Согласие работника на обработку персональных данных обязательно ли: Нужно ли получать письменное согласие на обработку персональных данных у своих работников?
как с ними работать — СКБ Контур
Основные документы, на которые нужно ориентироваться при обработке персональных данных, — это Конституция РФ (ст. 24) и Федеральный закон от 27.07.2006 № 152-ФЗ (далее — Закон о персональных данных).
В ст. 24 Конституции РФ говорится, что «сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются». Закон о персональных данных определяет значение не только ключевых понятий, с которыми придется сталкиваться на практике каждому работодателю, но и вводит принципы и условия обработки персональных данных, права субъекта персональных данных и другие важные моменты.
Вопросам защиты персональных данных работника посвящена гл. 14 ТК РФ.
Что включают персональные данные работника
Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных). Как правило, эти данные позволяют идентифицировать конкретного человека.
В рамках трудовых отношений работодатель может запрашивать только те персональные данные, которые нужны для выполнения трудовой функции. К ним относятся ФИО, сведения о предыдущей работе, документы, которые необходимы для устройства на работу (паспорт, трудовая книжка и т.д.), сведения об образовании. Такие сведения, как вероисповедание, работодатель запрашивать не имеет права, так как они не требуются для выполнения трудовой функции.
Сложность обработки персональных данных заключается в том, что на разных этапах взаимодействия и при решении различных трудовых задач у работодателя могут возникнуть вопросы. Например, считается ли та информация, которая содержится в резюме кандидата, персональными данными? Должен ли он давать согласие в этом случае, даже если его не возьмут на работу? Нужно ли как-то согласовывать с работником факт передачи данных для оформления пропуска? Можно ли размещать фотографию работника на доске почета без его согласия? Допускается ли размещение «черных списков» сотрудников на сайте компании? Что делать с данными уволенных сотрудников?
На все эти вопросы важно знать ответы. Тем более что периодически разъяснения по ним публикуют Минтруд, Роструд, Роскомнадзор.
Что делать с персональными данными кандидата
Еще на этапе просмотра резюме компания начинает собирать персональные данные кандидатов. Она может сохранять резюме в специальных программах, распечатывать их, сохранять контакты для дальнейшей связи и т.д.
В резюме обычно представлен целый перечень персональных данных — от номера телефона до сведений об образовании и предыдущих местах работы.
Роскомнадзор предупреждает о том, что обработка персональных данных соискателей предполагает получение соответствующего согласия от них. Согласие следует оформлять на период принятия решения о приеме либо отказе в приеме на работу.
Но есть и исключения, когда такое согласие не требуется:
- если от имени соискателя действует кадровое агентство, с которым кандидат заключил договор;
- при самостоятельном размещении резюме в интернете.
В согласии нужно обязательно указать цель получения персональных данных — рассмотрение кандидата на вакантную должность. Можно воспользоваться образцом согласия на обработку персональных данных.
Если работодатель получает резюме соискателя по электронной почте, ему нужно дополнительно провести мероприятия, которые бы служили подтверждением факта направления резюме самим соискателем. Например, это может быть приглашение соискателя на собеседование или ответ на его письмо по электронной почте.
Что делать, если персональные данные собираются с помощью анкеты
Нередко работодатель осуществляет сбор персональных данных кандидатов с помощью типовой анкеты. Во-первых, такая анкета должна содержать информацию о сроке её рассмотрения и принятия решения о приеме либо отказе в приеме на работу.
А во-вторых, она должна соответствовать требованиям п. 7 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации. Это значит, что:
- в анкете должны быть сведения о цели обработки персональных данных, имя (наименование) и адрес оператора, ФИО и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых работодателем способов обработки данных;
- в анкете должно быть поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку;
- анкета должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими данными, не нарушая прав и законных интересов других;
- в анкете не должно быть предусмотрено объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
Обычно анкета размещается в электронном виде на сайте компании, и согласие на обработку персональных данных подтверждается с помощью проставления «галочки» в соответствующем поле.
Что делать с данными кандидата, которого не взяли на работу
В таком случае предоставленные соискателем данные нужно уничтожить в течение 30 дней.
Есть в этой ситуации исключения — случаи, предусмотренные законодательством о государственной гражданской службе. Тогда хранить персональные данные соискателя придется в течение 3-х лет.
Направление запросов на прежние места работы
На этапе собеседования работодателю может потребоваться уточнение некоторых данных о работнике или получение дополнительной информации у прежних работодателей.
Для этого ему обязательно нужно заручиться согласием соискателя.
Сбор и обработка персональных данных при приеме на работу
Трудовое законодательство определяет перечень документов, которые работодатель запрашивает у работника при приеме на работу. На этом этапе, согласно ст. 65 ТК РФ, запрашиваются:
- паспорт или иной документ, удостоверяющий личность;
- трудовая книжка;
- документ, подтверждающий регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа;
- при необходимости: документы воинского учета, документ об образовании и (или) о квалификации или наличии специальных знаний, справка о наличии (отсутствии) судимости.
На то, чтобы внести персональные данные из этих документов в трудовой договор, согласие работника не требуется. Когда он подписывает трудовой договор, то тем самым уже дает свое согласие.
Оформление зарплатной карты и персональные данные работника
Многие организации при приеме на работу оформляют работникам зарплатную карту. В связи с этим может возникнуть вопрос — нужно ли на передачу персональных данных работника банку получать согласие? Да, нужно.
При этом важно, чтобы:
- перечень персональных данных строго соответствовал тому, что передается в банк;
- была указана цель для получения персональных данных, а именно — для оформления зарплатной карты.
Роскомнадзор определяет случаи, когда передача персональных данных работника банку для открытия зарплатных карт должна происходить без согласия:
- договор на выпуск банковской карты заключался напрямую с работником и в его тексте прямо предусмотрены положения о передаче данных работника;
- у работодателя есть доверенность на представление интересов работника при заключении договора с банком на выпуск карты и её обслуживание;
- соответствующая форма и система оплаты труда прописана в коллективном договоре (ст. 41 ТК РФ).
Стоит учесть, что работник может отказаться подписать согласие на передачу данных банку, с которым работает компания. У него могут быть уже открыты счета и карты в другом банке, и поэтому для него удобнее продолжать обслуживаться в своем банке.
В прошлом году была установлена ответственность за «зарплатное рабство». Это значит, что сотруднику нельзя отказать в праве на изменение кредитной организации, в которую будет перечисляться зарплата.
Сотрудник сменил фамилию — что делать с трудовым договором?
В этом случае нужно обязательно внести изменения в трудовой договор. Главное — сделать это правильно.
Часто работодатели оформляют дополнительное соглашение, хотя им, как правило, меняются условия, а не сведения трудового договора. Фамилия относится именно к сведениям о работнике.
Правильно будет внести изменение непосредственно в текст трудового договора, вручную.
Размещение «черных списков» сотрудников на сайте
Иногда работодатель смело публикует в открытом доступе списки бывших работников, которые были уволены, например за утрату доверия или неоднократное неисполнение обязанностей.
Следует отметить, что это расценивается законом, как нарушение требований к обработке персональных данных. Об этом, в частности, предупреждает Минтруд в Письме от 08.10.2018 N 14-2/В-803.
В данном случае, публикуя причины увольнения, работодатель сообщает личную информацию сотрудника третьим лицам. Делать это без согласия работника нельзя.
Каким должно быть согласие на обработку персональных данных
Роскомнадзор в своих рекомендациях формулирует следующие требования:
- Содержание согласия должно быть конкретным и информированным. То есть по информации можно сделать однозначный вывод о целях, способах обработки с указанием действий, совершаемых с персональными данными, объеме обрабатываемых данных.
- Допускается оформление согласия в виде отдельного документа или в виде части текста трудового договора.
- Согласие должно отвечать требованиям, предъявляемым к его содержанию, согласно ч. 4 ст. 9 Закона о персональных данных.
Оформление доски почета
Противоположная ситуация — это поощрение работника в виде доски почета. Но и здесь есть свои тонкости.
Обычно на доске почета размещается фотография человека, указывается его ФИО. И всё это персональные данные, которые работодатель не имеет права выставлять на всеобщее обозрение у себя в офисе, даже если цель его действий — поощрить успешных сотрудников и мотивировать тем самым остальной коллектив.
Для использования фото сотрудника тоже придется заручиться согласием.
Персональные данные для пропуска
В большинстве организаций сейчас действует пропускной режим. Соответственно, новым работникам требует оформление пропуска.В данном случае нет необходимости в получении согласия на обработку персональных данных, если:
- компания самостоятельно осуществляет пропускной режим;
- если обработка соответствует порядку, предусмотренному коллективным договором, локальными актами, принятыми в соответствии со ст. 372 ТК РФ.
В том случае, если пропускной режим находится под контролем сторонней организации, то согласие обязательно.
Кадровый и бухгалтерский учет на аутсорсе и персональные данные
Если работодатель решает вопросы кадрового и бухгалтерского характера при помощи аутсорса, то есть силами сторонних организаций, то он должен соблюдать требования, обозначенные ч. 3 ст. 6 Закона о персональных данных.
Что делать с персональными данными уволенных сотрудников
Нужно учитывать, что существуют требования к обработке персональных данных в рамках бухгалтерского и налогового учета.
Так, например, работодатели обязаны в течение 4-х лет обеспечивать сохранность документов, необходимых для исчисления, удержания и перечисления налога (пп. 5 п. 3 ст. 24 НК РФ). И здесь согласия уже бывших сотрудников, хотят они того или нет, не требуется.
Роскомнадзор напоминает, что по истечении сроков, определенных законодательством, личные дела работников переходят на архивное хранение на срок 75 лет. Но на саму организацию хранения в архиве и использование архивных документов с персональными данными работников Закон о персональных данных не распространяется.
Согласие на обработку персональных данных в 2020 году — требования закона
Содержание
- Когда возможна обработка персональных данных без согласия субъекта
- Форма согласия на обработку персональных данных
Требования закона об обработке персональных данных в организации изложены в № 152-ФЗ и в Трудовом кодексе и содержатся в следующих разделах:
- ст. 86 ТК – общие вопросы;
- ст. 9 № 152-ФЗ – права субъекта и содержание согласия на обработку ПД.
Часть 4 ст. 9 дает развернутый перечень пунктов, которые оно должно включать.
Когда возможна обработка персональных данных без согласия субъекта
Если личные сведения обрабатываются для исполнения закона в силу нормативных требований — согласие не нужно. К примеру, трудовой договор не получится подготовить без ФИО, номера СНИЛС и т.д.
Если же сведения потребовались для дополнительных, не связанных с исполнением норм закона намерений, письменное согласие на обработку персональных данных с заполнением всех пунктов необходимо.
Форма согласия на обработку персональных данных
Какая информация о субъекте указывается в согласии:
- ФИО, адрес, данные паспорта.
- ФИО работодателя или название организации и ее адрес.
- С какой целью передаются ПД.
- Полный список данных для обработки которых дается согласие субъекта (работника, соискателя, третьего лица).
- ФИО или название лица, которое обрабатывает ПД, если оператор поручил ему обработку.
- Перечисляются действия, которые намеревается произвести оператор, и на которые дается данное согласие. Здесь же указывается обобщенный перечень методов, которые применяются работодателем для обработки ПД.
- Согласие имеет конечный срок действия, который указывается письменно, наравне с остальными сведениями в его тексте. Если данный разрешающий документ не подпадает под действие специальных норм №152-ФЗ или других, указывается способ отзыва согласия на обработку персональных данных при необходимости.
- Если согласие подписывает представитель субъекта, он заполняет те же данные плюс реквизиты доверенности.
Согласие на обработку персональных данных образец
Важно! Некоторые предприятия имеют обширные социальные программы, действие которых распространяется на совершеннолетних и несовершеннолетних родственников работника. Это могут быть полисы ДМС, путевки. В таких ситуациях также обрабатывается личная информация и также необходимо получение письменного согласия от них как от субъектов ПД. Оно может быть оформлено отдельным документом, подписанным лично или получено через представителя, которым может выступить сам работник. Фактическое согласие на обработку персональных данных несовершеннолетних дает сам работник — их родитель. |
В тексте согласия на обработку ПД цели обработки указываются для каждого вида данных (если их несколько). Однако для достижения поставленных законом условий конкретности и информированности рекомендуем в одном документе указывать одну цель и, соответственно, сведения именно для этой цели. Требование конкретности не допускает использование в согласии работника на обработку персональных данных размытых и общих формулировок:: «данные», «сведения», «информация» и так далее. Обрабатываемая конфиденциальная информация указывается точно.
Пример «паспортные данные: серия, номер, кем, где, когда выдан, фамилия, имя, отчество…» . |
Образец согласия на обработку персональных соискателя
Совет Рекомендуем на передачу личной информации каждому получателю (третьему лицу) оформлять отдельное согласие. |
Если вы указываете в согласии срок его действия, необходимо удостовериться, что он совпадает с требованиями закона об архивном деле. При указании срока обработки меньше, чем этого требуют нормы, работодателем будут нарушены предписания архивного законодательства. Обязательно ставится подпись субъекта после заполнения согласия на обработку персональных данных работника (соискателя, третьего лица).
Согласие на обработку персональных данных соискателя скачать
Скачать согласие на обработку персональных данных
Максимально полно о доступе к персональным данным, законодательству и практике, а также ответственности за разглашение в этой области вам расскажут эксперты Валентина Митрофанова и Мария Финатова в нашем новом онлайн-курсе по ПД. Узнайте о тонкостях обработки ПДн применительно к вашей сфере деятельности |
Согласие на обработку персональных данных работника
❶ Согласие на обработку персональных данных по образцу, приведенному в статье, подойдет только для работника. Такое согласие не будет актуальным, например, для соискателя. Очевидная, но часто встречающаяся ошибка.❷ За работника в некоторых случаях согласие должен подписывать представитель. Например, если работник — несовершеннолетний. Поэтому в шаблоне соответствующего документа рекомендуем предусмотреть графы, в которые можно было бы внести сведения о представителе.
❸ Прописывайте полное наименование работодателя и сведения о его местонахождении.
В качестве дополнительного идентификатора работодателя можно также указать ИНН или ОГРН (ОГРНИП), однако такая информация необязательна.
❹ Правильно сформулировать цель обработки персональных данных бывает сложно. Проблема в том, что в соответствии с текущей правоприменительной практикой в согласии на обработку персональных данных следует указывать именно одну цель.
