C 15 ноября 2021 г. наниматели должны будут придерживаться законодательно закрепленных правил обработки  персональных данных работника. О том, как наладить  процесс и какие сложности могут возникнуть у компаний, мы беседуем с управляющим партнером GRATA International Дмитрием ВИЛЬТОВСКИМ.

– Дмитрий, каким образом сегодня регулируется обращение с персональными данными работника?

– Закон «О защите персональных данных», которым будет регулироваться обращение персональных данных физических лиц, в т.ч. работников предприятий, вступает в силу с 15.11. 2021.

Он внесет существенные коррективы в работу нанимателей Беларуси, т.к. потребует внедрения определенного документооборота, системы защиты данных. Наниматель обязан будет назначить лицо, ответственное за обработку персональных данных и осуществление внутреннего контроля за обработкой персональных данных (в европейской практике – Data Protection Officer (DPO)).

Получение, хранение, использование персональных данных белорусского работника с нанимателем в Беларуси под регулирование европейского регламента GDPR не подпадает.

Напомним, что обработкой персональных данных признается любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление.

– Как наниматель сможет законно собирать, обрабатывать, распространять персональные данные работника?

– В соответствии с новым законом наниматель будет обладать правами и обязанностями оператора персональных данных.

Исходя из положений того же закона заключение трудового договора является основанием для получения персональных данных работников. Однако круг такой информации ограничен целями договора, т.е. наниматель может получить от работника только ту информацию, которая необходима ему для оформления трудовых отношений, надлежащего выполнения условий трудового договора обеими сторонами, а также для соблюдения требований трудового законодательства.

Без отдельно оформленного согласия работника запросить можно будет сведения, которые должны содержатся в документах, предъявляемых при заключении трудового договора, в его личном деле (ФИО, адрес и т.п.) и должны быть представлены в уполномоченные государственные органы (например, данные для форм отчетов в различные органы).

На иную личную информацию, в т.ч. не связанную с трудовой деятельностью, наниматель сможет получить согласие работника по общим правилам.

– В каком виде должно быть получено согласие работника?

– Обязательная форма согласия работника на сбор, обработку, распространение, предоставление данных не предусмотрена. Это может быть документ в письменной форме, в виде электронного документа или в иной электронной форме, а также согласие, полученное другими способами, позволяющими установить факт его получения. Надлежащим будет считаться согласие, которое содержит следующие сведения: ФИО субъекта данных; дату его рождения; идентификационный номер, а в случае отсутствия такого номера – номер документа, удостоверяющего личность субъекта персональных данных.

Вместе с тем до получения согласия наниматель в письменной или электронной форме (форма должна соответствовать форме выражения согласия) обязан предоставить работнику следующую информацию: наименование и место нахождения нанимателя; цель сбора, обработки персональных данных; перечень данных, на обработку которых дается согласие; перечень действий с персональными данными, на совершение которых дается согласие; срок, на который дается согласие; порядок отзыва согласия.

Требования о согласии работника будут распространяться и на случаи передачи нанимателем персональных данных третьим лицам.

– Какие права есть у субъекта в отношении передаваемых им персональных данных, какие требования он может заявлять в этой связи нанимателю?

– В соответствии с принятым законом субъекты персональных данных имеют следующие права: на отзыв согласия; на получение информации, касающейся обработки персональных данных и изменения персональных данных; на получение информации о предоставлении персональных данных третьим лицам. Они вправе требовать прекращения обработки персональных данных и их удаления. Могут обжаловать действия (бездействие) и решения оператора, связанные с обработкой персональных данных.

Что касается «права быть забытым», имеющего отражение в европейском GGPR и нашедшего отражение в белорусском законе, то оно подразумевает, что любой человек вправе отозвать свои персональные данные, а лицо, которое обладало такой информацией, обязано ее удалить. При этом работник не может потребовать удаления его персональных данных в период работы у данного нанимателя. После прекращения трудовых отношений в силу инструкций по делопроизводству наниматель не сможет удалить персональные данные работника, которые включаются в личное дело и подлежат хранению в течение определенного срока.

– Какие обязанности в отношении персональных данных работника установлены для нанимателя?

– Отдельно нужно отметить, что процесс получения личной информации от работника должен быть понятным для работника. Получение согласия должно быть свободным, однозначным и информированным.

В процессе осуществления трудовых обязанностей наниматель может устанавливать контроль в течение рабочего времени за работником с использованием компьютерных программ и (или) камер видеонаблюдения и т.п. По сути такие действия также являются сбором персональных данных. Наниматель в таком случае должен получить письменное согласие работника на сбор персональных данных.

Получая информацию о работнике, наниматель обязуется принимать все необходимые меры по ее защите и соблюдать конфиденциальность.

Защита персональных данных включает целую группу мер. Это меры организационно-правового характера: издание документов, определяющих политику оператора в отношении обработки персональных данных и ознакомление с ними сотрудников оператора, обучение сотрудников оператора, назначение структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных, введение режима и охраны помещений, эффективного делопроизводства по электронным документам. 

Меры технического характера предполагают осуществление технической и криптографической защиты персональных данных и др.

Меры, решаемые путем программирования, – это регламентация права на доступ, ограждение от вирусов, стирание информации при несанкционированном доступе.

Есть еще меры аппаратной защиты: отключение компьютера при ошибочных действиях пользователя или попытке несанкционированного доступа.

– Какая ответственность пре­дусмотрена за несоблюдение обязанностей в отношении персональных данных?

– Наниматель несет ответственность за несоблюдение правил работы с персональными данными всеми его сотрудниками. В рамках организации следует разработать внутренние политики (положение о защите персональных данных), которые подробно будут фиксировать задачи, функции и ответственность сотрудников в области защиты предоставленных работниками персональных данных. Рекомендуем проводить регулярные проверки наличия традиционных и электронных документов, дел и баз данных у работников отдела и кадровых документов в подразделениях предприя­тия.

За нарушение законодательства о защите персональных данных преду­смотрена административная ответственность по ст. 23.7 КоАП.

С 1 марта 2021 г. ответственность распространяется и на физлиц, и на юридических лиц.

Умышленные незаконные сбор, обработка, хранение или предоставление персональных данных физлица либо нарушение его прав, связанных с обработкой персональных данных, влекут штраф до 50 БВ.

В Законе о защите персональных данных, а также исходя из трактовки действующего гражданского законодательства предусматривается возможность материального возмещения морального вреда независимо от возмещения имущественного вреда и убытков.

– Как в соответствии с новыми нормами построить процесс обработки и хранения персональных данных при получении резюме кандидата на работу по электронным каналам?

– Важно помнить о том, что необходимо получить согласие на обработку персональных данных. Удобнее всего разместить его на сайте компании. После ознакомления с перечнем обрабатываемой вами информации и целями обработки потенциальный работник может дать осознанное согласие. Далее потенциальный работник сможет загрузить резюме или заполнить форму прямо на вашем сайте. Помните, что вы обязаны в любой момент удалить всю информацию о субъекте и прекратить обработку его данных, как только он этого потребует. Также без согласия потенциального работника резюме, к примеру, не может быть передано из одной компании в другую с той же целью – найма на работу.

Представим себе ситуацию: произошло слияние двух компаний «А» и «В». Вся база работников компании «А» перешла в компанию «В». У компании «А» были письменные (или иные) разрешения от работников на обработку персональных данных. У компании «В» нет разрешений на обработку данных работников компании «А». По новым нормам для осуществления компанией «B» обработки персональных данных работников компании «А» ей необходимо получить согласие каждого работника. Процедуру получения согласия и его содержание мы описали выше. В случае отсутствия согласия каждого конкретного работника обработка его персональных данных невозможна.

– Имеет ли право наниматель размещать фотографии работника на сайте или в социальных сетях? Должен ли он удалить фото после увольнения работника?

– Использование фотографий ра­ботника в интернете хоть и объясняется тем, что работник состоит с нанимателем в трудовых отношениях, однако, как правило, не влияет на надлежащее выполнение трудовых обязанностей. В таком случае действует общее правило получения персональных данных – согласие работника. Что касается удаления фото после увольнения: если согласие работника ограничено сроком трудового договора, то наниматель обязан удалить фотографию по истечении такого срока согласия. Работник может потребовать удаления фотографии и до истечения срока согласия, а наниматель, в свою очередь, не вправе отказать ему.

