавців зберігати дані працівників протягом певного часу. До них належать зобов’язання згідно із корпоративним законодавством, законодавством про працю і охорону праці, медичними та податковими законами тощо.

Цілісність і конфіденційність

Роботодавці повинні опрацьовувати персональні дані із застосуванням «належного захисту». Стаття 5(1)(f) Регламенту наводить, зокрема, приклади таких заходів безпеки, як «захист від несанкціонованого або незаконного опрацювання та від випадкової втрати, знищення або пошкодження, використання відповідних технічних або організаційних заходів».

Захист персональних даних на роботі: гайд для роботодавців

Правові підстави для опрацювання персональних даних 

Щоб опрацювання персональних даних було законним, воно повинно ґрунтуватися на відповідних правових підставах для кожної конкретної цілі.

 

Згода 

Конракт 

Встановлене законом зобов’язання

Життєво важливі інтереси

Виконання завдання в суспільних інтересах

Законний інтерес

Ст. 6 (1) (a) 

Регламенту 

Ст. 6 (1) (b) 

Регламенту 

Ст. 6 (1) (c)

Регламенту

Ст. 6 (1) (d)

Регламенту

Ст. 6 (1) (e) 

Регламенту

Ст. 6 (1) (f)

Регламенту

*як крайній засіб

Наприклад, опрацювання даних про заробітну плату та реквізити банківського рахунку для виплати заробітної плати.

При цьому повинен існувати прямий і об’єктивний зв’язок між опрацюванням даних і ціллю виконання контракту.

Згідно з національним законодавством, роботодавець зазвичай зобов’язаний надавати інформацію про зарплату національним податковим органам.

Ситуації, пов’язані з загрозою життю чи здоров’ю суб’єкта даних або іншої особи.

Опрацювання даних працівників, пов’язане з правилами охорони праці та безпеки, або забезпечення дотримання правових вимог, встановлених державними органами.

Наприклад, коли роботодавець вносить структурні зміни в систему, щоб перенести дані про працівника зі старої системи нарахування заробітної плати до нової.

Згода як правова підстава

Використовувати згоду як правову підставу для опрацювання даних працівників рекомендується лише у виняткових випадках.

Чому?

Щоб бути дійсною, згода має бути вільно наданим, конкретним, поінформованим і однозначним вираженням бажання працівника. У пункті 43 преамбули до Регламенту конкретно зазначено, що згода не повинна становити дійсну правову підставу для опрацювання персональних даних у випадку, коли існує помітний дисбаланс між суб’єктом даних і контролером.

Згідно з Гайдлайном про згоду від WP29, для роботодавців проблематично опрацьовувати персональні дані поточних або майбутніх працівників на основі згоди, оскільки навряд чи вона буде надана вільно. Працівники справді можуть відчувати тиск, щоб надати згоду на використання їхніх персональних даних через побоювання, що відмова у згоді може негативно вплинути на їхню роботу. Отже, якщо згода не є вільною, вона недійсна.

Опрацювання спеціальних категорій персональних даних працівників

Якщо роботодавець опрацьовує спеціальні категорії даних, зокрема дані про здоров’я (наприклад, медичні довідки або звіти для обліку професійного здоров’я), роботодавець повинен переконатися, що він дотримується одного з винятків, зазначених у статті 9 Регламенту.

Крім того, у деяких юрисдикціях опрацювання спеціальних категорій персональних даних працівників залежить від відповідного законодавства про зайнятість. Наприклад, Кодекс законів про працю в Польщі чітко визначає дані, які роботодавець має право вимагати від працівника або кандидата на роботу.

Технічні та організаційні заходи

Відповідно до статті 24 (1) Регламенту контролер повинен імплементувати відповідні технічні та організаційні заходи, щоб забезпечити та мати можливість продемонструвати, що опрацювання здійснюється відповідно до GDPR

Національне право

Роботодавець як контролер повинен враховувати національне трудове законодавство. Це важливо, зокрема, у взаємодії з радами працівників чи профспілками. 

Профспілки чи ради працівників можуть відігравати певну роль у процесі опрацювання персональних даних працівників, оскільки вони відповідають за захист прав працівників, включаючи захист їхніх персональних даних і права на приватність. Незалучення робочої ради чи профспілки до прийняття таких рішень в деяких країнах, може бути підставою для визнання опрацювання незаконним. У таких випадках рада працівників чи профспілка може вимагати судової заборони, а роботодавець може зіткнутися зі штрафами. Наприклад, відповідно до Закону про виробничу раду Німеччини, виробнича рада має право заперечувати проти використання пристроїв моніторингу працівників, що передбачає опрацювання персональних даних.

Детальніше про моніторинг працівників роботодавцем читайте в нашій попередній статті.

Висновок 

Таким чином, роботодавець як контролер даних повинен діяти відповідно до правил захисту персональних даних і дотримуватися вищезазначених рекомендацій:

  • Забезпечити дотримання принципів захисту даних (законність, правомірність і прозорість, цільове обмеження, мінімізація даних, точність, обмеження зберігання, цілісність і конфіденційність, підзвітність).
  • Враховувати національне трудове законодавство (зокрема, вимоги щодо взаємодії з радами працівників чи профспілками).
  • Використовувати згоду як правову підставу для опрацювання даних працівників лише у виняткових випадках (бо вона навряд чи буде надана вільно).
  • Звертати особливу увагу на вимоги національного законодавства щодо опрацювання спеціальних категорій персональних даних працівників (наприклад, у певних країнах можуть існувати вимоги отримати дозвіл наглядового органу на опрацювання спеціальних категорій персональних даних працівників).
  • Повідомляти працівників про опрацювання їхніх даних.
  • Дотримуватися термінів зберігання персональних даних, передбачених національним законодавством.

Legal IT Group з радістю допоможе вам з налагодженням процесів опрацювання персональних даних працівників у відповідності з GDPR. Звертайтесь!

 

    Твоє запитання ІТ юристам


    Отримуй сповіщення про нові статті :)