В то же время нигде не сказано, насколько детально должна быть прописана такая цель. Так, основанием для большинства действий работодателя с персональными данными работника будет соблюдение закона путем осуществления прав и исполнения обязанностей сторон трудовых отношений. Например, выплата заработной платы не будет являться самостоятельной целью, ведь это лишь часть обязанностей.
Однако если появляется стороннее обстоятельство, то цель может оказаться уже другой. Довольно распространенный пример — предоставление работникам полиса ДМС.
С одной стороны, если предусмотреть предоставление полиса ДМС в трудовом договоре, это станет обязанностью работодателя.
С другой стороны, страховые компании по условиям договора страхования могут предусматривать использование персональных данных застрахованных лиц в маркетинговых целях. В этом случае одним стандартным согласием не обойтись.
❺ В согласии на обработку персональных данных указывайте конкретный перечень таких сведений. Он должен соответствовать цели обработки и фактическим обстоятельствам.
Чтобы не запутаться, рекомендуем в отдельном документе вести список обрабатываемых персональных данных по каждой категории субъектов с указанием целей обработки таких сведений.
Благодаря указанному списку сможете оперативно составлять шаблоны согласий на обработку персональных данных и иных документов.
Главное — отслеживайте изменения в за-конодательстве и поддерживайте список в актуальном состоянии.
❻ Пропишите сведения о лице, которое будет осуществлять обработку персональных данных по вашему поручению. В одном согласии указывайте только одно лицо, действующее по поручению работодателя.
Принцип «одна цель обработки — одно согласие» проверяющие используют по аналогии при указании лица, которому поручают обработку данных.
Кроме того, Роскомнадзор рекомендует указывать в согласии иных операторов, помимо работодателя, которым будете передавать персональные данные работников.
❼ В согласии на обработку персональных данных укажите способы обработки такой информации. Учтите, что с 1 марта 2021 года для распространения персональных данных может потребоваться отдельное согласие гражданина. Требования к содержанию такого согласия устанавливает Роскомнадзор.
❽ Срок действия согласия на обработку персональных данных должен соответствовать цели обработки данных. Такое согласие не может быть бессрочным, потому что основная цель обработки может считаться достигнутой вместе с увольнением сотрудника.
Поэтому пропишите, что согласие действует, пока стороны состоят в трудовых отношениях.
➒ Работник вправе подписать согласие собственноручно или с помощью электронной подписи.
Персональные данные работника Coleman Services
Ирина Плотникова (Юрисконсульт)
Ответы на частые вопросы, которые задают работодатели при обработке персональных данных работников.
Трудовые отношения между работодателем и работником неразрывно связаны с обработкой персональных данных, которые работодатель при приеме сотрудников в организацию, должен собирать, хранить, передавать и т.д.
В данной статье мы решили ответить на вопросы, которые чаще всего возникают у работодателя при обработке персональных данных работников.
Как быть, если при заключении трудового договора работник отказывается дать согласие на обработку его персональных данных?
Либо, если работник сначала дал свое согласие, но позже отозвал его – ведь по закону работодатель обязан передавать сведения о работнике в государственные органы, например, в Пенсионный фонд?
Прежде всего, необходимо помнить, что работодателю не требуется получать согласие работника на обработку таких сведений о нем, как фамилия, имя, отчество, паспортные данные, номер телефона, адрес места проживания, либо иных сведений, не относящихся к категориям специальных или биометрических персональных данных, при условии, что обработка этих сведений осуществляется работодателем в целях исполнения трудового договора. Так, не требуется получать согласие на обработку персональных данных (например, паспортных данных) от юриста при оформлении доверенности для представления интересов организации в судебном процессе.
Также без согласия работников осуществляется передача персональных данных в Фонд социального страхования РФ и Пенсионный фонд РФ.
Стоит отметить, что работодатель также освобождается от получения согласия работника на обработку специальной категории персональных данных в случаях, когда обработка осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством и пенсионным законодательством РФ.
Так, например, работодателю, являющемуся медицинской организацией, не нужно получать согласие своих работников на опубликование и размещение сведений об уровне их образования и квалификации, потому что обязанность по размещению данной информации предусмотрена федеральным законом.
Работодатель имеет право обрабатывать сведения о состоянии здоровья работника без его согласия и в том случае, если такие сведения влияют на возможность выполнения работником своей трудовой функции. Например, получение работодателем информации о результатах предрейсового и послерейсового медицинского осмотра водителя не будет являться нарушением законодательства об обработке персональных данных, поскольку такая информация необходима работодателю для определения пригодности работника к выполнению его должностных обязанностей.
Нам часто звонят из банков, где работник хочет взять кредит, или из визовых центров, куда работник обратился за визой, и спрашивают, числится ли в штате сотрудник и каков размер его заработной платы. Можем ли мы давать такую информацию без согласия работника?
Сообщение информации банку или визовому центру о наличии трудовых отношений с каким-либо работником, равно как и подтверждение или опровержение такой информации, а также указание размера заработной платы – является передачей персональных данных работника. Предоставление этих сведений банку и визовому центру не обусловлено исполнением трудового договора с указанным работником, поэтому может осуществляться только с его письменного согласия.
Мы предоставляем своим работникам добровольное медицинское страхование. Для этого мы передаем страховой компании персональные данные наших работников. Должны ли мы получать согласие работников на это?
Да, должны, поскольку эти действия не связаны непосредственно с исполнением трудового договора с работником и не являются обязательными в рамках трудового законодательства.
Аналогично, только при наличии согласия работника возможна передача работодателем его персональных данных банку в целях перечисления заработной платы, типографской организации для оформления визиток и т.д.
Мы получили запрос из прокуратуры о предоставлении информации о нашем работнике? Нам нужно получать его согласие?
Нет, не нужно. Согласие работника не требуется при получении, в рамках установленных полномочий, мотивированных запросов от органов прокуратуры, правоохранительных органов, от государственных инспекторов труда и иных органов, уполномоченных запрашивать информацию о работниках в соответствии со своей компетенцией.
Мы привлекли стороннюю организацию для ведения кадрового и бухгалтерского учета. Требуется ли согласие работников на передачу их персональных данных этой организации?
Да, согласие работников необходимо, поскольку в данной ситуации работодатель поручает обработку персональных данных другому лицу, что допускается только при наличии согласия работника.
Соискатель прислал резюме на вакансию, открытую в нашей компании. Можем ли мы хранить его резюме или иным образом обрабатывать персональные данные, содержащиеся в резюме, без согласия соискателя?
Нет. Обработка персональных данных соискателя на период принятия работодателем решения о приеме, либо отказе в приеме на работу может осуществляться только с согласия соискателя. В случае отрицательного решения в приеме на работу сведения, предоставленные соискателем, должны быть уничтожены в течение 30 дней, за исключением случаев, предусмотренных законодательством о государственной гражданской службе, где срок хранения персональных данных соискателя составляет 3 года.
А если мы нашли резюме соискателя на сайте hh.ru или ином сайте для поиска работы?
Соискатель разместил свое резюме в Интернете, тем самым сделав его доступным неограниченному кругу лиц. В этом случае закон не обязывает работодателя получать согласие соискателя на обработку данных из его резюме.
Надо ли получать согласие соискателя, в случае, если работодатель хочет направить о нём запрос в иные организации, в том числе, по прежним местам работы?
Да, получение согласия соискателя в данном случае является обязательным. Исключение составляют случаи заключения трудового договора с бывшими государственными или муниципальным служащим. Работодатель при заключении с ними трудового договора, в случае, если с момента увольнения с государственной службы еще не прошло 2-ух лет, обязан в десятидневный срок сообщить о заключении такого договора работодателю этого служащего по последнему месту его работы.
Может ли работодатель разместить на своих информационных стендах на территории организации сведения о сотрудниках (фамилия, имя, отчество, фотография), в назидание за срыв сроков выполнения работ или некачественное выполнение задания, поставленного руководством, при том, что данные сведения будут доступны остальным работникам?
У работодателя нет права размещать такого рода информацию на публичных информационных стендах без согласия работников. Трудовой кодекс РФ предоставляет работодателю право обрабатывать персональные данные работника без его согласия исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества. Размещение же на информационных стендах работодателя фамилии, имени, отчества, фотографии сотрудников, которые допустили срыв срока выполнения работ или не выполнили задания, установленные руководством, не подразумевает вышеназванных целей. В частности, такие действия нельзя отнести к обработке, направленной на обеспечение контроля количества и качества выполняемой работы. Поэтому в данном случае работодатель не вправе размещать на стендах сведения о работниках, не получив на то их соответствующие письменные согласия.
Мы уволили работника. Можем ли мы продолжать обрабатывать его персональные данные или наше право на их обработку прекращается с момента увольнения?
Как мы уже говорили, согласие субъекта персональных данных не требуется, если обработка персональных данных необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на работодателя функций, полномочий и обязанностей. К таким случаям, в том числе, относится обработка персональных данных в рамках бухгалтерского и налогового учета.
Поскольку Налоговым кодексом РФ и законом о бухгалтерском учете установлена обязанность работодателей в течение определенного времени обеспечивать сохранность документов, необходимых для исчисления, удержания и перечисления налога, первичных учетных документов, регистров бухгалтерского учета, бухгалтерской (финансовой) отчетности и т.д., то работодатель вправе хранить (а в случае проверок госорганами – передавать им) персональные данные уволенных работников в рамках установленных законом сроков. Поэтому согласие уволенных работников на обработку их персональных данных в вышеуказанных случаях не требуется.
Таким образом, как мы видим, на практике работодатель может столкнуться с самыми разнообразными ситуациями, касающимися обработки персональных данных его работников. Каждый раз, принимая решение о возможности обработки персональных данных работника без его согласия, работодателю необходимо задаться вопросом о правомерности такой обработки.
Если обработка персональных данных работника осуществляется работодателем в целях исполнения трудового договора с указанным работником, а также в случаях, когда персональные данные обрабатываются в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством РФ, согласие работника на обработку персональных данных не требуется.
Роскомнадзор о персональных данных в 2021 году
26 ноября 2020 г. Роскомнадзор провел онлайн-трансляцию по вопросам персональных данных и фактически рассказал, как будет применять Закон 152-ФЗ в следующем году.
Важное обновление 23.12.2020: принят закон об изменении правил публикации персональных данных.
На семинаре прозвучали доклады:
Дмитрия Рудакова, заместителя начальника отдела ведения реестра операторов, осуществляющих обработку персональных данных. Он рассказал о реестре. Его презентация.
Второй спикер, Альфия Гафурова, заместитель начальника Управления по защите прав субъектов персональных данных Роскомнадзора, озвучила основные вопросы по жалобам граждан. Ее презентация содержит информацию о типовых нарушениях:
- в банковской сфере;
- в ЖКХ;
- в интернете;
- в связи;
- в торговле.
Во время трансляции Юрий Контемиров, начальник Управления по защите прав субъектов персональных данных Роскомнадзора, ответил на самые актуальные вопросы. Здесь полная двухчасовая версия:
Получилось много информации, поэтому я отказался от стенографирования и написал как мне нравится: без потери смысла, сокращая фирменный стиль выступления чиновников.
Читайте и имейте в виду, что практика в регионах может отличаться. Некоторые тезисы выступления спорные, но они показывают, как Роскомнадзор будет применять законодательство о персональных в данных в 2021 году.
GDPR и российские компании
GDPR может применяться к российским компаниям в нескольких случаях:
- Российская компания имеет филиалы на территории Европы.
- Российская компания действует по поручению европейской компании и отвечает перед ней за обработку персональных данных.
- Российская компания работает не только на территории России, но и направлена на европейского потребителя. Например, интернет-магазин предлагает продажу товаров в Европу, при этом одновременно выполняются два условия:
- сайт доступен на языках стран ЕС;
- предусмотрены расчеты в евро.
Если одно из этих условий не выполняется, то требования GDPR на такой магазин не распространяются.
Будет ли приведено российское законодательство к требованиям GDPR
По словам Контемирова, это дискуссионный вопрос. Специалисты изучают практику применения европейского законодательства, но как это будет реализовано в России будет видно в ближайшем будущем.
Трудовые отношения
Как передавать персональные данные сотрудников в рамках групп компаний
Например, при ведении кадрового учета, разработках программ повышения квалификации иностранная компания присваивает логины и пароли для работы в единой информационной системе.
Поскольку каждая компания выступает как отдельный оператор, то необходимо получать письменное согласие работника на передачу его персональных данных от одной компании в другую (ч. 4 ст. 9 Закона “О персональных данных”).
Если в группу компаний входит иностранное юридическое лицо, то необходимо оформлять не только согласие, но и договор поручения на обработку персональных данных.
Нужно ли согласие работника для передачи его персональных данных в аутсорсинговые компании
Да, нужно. Более того, передача данных в другие фирмы для ведения кадрового учета или бухгалтерского предполагает делегирование части обязанностей оператора и это требует оформление договора поручения (ч. 3 ст. 6 Закона “О персональных данных”).
В таком согласии должна быть указана конкретно одна цель, для достижения которой передаются данные сотрудника.
Порядок уничтожения персональных данных
Терминатор – оператор обработки персональных данныхПорядок уничтожения персональных данных работников и иных лиц должен быть закреплен локальных актах оператора. С актами должны быть ознакомлены все заинтересованные лица.
Оператором должен быть обеспечен неограниченный доступ к этим документам, а если сбор персональных данных осуществляется с помощью сайта, то Роскомнадзор рекомендует размещать ссылки на политику обработки персональных данных непосредственно рядом с веб-формами.
Что относится к персональным данным по мнению Роскомнадзора
Центр компетенций Роскомнадзора по Южному федеральному округу разрабатывает матрицу персональных данных. Проект такой матрицы уже существует, планируется, что он будет размещен в открытом доступе в первом полугодии 2021 года.
Сбор копий документов, содержащих персональные данные
Сбор копий документов должен осуществляться на основании согласия субъекта в соответствии с ч.1 ст. 6 Закона “О персональных данных”.
Паспорт — это носитель биометрических персональных данных. Для получения копии документа согласия, предусмотренного ч. 4 ст. 9 ФЗ № 152 не требуется. Но должно быть получено согласие, которое отвечает требованиям ч. 1 ст. 9 Закона: согласие должно быть информированным, конкретным и сознательным.
Т.е. человек должен четко понимать, какие данные он предоставляет, в каких целях, кому, какие действия будут осуществлять с данными. В течение какого срока, кто будет иметь доступ к персональным данным.
Если такие требования соблюдаются, то форма получения согласия определяется оператором: можно в электронном виде, можно на бумаге.
Являются ли идентификаторы персональными данными
Такие идентификаторы как ИНН, СНИЛС, электронная почта и т.п. являются персональными данным. Роскомнадзор исходит из их уникальности: они присваиваются конкретному человеку и не могут быть отнесены к другому.