Вебинар «Работа с персональными данными: практикум для нанимателей, юристов и кадровиков»

 

16 ноября 2021 г. в 12.00 состоится вебинар «Работа с персональными данными: практикум для нанимателей, юристов, кадровиков» с Владимиром Эдуардовичем САМОСЕЙКО, юрисконсультом ООО «Евро Девелопмент», магистром права.

 

Подробнее 

Автор публикации:

Воронежский Институт Психологии

ВОРОНЕЖСКИЙ ИНСТИТУТ ПРАКТИЧЕСКОЙ ПСИХОЛОГИИ И ПСИХОЛОГИИ БИЗНЕСАприглашает Вас на публичную (бесплатную) лекцию-семинар из цикла «Интимные отношения. Брак. Семья».

Тема лекции: ВЛИЯНИЕ РОДИТЕЛЬСКОЙ СЕМЬИ НА ЖИЗНЬ И СУДЬБУ ЧЕЛОВЕКА. ЧАСТЬ 2.

Семья – первое общество, с которым мы сталкиваемся в своей жизни, она несет огромное значение, влияет на все стороны жизни человека.

Основы личности зарождаются и произрастают в семье. Часто взрослый человек, сам того не понимая, в течении жизни лишь расширяет и углубляет то, что сложилось у него в душе за детские годы.

Понимание влияния семьи, её социализирующей роли крайне важно для каждого человека, и может тотально повлиять на его судьбу.

На лекции-семинаре будет говориться о роли семьи в жизни отдельного человека, будут освещены вопросы самоопределения, развития самосознания, формирования и принятия персональной ответственности и др.

В процессе лекции слушатели смогут:

• Увидеть себя в своей собственной семье;
• Понять, какое влияние семья оказала на их собственную жизнь;
• Увидеть и понять механизмы, которые помогут создать гармоничную атмосферу в своей собственной семье;
• Получат возможность задать вопросы по своей конкретной жизненной ситуации.

Получаемая слушателями информация способствует снятию эмоциональных барьеров, комплексов и предрассудков, что делает возможным осознание конкретным человеком собственной роли в своей семье.

Читает ректор Воронежского Института Практической Психологии и Психологии Бизнеса Вячеслав Михайлович Симонов.

ВХОД СВОБОДНЫЙ! Запись на лекцию ОБЯЗАТЕЛЬНА!

Дата и время: 30 октября в 18-30.

Место проведения:пр-т Революции 22, Дом Молодежи, конференц-зал, 2 этаж, 210 каб. 

Тел.: 232-29-09, 232-32-92, 8-960-137-47-74. Контактное лицо: Стародубцева Александра.

В этих трех странах согласие сотрудников может быть единственным способом передачи их данных

Это вторая часть серии из двух статей «Когда GDPR недостаточно: соображения конфиденциальности сотрудников в России, Беларуси и Украине». Первую часть этой статьи можно найти здесь

Прежде чем углубляться в вопросы обработки и передачи данных о сотрудниках, стоит изучить требования к оформлению трудовой документации в России, Беларуси и Украине.Как правило, бумажные файлы остаются преобладающей формой такой документации, и они широко используются местными компаниями для демонстрации соответствия государственным регулирующим органам. Помимо прочего, записи о сотрудниках, которые ведутся установленным образом, представляют собой доказательство надлежащего сбора данных о сотрудниках, что позволяет их дальнейшую обработку.

Сведения о сотрудниках

В соответствии с ТК РФ при приеме на работу работник должен предоставить следующие документы: паспорт или иное удостоверение личности, трудовую книжку, страховое свидетельство обязательного пенсионного страхования, военный билет (для работников, имеющих право на военную службу), диплом, или сертификат (для должностей, требующих специальных знаний или подготовки).

Трудовая книжка («трудовая книжка»), являющаяся пережитком советской эпохи, до сих пор используется в России, Беларуси и Украине и служит официальной записью трудового стажа человека.

Личное дело, которое является основным источником данных о сотрудниках, обычно включает копии вышеуказанных документов, трудовой договор с физическим лицом и внутренние приказы компании, которые должны быть изданы при приеме на работу, переводе, дисциплинарном взыскании или уволен.Кадровые дела должны храниться на бумажных носителях в помещениях компании и быть доступными для проверки государственным органам (например, местным инспекторам труда). Периоды хранения могут быть удивительно длинными в России, Беларуси и Украине. Большая часть документации, связанной с трудоустройством, должна храниться в течение 75 лет или постоянно. В случае ликвидации компании эти документы должны быть переданы в государственные архивы.

Многонациональные корпорации часто заинтересованы в доступе к данным о сотрудниках всех компаний своей группы для глобального найма, управления персоналом, обучения и развития и многих других бизнес-целей. Они все больше полагаются на центральные информационные системы для глобального управления своей рабочей силой (например, HRIS, системы управления обучением и т. д.). Компании могут свободно использовать такие системы при условии, что они отвечают соответствующим требованиям защиты данных, которые будут рассмотрены далее в следующей главе. тем не менее, надлежащие бумажные файлы будут необходимы в качестве доказательства соблюдения местного трудового законодательства в России, Беларуси и Украине.

Обработка и передача данных

Подобно подходу ЕС, Россия, Беларусь и Украина обычно запрещают обработку персональных данных, если такая обработка не основана на законных законных основаниях.Это следует учитывать транснациональным корпорациям, стремящимся внедрить корпоративные технологические решения и передать данные о местных сотрудниках в свою штаб-квартиру для управления процессами, связанными с сотрудниками, на глобальном уровне.

Правовые основания, предусмотренные GDPR для обработки данных сотрудников, включают согласие сотрудников, выполнение контракта, юридические обязательства (например, расчет налогов, администрирование заработной платы) и законный интерес. Согласие не может представлять собой действительное юридическое основание для обработки, если существует явный дисбаланс между субъектами данных и контролерами.Заключение Рабочей группы по статье 29 об обработке данных на рабочем месте также разъясняет, что согласие работников вряд ли может быть законным основанием для обработки данных на рабочем месте, и работодатели должны полагаться на другое правовое основание в большинстве случаев обработки данных работников.

Напротив, местные компании в России, Беларуси и Украине часто полагаются на согласие сотрудников для обоснования своей обработки. Российское законодательство предусматривает множество правовых оснований, в том числе упомянутых в GDPR, но согласие широко используется, когда у компаний нет других законных оснований для обработки данных.В Украине аналогичным образом согласие является преобладающим основанием для обработки данных; хотя возможны и другие обоснования.

Кроме того, потребуется согласие на трансграничную передачу персональных данных из России и Украины в те страны, которые не обеспечивают «надлежащий уровень защиты данных». И Россия, и Украина подписали Конвенцию Совета Европы № 108. Ан Адекватный уровень защиты данных предполагается, если страна-получатель персональных данных также подписала настоящую Конвенцию (51 страна;С. среди них нет).

Кроме того, Роскомнадзор утвердил собственный список стран с надлежащим уровнем защиты данных. В него входят 23 страны из «белого списка», т.е. Канада, Новая Зеландия и Австралия; США также нет в этом списке. На практике это означает, что для передачи данных из российских или украинских дочерних компаний в их материнскую компанию в США потребуется согласие сотрудников.

В соответствии с законодательством Республики Беларусь для сбора и обработки персональных данных строго требуется согласие, если «законодательством Республики Беларусь не предусмотрено иное.” Беларусь не подписала Конвенцию 108, и нет специального положения о трансграничной передаче данных. В отсутствие конкретных законов или руководств белорусские компании предпочитают полагаться на согласие для любого типа обработки, включая трансграничную передачу данных.

Подводя итог, можно сказать, что согласие сотрудников, по-видимому, является единственным вариантом для транснациональной корпорации со штаб-квартирой в США для доступа к местным данным о сотрудниках из России, Беларуси и Украины для нужд своего бизнеса. Законы этих стран не признают определенные механизмы передачи данных, такие как стандартные договорные положения или обязательные корпоративные правила, используемые в ЕС.Это может привести к сложной модели передачи данных, когда международная компания США использует SCC, BCR или ЕС-США. Защита конфиденциальности для передачи данных сотрудников из ЕС и согласие сотрудников или другие доступные механизмы для передачи данных из стран, не входящих в ЕС.