Даже без дополнительной информации идентификаторы являются персональными данными.
Вопрос о MAC- адресах устройств нужно рассматривать в контексте Закона “О связи”. Без сведений об абоненте они не относятся к персональным данным. Но когда MAC- адрес добавляется сведениями, например, о геолокации или кукис, то в совокупности эта информация является персональными данными.
Комбинация: фамилия, имя и телефон — персональные данные.
Но отдельно номер телефона – не персональные данные, т.к он относится не к пользователю, а к абонентскому устройству.
Фотографии и видеозаписи в контексте персональных данных
Ранее Роскомнадзор уже озвучивал позицию о том, что в случаях, предусмотренных законодательством, фото является биометрическим персональными данными. Для их обработки необходимо выполнить требования статьи 11 Закона “О персональных данных”
Во всех иных случая фотография рассматривается как материальный носитель персональных данных и обработка которых осуществляется на общих основаниях, предусмотренных статьей 6 Закона 152-ФЗ.
Оборот фото-видеоизображений регулируется Гражданским кодексом, который предусматривает случаи использования изображения гражданина как с согласия, так и без такового.
Потоковое видеонаблюдение не рассматривается Роскомнадзором как обработка персональных данных. Но если камера направлена на идентификацию лица, например, для пресечения или раскрытия правонарушений, то записи с этой камеры должны рассматриваться как источники персональные данные.
Профилирование и оценка личностных качеств
Например в мобильном приложении осуществляется сбор информации в объеме: имя, телефон, история заказов, выявление предпочтений пользователя. По мнению Роскомнадзора такой набор информации является персональными данными, поскольку на его анализе осуществляется подготовка маркетинговых предложений. И дальнейшее использование этих данных в рекламе должно осуществляться в соответствии со ст. 15 Закона “О персональных данных” и предполагает согласие на обработку персональных данных
Оценка поведений и личных качеств работников, например, при проведении психологических тестов, представляет собой некую модель профилирования физического лица на основании которой вырабатываются рекомендации: о занятости, приеме или отказе в приеме на работу, на замещение вакантной должности. Для проведения профилирования необходимо получать согласие на обработку персональных данных.
О согласиях на обработку персональных данных
Несколько целей в одном согласии
Разработан законопроект, который предусматривает совмещение нескольких целей в одной форме согласия. Как только он будет принят, РКН скорректирует свою позицию.
Пока же Роскомнадзор считает, что можно указать несколько целей в одном согласии только в некоторых случаях. Например, если происходит обработка биометрических данных, специальных категорий персональных данных, в случаях, если осуществляется трансграничная передача в страны, не обеспечивающие адекватную защиту данных.
Во всех других случаях оформления согласия в письменной форме должна быть указана одна цель.
Получение согласия на обработку персональных данных при заключении договора
Если обработка персданных осуществляется в соответствии с условиями договора и только для его исполнения, то согласие не требуется.
Но если в договор включаются положения, не связанные с его предметом, то на такие действия необходимо получать отдельное согласие на обработку персональных данных.
Например, в договор оказания услуг связи включаются положения о проведении исследований или на рассылку рекламы.
Если впоследствии по этим видам обработки субъект направит отзыв своего согласия, то оператор обязан ее прекратить, поскольку она не является основной применительно к предмету договора.
Согласия на обработку персональных данных соискателя и близких родственников
Трудовым кодексом урегулированы отношения только между работодателем и работником и не охвачены вопросы поиска работы. Поэтому единственным правовым основанием для обработки персональных данных соискателей является его согласие.
Часто соискателю предлагается заполнить анкеты, в которых предусмотрены сведения о близких родственниках, но очень сложно получить согласия от самих родственников. В таких случаях рекомендуется все же убедить соискателя в необходимости получения согласия от родственников.
Например, сообщить о необходимости проверки конфликта интересов.
Обработка персональных данных родственников сотрудника имеет ряд особенностей
Обработка персональных данных в объеме, предусмотренном унифицированными формам, например, карточками Т-2, согласия не требует. Но на обработку ПД, которые не содержаться в типовых формах, но необходимы работодателю, требуется получать согласие.
Электронные копии согласий на обработку персональных данных
Сканы письменных форм согласий на обработку делать не запрещено. Но если есть электронные копии, то можно ли уничтожить оригинал на бумажном носителе?
Роскомнадзор рекомендует принимать во внимание положения процессуальных кодексов, где предусмотрено, что в случае рассмотрения судебного спора необходимо предоставить суду подлинники письменных доказательств. Поэтому при принятии решения о замене оригинальных экземпляров на электронные копии, необходимо учитывать эти риски.
Срок согласия на обработку персональных данных
По мнению Роскомнадзора срок согласия должен быть ограничен конкретным сроком или достижением цели обработки персональных данных, например, исполнением договора.
Нельзя указывать, что согласие дается на неограниченный срок или указывать сроки, не предусмотренные законодательством или ничем не мотивированные. Например, неправильно установить срок согласия на 15, 50 или 70 лет.
Если конкретный срок определить затруднительно, то рекомендуется обработку ПД ограничивать достижением цели обработки.
Форма согласия на получение рассылки от иностранного сайта
Достаточно ли получения согласия в электронной форме в виде проставления галочки в чек-боксе, если сайт или его администратор находятся за пределами РФ?
Роскомнадзор считает, что если сайт направлен на граждан России, то презюмируется, что он соблюдает требования национального законодательства России — в частности, соблюдает правило локализации. Следовательно, такая форма выдачи согласия допустима.
Передача персональных данных третьим лицам
Что делать, если персональные данные передаются третьим лицам? Причем этот список может изменяться.
Если для обработки персональных данных необходимо получать письменное согласие (ч. 4 ст. 9 Закона “О персональных данных”) например, трансграничная передача, обработка биометрических данных и т. д, то в этом случае обязательно поименное указание организаций, которые действуют по поручению оператора. В случае изменения этих организаций, согласие придется переподписывать.
Во всех остальных случаях согласие может содержать отсылку на сайт оператора, где можно разместить список третьих лиц, которым передаются персональные данные. В самом согласии необходимо указать цели, в которых ПД передаются этим третьим лицам.
Об изменении списка Роскомнадзор рекомендует уведомлять субъектов персональных данных. Срок такого уведомления законом не определен, но РКН считает разумным делать это в течение 10 дней.
Договоры поручения на обработку персональных данных
Является ли провайдер облачных услуг оператором?
Конечно, провайдер облачных услуг является оператором, поскольку на его серверах осуществляется хранение персональных данных.
Требуется ли при использовании облачных услуг заключать договор поручения на обработку персональных данных?
Да, потому что один оператор передает для хранения ПД другому оператору. А этот случай предполагает заключение договора поручения. Дополнительно нужно получать согласие субъекта на передачу его персональных данных по договору поручения.
Можно ли в согласии работника указывать всех третьих лиц, которым передаются ПД в рамках договоров поручений?
Можно, но только при условии, что третьи лица привлекаются для достижения единой цели, которая предусмотрена в тексте согласия на обработку персональных данных.
Например, для целей кадрового учета привлекается две организации. В согласии указывается цель: ведение кадрового учета. В этом случае согласие составлено корректно.
Должны ли третьи лица, которые осуществляют обработку персональных данных по договору поручения, направить в Роскомнадзор уведомления об обработке?
Да, эти лица являются операторами и обязаны предоставлять уведомления по общим правилам.
Исключение, предусмотренное для договорных отношений, в этом случае не применяется, поскольку субъекты персональных данных не являются стороной договора поручения, заключаемого оператором с третьим лицом.
Обязан ли оператор предоставлять по договору поручения сведения о правовых основаниях обработки персональных данных?
Действующим законодательством такая обязанность не предусмотрена, поскольку ответственность перед субъектом несет только оператор, даже за действия третьего лица.
Поэтому РКН рекомендует урегулировать этот вопрос в договоре поручения на обработку персональных данных, если необходимо.
Персональные данные представителей компаний в договоре
Типичная ситуация: два юридических лица заключили между собой договор. С одной стороны договор подписал представитель по доверенности.
Организация, которая выдала доверенность своему работнику, обязана получить от него согласие на передачу персональных данных контрагенту по договору.
Для контрагента, получившего доверенность этого работника, получать отдельное согласие на обработку не нужно, т.к. обработка ПД доверенного лица осуществляется в рамках договора.
Ответственное лицо
Будет ли привлечен оператор к ответственности, если он не назначил ответственное лицо за обработку персональных данных?
К административной ответственности РКН привлекать не будет. Но если в ходе проверки такой факт будет выявлен, то проверяющий выдаст предписание с указанием срока его исполнения. И если оператор в этот срок не устранит нарушение, то будет привлечен к административной ответственности по ст. 19.5 КоАП РФ.
Можно ли назначить нескольких лиц, ответственных за обработку ПД?
В уведомлении о намерении осуществлять обработку персональных данных должно быть указано только одно физическое лицо, ответственное за обработку персональных данных. Конечно, ответственный может делегировать часть своего функционала, но об этом нужно указать только в локальных актах оператора.
Можно ли указывать в уведомлении юридическое лицо, ответственное за обработку ПД?
Да, если к обработке привлечено юридическое лицо, то оно может быть указано в уведомлении о намерении осуществлять обработку персональных данных в дополнение к информации, предусмотренной ст. 22 Закона № 152-ФЗ.
Заключение
Если вы дочитали и не нашли каких-то ответов — это нормально. Отрасль развивается и даже регулятор не может дать четких рекомендаций. Судебная практика охватывает частные случаи, поэтому ее нужно изучать в контексте вашей ситуации.
Контемиров пообещал, что по результатам работы Центров компетенций в 2021 году будут опубликованы: матрица персональных данных, портфель оператора, включающий в себя шаблоны документов, актов, форм, необходимых для работы с персональными данными. РКН хочет, чтобы такой портфель был хорошим подспорьем.
Важное обновление 23.12.2020: принят закон об изменении правил публикации персональных данных.
Почитайте пост о Реестре операторов персональных данных.
Ну а я продолжаю наблюдение. Подпишитесь на мои страницы в Фейсбуке, Яндекс Дзене и Телеграм, чтобы делать это вместе.
Остаюсь с вами на связи. Все вопросы по статье можно написать в чат в Я.Дзене.
ps. Чатик придумал, чтобы избежать включения в реестр ОРИ, но быть с вами на связи.
Поделитесь в соцсетях
Согласие на обработку персональных данных от сотрудника
Наша компания с этого года начала перечислять зарплату сотрудникам на банковские карты, хотели бы знать, что нам необходимо сделать в своей организации, чтобы перечисление зарплаты на карту попадало под закон о защите персональных данных, какие документы должен нам предоставить сотрудник? |
Когда компания перечисляет зарплату на карты, она обязана передать персональные данные работника банку для обработки. Данные состоят из Ф.И.О., факта работы в организации, размера вознаграждения, графика выдачи зарплаты, а также периода, за который начислен платеж.
По общему правилу персональные данные обрабатываются только с согласия субъекта. Согласие не нужно только в исключительных случаях. Например, чтобы исполнить договор, где сторона, выгодоприобретатель или поручитель — субъект персональных данных.
Трудовой кодекс не указывает трудовой договор как основание, при котором согласие на передачу данных третьей стороне не требуется.
Поэтому компания обязана получить от работника согласие на передачу персональных данных в банк и их обработку. А также направить в Роскомнадзор уведомление об обработке персональных данных работников.
Есть три случая, когда оформлять согласие работника не нужно.
Во-первых, когда работник хочет получать зарплату на личную карту.
В этом случае нужно проверить, есть ли в тексте банковского договора положения, что работодатель передает персональные данные работника. Так банк исключает собственные риски, которые связаны с получением персональных данных.
Чтобы компания-работодатель знала, что такие положения есть, необходимо предварительно получить копию банковского договора от работника.
Либо работник в заявлении работодателю с просьбой перечислять вознаграждение на личную банковскую карту подтверждает, что такие положения имеются в тексте договора с банком.
Во-вторых, если работник выдал работодателю доверенность на представление его интересов перед банком, когда заключал договор на выпуск карты.
В-третьих, если соответствующая форма и система оплаты труда прописаны в коллективном договоре.
Форму письменного согласия работодатель разрабатывает самостоятельно. При этом учтите тот объем информации, который намерен получать банк.
ОБРАЗЕЦ СОГЛАСИЯ
Генеральному директору ООО “Ромашка”
Иванову И.И.
от работника Сидорова С.С.
Согласие работника
на обработку персональных данных
Я, Сидоров Сергей Сергеевич, зарегистрированный по адресу г. Москва, ул. Московская. д. 1, квартира 11, имеющий паспорт гражданина РФ 0000 №000000, выданный 00.00.0000 г. отделом УФМС по Московскому району города Москвы,
даю согласие ООО “Ромашка” на передачу в ПАО “Банк” в целях перечисления мне заработной платы на карточный счет в ПАО “Банк” со следующими реквизитами 000000000000000000000000 моих персональных данных:
– фамилия, имя, отчество;
– паспортные данные, дата и место рождения;
– должность, размер заработной платы и период, за который производится выплата.
Я выражаю согласие на осуществление обработки моих персональных данных с помощью автоматизированных систем управления базами данных, а также иных программных средств, а также без использования таких средств.
Настоящим я проинформирован о том, что вправе требовать уточнения моих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными или не являются необходимыми для заявленной цели обработки.
ПОДТВЕРЖДАЮ СВОЕ СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
Дата
Подпись
Нужно ли согласие работника на обработку его персональных данных?. Бухгалтер 911, № 44, Октябрь, 2018
Сообщаем, что предоставленные Вами сведения включены в базу персональных данных ООО «Радость» с целью ведения кадрового делопроизводства, подготовки в соответствии с требованиями законодательства налоговой и статистической отчетности, другой информации по вопросам персонала, а также внутренних документов предприятия по вопросам реализации определенных законодательством и коллективным договором прав и обязанностей в сфере трудовых правоотношений и социальной защиты.
В соответствии со ст. 8 Закона Украины «О защите персональных данных» субъект персональных данных имеет право:
1) знать об источниках сбора, местонахождении своих персональных данных, цели их обработки, местонахождении или месте жительства (пребывания) владельца или распорядителя персональных данных или дать соответствующее поручение о получении этой информации уполномоченным им лицам, кроме случаев, установленных законом;
2) получать информацию об условиях предоставления доступа к персональным данным, включая информацию о третьих лицах, которым передаются его персональные данные;
3) на доступ к своим персональным данным;
4) получать не позднее 30 календарных дней со дня поступления запроса, кроме случаев, предусмотренных законом, ответ о том, обрабатываются ли его персональные данные, а также получать содержание таких персональных данных;
5) предъявлять мотивированное требование владельцу персональных данных с возражением против обработки своих персональных данных;
6) предъявлять мотивированное требование об изменении либо уничтожении своих персональных данных любым владельцем и распорядителем персональных данных, если эти данные обрабатываются незаконно или являются недостоверными;
7) на защиту своих персональных данных от незаконной обработки и случайной потери, уничтожения, повреждения в связи с умышленным сокрытием, непредоставлением или несвоевременным их предоставлением, а также на защиту от предоставления сведений, являющихся недостоверными или порочащими честь, достоинство и деловую репутацию физического лица;
8) обращаться с жалобами на обработку своих персональных данных к Уполномоченному Верховной Рады Украины по правам человека или в суд;
9) применять средства правовой защиты в случае нарушения законодательства о защите персональных данных;
10) вносить предостережения об ограничении права на обработку своих персональных данных при предоставлении согласия;
11) отозвать согласие на обработку персональных данных;
12) знать механизм автоматической обработки персональных данных;
13) на защиту от автоматизированного решения, которое имеет для него правовые последствия.
______________________________________________________________
Я, Звездная Полина Андреевна, удостоверяю, что получила уведомление о включении информации обо мне в базу персональных данных с целью ведения кадрового делопроизводства, подготовки в соответствии с требованиями законодательства налоговой и статистической отчетности, другой информации по вопросам персонала, внутренних документов предприятия по вопросам реализации определенных законодательством и коллективным договором прав и обязанностей в сфере трудовых правоотношений и социальной защиты, а также информацию о моих правах, определенных Законом Украины «О защите персональных данных», и о лицах, которым мои данные предоставляются для выполнения указанной выше цели.
25.10.2018 Звездная
Возможно ли согласие сотрудника в соответствии с Регламентом ЕС о защите данных?
Американские организации, которые контролируют или обрабатывают персональные данные жителей Европейского Союза, вероятно, подпадают под действие новых требований ЕС по защите данных – Общего регламента защиты данных (GDPR). GDPR вступает в силу 25 мая 2018 года.
GDPR, заменяющий Директиву ЕС о защите данных 1995 года, налагает суровые наказания за несоблюдение. Организации из стран, не входящих в ЕС, от которых прямо не требовалось соблюдать стандарт 1995 года, могут подпадать под действие GDPR.Настало время для работодателей США определить, подпадают ли они под действие GDPR (см. Сообщение в нашем блоге, Применяется ли GDPR к вашей компании в США), и, если да, то начать подготовку своих систем кадровых данных к соответствию.
Основы обработки данных сотрудников
Работодатель, которому необходимо обрабатывать данные о сотрудниках из ЕС, должен иметь законное основание для этого в соответствии с GDPR. Одной из шести законных оснований для обработки персональных данных резидента ЕС в статье 6 GDPR является «субъект данных дал согласие на обработку своих персональных данных для одной или нескольких конкретных целей.”
Распространенной практикой в США является использование положений о полном согласии в трудовых договорах или справочниках, которые позволяют работодателям обрабатывать личные данные сотрудников. Работодатели в США также часто полагаются на подразумеваемое согласие сотрудников. (Например, согласие подразумевается, когда сотрудник использует ноутбук, предоставленный компанией, и ему говорят, что работодатель контролирует использование и может обыскивать ноутбук, и сотрудник не должен рассчитывать на конфиденциальность портативного компьютера.) Однако такая практика может не соблюдаться. считаются действительными формами согласия на законную обработку персональных данных в соответствии с GDPR.
Обеспокоенность по поводу действительности согласия
Органы по защите данных (DPA) государств-членов ЕС применяют и обеспечивают соблюдение закона о защите данных и предлагают рекомендации. Они также имеют право налагать значительные штрафы.
В последние годы DPA подчеркивают, что использование согласия сотрудников требует тщательной оценки. Они поставили под сомнение способность работника дать действительное согласие из-за его или ее зависимости от работодателя. Врожденный дисбаланс в трудовых отношениях ставит под сомнение «добровольное» согласие.
Кодифицируя позицию DPA, GDPR предусматривает, что согласие должно быть «добровольно, конкретным, информированным и недвусмысленным». Кроме того, GDPR добавляет, согласие не является «добровольно предоставленным» , если существует «явный дисбаланс сил» между контроллером данных (, т. Е. работодатель) и субъектом данных (, т. Е. служащий).
Управление комиссара ЕС по информации в своем Руководстве GDPR (проект от марта 2017 г.) заявляет, что согласие сотрудника на использование личных данных работодателем, вероятно, считается неуместным в соответствии с GDPR:
, если по какой-либо причине вы не можете предложить людям реальный выбор в отношении того, как вы используете их данные, согласие не будет подходящим основанием для обработки.Это может иметь место, если, например:… вы находитесь во власти над отдельным лицом – например, если вы являетесь государственным органом или работодателем, обрабатывающим данные о сотрудниках.
Рабочая группа по статье 29, консультативный совет, состоящий из представителей DPA каждого государства-члена ЕС, Европейского органа по надзору за данными и Европейской комиссии, предложила руководящие принципы в отношении согласия в соответствии с GDPR. Рабочая группа подчеркивает дисбаланс сил в контексте занятости:
Учитывая зависимость, возникающую в результате отношений работодатель / сотрудник, маловероятно, что субъект данных сможет отказать своему работодателю в согласии на обработку данных, не испугавшись или не испугавшись реального риска отрицательных последствий в результате отказа.Маловероятно, что сотрудник сможет свободно ответить на запрос о согласии от своего работодателя, например, активировать системы мониторинга, такие как наблюдение с помощью камеры на рабочем месте, или заполнить формы оценки, не чувствуя никакого давления. чтобы дать согласие.
Организациям может потребоваться пересмотреть, например, допустимость стандартного видеонаблюдения за сотрудниками в общих рабочих зонах без положительного согласия сотрудников. Рабочая группа также сообщает, что несбалансированность полномочий в трудовых отношениях ставит под сомнение добровольное согласие, и для большинства случаев обработки данных, связанных с работой, законным основанием GDPR, на котором «не может и не должно» быть согласие работника.
Если согласие может быть разрешено
Согласно Рабочей группе, в ограниченных случаях работодатель может продемонстрировать, что согласие дано свободно и является законным основанием для обработки данных. «Сотрудники могут давать свободное согласие только в исключительных обстоятельствах, когда это не будет иметь никаких негативных последствий, независимо от того, дадут они согласие или нет».
Рабочая группа предлагает следующий пример добровольно данного согласия и является законным основанием для обработки данных в соответствии с GDPR:
Съемочная группа собирается снимать в определенной части офиса.Работодатель просит всех сотрудников, сидящих в этой зоне, дать согласие на съемку, поскольку они могут появиться на заднем плане видео. Те, кто не хочет, чтобы их снимали, никоим образом не наказываются, а вместо этого получают аналогичные столы в другом месте здания на время съемок.
Избегайте согласия на объединение
Статья 7 GDPR предостерегает от согласия на «объединение» со стандартными условиями договора. Рабочая группа сообщает, что статья 7 направлена на то, чтобы цель обработки персональных данных не была замаскирована или связана с предоставлением договора об оказании услуг, для которого эти персональные данные не нужны.
Еще одна из шести законных оснований для обработки персональных данных резидента ЕС в статье 6 GDPR – это когда «обработка необходима для выполнения контракта». Рабочая группа не рекомендует объединять согласие и «необходимые для исполнения контракта» законные основания.
Примером «необходимой для выполнения контракта» основы для обработки данных о сотрудниках, которые не считаются «связанными» при согласии, является обработка информации о заработной плате и банковском счете для выплаты заработной платы.Часто бывает трудно определить, связано ли законное основание «необходимое для выполнения контракта» с согласием или само по себе.
Рабочая группа рекомендует оценить объем контракта, чтобы определить, есть ли комплектация. «Необходимые для выполнения контракта» следует толковать строго, советует Рабочая группа, и «[t] обработка должна быть необходима для выполнения контракта с каждым отдельным субъектом данных». Кроме того, должна существовать «прямая и объективная связь» между обработкой данных и целью контракта.В противном случае предполагается, что согласие и принятие условий контракта «связаны» вместе.
Согласие и подготовка системы HR-данных
Ниже приведены шаги, которые работодатели могут предпринять для оценки и подготовки к GDPR:
1. Определите, какие данные HR обрабатываются.
- Сюда входит определение того, как долго обрабатываются данные о сотрудниках, с какой целью и правовая основа для обработки таких данных. Например, данные социального обеспечения могут обрабатываться для целей налогообложения, или данные о платежах сотрудников могут обрабатываться в соответствии с договорными обязательствами.
2. Изучите и обновите контракты, справочники, политики и процедуры сотрудников.
- Если на согласие сотрудника полагались, укажите альтернативное правовое основание в соответствии со статьей 6 GDPR (, например, a «законный интерес») , которое не приводит к потенциальному ущербу правам сотрудников. Политика широкого согласия в трудовых договорах или справочниках больше не приемлема. На политику конфиденциальности по-прежнему можно ссылаться в трудовом договоре или справочнике, не требуя от сотрудника согласия с политикой.
3. Определите ограниченные обстоятельства, при которых согласие сотрудника будет действительным.
- Примером обстоятельств, связанных с конкретным фактом, когда согласие сотрудника будет оставаться действительным основанием для обработки личных данных сотрудника, является добавление добровольного вознаграждения к пакету вознаграждения сотрудника. В таких обстоятельствах включите положения о согласии в отдельный документ от общего соглашения с сотрудником, чтобы гарантировать, что согласие не связано с принятием сотрудником работы.
- Если согласие действительно, сотрудник имеет право отозвать согласие в любое время. Следует ввести процедуры, облегчающие отзыв согласия, избегая при этом серьезных нарушений в работе организации.
4. Участие отдела кадров в общеорганизационной подготовке.
- Организации из стран, не входящих в ЕС, которые обрабатывают персональные данные субъектов данных из ЕС, должны будут рассмотреть новые политики, процессы и практики, которые включают в себя не только данные HR, например данные клиента / клиента.
Адвокаты Джексона Льюиса готовы ответить на вопросы о том, как подготовиться к GDPR.
работодателей США и GDPR: где мы сейчас? | Эпштейн Беккер и Грин
Несмотря на то, что 25 мая 2018 г. вступил в силу Общий регламент по защите данных («GDPR»), его применение к работодателям в США продолжает развиваться и усложняться. У американских работодателей резидентов Европейского союза («ЕС») вновь возникли опасения по поводу передачи и защиты таких данных, а также соблюдения требований GDPR.Это особенно важно в отношении организации удаленной работы, отслеживания контактов COVID-19 и взаимодействия с глобальными системами управления персоналом. В свете этих событий нижеследующее представляет собой напоминание об общих вопросах, которые могут возникнуть у работодателей США в отношении соблюдения GDPR (в том, что касается их трудоустройства жителей ЕС), а также основных соображений, касающихся соблюдения новых требований. По мере того, как работодатели в США обновляют свои политики конфиденциальности и безопасности, следует уделять внимание вопросам соблюдения GDPR, если это применимо.
- Когда американская компания является «учреждением» в ЕС?
- Руководящие принципы Европейского совета по защите данных (EDPB) предусматривают, что GDPR применяется к обработке персональных данных в двух сценариях: (1) в связи с деятельностью предприятия в ЕС и (2) в отношении действия, нацеленные на лиц, находящихся на территории ЕС, связанные либо (а) с предложением товаров или услуг, либо (б) с мониторингом поведения.
- Для американских работодателей обратите внимание на пример компании, базирующейся в Нью-Йорке и не имеющей офисов в ЕС, которая все еще может считаться учреждением в ЕС. , если компания имеет «эффективное и реальное осуществление деятельности посредством стабильных договоренностей» в рамках ЕС. Действительно, если у нью-йоркской компании есть филиал в Париже, этот филиал можно рассматривать как учреждение в ЕС. Кроме того, если кадровые данные парижского филиала обрабатываются из нью-йоркского офиса, GDPR применяется просто потому, что обрабатываемые данные относятся к лицам, находящимся на территории ЕС.Даже присутствие одного сотрудника в ЕС может быть достаточным для создания предприятия в ЕС, если сотрудник действует с достаточной степенью стабильности.
- Есть ли у меня сотрудники, которых защищает GDPR?
- GDPR применяется к любому лицу, проживающему или находящемуся в стране ЕС. Соответственно, если американская компания подпадает под действие GDPR и направляет одного сотрудника на работу в Париж, личные данные этого сотрудника защищены GDPR.И наоборот, если гражданин ЕС покидает ЕС, чтобы работать на горнолыжном курорте в Денвере, это лицо больше не защищено GDPR. Однако, когда этот гражданин ЕС возвращается в ЕС, если он или она продолжает взаимодействовать с работодателем США по любым вопросам, связанным с кадрами или льготами, например, его или ее личные данные защищены GDPR.
- GDPR может также применяться к компаниям, не зарегистрированным в ЕС. В этом контексте мониторинг поведения сотрудников (например, когда деятельность включает систематическое и целенаправленное нацеливание на жителей ЕС) является деятельностью, которая, скорее всего, подвергнет работодателя требованиям GDPR.
- В Руководстве EDPB приводятся примеры действий, охватываемых термином «мониторинг», включая отслеживание в режиме онлайн, видеонаблюдение с использованием систем видеонаблюдения и отслеживание местоположения.
- Обрабатывает или контролирует ли моя компания личные данные в соответствии с GDPR?
- Компании подпадают под действие GDPR, если они обрабатывают или контролируют данные . Примечательно, что на контроллеров данных возлагается больше обязательств, чем на обработчиков данных.Контроллеры данных – это люди или компании, которые определяют цели, для которых и как обрабатываются личные данные. Обработчики данных – это люди или компании, которые обрабатывают персональные данные от имени контроллера данных.
- Например, производитель автомобилей может собирать личные данные сотрудника, чтобы сшить для нее униформу. Компания может передать процесс на аутсорсинг и поручить вторую компанию изготовить униформу. В этом сценарии производитель автомобилей является контроллером, а поставщик – процессором данных.Более простой пример – компания, хранящая данные на стороннем сервере. В этом сценарии компания будет контроллером, а третье лицо – процессором.
- Какие виды обработки кадровых данных подпадают под GDPR?