В России и Украине согласие может быть дано в любой форме, позволяющей продемонстрировать согласие субъекта данных на обработку. Однако российское законодательство конкретно говорит о «письменном согласии» на трансграничную передачу данных и устанавливает требования к его содержанию. Такое согласие должно включать в себя полное имя физического лица и его/ее паспорт или другие данные, удостоверяющие личность, название и адрес компании, конкретную цель(и) обработки данных, а также срок согласия и порядок его отзыва, в том числе другие. Белорусский закон обычно ссылается на «письменное согласие», но не диктует его содержание.

Согласие в электронной форме обычно считается «письменным» согласием (например, нажатие кнопки «Я согласен»), и эта форма может быть довольно удобной для транснациональных корпораций, которые стремятся использовать общие методы во всех своих системах и местах.Однако из-за нечеткого регулирования электронной подписи в России, Беларуси и Украине компаниям обычно рекомендуется проявлять осторожность и, следуя подходу, рассмотренному в предыдущей главе, подготавливать и оформлять согласие сотрудников в бумажной форме.

Локализация данных России

Российский закон о локализации данных — самая значимая и неоднозначная разработка в регионе. В Беларуси и Украине (пока) нет аналогичного правила. С сентября 2015 года «операторы» должны осуществлять запись, систематизацию, накопление, хранение, изменение, обновление и извлечение персональных данных граждан России с использованием баз данных, физически находящихся на территории России.Этот закон создал много неопределенности для иностранных компаний, которые оказались перед непростым выбором: адаптировать ИТ-инфраструктуру компании с, скорее всего, значительными затратами и соблюдать закон; ничего не делать и брать на себя риски несоблюдения; или просто уйти с российского рынка.

Давайте подробнее рассмотрим объем и применение закона. Во-первых, правило локализации данных в России представляет собой императивную норму закона и, следовательно, не может быть изменено соглашением с субъектами данных или их согласием.Во-вторых, это относится к «операторам», то есть к юридическим или физическим лицам, которые обрабатывают персональные данные и/или определяют цели и объем обработки. Обратите внимание, что российские законы не делают различия между контроллерами и процессорами.

Российский закон о локализации данных принял широкий подход к своей территориальности. Он охватывает российских и иностранных операторов, имеющих представительства или филиалы в России. Согласно разъяснениям Министерства связи и массовых коммуникаций (Минкомсвязи), действие закона также распространяется на иностранные организации, которые, даже не имея физического присутствия в России, ведут бизнес через веб-сайты, ориентированные на российских физических лиц (напр.г. когда их сайт принимает оплату в российских рублях и т.д.).

В контексте управления персоналом, например, международная компания США должна соблюдать закон о локализации данных, если она собирает, обновляет и хранит персональные данные российских сотрудников, нанятых ее филиалом в России. И наоборот, американская компания не подпадает под действие этого закона, если она нанимает гражданина России на территории США для выполнения работы в своих офисах в США.

Много споров велось вокруг определения «персональных данных» в попытках ограничить сферу действия правила локализации данных в России.Как и в GDPR, этот термин охватывает «любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу». Минкомсвязь не уточнила это определение, ссылаясь на общие положения российского законодательства. их поиск талантов, управление персоналом или аналогичные цели, скорее всего, будут включать имена сотрудников, контактные данные или некоторые другие идентификаторы и, следовательно, будут подпадать под действие законов о защите данных.

Определив применимость правила локализации данных, необходимо знать, какие действия по обработке данных разрешены, а какие запрещены правилом.Как отмечалось выше, определенные указания в виде разъяснений и часто задаваемых вопросов представлены на сайте Минкомсвязи. Такие разъяснения отличаются от правил агентства, поскольку они не являются обязательными. Хотя они и не имеют юридической силы, они служат единственным официальным руководством по российскому закону о локализации данных.

В своем руководстве Минкомсвязь ввел термины «первичные» и «вторичные» базы данных. База данных, в которую первично заносятся и обновляются персональные данные граждан России (первичная база данных), должна находиться в России.Затем данные из такой базы данных могут быть переданы за пределы России во вторичные базы данных при соблюдении правил трансграничной передачи данных. Чтобы соответствовать требованиям, транснациональные корпорации рассматривают возможность использования отдельных локальных систем (перед отправкой данных в глобальную систему) или изменения своей ИТ-архитектуры и создания настраиваемых локальных приложений в своих глобальных системах, что обычно требует больших затрат.

Обратите внимание, что перед обработкой персональных данных в России «операторы» (т.е. контролеры и обработчики) обязаны уведомить Роскомнадзор.Форма уведомления включает в себя, среди прочего, указание на то, предполагается ли трансграничная передача данных и физическое местонахождение ее баз данных. Соответственно, эта информация будет оцениваться Роскомнадзором для проверки соблюдения компанией закона о локализации данных. Такое уведомление не требуется в очень ограниченном числе случаев, например, для обработки данных сотрудников в соответствии с трудовым законодательством РФ. Это исключение трактуется Роскомнадзором очень узко. В случае передачи данных о сотрудниках третьим лицам (например,г. бухгалтерские фирмы и т. д.), исключение, скорее всего, не будет применяться.

Что касается правоприменения, Роскомнадзор может налагать административные штрафы на компании и сотрудников, ответственных за обработку данных. В июле 2017 года суммы таких штрафов были существенно увеличены. Право Роскомнадзора блокировать доступ к веб-сайту компании остается в силе и представляет собой одно из самых суровых последствий несоблюдения для компаний, работающих с клиентами.

GDPR, безусловно, представляет собой важное изменение в регулировании защиты данных в ЕС и устанавливает высокую планку конфиденциальности данных во всем мире. Со всем вниманием к GDPR соблюдение законов о защите данных в других регионах может выпасть из приоритетов для многих компаний. Денежные штрафы в соответствии с местным законодательством нельзя сравнивать с крупными штрафами в соответствии с GDPR (до 4 процентов от годового мирового оборота или 20 миллионов евро), но цена за несоблюдение местного законодательства может включать административную и уголовную ответственность в отношении DPO компании и руководителей, блокирование доступа к своим ресурсам, репутационные и другие риски.

В этом обзоре не представлен исчерпывающий список потенциальных проблем с конфиденциальностью на рабочем месте в регионе.Транснациональным корпорациям необходимо изучить национальное законодательство и обратиться за профессиональным советом при внедрении внутренних корпоративных процессов в глобальном масштабе (например, расследования на рабочем месте, мониторинг использования сотрудниками электронных ресурсов компаний, как правило, относятся к «деликатным» вопросам, связанным с сотрудниками). Однако эта статья может послужить отправной точкой для транснациональных корпораций США, стремящихся расширить свое присутствие в России, Беларуси и Украине.

Фото: Илья Субботин

Руководство по обработке данных сотрудников DPA в Швеции: 5 основных советов по соблюдению требований

5 октября 2020 г. были опубликованы последние рекомендации по обработке данных сотрудников DPA в Швеции в соответствии с GDPR для компаний.

В частности, руководство Datainspektionen сосредоточено на том, как работодатели, как государственные, так и частные, должны обрабатывать личную информацию, которую они собирают от сотрудников, в соответствии с требованиями Общего регламента ЕС по защите данных.

Что такое персональные данные?

В соответствии с GDPR персональные данные — это любая информация, которая может быть связана с идентифицированным или идентифицируемым живым лицом.

Различные типы данных, которые могут собираться и облегчать идентификацию конкретного лица, также считаются персональными данными в соответствии с Общим регламентом ЕС по защите данных.

Примеры включают;

• Имя 
• Домашний адрес
• Адрес электронной почты
• Номер идентификационной карты 
• Данные о местоположении (например, функция данных о местоположении смартфона)
• IP-адрес
• Идентификатор файла cookie
• Информация, хранящаяся в больнице или у врача, которая может быть использована для уникальной идентификации человека
• Биометрическая информация
• Сексуальные предпочтения

Что такое орган по защите данных (DPA)?  

DPA – это независимый государственный орган, который посредством следственных и исправительных органов осуществляет надзор за соблюдением законов о защите данных, таких как GDPR.

В каждом государстве-члене ЕС есть DPA, в обязанности которого входит предоставление экспертных рекомендаций по вопросам, связанным с защитой данных, и рассмотрение жалоб, поданных на нарушения как GDPR, так и соответствующих национальных правил.

Что такое обработка данных в соответствии с GDPR?

В соответствии с GDPR обработка данных вручную или автоматически включает в себя различные действия, выполняемые с личной информацией, такие как;

• Коллекция
• включают;
  • Управление персоналом и расчетом заработной платы
  • Уничтожение документов, содержащих личную информацию
  • Использование камер наблюдения (CCTV)
  • Доступ к базе данных контактов с личными данными

  В чем важность Руководства по обработке данных сотрудников DPA Швеции?  

  Согласно пресс-релизу DPA Швеции, регулирующий орган отмечает, что персональные данные необходимы для различных контекстов занятости, таких как управление реестрами заработной платы и системами соответствия требованиям.

   Однако Datainspektionen также признает, что обработка определенных категорий личной информации, такой как биометрические данные или данные о состоянии здоровья, вызывает у сотрудников вопросы конфиденциальности.

  По этой причине важно найти разумное согласие между потребностью работодателя в обработке персональных данных и правом работников на неприкосновенность частной жизни.

  Кроме того, согласие на обработку определенных видов личной информации в контексте сотрудников является уникальным, поскольку работник находится в зависимых отношениях с работодателем.

  Это означает, что согласие на обработку их данных дается при другом наборе обстоятельств по сравнению с другими контекстами.

  Какие законы и правила регулируют обработку данных сотрудников в Швеции?  

  В соответствии с инструкциями по обработке данных сотрудников DPA Швеции, персональные данные, принадлежащие сотрудникам, подпадают под требования GDPR, если они собираются и обрабатываются полностью, частично, автоматически или вручную.

  Другие правила, которые могут применяться к обработке данных сотрудников, включают:

  • Шведское трудовое право.
  • Рекомендации и общие рекомендации Шведского управления по охране труда
  • Судебные решения.
  • Коллективные договоры.

  Кто отвечает за обработку данных сотрудников?  

  Работодатель несет ответственность и должен быть в состоянии продемонстрировать, что обработка персональных данных сотрудников осуществляется в соответствии с законами и в соответствии с GDPR.

  Это означает, что шведские правила обработки данных сотрудников DPA обязывают работодателя быть контролером персональных данных сотрудников, поскольку он/она определяет, какой тип персональных данных собирается и как они используются.

  Если вы решите использовать третью сторону, например поставщика услуг, для обработки данных, которые вы собираете в своей компании, вы остаетесь стороной, самостоятельно ответственной за эту обработку.

  Важно знать, что вам не нужно разрешение от Dataispektionen, шведского DPA, для обработки данных сотрудников, хотя есть исключения, когда дело доходит до;

  • Личные данные, собранные с помощью камер наблюдения в особых случаях
  • Информация о криминале

  Нужен ли мне сотрудник по защите данных (DPO) для обработки данных сотрудников на рабочем месте?  

  Согласно новым шведским правилам обработки данных сотрудников DPA, вы можете назначить DPO, и в определенных обстоятельствах наличие DPO является обязательством в соответствии с требованиями GDPR к обработке данных.

  Роль DPO в вашей организации заключается в следующем:

  • Содействие работодателю в соблюдении GDPR и Постановления о защите данных Швеции путем предоставления консультаций и проведения оценки воздействия на защиту данных (DPIA)
  • Получение и рассмотрение запросов от сотрудников относительно обработки их личной информации работодателем.
  • Информировать сотрудников об их правах при обработке их персональных данных.

  Важно знать, что в соответствии с инструкциями по обработке данных сотрудников DPA Швеции вам необходимо информировать своих сотрудников, если вы назначаете DPO на рабочем месте.

  Что требуется в Руководстве по обработке данных сотрудников DPA Швеции?

  Если вы обрабатываете персональные данные, в соответствии с руководящими принципами обработки данных сотрудников DPA в Швеции вы должны соблюдать GDPR. Правовые основы, признанные Datainspektionen достаточными для законной обработки данных сотрудников:

  Согласие; вы должны получить согласие субъекта данных на обработку его данных. Однако в руководящих принципах обработки данных сотрудников DPA Швеции признается, что в некоторых случаях обработка данных сотрудников может быть либо неуместной, либо невозможной для обработки данных сотрудников с их согласия.В руководящих принципах говорится, что вы всегда должны учитывать, что вы можете основывать свою обработку на одном из других законных оснований, прежде чем полагаться на согласие.

  Контракт; вы можете обрабатывать данные сотрудников, если субъект данных имеет договор или собирается заключить договор с работодателем, который признан контролером данных.

  Взвешивание интересов; В этом случае вы можете обрабатывать персональные данные без согласия субъекта данных, если ваши интересы преобладают над интересами субъекта данных и если обработка необходима для заявленной цели.

  Юридическое обязательство; ваша обработка данных сотрудников является законной, если вы делаете это в соответствии с законами и правилами, которые требуют от вас обработки личной информации при выполнении определенных бизнес-функций.

  Осуществление официальных полномочий или задач в общественных интересах; Если вам необходимо обрабатывать персональные данные для выполнения определенных обязанностей в качестве органа или для выполнения задачи в интересах общества, эта правовая база гарантирует, что ваша обработка соответствует GDPR.

  Фундаментальные проценты; Эта правовая база позволяет вам обрабатывать данные сотрудников, если обработка основана на необходимости защиты субъекта данных, который не может дать согласие, например, если он находится без сознания.

  Важно отметить, что правила обработки данных сотрудников Шведского DPA соответствуют 6 правовым основам GDPR для обработки персональных данных.

  Какие правовые основания могут использовать частные компании для соблюдения Руководства по обработке данных сотрудников DPA Швеции?

  Datainspektionen поясняет, что основные правовые основания для компаний или предприятий, работающих в частном секторе, для обработки личной информации своих сотрудников:

  • Согласие
  • Контракт
  • Юридическое обязательство
  • Взвешивание интересов

  Какие правовые основания могут использовать публичные компании для соблюдения Руководства по обработке данных сотрудников DPA Швеции?

  Для органов власти и других организаций государственного сектора основными правовыми основаниями для обработки личной информации сотрудников являются;

  • Юридическое обязательство
  • Осуществление официальных полномочий или выполнение задач в общественных интересах
  • Контракт

  Важно отметить, что властям не разрешается использовать взвешивание интересов на законных основаниях для выполнения своих обязанностей.

  Как мне соблюдать правила обработки данных сотрудников DPA Швеции;

  Вам нужно;

  • Определите правовые основания для обработки данных сотрудников
  • Задокументируйте свой выбор и информируйте своих субъектов данных
  • Убедитесь, что цели, для которых вы обрабатываете данные сотрудников, связаны с правовой основой для этой конкретной обработки данные только тогда, когда это необходимо
  • Всегда обеспечивайте соблюдение требований GDPR к обработке данных.

  Как насчет обработки конфиденциальной личной информации?

  В соответствии с инструкциями по обработке данных сотрудников DPA Швеции, некоторые категории данных сотрудников считаются слишком конфиденциальными, поэтому их обработка по общему правилу запрещена.

  В случаях, когда речь идет о таком виде личной информации, недостаточно применять какое-либо из вышеупомянутых правовых оснований в качестве основания для ее обработки.

  Обеспечьте конфиденциальность и соблюдайте правила обработки данных сотрудников DPA Швеции

  Проверьте, соответствует ли ваш веб-сайт требованиям GDPR, с помощью бесплатного аудита.

  Мы планируем отправить вам бесплатный аудиторский отчет GDPR в течение 24-48 часов. Мы изучим ваши баннеры с файлами cookie, политику конфиденциальности и технологии, которые вы используете на своем сайте.

  Закажите звонок сегодня и получите быструю «проверку» вашего веб-сайта, баннера с согласием на использование файлов cookie или вашей политики в отношении файлов cookie от эксперта по конфиденциальности данных.