- Следующие примеры действий по обработке кадровых данных подпадают под действие GDPR:
- Обработка кадровых данных, выполняемая компанией из ЕС или дочерней / аффилированной компанией американской компании, расположенной в стране ЕС, с хотя бы одним сотрудником-резидентом ЕС, который регулярно ведет бизнес в ЕС;
- Обработка данных HR от имени компании из ЕС или U.S. дочерняя / аффилированная компания, расположенная в стране ЕС, которая осуществляется сторонним поставщиком услуг, расположенным в Орегоне;
- HR обработка данных, происходящих из ЕС или о резидентах ЕС, независимо от того, где происходит обработка;
- HR-обработка данных, выполняемая нью-йоркской компанией, которая заключает договор с торговым представителем, который ведет реальную и эффективную коммерческую деятельность в Италии;
- Обработка данных, выполняемая техасской компанией, которая отслеживает электронную почту, использование Интернета и / или социальные сети сотрудников своей дочерней компании в Германии;
- Обработка данных, выполняемая компанией из Северной Каролины, которая отслеживает данные о местоположении сотрудников своей дочерней компании в Дании с помощью GPS; и
- Обработка данных, выполняемая компанией из Огайо, которая набирает соискателей из Франции, если процесс найма включает мониторинг поведения (например,g., учетные записи в социальных сетях) и принимает во внимание такое поведение при принятии решения о предложении работы.
- Следующие примеры действий по обработке кадровых данных подпадают под действие GDPR:
- Что считается конфиденциальными личными данными и как моя компания должна с ними обращаться?
- «Персональные данные» – это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу. Человека можно идентифицировать по такой информации, как имя, идентификационный номер, данные о местоположении, сетевой идентификатор или другие факторы, специфичные для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого человека.Это может включать IP-адреса, строки cookie, сообщения в социальных сетях, онлайн-контакты и идентификаторы мобильных устройств.
- Следующие персональные данные считаются конфиденциальными и, следовательно, подлежат особым условиям обработки:
- личные данные, раскрывающие расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения;
- профсоюзное членство;
- генетических данных или биометрических данных, обработанных исключительно для идентификации человека;
- медицинских данных; и
- данных о сексуальной активности или сексуальной ориентации человека.
- Конфиденциальные личные данные должны храниться отдельно в безопасном месте.
- Обработка конфиденциальных персональных данных, как правило, запрещена. Однако могут применяться определенные исключения. Помимо необходимости наличия правовой основы для обработки конфиденциальных персональных данных, должно применяться одно из исключений, перечисленных в статье 9 (2).
- Что делать, если сотрудник является резидентом Калифорнии (с защитой в соответствии с Законом Калифорнии о конфиденциальности потребителей («CCPA»)) и решает переехать в страну ЕС на три года? Применяются ли меры защиты CCPA и GDPR?
В настоящее время CCPA имеет ограниченное применение в отношении данных о сотрудниках, за исключением определенных требований к уведомлению.В Калифорнии существует проект избирательного бюллетеня для продления срока действия исключения с 1 января 2021 года до 2023 года. Поэтому важно учитывать, что, если сотрудник больше не является жителем Калифорнии, его или ее личная информация больше не будет быть защищены CCPA. Однако, будет ли применяться CCPA, зависит от характера переезда. Если переезд считается «временным» (например, менее 546 дней по трудовому договору), это лицо все равно будет подпадать под действие закона CCPA.Кроме того, защита GDPR будет применяться, пока сотрудник находится в ЕС.
- Что делать, если работодатель из США загружает данные в свою кадровую систему в США и передает их в ЕС – материнской компании или дочерней компании – или данные перемещаются в облаке?
- Работодатели в США, которые обычно отправляют и получают данные о кадрах дочерней компании в ЕС, потенциально могут передавать или обрабатывать данные о кадрах, защищенные GDPR. Следовательно, компании, передающие такие данные, должны убедиться, что сами переводы соответствуют GDPR.Если данные полностью содержат информацию о лицах, проживающих в США, эти данные не будут подлежать защите GDPR, даже если они обрабатываются в ЕС.
- Ранее ЕС-США. Privacy Shield предоставил компаниям в Соединенных Штатах и ЕС механизм, с помощью которого они могли соблюдать GDPR при передаче личных данных из ЕС и Швейцарии в США. Однако в июле 2020 года Европейский суд отменил программу Privacy Shield после того, как обнаружил, что U.Законы о национальной безопасности не защищают граждан ЕС от слежки со стороны правительства. Американские компании теперь должны будут подписать разработанные ЕС необоротные «стандартные договорные положения», которые в настоящее время используются в других странах. Для получения дополнительной информации см. «ECJ объявил недействительной рамочную программу обмена конфиденциальной информацией между ЕС и США».
- Нужна ли работодателю в США оценка воздействия на конфиденциальность данных («DIPA») или обновление других политик для соответствия GDPR в других политиках конфиденциальности / безопасности?
- Если работодатель будет собирать данные, подпадающие под действие GDPR, он должен выполнить DIPA и обновить любые политики и процедуры, относящиеся к деятельности по обработке.
- Например, EDPB заявила, что каждое государство-член ЕС должно требовать от работодателей выполнения DIPA при планировании систематического мониторинга сотрудников.
- Работодатели сначала должны проверить списки своих сотрудников и пенсионеров, чтобы определить, проживают ли какие-либо сотрудники на территории ЕС, что потребует более тщательной проверки.
- Работодатели также должны проверять и исправлять по мере необходимости в соответствии с GDPR:
- услуги стороннего поставщика для определения, где личные данные передаются,
- уведомления о конфиденциальности,
- процессов защиты данных и уведомлений о нарушениях, а также
- обучение конфиденциальности.
- Должен ли работодатель в США беспокоиться о требованиях GDPR, если он получает согласие сотрудников на обработку их личных данных?
- Как правило, GDPR требует, чтобы субъекты данных дали согласие на обработку их персональных данных для каких-либо конкретных целей. В Соединенных Штатах большинство компаний получают аналогичное согласие с помощью положений о полном согласии в трудовых договорах или справочниках. Однако в соответствии с GDPR недостаточно получить согласие сотрудника.Управление Комиссара по информации Соединенного Королевства выпустило пояснительные инструкции, в которых отмечалось, что согласие неуместно в контексте работодателя и работника, поскольку согласие не может быть «свободно дано», когда существует «явный дисбаланс сил».
- Имея это в виду, компании должны определить законную основу для обработки персональных данных сотрудников. Законные основания включают выполнение трудового договора, соблюдение юридических обязательств и соблюдение законных интересов работодателя.Однако обратите внимание, что многие сотрудники в США действуют «по своему желанию» и не имеют трудового договора со своим работодателем. Основа трудового договора будет применяться к коллективным договорам.
- Компания должна доказать, что у нее есть законный интерес к обработке персональных данных, документируя, почему право компании на данные перевешивает права сотрудника на неприкосновенность частной жизни. Это включает в себя оценку воздействия на защиту данных.
- Кроме того, с практической точки зрения, поскольку положения о полном согласии, которые обычно встречаются в трудовых договорах, не соответствуют требованиям GDPR, рекомендуется удалить эти положения и вместо этого сослаться на правовые основы компании для обработки персональных данных.
- Каковы требования работодателя США к соглашению об оказании услуг с третьей стороной, которая обрабатывает данные от его имени?
- Если работодатель США будет собирать и обрабатывать данные, относящиеся к резидентам ЕС, работодатель (контролер данных) должен иметь письменный договор, в котором излагаются обязательства каждой стороны в соответствии с GDPR.
- Эти соглашения должны включать Соглашение о защите данных (DPA), в котором описывается, как данные будут обрабатываться и храниться.В качестве доказательства этого DPA может также потребоваться соглашение с деловым партнером, если обработка выполняется от имени группового плана медицинского обслуживания и обрабатываемые данные включают защищенную медицинскую информацию. При использовании поставщика облачных услуг DPA может также указать, что используемый центр обработки данных находится в ЕС. Типовые положения договора
- GDPR и обязательные корпоративные правила также доступны в соответствии с руководством ЕС, которые могут быть включены в соглашение.
- Как может U.S. работодатель гарантирует, что он должным образом защищает эти данные в соответствии с требованиями GDPR, включая удаление этой информации?
- БЕЗОПАСНОСТЬ
- GDPR требует принятия соответствующих технических и организационных мер. Это включает анализ рисков, политики безопасности, а также физические и технические меры. При необходимости следует использовать такие меры, как псевдонимизация и шифрование. Если данные хранятся в ИТ-системе, доступ к этой системе должен быть ограничен, а параметры безопасности системы должны регулярно обновляться.
- Работодатели должны хранить данные о сотрудниках только столько времени, сколько необходимо, как правило, до тех пор, пока все юридические обязательства не будут выполнены после завершения трудовых отношений.
- УДАЛЕНИЕ
- Во-первых, компании должны уведомить любую другую компанию, которой были раскрыты данные сотрудника.
- Удаление личных данных включает удаление такой информации из систем резервного копирования. Если полное удаление невозможно, личные данные, содержащиеся в системе резервного копирования, должны быть выведены из строя.«Работодатели должны обязаться навсегда стереть данные, если и когда это станет возможным.
- Запрос на удаление данных должен быть выполнен без неоправданной задержки и, по крайней мере, в течение одного месяца с момента получения запроса.
- Согласно GDPR, государства-члены ЕС имеют право принимать дополнительные и более строгие законы в отношении обработки персональных данных в контексте занятости. Эти отступления дают государствам-членам некоторую свободу действий в отношении применения отдельных положений и, в частности, позволяют им вводить широкие отступления, касающиеся национальной безопасности, предотвращения преступлений и исполнения гражданских исков, если такие отступления уважают сущность права человека на защиту данных. и являются необходимой и соразмерной мерой.
- БЕЗОПАСНОСТЬ
- Есть ли безопасные гавани для работодателей в определенных отраслях (например, в финансовых учреждениях)?
Privacy Shield и его предшественник Safe Harbor были признаны недействительными, поэтому основные безопасные гавани были удалены. GDPR предоставляет некоторые конкретные исключения, которые должны рассматриваться в индивидуальном порядке и не применяются автоматически.
- Существуют ли особые процедуры уведомления о нарушениях?
Правила уведомления о нарушениях можно найти в статьях 33 и 34.В случае нарушения необходимо сообщить о нарушении президенту Управления по защите персональных данных в течение 72 часов с момента обнаружения нарушения. Этот отчет должен содержать описание характера нарушения и любых возможных последствий. В зависимости от обстоятельств также может потребоваться уведомление субъектов данных, чьи данные были нарушены.
- Каковы возможные штрафы за несоблюдение?
Штрафы за несоблюдение GDPR являются значительными, но различаются в зависимости от серьезности и намерения нарушения или истории несоблюдения компанией.Однако даже менее серьезные нарушения могут привести к штрафу в размере до 10 миллионов евро или 2 процента от общемирового годового дохода компании за предыдущий год, в зависимости от того, какая сумма больше. Более серьезные нарушения могут привести к двойному штрафу за менее серьезные нарушения.
Что работодатели в США должны делать сейчас
Работодатели в США должны учитывать следующее, особенно в свете отслеживания контактов COVID-19 и удаленной работы:
- Признавая, что удаленная работа, как правило, увеличивает уязвимости безопасности данных компании, убедитесь, что ваша компания, если она еще не сделала этого, приняла процедуры для защиты личных данных в контексте удаленной работы и обновите DIPA, чтобы отразить такие изменения. .
- Поймите, что обучение может быть необходимо, чтобы сотрудники знали минимальные требования компании к безопасности для любых устройств и сетей, которые они используют. Предупредите сотрудников об увеличении уязвимостей в результате удаленной работы и убедитесь, что они «бдительны» в отношении любых потенциальных фишинговых атак, отправляемых по электронной почте.
- Изучите и обновите политику кибербезопасности компании. Структура кибербезопасности NIST предоставляет набор передовых практик.
- Убедитесь, что конфиденциальная информация, включая личные данные, зашифрована, а доступ к личным данным ограничен теми, кому это необходимо.Использование корпоративной VPN еще больше ограничивает доступ к личным данным.
- Изучите и обновите соглашения об обслуживании, чтобы убедиться, что требования GDPR соблюдены, а защитная формулировка включена. Возможно, этот процесс уже начался. Как отмечалось выше, ЕС-США. Privacy Shield ранее предоставляла компаниям в США и ЕС механизм, с помощью которого они могли соблюдать GDPR при передаче персональных данных из ЕС и Швейцарии в США. Однако в июле 2020 года Европейский суд отменил программу Privacy Shield после того, как обнаружил, что U.Законы о национальной безопасности не защищают граждан ЕС от слежки со стороны правительства. Американские компании теперь должны будут подписать разработанные ЕС необоротные «стандартные договорные положения», которые в настоящее время используются в других странах.
- Убедитесь, что любые новые технологии (например, для отслеживания контактов), которые могут повлиять на конфиденциальность сотрудников, проходят оценку для доступа и авторизации перед сохранением данных о сотрудниках в реальном времени. Таким образом, если отслеживание контактов происходит в нерабочее время или если используются мобильные приложения, важно убедиться, что вы не собираете данные, которые не предназначены для сбора.Дополнительные сведения о COVID-19 и рисках кибербезопасности см. В разделе «Последствия для безопасности: вопросы конфиденциальности и безопасности для управления рисками соблюдения нормативных требований в условиях COVID-19, часть 4».
[Просмотр исходного кода.]
Когда согласие сотрудника – это начало проблемы, а не конец – GDPR показывает некоторые зубы
Греческое управление по защите данных наложило штраф в размере 150 000 евро на PriceWaterhouseCoopers Business Solutions SA за – получите это – за запрос согласия своих сотрудников на обработку свои личные данные.Вам может показаться нелогичным (и противоречащим всему, что когда-либо говорила вам ваша мать), что запрос согласия может вызвать у вас проблемы, но что касается личных данных, так оно и есть.
Как вы знаете, каждое действие по обработке данных должно иметь правовую основу. Принципы законной, справедливой и прозрачной обработки персональных данных в соответствии с GDPR требуют, чтобы согласие использовалось в качестве правовой основы только в том случае, если другие правовые основания не применяются.
Рассматриваемое дело касалось обработки личных данных сотрудников.В большинстве случаев этот тип обработки со стороны работодателя не требует согласия, так как доступны другие базы:
- выполнение (трудового) договора: для приема на работу сотрудника неизбежно потребуется обработка некоторых его персональных данных;
- соблюдение юридического обязательства: например, как работодатель вы должны будете зарегистрировать своих сотрудников в местной службе социального обеспечения или предоставить данные об их доходах в налоговые органы и т. д.;
- законный интерес работодателя, когда для бесперебойной и эффективной работы компании требуется обработка данных о сотрудниках независимо от того, дано ли согласие.
Согласие будет надлежащим основанием только в очень ограниченном числе случаев, например, когда вы хотите обработать биометрические данные своего сотрудника (например, используя идентификацию по отпечатку пальца для доступа в помещения). В этом отношении греческое DPA напоминает нам о том факте, что согласие сотрудников обычно не может рассматриваться как действительно добровольно данное – требование действительного согласия – из-за дисбаланса между сторонами.Однако, на наш взгляд, GDPR ввел некоторую снисходительность к принятию действительного согласия сотрудника в определенных обстоятельствах, если это допускается законодательством государства-члена или коллективными соглашениями.
Чем это решение интересно работодателям в Европе?
Немедленным выводом из этого решения является проверка вашей собственной политики конфиденциальности, чтобы убедиться, что вы не полагаетесь на согласие как на правовое основание, чего не должно быть. На первый взгляд, штраф кажется очень существенным за то, что на практике является чисто техническим нарушением (в том смысле, что PwC имела полное право обрабатывать одни и те же данные об одних и тех же людях одинаково для той же цели, но просто на другом основании. , и что не было жалоб на то, что кто-либо был ущемлен в практическом смысле из-за того, что он сделал.Тем не менее, комментарий к постановлению, кажется, предполагает, что он мог быть намного выше и все еще может быть, если PwC не предпримет необходимых корректирующих действий в течение 3 месяцев, предоставленных ему греческим PDA для этой цели. Так что, если можно не беспокоиться о перспективе штрафа в 150 000 евро, не стоит – это может быть намного больше.
Но пока вы проверяете свою политику, вы можете воспользоваться этой возможностью, чтобы также проверить, соответствует ли эта политика требованиям GDPR с точки зрения ваших обязательств по обеспечению прозрачности.Например, мы обсудили правовую основу обработки. Ваша политика конфиденциальности должна информировать сотрудников, на каких основаниях вы обрабатываете их данные. Имеет ли это? Если вы обнаружите пробелы, «необходимые корректирующие действия будут заключаться в изменении соответствующих заявлений о конфиденциальности и обработке конкретных данных, о которых идет речь, а также для обеспечения того, чтобы они были проинформированы об этом.
Другие обязательные упоминания, о которых часто забывают, – это срок хранения данных (или критерии, используемые для его определения) и тот факт, что ваш сотрудник имеет право подать жалобу в надзорный орган.
На практике мы видим, что работодателей иногда успокаивает тот факт, что «где-то в трудовом договоре / справочнике сотрудника» есть пункт о защите данных, но довольно часто этот пункт не актуален и не соответствует требованиям GDPR. Вы также можете подумать, что шансы на то, что кто-то из ваших сотрудников возьмется за дело, ничтожны. Возможно, вы правы, но достаточно одного недовольного сотрудника, чтобы обратиться за советом или, как здесь, DPA начать расследование самостоятельно.Стоит ли рисковать ради того, чтобы в течение часа вернуться к документации GDPR?
Эта история может быть мягким напоминанием о необходимости проверить вашу политику, прежде чем DPA сделает это за вас….
Часто задаваемые вопросы (FAQ): GDPR и данные о кадрах / сотрудниках
Как я писал в другом посте, кадровые записи считаются персональными данными и подпадают под действие Общего регламента защиты данных (GDPR). Поскольку я продолжаю слышать от людей, которым следует лучше знать, что это , а не , у меня есть веская причина вернуться к этой теме еще раз и более подробно.
Ключевым моментом является то, что данные о кадрах / сотрудниках – платежная ведомость, отзывы, идентификационные номера, командировочные расходы и т. Д. – подпадают под требования GDPR по безопасности данных и конфиденциальности.
Получите бесплатное основное руководство по соответствию и правилам защиты данных США
Работодатели принимают к сведению: вы должны не только защищать данные сотрудников, как если бы они были данными клиентов, но также отвечать на запросы доступа субъектов данных (DSAR), основанные на сотрудниках, как для проверки записей, так и для удаления некоторых из этих данных. !
Так как это довольно сложная тема с извилистым сюжетом, лучший способ осветить ее – написать пост в часто задаваемых вопросах в разговорном стиле.
Согласно GDPR, компании должны получить согласие потребителей на сбор своих данных. Должен ли работодатель также спрашивать согласие сотрудников?Отличный вопрос! И вот тут-то и возникают сложности. Да, работодатель должен получить согласие сотрудника на данные HR. Однако в большинстве случаев работник не дает согласия бесплатно работодателю из-за неравных отношений между ними. Да, GDPR устанавливает высокую планку согласия – см. Статью 7 («Условия согласия»).
Для решения этой проблемы GDPR предоставляет работодателям другие возможности для получения данных. Полный список приведен в статье 6 («Законность обработки»), но большинство работодателей сосредоточат внимание на двух вариантах: (6b) обработка необходима для выполнения контракта или (6f) обработка необходима для «законных интересов» бизнеса.
Давным-давно Сара Джодка, адвокат по трудовым спорам Дикинсона Райта, напомнила нам в интервью, что сотрудники, не входящие в профсоюзы, обычно работают «по желанию» без контракта, и это оставляет «законный интерес» как наиболее разумное основание. для компаний, которые собирают данные о сотрудниках в соответствии с GDPR.
В этом есть смысл. Работодателям нужны данные о сотрудниках, потому что они необходимы для ведения бизнеса, и GDPR допускает это исключение для согласия. Кажется, легко.Не так быстро. Есть еще работа.
Поскольку работодатель принимает данные без согласия, в соответствии с освобождением от законных интересов, работодатель должен показать следующее: данные служат цели, любая обработка необходима для достижения цели и уравновешивает использование данных с права сотрудника на неприкосновенность частной жизни.ICO, орган по защите данных (DPA) для Великобритании, имеет хорошее изложение процесса, через который работодатели должны пройти, чтобы продемонстрировать свой законный интерес.
Но это еще не все.
Из-за конфиденциального характера данных сотрудников запускается оценка воздействия на защиту данных (DPIA). Это может быть сложный процесс (если у вас нет подходящего программного обеспечения).
Я думал, что DPIA связаны с конфиденциальными данными, такими как видео, биометрические данные и ДНК. Я не думал, что учетные записи сотрудников засчитываются.Что ж, записи сотрудников содержат конфиденциальные данные, как это определено GDPR. Но этого еще недостаточно! Регулирующие органы разработали тест: если обработка включает как минимум два элемента из девятиэлементного списка критериев (см. Ниже), то требуется DPIA.
Работодатели могут отмечать как конфиденциальные данные , так и уязвимого субъекта данных из-за дисбаланса мощности. Это означает, что большинству компаний, подпадающих под действие GDPR , придется провести DPIA для данных сотрудников !
DPIA запускается, когда персональные данные GDPR подпадают под две или более из этих категорий.(Источник: Дикинсон Райт)Им может потребоваться провести DPIA по другим причинам на основе данных потребителей , которые они собирают, но как минимум они должны будут реализовать это для своих сотрудников. Вы можете узнать больше о том, когда требуется DPIA, в этом неудобном руководящем документе от регулирующих органов GDPR.
Что влечет за собой DPIA?Имеет смысл просто взять выдержку из статьи 35 («Оценка воздействия на защиту данных»), а затем я объясню значение простым английским языком:
DPIA for HR требует формальной оценки рисков и мер по их снижению.Это мелкий шрифт для процесса оценки и управления рисками GDPR. Вкратце: посмотрите на риски безопасности и конфиденциальности при обработке этих данных, а затем управляйте ими и снижайте их. И чтобы помочь вам, регуляторы придумали этот чудесный рисунок:
Бесконечный цикл DPIA. (Источник: Article 29 Working Group)Если вы обратили внимание, это должно быть очень старой шляпой. График показывает, что оценка – это непрерывный процесс выявления рисков и управления ими. И хотя компании должны делать что-то близкое к этому для всех важных данных, GDPR говорит, что компании фактически должны внедрять DPIA для данных сотрудников.
Тот факт, что у вас есть сотрудники, означает, что вы должны проводить DPIA! O После того, как данные HR собраны, они также подпадают под действие правил защиты данных GDPR, верно ?Совершенно верно! Очевидное требование – и то, на которое DPA обычно ссылается в своих принудительных действиях, – это статья 32 («Безопасность обработки»). Это то, что начинается со слов «должен принять соответствующие технические и организационные меры для обеспечения определенного уровня безопасности.”
Подобно тому, как компании в соответствии с GDPR должны внедрить меры безопасности для данных потребителей, они также должны будут сделать то же самое для данных HR, включая аутентификацию, ограничение доступа, аудит действий пользователей и системы, мониторинг угроз, реагирование на инциденты и т. Д. и уведомление о нарушении. Если возникнут какие-либо вопросы, компании должны будут сообщить о нарушении личных данных сотрудников в соответствии со статьями 33 и 34.
Имеются ли ограничения для хранения данных HR, например личных данных потребителей?
Как указано в статье 5 («Принципы обработки персональных данных»), персональные данные не могут храниться дольше, «чем это необходимо для целей, для которых обрабатываются персональные данные.«Это как раз то, что GDPR подходит к разговору об ограничении на хранение или хранение личных данных. У большинства компаний будут собственные политики хранения данных, основанные на потребностях бизнеса.
Поскольку записи отдела кадров содержат персональные данные, также применяется формулировка «необходимо для целей». В частности, для данных по персоналу местное законодательство может играть роль в установлении лимитов, и, вероятно, будут разные периоды хранения для данных о заработной плате, налогов, отпусков по уходу за ребенком / отцом и действий в отношении заработной платы.
Согласно GDPR, потребители также имеют право на конфиденциальность.Означает ли это, что сотрудник может запросить данные о своем персонале?Действительно. Сотрудник может сделать запрос на доступ к субъекту данных (DSAR). Работодатель должен ответить, как и на любой запрос на доступ, «без неоправданной задержки» и в течение одного месяца. Работодатели могут отказать в просьбе, если она является «явно необоснованной» или «чрезмерной».
Как заметили адвокаты, в этом языке есть место для маневра, и нам придется дождаться дополнительных указаний от регулирующих органов. Например, может ли сводка кадровых данных соответствовать требованиям, когда необходимо собрать и проанализировать слишком много информации? Может быть!
В любом случае сотрудники могут запросить свои годовые обзоры, действия по заработной плате, историю продвижения по службе, обмен электронной почтой с HR, доступ к компьютеру , журналы , а также основные личные данные, такие как номера телефонов, имена контактных лиц и адреса.
Однако работодатель имеет право отредактировать информацию третьих лиц, если она содержится в запрошенных записях. Вкратце: сотрудник не может видеть все электронные письма, например, там, где встречается ее имя.
Могут ли сотрудники воспользоваться своим «правом на забвение»?Это может удивить работодателей, но ответ – положительное да.
В соответствии со статьей 17 («Право на удаление / право на забвение») существует несколько условий, при которых может быть подан запрос на удаление.Сотрудники смогут удалить определенные данные, когда они отзовут свое согласие или когда обработка «больше не нужна в связи с целями, для которых они были собраны». Как и в случае с DSAR в целом, удаление данных HR должно быть завершено в течение одного месяца.
Очевидно, что работодатели имеют право отклонять эти запросы, потому что они могут широко утверждать, что данные могут иметь текущие коммерческие цели. Адвокаты показали, что есть реальные примеры, когда необходимо выполнить запрос на удаление GDPR.Вот несколько очевидных сценариев:
- Сотрудник регистрируется в программе льгот, которая требует сбора данных, но впоследствии отказывается от нее.
- В процессе приема на работу работодатель мог запросить проверки кредитоспособности или другую финансовую историю, которая использовалась только для целей проверки.
- В рамках процесса продвижения по службе были собраны данные о сотруднике – достижения, комментарии других менеджеров, – но впоследствии повышение перешло к другому сотруднику.
- Без согласия служащий был зачислен в программу здоровья работодателя, в рамках которой собирались и обрабатывались данные, относящиеся к их больничным дням, опозданиям и другим дням отпуска.
Во всех этих ситуациях работодатель будет вынужден удовлетворить запросы на удаление. Ключевым моментом является то, что GDPR дает сотрудникам больше контроля над своими данными, чем раньше, и работодатели должны иметь возможность выполнять законные запросы данных сотрудников.
А! Я только что представил ситуацию, когда работодатель не соблюдает DSAR, а сотрудник затем подает жалобу в DPA. Это возможно?Теперь вы думаете. Да, сотрудник может подать жалобу непосредственно в местные регулирующие органы.
АдвокатыGDPR понимают, что есть потенциал для множества жалоб со стороны сотрудников. Если вы читали нашу недавнюю публикацию о штрафах GDPR, эти жалобы подпадают под категорию более высоких 4% штрафов. А для компаний, которые в прошлом нарушали GDPR, эти жалобы сотрудников могут рассматриваться в другом свете и приводить к значительным штрафам.
Это поднимает очень важный вопрос и хороший способ закончить этот FAQ. Сотрудники могут не только подавать жалобы на свои собственные нарушения конфиденциальности, но, если они заметят нарушений безопасности внутри компании, они могут подать жалобу о защите данных в DPA!
Я не хочу широко изображать сотрудников как «внутренние угрозы» с их полномочиями сообщать о недостатках ИТ-безопасности.Но согласно GDPR, сотрудники и клиентов действуют скорее как неофициальных ИТ-аудиторов .
Если сотрудник обнаруживает плохие методы защиты файлов, скажем, сто тысяч записей клиентов в папке с разрешением «Все», или клиент замечает веб-причуду, которая позволяет ему просматривать банковские записи другого клиента, то оба могут сообщить о возможных нарушениях с помощью DPA.
Итог: компании, подпадающие под действие GDPR, сталкиваются с новой реальностью, в которой о нарушениях безопасности данных и конфиденциальности могут сообщать как знающие инсайдеры, так и зоркие посторонние!
GDPR – опасность полагаться на согласие на обработку данных сотрудников
Греческий работодатель был оштрафован на 150 000 евро Управлением по защите данных Греции (HDPA), греческим эквивалентом Управления комиссара по информации Великобритании, за неправильное использование согласия в качестве основы для обработки личных данных сотрудников.
Могут ли работодатели Великобритании полагаться на согласие сотрудников в качестве основы для обработки личных данных?
В подавляющем большинстве случаев нет.