  Кроме того, вы можете подписаться на бесплатную пробную версию нашего полного решения для соблюдения GDPR здесь.

  Вас также может заинтересовать;

  Список обязательных документов, требуемых GDPR

  Документирование деятельности по обработке данных — это новое требование закона в соответствии с GDPR ЕС (Общее положение о защите данных).

  Документирование ваших действий по обработке также может способствовать эффективному управлению данными и поможет вам продемонстрировать соблюдение других аспектов GDPR.

  В этом посте мы перечислили всю документацию, политики и процедуры, которые должны быть у вас, если вы хотите полностью соответствовать GDPR.

  ---

  ---

  Политика защиты персональных данных (Статья 24)

  Политика защиты данных — это заявление, в котором указывается, как ваша организация защищает личные данные.

  В нем разъясняются требования GDPR к вашим сотрудникам и демонстрируется приверженность вашей организации их соблюдению.

  Если вы не уверены, что должна включать ваша политика защиты данных, этот шаблон поможет вам создать ее за считанные минуты.

  См. также: Как написать политику защиты данных GDPR – с примерами шаблонов

  ---

  Уведомление о конфиденциальности (статьи 12, 13 и 14)

  Уведомление о конфиденциальности — это публичное заявление о том, как ваша организация применяет (и соблюдает) принципы обработки данных GDPR.

  Являясь важной частью соответствия, он служит двум целям: способствовать прозрачности и предоставлять людям больший контроль над тем, как используются их данные.

  Наш настраиваемый шаблон поможет вам создать уведомление о конфиденциальности всего за несколько минут.

  См. также: Как написать уведомление о конфиденциальности данных GDPR — пример шаблона

  ---

  Уведомление о конфиденциальности сотрудников (статьи 12, 13 и 14)

  В соответствии с GDPR вы должны быть более прозрачными и открытыми, чем когда-либо прежде, в отношении обрабатываемых вами данных о сотрудниках.

  Основным принципом GDPR для работодателей также является справедливая и прозрачная обработка данных, связанных с персоналом. Уведомление о конфиденциальности сотрудников является важным шагом на пути к соблюдению требований. В нем объясняется, как контролер данных (в данном случае ваша организация) обрабатывает личные данные сотрудника.

  ---

  Политика хранения данных (статьи 5, 13, 17 и 30)

  Политика хранения данных (или хранения записей) описывает протокол вашей организации для хранения информации.

  Очень важно, чтобы ваша организация хранила данные только до тех пор, пока они необходимы.

  Это связано с тем, что хранение данных дольше, чем необходимо, может занять ценное пространство для хранения и привести к ненужным расходам.

  При написании политики хранения данных следует учитывать два ключевых фактора:

  1) Как вы собираетесь организовать информацию, чтобы к ней можно было получить доступ позже; и

  2) Как вы будете распоряжаться информацией, которая больше не нужна.

  См. также: Основные советы по хранению данных в соответствии с GDPR

  ---

  График хранения данных (Статья 30)

  График хранения данных (или записей) — это политика, определяющая, как долго должны храниться элементы данных.

  Он также содержит рекомендации по удалению элементов данных.

  Вы можете создать график хранения и утилизации, соответствующий GDPR, за считанные минуты с помощью наших простых в использовании и настраиваемых шаблонов, разработанных нашими экспертами-практиками GDPR.

  ---

  Форма согласия субъекта данных (статьи 6, 7 и 9)

  Согласие является одним из законных оснований для обработки персональных данных, и явное согласие также может узаконить использование данных особой категории.

  Если ваша организация обрабатывает персональные данные для определенной цели, вы должны получить разрешение от соответствующих субъектов данных с помощью формы согласия.

  Согласие в соответствии с GDPR часто неправильно понимают и используют неправильно.

  Ниже мы изложили рекомендации по написанию формы согласия GDPR.

  Не знаете, что должны включать ваши процедуры получения согласия?

  Наши простые в использовании и настраиваемые шаблоны помогут вам создать процедуру получения согласия в соответствии с GDPR за считанные минуты.

  ---

  Соглашение об обработке данных поставщика (статьи 28, 32 и 82)

  Если вы используете другую организацию (т. е. вспомогательного обработчика) для помощи в обработке ваших персональных данных, вам необходимо заключить письменный договор с этим вспомогательным обработчиком.

  Это известно как соглашение об обработке данных с поставщиком.

  ---

  Регистр DPIA (Статья 35)

  Реестр DPIA используется для документирования анализа воздействия на защиту данных (DPIA) вашей организации.

  Чтобы узнать больше о том, как проводить DPIA, посетите нашу информационную страницу: Оценка воздействия на защиту данных в соответствии с GDPR.

  Процедура реагирования и уведомления о нарушении данных (статьи 4, 33 и 34)

  Вы должны создать процедуру, которая применяется в случае утечки персональных данных в соответствии со статьей 33 — «Уведомление надзорного органа о нарушении персональных данных» — и статьей 34 GDPR — «Сообщение об утечке персональных данных в предмет”.

  Ниже приведен пример того, как может выглядеть уведомление об утечке данных, доступное в ведущем на рынке наборе инструментов документации GDPR ЕС:

  Чтобы получить помощь в написании процедуры уведомления об утечке данных, см.: Как написать процедуру уведомления об утечке данных GDPR — с примером шаблона.

  ---

  Реестр утечки данных (Статья 33)

  Вы должны вести внутреннюю запись всех утечек личных данных в реестре утечек данных.

  Реестр утечки данных должен содержать подробную информацию о фактах, связанных с утечкой, последствиях утечки и любых предпринятых мерах по исправлению положения.

  ---

  Форма уведомления об утечке данных в надзорный орган (Статья 33)

  Если вы столкнулись с утечкой персональных данных, о которой необходимо сообщить в ICO, вам необходимо заполнить соответствующую форму уведомления об утечке данных.

  Для получения дополнительной информации о сообщении об утечке данных посетите веб-сайт ICO.

  ---

  Форма уведомления о нарушении данных для субъектов данных (Статья 34)

  Вам необходимо будет заполнить Форму уведомления об утечке данных для субъектов данных, если вы столкнулись с утечкой персональных данных, которая может привести к «высокому риску для прав и свобод» человека.

  ---

  Некоторые документы GDPR применимы только при определенных условиях, в том числе:

  ---

  Должностная инструкция сотрудника по защите данных (статьи 37, 38 и 39)

  Вам необходимо назначить DPO, если:

  • Вы являетесь государственным органом или органом, за исключением судов, действующих в их судебном качестве;
  • Ваша основная деятельность состоит из операций по обработке, которые требуют регулярного и систематического мониторинга субъектов данных в больших масштабах; или
  • Ваша основная деятельность обрабатывает крупномасштабные специальные категории данных и персональных данных, касающихся уголовных судимостей и правонарушений.

  ---

  Инвентаризация деятельности по переработке (Статья 30)

  Этот документ является обязательным, если:

  • В вашей организации работает более 250 сотрудников; или
  • Выполняемая вами обработка может привести к риску для прав и свобод субъектов данных; или
  • Обработка не разовая; или
  • Обработка включает специальные категории данных; или
  • Обработка включает персональные данные, касающиеся уголовных судимостей и правонарушений.

  ---

  Стандартные договорные положения о передаче персональных данных контролерам (Статья 46)

  Этот документ является обязательным, если вы передаете личные данные в государство, не входящее в ЕС, и вы полагаетесь на типовые положения в качестве законных оснований для трансграничной передачи данных.

  ---

  Стандартные договорные положения о передаче персональных данных обработчикам (Статья 46)

  Этот документ является обязательным, если вы передаете персональные данные обработчику за пределами Европейской экономической зоны (ЕЭЗ) и полагаетесь на типовые положения в качестве законных оснований для трансграничной передачи данных.

  ---

  Документация GDPR: упрощенная

  Быстро выполняйте требования и избегайте дорогостоящих консультаций с помощью ведущего на рынке инструментария GDPR.

  Написанный юристами и экспертами-практиками, это наиболее полный набор инструментов на рынке, содержащий все политики и процедуры GDPR, необходимые для демонстрации соответствия при значительном снижении затрат на внедрение.

  Более 3000 организаций по всему миру уже используют инструментарий GDPR для упрощения и ускорения своих проектов.Если вам нужна помощь в соблюдении GDPR, этот набор инструментов для вас.

  ---

  Версия этого блога была первоначально опубликована 14 сентября 2017 г.

  Согласие сотрудников — Конфиденциальность — Бельгия

  Бельгия: Согласие сотрудника

  30 апреля 2021 г.

  АКД Бенилюкс Адвокаты

  Чтобы напечатать эту статью, все, что вам нужно, это зарегистрироваться или войти в Mondaq.ком.

  Решением от 9 ноября 2020 г. (№ 72/2020) Судебная палата Бельгийского органа по защите данных (далее “БДПА”), дал очень полезные разъяснения относительно вопрос о действительности согласия работников (ст. 4.11 и пункт 43 GDPR). Судебная палата также дала практические руководящие принципы, касающиеся принципа «целевого ограничения» (статья 5(1)(b) GDPR).

  В данном случае BDPA решил, в частности, что:

  • Свободное согласие работников было возможно и могло иметь силу если все остальные условия статьи 4. 11 GDPR выполнены; и
  • Данные были собраны для указанной и законной цели но цель обработки не была явной.

  Факты под пристальным вниманием

  Больница обрабатывала персональные данные сотрудников, связанные с их принадлежность к профсоюзу «Б» (в то время единственный профсоюз, представленный в больнице). Обработка была на основании устного соглашения между больницей и торговым союза, и его цель состояла в том, чтобы позволить больнице вычитать торговлю профсоюзные взносы из заработной платы работников.В добавок к этому устная договоренность с профсоюзом «Б», каждый работник получил форму, позволяющую ему/ей дать свое согласие на вышеупомянутая обработка.

  Спустя годы был представлен второй профсоюз «А». в больнице. Этот профсоюз «А» ссылался на то, что система была незаконной. Кроме того, один из сотрудников, связанных на профсоюз «А» подал жалобу в АДПА ссылаясь, в частности, на то, что обработка персональных данных была нарушение GDPR.

  BDPA проверил обработку фактов, для которых он имеет юрисдикцию, что означает для обработки, осуществляемой с момента применения GDPR (25 мая 2018 г.).

  Условия действительного согласия работников

  В соответствии со статьей 9.1 GDPR профсоюз аффилированность — особая категория персональных данных, в отношении которых обработка в принципе запрещена, BDPA проверило, отступление от обработки на основании явного согласия (ст.9.2 Общего регламента по защите данных) мог применить. В соответствии со статьей 4.11 GDPR, чтобы быть действительным, согласие должно быть:

  • Бесплатно;
  • Специальный;
  • Информирован; и

  Решение очень поучительно в своем ответе относительно свободный характер согласия. Действительно, трудность состояла в том, чтобы оценить если в контексте трудоустройства согласие было дано добровольно несмотря на явный дисбаланс, существующий между работником и работодатель (пункт 43 GDPR). В этом месте и в том же ряд рекомендаций EDPB и WP29, касающихся понятие согласия, BDPA пришел к выводу, что согласие было дано бесплатно. BDPA пришла к такому выводу, поскольку форма которым работник мог дать свое согласие, ограничивался конкретная цель отчисления больницей членские взносы в профсоюз, и эта обработка не давать какие-либо преимущества больнице как работодателю.Другими словами, сотрудники имели настоящую свободу выбора без каких-либо выгодных или невыгодное для них последствие. BDPA также заключает что согласие было конкретным, поскольку единственная цель была явно указано в форме и что согласие было явным (и, следовательно, также однозначно), поскольку согласие было получено в мандате, подписанном сотрудников с определенной целью. Тем не менее, BDPA пришел к выводу что согласие не было сообщено, поскольку мандат, разрешающий в собрании согласия не упоминалось право отозвать согласие (см. также Руководство 05/2020 EDPB, пункт 64).Этот долгожданное напоминание всегда упоминать об этом праве, поскольку оно на практике оказывается, что эта информация не всегда предоставляется контролеров субъектам данных при попытке получить их согласие.

  Принцип ограничения цели

  Рассмотрев согласие, BDPA проверило, принцип ограничения цели, предусмотренный статьей 5(1)(b), уважали. В соответствии с этой статьей персональные данные должны собираться для (1) определенных, (2) явных и (3) законных целей.BDPA пришло к выводу, что данные были собраны для определенных и законных целях. Тем не менее, BDPA обнаружил, что цель обработки не была явной. Для того, чтобы быть явной, цель обработки должна быть ясной (прозрачной и предсказуемым) не только для сотрудников, от которых согласие спрашивается, но и для всех остальных сотрудников контролера, все остальные заинтересованные стороны (сотрудник по защите данных, обработчик, БДПА и др.).

  В данном случае это требование было особенно важным принимая во внимание (1) тот факт, что профсоюзные данные специальная категория персональных данных и (2) что статья 24.1 из GDPR обязывает контролера внедрять соответствующие технические и организационные меры, обеспечивающие и способные свидетельствующие о том, что обработка осуществляется в соответствии с GDPR, «принимая во внимание характер, объем, контекст и цели обработки, а также риски различной степени вероятности и строгость за права и свободы естественных лиц». По этим причинам АБДП пришло к выводу, что больница должна была, по крайней мере, задокументировать обработку в письменное соглашение с профсоюзом, если не иное дополнительное письменные документы.

  Без санкции, но публикация решения

  Учитывая различные смягчающие обстоятельства, BDPA решили не санкционировать больницу. Однако, поскольку разъяснения были сочтены важными, BDPA решил опубликовать решение без указания сторон.

  Содержание этой статьи предназначено для предоставления общего руководство по теме. Следует обратиться за консультацией к специалисту о ваших конкретных обстоятельствах.

  ПОПУЛЯРНЫЕ СТАТЬИ О: Конфиденциальность из Бельгии

  Cooley Privacy Talks: обновление конфиденциальности в Великобритании

  ТОО Кули

  После Брексита Великобритания больше не является государством-членом Европейского Союза, а это означает, что режим защиты данных, который применяется к обработке, связанной с Великобританией, отделен от. ..

  GDPR: достаточно ли согласия, чтобы разрешить работодателям обрабатывать данные сотрудников?

  GDPR: достаточно ли согласия, чтобы разрешить работодателям обрабатывать данные сотрудников?

  В рамках нашей серии коротких блогов об Общих правилах защиты данных и их влиянии на работодателей мы рассматриваем вопрос о том, достаточно ли получения согласия сотрудников на хранение и обработку их данных.

  Одна из причин, по которой вопросы защиты данных не всегда находятся в центре внимания работодателя, заключается в том, что в соответствии с действующим законодательством обработка данных легко обосновывается получением согласия субъектов данных. Поскольку это обычно включается в трудовые договоры, работодатели просто могут указать на контракты как на основу для обработки персональных данных, принадлежащих их сотрудникам.

  Однако такая простая договоренность больше не будет возможна в соответствии с GDPR, поскольку GDPR установит более высокий стандарт для получения согласия на обработку персональных данных. Согласие должно быть предоставлено добровольно, конкретно и информация должна быть четко указана в заявлении о позитивных действиях. Новое определение включает требование, чтобы согласие было недвусмысленным.

  Таким образом, если согласие дается посредством письменного заявления, оно должно быть четко отличимым от других вопросов и простым для понимания. Согласие теперь становится постоянным и требует более активного управления, а не просто пункта в трудовом договоре.

  Это означает, что стандартного пункта «согласие на обработку данных», который присутствует в большинстве трудовых договоров, вряд ли будет достаточно, поскольку общей формулировки пункта будет недостаточно для соблюдения требований GDPR.Несбалансированная позиция на переговорах между работниками и работодателями означает, что было бы нереалистично предположить, что работник имеет право сделать осознанный выбор в отношении того, принимать ли этот конкретный пункт в своем трудовом договоре. Может ли новый сотрудник реально сказать своему новому работодателю, что он хочет, чтобы его контракт был изменен?

  Чтобы согласие было законным основанием для обработки данных в соответствии с GDPR, лицо должно иметь возможность сделать осознанный выбор и должно быть основано на «согласии», а не на основании «отказа».