Комиссар по информации советует работодателям «не полагаться на согласие». Это связано с тем, что согласие должно даваться «свободно», а это маловероятно, учитывая дисбаланс сил между работодателями и работниками.
Если мы не можем полагаться на согласие, на каком основании мы можем обрабатывать личные данные сотрудников?
Работодатели могут оправдать обработку персональных данных сотрудников различными основаниями, в том числе необходимостью обработки:
- Для заключения или выполнения трудового договора (например, обработка определенных данных для оплаты работнику).
- Для выполнения работодателем юридического обязательства (например, предоставление данных о сотрудниках в HMRC).
- Для законных интересов работодателя (или интересов соответствующей третьей стороны), если они не перевешиваются правами, свободами или интересами человека.
Что греческий работодатель сделал не так?
В HDPA была подана жалоба на то, что от сотрудников требовалось дать согласие на обработку их личных данных.
HDPA обнаружило, что у сотрудников создавалось ложное впечатление, будто работодатель обрабатывает их данные на основе «согласия», хотя на самом деле обработка была основана на вышеупомянутых основаниях.Неспособность работодателя проинформировать сотрудников о правильной правовой основе для обработки каждого типа персональных данных нарушает принцип защиты данных о «прозрачности».
Помимо наложения штрафа, HDPA дало работодателю три месяца на приведение операций по обработке персональных данных своих сотрудников в соответствие с GDPR.
Стоит ли нам все равно спрашивать согласия сотрудников?
Нет. Запрос согласия при наличии другого законного основания для обработки будет вводить в заблуждение и, как подчеркивается в этом случае, может нарушить GDPR.
Таким образом, работодатели не должны регулярно включать согласие на защиту данных в трудовые договоры или формы заявлений для новых кандидатов на работу. Вместо этого они должны определять наиболее подходящее основание для обработки и информировать сотрудников об этом с помощью уведомления о конфиденциальности.
Нужна помощь по GDPR?
Наша следующая Академия HR предоставит работодателям подробные советы по работе с запросами доступа к данным. Если вы заинтересованы в участии, вы можете найти подробности и информацию о бронировании здесь.
Workbox пользователи найдут практическую информацию и шаблоны, охватывающие ряд вопросов защиты данных, включая запросы на доступ к темам и уведомления о конфиденциальности, на наших специальных страницах по защите данных.
Согласие на сбор? Обработка данных сотрудника COVID-19
В дополнение к потенциальному использованию приложений для отслеживания контактов, недавно обсуждавшемуся в эпизоде 1 серии Global Solutions, большинство работодателей теперь проводят некоторую форму проверки или мониторинга сотрудников, чтобы помочь предотвратить распространение COVID-19 на рабочем месте и защитить персонал. .
Обработка информации о сотрудниках поднимает различные проблемы защиты данных и требует соблюдения определенных обязательств по защите данных как в США, так и за их пределами. Как правило, независимо от того, какой закон применяется, работодатели обязаны обращаться с любой собранной информацией на законных основаниях, справедливо и прозрачно.
В этом выпуске серии Global Solutions основное внимание уделяется таким обязательствам по соблюдению и тому, можно ли полагаться на согласие сотрудников в Соединенных Штатах и Европейском союзе (ЕС) в качестве правовой основы для обработки данных, связанных с COVID-19.
Что считается действительным согласием?Общий регламент по защите данных (GDPR) регулирует обработку данных в ЕС. GDPR требует, чтобы компании собирали утвердительное согласие, которое должно быть «свободно предоставленным, конкретным, информированным и недвусмысленным», чтобы соответствовать требованиям.
GDPR также требует, чтобы компании вели учет предоставленного согласия. Таким образом, важно иметь доказательства того, кто дал согласие, когда согласился человек, что ему сказали во время согласия, как он дал согласие и отозвал ли свое согласие.
Законодательство США ориентировано на секторы и подчиняется требованиям, предъявляемым как на федеральном уровне, так и на уровне штатов. Некоторые отрасли (например, здравоохранение и финансы) накладывают обязательства на действия в рамках конкретной отрасли. Кроме того, в некоторых штатах использование и раскрытие определенных видов информации обусловлено согласием (например, биометрическая информация в Иллинойсе).
Каждый закон, будь то на федеральном уровне или уровне штата, может включать правила, определяющие, что считается действительным согласием или разрешением. В той степени, в которой требуется согласие, некоторые законы требуют явного письменного согласия и ставят условия в отношении формы и содержания согласия в соответствии с применимым законодательством.Другие законы разрешают пассивное согласие, запрещают использование или раскрытие информации только в случае отзыва согласия.
Согласие в контексте COVID-19Вопрос согласия является центральным для любых мер, которые работодатели могут предпринять, и согласие, вероятно, потребуется для эффективного проведения тестирования или мониторинга сотрудников. Однако с точки зрения защиты данных согласие само по себе не обязательно является достаточным основанием для обработки информации о сотрудниках.
В контексте отношений между работодателем и сотрудником в некоторых юрисдикциях сотрудники, которые обеспокоены безопасностью своей работы при рассмотрении вопроса о том, соглашаться ли на запросы, могут быть не в состоянии дать действительное согласие на запросы своих работодателей из-за неравных отношений между стороны.Учитывая требования к действительному согласию, включая возможность в соответствии с GDPR для физических лиц отозвать согласие в любой момент, использование согласия сотрудника как единственного законного основания для обработки личных данных часто может быть непрактичным.
В свете этих опасений правовые основания, на которых работодатель может полагаться при обработке данных о сотрудниках, обычно включают выполнение трудового договора (например, для целей оплаты, соблюдение юридических обязательств, таких как необходимость удержания подоходного налога) или законные интересы работодателя (т.е.g., обработка данных для эффективного управления трудовыми отношениями). Последнее должно быть сбалансировано с правами сотрудника на неприкосновенность частной жизни.
Как правило, как в ЕС, так и в США работодатели могут проводить тестирование здоровья или мониторинг сотрудников, когда для этого есть веская причина, поскольку закон о защите данных не запрещает работодателям принимать необходимые меры для удержания своих сотрудников и общественный сейф во время пандемии. В контексте COVID-19 и проверок здоровья сотрудников, мониторинга состояния здоровья и обмена данными работодатели могут полагаться на одно или несколько из следующего:
- Обязательство по обеспечению здоровья, безопасности и благополучия сотрудников
- Необходимость оценки трудоспособности работника
- Причины общественного здоровья
Приведенные выше соображения, как правило, могут быть «более безопасным» основанием для обработки данных о сотрудниках, чем полагаться исключительно на согласие.Однако работодатели также могут захотеть помнить о том, что помимо необходимости определения соответствующей правовой основы, могут потребоваться дополнительные условия для обработки.
Медицинская информация как конфиденциальная информацияЛюбые данные, относящиеся к скринингу или мониторингу на COVID-19, скорее всего, будут классифицированы как конфиденциальные личные данные или личные данные особой категории в соответствии с применимыми законами о конфиденциальности данных в ЕС или как конфиденциальная медицинская информация в США.
Перед принятием каких-либо мер работодатели могут захотеть оценить, какие существуют риски защиты данных, и тщательно оценить, кто собирает информацию и как эта информация будет передаваться и доступна внутри и за пределами компании.Работодатели в ЕС должны выполнить письменную оценку воздействия на защиту данных (DPIA) перед обработкой или передачей конфиденциальной информации или информации, используемой для мониторинга сотрудников. DPIA должно содержать (1) описание операции обработки вместе с «целями обработки, включая, где это применимо, законный интерес» для обработки; (2) «оценка необходимости и соразмерности обработки по отношению к целям»; (3) «оценка рисков для прав и свобод [субъектов] данных»; и (4) меры, которые необходимо принять для снижения рисков.
Работодатели могут принять во внимание необходимость соблюдения определенных требований в отношении формата письменных документов. Например, если медсестра или другой медицинский работник привлекается в качестве подрядчика для проведения тестирования, может возникнуть необходимость в соблюдении правил Закона о переносимости и подотчетности медицинского страхования, чтобы письменное разрешение было в определенном формате, чтобы позволить информация о здоровье, которую необходимо передать работодателю, даже если тестирование оплачивается и проводится от имени компании.
Организации также могут захотеть избежать обработки ненужных данных и разработать любые программы скрининга или мониторинга COVID-19, чтобы свести к минимуму сбор и использование конфиденциальной информации, ограничить доступ и раскрытие информации на основе служебной необходимости и сохранить информацию только для до тех пор, пока это необходимо. Характер собранных данных может потребовать информирования персонала о
.- какие персональные данные требуются;
- цели, для которых будут использоваться данные;
- , почему будут использоваться данные;
- , кому он будет предоставлен;
- как долго он будет храниться; и
- какие решения будут приниматься на основе информации.
В свете недавних событий в ЕС работодатели могут захотеть точно продумать, как и где их программы скрининга или мониторинга COVID-19 собирают, хранят и получают доступ к данным. Заявление Суда Европейского Союза о том, что Privacy Shield недействителен для целей передачи личной информации в Соединенные Штаты, усложнит ситуацию, и некоторым компаниям потребуется изменить дизайн своих программ, чтобы избежать трансграничных передач или найти другие способы разрешить их. .
Управление рисками СкринингCOVID-19 может быть необходимой частью сегодняшних рабочих мест, и важна тщательная разработка программ тестирования и скрининга. Знание того, какие законы применяются и какие условия они ставят для предоставления действительного согласия, может помочь работодателям избежать пробелов в соблюдении, которые могут подвергнуть их судебным разбирательствам или рискам правоприменения. Записи, показывающие, что уведомление было предоставлено и было получено согласие, могут быть полезны даже в тех случаях, когда такие методы сами по себе не могут служить единственной основой для обработки информации о сотрудниках.Сотрудничество является ключом к успеху отбора работодателей, а при отсутствии заинтересованности сотрудников информация может быть неполной или неточной, что снижает эффективность программы.
© 2021, Ogletree, Deakins, Nash, Smoak & Stewart, P.C., Все права защищены. National Law Review, Том X, номер 204
Часто задаваемые вопросы о конфиденциальности данных сотрудников в США и мире
Реакция работодателя на COVID-19 связана с многочисленными проблемами конфиденциальности.Ниже приведены некоторые ответы на часто задаваемые вопросы (FAQ) об этих проблемах в Соединенных Штатах и во всем мире в соответствии с такими законами, как Закон об американцах с ограниченными возможностями (ADA) (который применяется в Соединенных Штатах) и Общие правила защиты данных Европейского Союза. (GDPR). Хотя многие из этих принципов могут применяться во всем мире, работодатели всегда должны учитывать применимые местные законы в своей юрисдикции и рекомендации органов общественного здравоохранения. Работодатели также должны ознакомиться со всеми применимыми внутренними политиками, уведомлениями о конфиденциальности данных, коллективными трудовыми договорами, трудовыми договорами и индивидуальными условиями найма.
1. Какие законы, постановления и другие правовые вопросы работодатели должны учитывать в связи с проблемами конфиденциальности сотрудников, связанных с COVID-19?
В США действует Закон об американцах с ограниченными возможностями, законы штата и местные законы о конфиденциальности (например, Закон о конфиденциальности потребителей Калифорнии) и общее право штата. Кроме того, многие американские компании самостоятельно прошли сертификацию в рамках программы EU-US Privacy Shield или приняли другие договорные обязательства в отношении конфиденциальности, что сделало структуру GDPR актуальной.Поставщики медицинских услуг в США, групповые планы медицинского страхования и другие медицинские программы, спонсируемые работодателями (например, медицинские специалисты на местах, предоставляющие оздоровительные программы или медицинское обслуживание сотрудников), медицинские страховые компании и компании, которые работают с поставщиками, планами и страховщиками, которые обрабатывают медицинскую информацию также подпадают под действие Закона о переносимости и подотчетности медицинского страхования (HIPAA).
За пределами США GDPR применяется к резидентам ЕС, и многие страны приняли глобальные программы, соответствующие GDPR (независимо от того, имеют ли они сертификаты EU-US Privacy-Shield).В других странах законы о защите данных могут быть шире или отличаться от GDPR. Например, корейский закон о конфиденциальности данных требует от работодателей явного согласия на сбор данных о сотрудниках и подробное раскрытие информации о третьих лицах, которым раскрываются данные.
В любой юрисдикции определенные действия работодателя могут достигать уровня деликтного иска, например вторжение в частную жизнь или халатность.
Работодатели должны проверять внутреннюю политику, уведомления о конфиденциальности данных и положения контрактов, касающихся конфиденциальности, а также коллективные договоры.Работодатели с представительными органами работников (профсоюзы, производственные советы и т. Д.) Могут нуждаться или захотят проконсультироваться с этими органами перед введением новых мер, затрагивающих конфиденциальность сотрудников.
2. Какие принципы защиты данных имеют отношение к вопросам конфиденциальности сотрудников COVID-19?
Действительная причина
Работодателям нужна веская причина для сбора связанной со здоровьем информации, необходимой для реализации плана реагирования на COVID-19 на рабочем месте.Большинство применимых законов содержат соответствующие исключения, которые разрешают запросы и сбор данных, которые в противном случае были бы запрещены. ADA запрещает работодателю выполнять требования о «медицинском осмотре» и проводить расследования, связанные с инвалидностью, но руководство Комиссии по равным возможностям при трудоустройстве (EEOC) устанавливает, что оно считает пандемию COVID-19 «прямой угрозой».
Аналогичным образом, согласно GDPR и применимому местному законодательству о конфиденциальности, работодателям нужна веская причина для сбора данных о сотрудниках, а медицинские данные считаются «конфиденциальными» данными или данными «особой категории», для которых применяется более высокий порог.GDPR содержит исключения для работодателей, которым необходимо собирать данные для использования в законных целях в связи с безопасностью на рабочем месте и другими аспектами управления трудовыми отношениями. HIPAA может запретить планам или программам медицинского страхования, спонсируемым работодателем, передавать информацию о здоровье сотрудников сотрудникам, не имеющим отношения к плану. Но сотрудники могут заполнять формы авторизации, позволяя возвращать указанную информацию работодателям.
Уведомление
В соответствии с GDPR и применимым законодательством о конфиденциальности работодателям может потребоваться предварительное уведомление и / или согласие сотрудников о том, как и для каких целей их данные будут собираться, раскрываться, обрабатываться, использоваться, передаваться и храниться, а также о возможных последствиях в связь с неразглашением.Большинство работодателей, соответствующих требованиям GDPR, направят сотрудникам Уведомление о данных, которые работодатель использует для управления трудовыми отношениями. Им может потребоваться или они захотят выпустить дополнительное уведомление в связи с конкретным раскрытием информации, особенно если существующие уведомления и политики не информируют сотрудников о способах, которыми работодатель намеревается собирать данные.