  Как минимум, работодатели, которые хотят полагаться на согласие сотрудников на обработку данных, должны будут рассмотреть возможность создания отдельной формы согласия, которая будет подписана сотрудниками для каждого действия по обработке. Можно было бы подготовить одну основную форму согласия для всех предполагаемых действий, с созданием дополнительных форм, если потребуются новые действия по обработке, например, если вам нужно использовать данные сотрудника, чтобы направить их в гигиену труда.

  Поэтому как никогда важно получить подробные записи, чтобы продемонстрировать, когда и как было предоставлено согласие.Если работодатели стремятся полагаться на согласие, они должны будут предоставить достаточно информации сотрудникам/отдельным лицам, чтобы они могли понять, на что они дают согласие, и объем обработки, на которую они соглашаются. Если вы просите сотрудников подписать заявление о согласии, оно должно быть предоставлено в понятной и легкодоступной форме, с использованием понятного простого языка и не должно содержать несправедливых условий.

  В любом отдельном документе о согласии также должен быть описан механизм, с помощью которого сотрудники могут отозвать свое согласие, что они имеют право сделать в любое время.Отозвать согласие должно быть так же легко, как и дать, поэтому вы должны избегать создания ненужных препятствий на пути сотрудника, который хочет отозвать разрешение на обработку своих данных.

  Согласно руководству ICO, в соответствии с GDPR работодателям и государственным органам будет особенно сложно полагаться на согласие в качестве основания для обработки, поскольку всегда неизбежно будет дисбаланс полномочий в отношениях между работником и работодателем, который контролирует их данные. .Такой дисбаланс означает, что согласие не может быть «свободно дано».

  Неверное получение согласия будет иметь серьезные последствия для работодателя, включая значительные штрафы и ущерб репутации. Из-за трудностей, связанных с согласием, в большинстве случаев, вероятно, будет проще и прозрачнее использовать альтернативное юридическое обоснование для обработки данных. Это имеет смысл, потому что некоторая обработка данных будет неизбежной, даже если сотрудник не даст на это согласия. Например, сотрудник может не хотеть давать общее согласие на обработку своих данных, но его данные все равно необходимо будет обработать, чтобы выплачивать ему зарплату и льготы.Рассмотрев и зафиксировав веские основания того, что такая обработка данных необходима для соблюдения юридических обязательств и/или выполнения трудового договора, работодатель окажется в гораздо более безопасном положении, чем если бы он просто полагался на согласие.

  GDPR окажет огромное влияние на данные, хранящиеся и обрабатываемые работодателями о своих сотрудниках и заявлениях о приеме на работу. Если вы хотите посетить один из наших бесплатных GDPR: Каковы ваши обязательства как работодателя? Семинары, пожалуйста, свяжитесь с нами по [email protected] или позвоните нам по телефону 0161 926 9969, чтобы зарегистрироваться.

   

  Соответствует ли использование вами фотографий сотрудников закону о защите данных?

  Многие компании имеют на своем веб-сайте страницу «знакомство с командой», на которой отображаются фотографии их сотрудников. Некоторые даже используют фотографии сотрудников в маркетинговых материалах, таких как брошюры и отчеты. Хотя это отличный способ показать человеческую сторону вашего бизнеса, важно понимать, что фотографии могут представлять собой личную информацию (или даже специальную личную информацию) и, следовательно, подпадать под действие законов о защите данных.

  В этой статье вы узнаете, как определить, соблюдает ли ваша компания закон о защите данных при использовании фотографий сотрудников. Первый вопрос направлен на выяснение того, является ли рассматриваемая фотография личной информацией, как это определено в законе о защите данных. Поскольку личная информация — это, по сути, любая информация, которая идентифицирует человека, фотография сотрудника подпадает под это определение, если у нее есть идентификаторы, такие как имя, связанное с изображением. Вопрос менее ясен, когда нет идентификаторов.В этих сценариях нужно смотреть, находится ли лицо сотрудника в фокусе, и если да, то, скорее всего, это личная информация. Если вы установили, что фотография является личной информацией, следующим важным шагом будет рассмотрение того, является ли она биометрической фотографией и, следовательно, особой личной информацией. Предлагаем посмотреть, соответствует ли рассматриваемое фото требованиям фото на паспорт. Только после того, как вы пришли к выводу, что фотография является либо личной информацией, либо специальной личной информацией, вам необходимо соблюдать соответствующие законы о защите данных.Это означает полагаться на законное обоснование обработки фотографии. Соответствующие законные основания для обработки фотографии вашего сотрудника зависят от того, является ли она биометрической фотографией или нет. Если это не биометрическая фотография, у вас есть возможность полагаться либо на согласие, либо на законный интерес, тогда как биометрическая фотография может быть обработана только в том случае, если вы получили согласие от своего сотрудника. Мы рекомендуем полагаться на обоснование согласия в обоих случаях, и вы можете сделать это, внедрив Политику конфиденциальности сотрудников или отправив своему сотруднику форму согласия в нишевых случаях использования (например, используя его фотографию в брошюре или на рекламном щите).

  Как мы можем помочь

  • Мы можем помочь вам законно обрабатывать личные данные сотрудников, разработав для вас проект Политики конфиденциальности сотрудников (или просмотрев существующую политику). Мы рассмотрим его, внесем предложенные изменения и вставим комментарии по мере необходимости.
  • Получите согласие вашего сотрудника на законную обработку его фотографии для определенной цели с точки зрения POPI, попросив нас подготовить для вас форму согласия (или просмотреть существующую форму). Мы рассмотрим его, внесем предложенные изменения и вставим комментарии по мере необходимости.
  • Присоединяйтесь к нашей программе, чтобы узнать больше о защите личной информации о сотрудниках, и вы можете получить доступ к нашему шаблону Политики конфиденциальности персонала, который вы можете использовать.
  • Повысьте уровень осведомленности, ознакомившись с нашим Руководством по согласию и раскрытию информации для POPI
  Является ли фотография вашего сотрудника «личной информацией»?

  В качестве отправной точки вам необходимо установить, действительно ли рассматриваемая фотография подпадает под действие закона о защите данных. Чтобы установить это, вам необходимо внимательно изучить определение «персональных данных», как оно определено в вашем соответствующем законе о защите данных. Для тех из вас, кто находится в Европе, «персональные данные» определяются в GDPR как любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу («субъекту данных»). Другими словами, любая информация, явно относящаяся к конкретному человеку. Для жителей Южной Африки определение «личной информации» в POPIA очень похоже на определение GDPR:

  «Личная информация» означает информацию, относящуюся к идентифицируемому живому физическому лицу, где применимо, идентифицируемое существующее юридическое лицо .

  Чтобы распаковать это практически, мы разделим его на два сценария:

  Лицо в фокусе с идентификаторами

  Если фотографии ваших сотрудников сопровождаются идентификатором, таким как их имя, и он сфокусирован на их лицах, то есть веский аргумент, что их можно идентифицировать. Это явный случай, когда фотография будет классифицирована как личная информация.

  Нет идентификаторов

  Вопрос о том, являются ли фотографии ваших сотрудников личной информацией, становится менее ясным, когда нет идентификаторов. Важно принять во внимание декламацию 26 GDPR Великобритании в качестве руководства, поскольку в нем говорится, что вы должны исходить из того, что вы рассматриваете не только средства, которые с достаточной вероятностью могут быть использованы обычным человеком, но также и целеустремленным лицом с конкретная причина, чтобы хотеть идентифицировать людей. Поэтому вам нужно учитывать тот факт, что люди могут выполнять поиск изображений в Google и искать на других платформах, таких как LinkedIn.

  Безымянные изображения людей будут представлять собой личную информацию, если есть другая контекстуальная информация, которая позволит идентифицировать людей.

  Ключевой вопрос, который мы рекомендуем задать, заключается в том, находится ли лицо сотрудника в фокусе. Если ваш сотрудник смотрит вниз или в сторону от камеры, и к фотографии не прикреплены другие идентификаторы, то в этих случаях вы можете возразить, что это не личная информация. Если сотрудник протестует, то просто уберите фото. Но если их лицо находится в фокусе, мы рекомендуем проявлять осторожность и относиться к фотографии как к личной информации.

  Если лицо вашего сотрудника находится в фокусе, будьте осторожны и рассматривайте его как личную информацию

  Является ли фотография сотрудника особой информацией?

  Обратите внимание, что, когда сотрудника можно идентифицировать на фотографии, передается конфиденциальная личная информация, такая как этническая принадлежность и биометрические данные, и это добавляет дополнительных сложностей в соответствии с POPIA.Что касается этнической принадлежности, «Управление Комиссара по информации Великобритании (ICO) придерживается мнения, что изображение чьего-либо цвета кожи не является четким указанием на этническую принадлежность и само по себе не должно рассматриваться как конфиденциальные личные данные». С другой стороны, когда речь заходит о том, что представляет собой биометрическая фотография, ответ остается очень неясным.

  Биометрические фотографии

  ISO/IEC 19794-5 — это старый международный стандарт для биометрических фотографий, который дает нам некоторые рекомендации относительно того, когда фотография вашего сотрудника будет представлять собой биометрические данные:
  • их лицо должно быть обращено в камеру
  • их глаза смотрят в камеру
  • у них должно быть нейтральное выражение лица (без улыбки)
  • это должен быть монохромный фон (лучше всего светло-серый или серый)
  • на лице или на заднем плане не должно быть никаких теней

  Принимая во внимание вышеизложенное, есть веский аргумент в пользу того, что фотографии некоторых сотрудников на странице «знакомство с командой» веб-сайта компании представляют собой биометрические фотографии.Это важно в контексте POPIA, поскольку обработка специальной личной информации запрещена, если вы не уполномочены на это (см. раздел 27 POPIA).

  Технология распознавания лиц совершенствуется стремительными темпами, и мы предвидим, что все больше и больше фотографий, которые ранее не считались биометрическими фотографиями, начнут помечаться таковыми.

  Что вы можете делать в соответствии с законом о защите данных?

  Таким образом, если вы установили, что фотография сотрудника действительно является личной или специальной информацией, то обработка вами этой фотографии будет регулироваться законом о защите данных.В Южной Африке это означает соблюдение 8 условий POPIA.

  Существует только два соответствующих юридических основания для обработки фотографий сотрудников:

  1. Согласие (которое является добровольным, конкретным и осознанным); и
  2. законный интерес.

  Если это биометрическая фотография вашего сотрудника, вам необходимо будет получить разрешение посредством явного согласия. Что касается небиометрических фотографий, использование фотографии вашего сотрудника в рекламных целях может быть рассмотрено как средство установления законного интереса в качестве законного основания для использования фотографий.Это сложный аргумент, на который можно положиться, и мы бы предложили полагаться и на согласие в этом случае.

  Согласие

  Определение согласия в законе о защите данных очень конкретное, поскольку оно должно быть предоставлено свободно, конкретно, информировано и недвусмысленно (Декларация 40 GDPR ).

  POPIA определяет согласие как « любое добровольное, конкретное и информированное выражение воли, в рамках которого дается разрешение на обработку личной информации ».

  В свете этих определений рекомендуется получить конкретное согласие на использование фотографии вашего сотрудника, поскольку общее согласие вряд ли будет достаточным в этом случае из-за отсутствия конкретики.Это можно сделать с помощью Политики защиты данных отдела кадров (т. е. внутренней политики конфиденциальности сотрудников) для сценариев, в которых это разумно ожидается в ходе работы (например, профиль сотрудника на вашем веб-сайте). Для более узкоспециализированных ситуаций, таких как отчеты и брошюры, мы рекомендуем отправить вашему сотруднику форму согласия для этой конкретной цели.

  Во многих случаях сотрудник, скорее всего, даст согласие на использование своей фотографии, поскольку это может помочь повысить профессиональный статус человека, но важно помнить, что закон о защите данных требует, чтобы вы предоставили своему сотруднику возможность отозвать свое согласие в любое время.В результате вам нужно будет удалить их фотографию, что может вызвать проблемы.

  Краткий совет

  В будущем мы предлагаем вам указать, в каких случаях вы обрабатываете фотографии сотрудников, а затем определить, какие действия по обработке требуют согласия. Если вы решите не полагаться на согласие, важно задокументировать обоснование до принятия этого решения с учетом принципа подотчетности.

  Не полагайтесь на согласие сотрудников на использование их данных в ЕС. за неправомерное указание согласия сотрудников в качестве правового основания для сбора, хранения или передачи личной информации работников.

  В соответствии с законодательством Европейского Союза (ЕС) люди с более слабым положением в определенной ситуации, например, в отношениях между работодателем и работником, не могут действительно дать согласие, если их отказ может повлечь за собой негативные последствия. Таким образом, указанные сотрудники не дали согласия, как того требует Общий регламент по защите данных (GDPR), и использование их данных работодателем было незаконным.

  «Согласие субъектов данных в контексте трудовых отношений не может считаться свободно предоставленным из-за явного дисбаланса между сторонами», — говорится в кратком изложении решения органа.Он отметил, что GDPR требует согласия только тогда, когда другие правовые основания для обработки данных не применяются.

  В данном случае использование согласия в качестве правового основания было неуместным. Вместо этого фирма должна была обрабатывать персональные данные в связи с выполнением трудовых договоров, соблюдением юридических обязательств и своей законной заинтересованностью в бесперебойной и эффективной работе компании, отмечает HDPA.

  «Последствия огромны», — сказал Дэвид Зетуни, адвокат Брайана Кейва Лейтона Пейснера в Боулдере, штат Колорадо.и Вашингтоне, округ Колумбия. Это решение не запрещает компаниям обрабатывать данные сотрудников, но посылает ключевое сообщение работодателям в Европе о правовой основе, которую они предоставляют для такой обработки, сказал он.

  “Не получать согласия на обработку данных сотрудников. Не получать согласия при их сборе. Не получать согласия при их использовании; не получать согласия при их передаче” с поставщики льгот или удаление его, сказал Зетуни. «По сути, не получайте согласия».

  [Инструментарий только для членов SHRM: Введение в глобальную кадровую дисциплину ]

  Более широкое воздействие

  Последствия решения HDPA выходят за пределы Греции.

  «Ничто в постановлении не относится к греческому законодательству. Постановление полностью основано на GDPR, поэтому оно будет считаться важным во всем ЕС», — сказал Лафлин Диган, адвокат ByrneWallace в Дублине и председатель юридического отдела. Общество Комитета Ирландии по вопросам занятости и равенства.

  «В течение многих лет многие работодатели стремились получить согласие сотрудников на обработку данных сотрудников. Часто это согласие не давалось добровольно — люди, которые отказывались давать согласие, рисковали потерять работу.Любая такая практика должна быть прекращена», — сказал Диган. «Работодателям разрешено собирать, хранить, использовать и обмениваться личными данными сотрудников — практически любой информацией, которая необходима компаниям для расчета заработной платы и предоставления льгот, или которую отдел кадров может поместить в картотеку, — сказал он. Греческие власти пошли еще дальше, заявив, что согласие не требуется.HDPA постановил, что «в контексте трудоустройства согласие нельзя рассматривать как добровольно данное из-за явного дисбаланса между сторонами. Это заявление в постановлении имеет достаточно прочную основу в тексте GDPR, но GDPR не совсем говорит о том, что согласие никогда не может быть дано добровольно в контексте трудоустройства». Зетуни отметил, что они отличаются от тех, что существуют в Соединенных Штатах, где компании привыкли получать согласие на обработку данных от соискателей и клиентов.«В Европе стандарт согласия намного больше защищает человека», — сказал он.

  Исключения могут быть допущены для генеральных директоров, финансовых директоров или членов совета директоров, чья переговорная сила находится на одном уровне с компанией, сказал он, но рядовые работники будут испытывать давление. Зетуни добавил, что работодатели могут запросить согласие на предоставление информации о сотрудниках, когда работники будут чувствовать себя в безопасности, говоря «нет», например, когда спрашивают их предпочтения в заказе на обед или если они хотят бесплатную шляпу.

  «Все, что имеет какое-либо значение для работника — прямые взносы, льготы, дисциплина, заявления о приеме на работу, продвижение по службе — держитесь подальше.