Безопасность и хранение данных
GDPR требует, чтобы компании принимали определенные меры в связи с обеспечением безопасности личных данных, включая раскрытие нарушений.Согласно ADA, любая медицинская информация о сотрудниках, которую хранят работодатели, должна храниться как «конфиденциальная медицинская карта». В отдельных штатах США также есть законы, защищающие личную информацию, а в отдельных юрисдикциях действуют особые требования к хранению данных.
Анонимизация / минимизация
Две дополнительные концепции конфиденциальности, которые могут быть полезны работодателям в этой среде, включают минимизацию данных и анонимность данных. «Минимизация данных» относится к практике применения сбалансированного подхода к минимизации раскрытия информации о частных сотрудниках только той информации, которая должна быть раскрыта, и только тем, кому это необходимо, например специалистам по персоналу (HR). обучены сохранять конфиденциальность.«Анонимизация данных» в данном контексте означает предоставление общей информации о инфицированных лицах (в зависимости от контекста и потенциального воздействия, это может означать должность, область работы и т. Д.), При условии, что информация не раскрывает личную информацию.
Мы рекомендуем работодателям делать запросы и раскрывать информацию в соответствии с вышеуказанными принципами, насколько это возможно, в соответствии с рекомендациями органов общественного здравоохранения.
Баланс / разумность
U.Официальные лица штата и местные власти все чаще просят (но не требуют), чтобы работодатели уравновешивали вопросы конфиденциальности с преобладающим желанием принять меры в поддержку политики общественного здравоохранения, призванной минимизировать риски для здоровья населения в связи с COVID-19.
3. Может ли работодатель попросить сотрудников сообщить, что они больны или испытывают симптомы болезни?
Да, если это сделано в соответствии с применимыми законами, политиками и принципами. В США EEOC выпустил руководство о том, что пандемия COVID-19 соответствует стандарту «прямой угрозы», так что работодатели могут делать запросы, связанные с ней, в соответствии с ADA.Работодатели должны обосновывать любые вопросы, которые они задают, соответствующими рекомендациями органов общественного здравоохранения (например, работодатели должны избегать вопросов о симптомах, которые местные органы здравоохранения не определили как симптомы COVID-19). Сотрудники должны проконсультироваться с местными органами здравоохранения в связи с любыми конкретными запросами. На практике работодатели могут и должны потребовать или потребовать, чтобы сотрудники немедленно сообщали им, если они считают, что подверглись воздействию COVID-19, испытывают симптомы COVID-19, имеют положительный результат теста на COVID-19 или им поставили диагноз. поставщик медицинских услуг, предположительно имеющий COVID-19.
4. Может ли работодатель провести проверку температуры перед тем, как разрешить сотрудникам или посетителям войти на рабочее место?
С чисто точки зрения конфиденциальности, да, при надлежащем раскрытии и безопасном, конфиденциальном хранении любых данных. Прежде чем принять решение о проведении температурных проверок, работодатели должны убедиться, что они могут делать это в соответствии с требованиями безопасности на рабочем месте, применяемыми местными органами здравоохранения. Любые протоколы безопасности, относящиеся к проверкам температуры, должны быть согласованы с медицинским работником или эпидемиологом.Если работодатели заключают договор с поставщиками медицинских услуг для проведения проверки температуры на месте, эти поставщики могут подпадать под действие HIPAA, требующего тщательной разработки процесса сбора и передачи результатов тестирования обратно работодателю. До сих пор очень немногие государственные органы выпустили руководство относительно того, как проводить проверки температуры, но работодатели должны уточнить в соответствующих департаментах здравоохранения, есть ли у них рекомендации или требования по скринингу, которые могут включать руководство по вопросам, которые разрешено задавать (например, в Огайо Руководство Министерства здравоохранения «Проверка сотрудников на COVID-19»).
5. Может ли работодатель попросить сотрудников раскрыть информацию об их личных планах поездок?
Да, в свете действующих пограничных ограничений и правительственных рекомендаций по поездкам работодатели могут запрашивать информацию о поездках сотрудников. Требование раскрытия информации о работодателях не должно допускать дискриминации или стигматизации. Работодатели или работодатели, соответствующие требованиям GDPR, в соответствии с местным законодательством о защите данных, должны надлежащим образом уведомлять сотрудников, включая цель, использование и возможные последствия неразглашения.
6. Могут ли работодатели раскрывать личность и / или другую информацию о сотруднике, у которого положительный результат теста на COVID-19, другим сотрудникам, клиентам, поставщикам или другим третьим лицам?
Большинство работодателей узнают о диагнозе COVID-19 от работника, его или ее семьи или органа общественного здравоохранения. Если орган общественного здравоохранения находится в контакте с работодателем, работодатель должен руководствоваться указаниями этого органа. В противном случае работодатели должны помнить, что во многих юрисдикциях (например,грамм. Европейский Союз в соответствии с GDPR) данные о здоровье классифицируются как конфиденциальные личные данные и не должны раскрывать личность инфицированных или уязвимых сотрудников. Однако работодатели могут проинформировать сотрудников о том, что они могли подвергнуться воздействию COVID-19, не раскрывая личности пострадавших сотрудников.
Конкретное сообщение будет зависеть от обстоятельств – в некоторых случаях личность пострадавшего будет очевидна. Даже если имя человека не разглашается, раскрытие, скорее всего, будет представлять собой «личные данные», если по ним можно будет установить личность.Но GDPR и большинство других законов о защите данных содержат исключения для чрезвычайных ситуаций в области общественного здравоохранения. Работодатели должны по-прежнему следить за тем, чтобы раскрываемая информация соответствовала цели и не раскрывала больше, чем необходимо. (См. Вопрос 19.) Соответственно, поскольку обстоятельства зависят от конкретного случая и конкретной юрисдикции, работодатели должны проконсультироваться по любым применимым местным законам о защите данных и позвонить в местные органы здравоохранения для получения рекомендаций.
В руководстве ВОЗ «Подготовка рабочего места к COVID-19» указано, что потенциально подвергшимся воздействию сотрудникам следует предоставлять информацию, необходимую для адекватного информирования их о потенциальном воздействии на них на рабочем месте, или в соответствии с другими указаниями местных органов здравоохранения.Законы многих стран об охране здоровья и безопасности на рабочем месте также требуют раскрытия аналогичной информации в различной степени. Работодатели также могут сообщать сотрудникам, не подвергавшимся воздействию, о том, что им был поставлен диагноз COVID-19, без предоставления дополнительной идентифицирующей информации. Прежде чем продолжить, работодатели также должны оценить любые применимые местные законы о конфиденциальности, чтобы убедиться, что они не содержат других или дополнительных требований или положений.
Как правило, широкое разглашение имени сотрудника с положительным результатом теста третьим лицам по-прежнему запрещено в соответствии с действующими инструкциями.В Соединенных Штатах ADA требует, чтобы работодатели, которые собирают медицинскую информацию от сотрудников, сохраняли конфиденциальность такой информации. В руководстве EEOC и CDC в отношении COVID-19 четко указано, что, хотя может возникнуть необходимость в сборе медицинской информации от сотрудников об их условиях, конфиденциальность сотрудников в соответствии с ADA должна сохраняться. Общение с сотрудниками, подвергшимися воздействию из-за контакта с сотрудником, у которого был положительный результат теста, должно быть достаточным, чтобы указать на повышенный риск, без нарушения конфиденциальности путем раскрытия личности человека с положительным результатом теста.В Соединенных Штатах работодатели также должны помнить об общих обязанностях OSHA, требующих от работодателей обеспечения безопасности на рабочем месте.
Применимое законодательство о защите данных, такое как GDPR, применяется за пределами США, а также к компаниям США, которые выбрали членство в ЕС – U.S. Privacy Shield. Согласно GDPR, работодатели не могут раскрывать личные данные без уважительной причины. Защита здоровья и безопасности сотрудников является исключением, но работодатели по-прежнему должны раскрывать только то, что необходимо для достижения этой цели.По возможности следует исключить имя человека.
7. Может ли работодатель попросить сотрудника дать согласие на раскрытие его или ее личности и / или другой личной информации в связи с фактическим или потенциальным диагнозом COVID-19 сотруднику?
Работодателю всегда полезно установить контакт с человеком, у которого диагностирован COVID-19, и в рамках этих отношений по возможности проинформировать сотрудника о том, что будет раскрыто до его раскрытия.Вопрос о том, можно ли получить «согласие» на раскрытие конкретной информации и как это сделать, зависит от обстоятельств. В некоторых случаях получение согласия человека на раскрытие своего имени может помочь в процессе раскрытия информации. Однако даже это создает определенный риск в случае возможного принуждения, особенно в соответствии с GDPR (где работодателям не разрешается полагаться на «согласие» сотрудника в качестве средства раскрытия информации, поскольку считается, что сотрудник не будет чувствовать себя вправе отказаться).
8. Может ли работодатель спросить сотрудника о его или ее контактах на рабочем месте для отслеживания контактов?
Да, работодатель может спросить об этом, есть ли у него настоящая потребность в этой информации, например, когда у сотрудника диагностирован COVID-19, он сообщает о симптомах COVID-19 или сообщает об известном контакте с диагностированным случаем COVID- 19.Работодатели, желающие спросить сотрудников об их контактах на рабочем месте за пределами нынешней потребности (например, у бессимптомных сотрудников без известного воздействия, как само собой разумеющееся), должны проявлять осторожность и проконсультироваться с местными органами здравоохранения для получения рекомендаций. Некоторые органы здравоохранения указали, что отслеживание контактов может быть нецелесообразным или нецелесообразным в ситуациях, когда наблюдается распространение инфекции среди населения.
В своем руководстве для работодателей CDC заявил, что «[чтобы] предотвратить стигму и дискриминацию на рабочем месте» работодатели должны «использовать только инструкции, описанные ниже, для определения риска заражения COVID-19.В руководстве также не говорится о том, что внедрение работодателями социального дистанцирования предполагает упреждающее отслеживание контактов. Работодатели должны сохранять конфиденциальность этой информации после сбора, и, если это не связано с немедленной необходимостью раскрыть информацию, следует раскрыть сотрудникам соответствующую информацию перед сбором информации.
9. Подпадает ли информация работодателя в США о том, что у сотрудника есть COVID-19, ограничениям конфиденциальности HIPAA?
Обычно нет.HIPAA регулирует использование и раскрытие информации о здоровье пациентов поставщиками медицинских услуг, планами медицинского страхования или страховщиками, а также организациями, которые поддерживают эти организации. Это неприменимо к большинству работодателей (даже если они работают в сфере здравоохранения) до тех пор, пока они фактически не лечат сотрудника (как это сделал бы поставщик на месте) или не оплачивают расходы на лечение (например, страховщики и страховые планы). ) или предоставление услуг компаниям, которые этим занимаются. Поскольку большинство работодателей узнают о диагнозе COVID-19 от сотрудника или его или ее семьи в роли работодателя как работодателя, HIPAA обычно не будет иметь отношения.
С другой стороны, если сотрудник видит местного поставщика медицинских услуг работодателя, любое раскрытие информации этим поставщиком напрямую работодателю, скорее всего, будет подпадать под действие закона HIPAA. В большинстве случаев политика работодателя должна требовать от работника раскрытия информации и избегать согласования напрямую с любым поставщиком медицинских услуг.
10. Если работодатель узнает, что у сотрудника положительный результат теста на COVID-19, может ли он сообщить имя сотрудника органам здравоохранения?
Текущее руководство CDC предлагает работодателям связаться с местными органами здравоохранения и сообщить им, что у них положительный результат теста сотрудника.Работодатели не должны добровольно сообщать имя сотрудника по имени, но должны отвечать на любые вопросы органов общественного здравоохранения (включая идентификацию сотрудника, если его спросят) и подробности относительно места, где работал сотрудник. Работодатели должны соблюдать все директивы местных органов здравоохранения.
11. Разрешено ли работодателю задавать вопросы сотруднику с положительным результатом на COVID-19?
В целом да. Соответствующее лицо, назначенное работодателем, должно следовать инструкциям CDC, штата или местного органа общественного здравоохранения в отношении получения дополнительной информации от сотрудника с положительным результатом на COVID-19, которая может включать или не включать запрос пострадавшего. вопросы сотрудников с целью отслеживания контактов и действий сотрудника в течение последних 14 дней или другого периода времени.
12. Как работодатели должны проинструктировать своих руководителей о том, что они могут и не могут обсуждать в отношении состояния здоровья или симптомов работника в этой среде?
Некоторые законы допускают исключения или смягчение ограничений в отношении конфиденциальности в случае чрезвычайной ситуации в области общественного здравоохранения или аналогичного кризисного события. Эти исключения обычно подлежат интерпретации, и по мере развития кризиса издаются новые инструкции. Тем не менее, передовые методы коммуникации с руководителями включают следующее: если руководители получают информацию о состоянии здоровья сотрудника, связанного с COVID-19, они должны сообщить эту информацию назначенному сотруднику группы по кадрам, рискам или безопасности.Руководители ни в коем случае не должны широко раскрывать медицинскую информацию о сотруднике. Руководство в соответствии с ADA указывает, что прямые руководители не должны обрабатывать медицинскую информацию для большинства целей из-за конфиденциальности, поэтому рекомендуется процесс, который направляет медицинскую информацию через контакты, отличные от этих руководителей. Избегайте разработки программ, которые направляют отчетность через внутренних поставщиков медицинских услуг, поскольку для этого, вероятно, потребуются дополнительные документы для разрешения раскрытия медицинской информации в соответствии с HIPAA.Такая документация может оказаться обременительной для врача или медсестры, которые уже загружены лечением пострадавших сотрудников.
13. Обязан ли работодатель, входящий в профсоюз, раскрывать профсоюзу по запросу на информацию имена лиц, у которых был положительный результат теста на COVID-19, проявлялись симптомы или были контакты с ними?
Это конфиденциальная медицинская информация сотрудников, и работодатели должны обращаться с ней осторожно. Работодателям может быть запрещено раскрывать такую информацию третьим лицам в соответствии с законами штата и / или ADA.Работодатели должны внимательно изучить объяснение профсоюза, почему он хочет получить эту информацию, уведомить сотрудников о том, что профсоюз запросил эту информацию, и запросить разрешение. Если сотрудник не желает раскрывать информацию профсоюзу, его реакция должна быть четко изложена в возражении на запрос информации профсоюза. Статистические данные без идентифицирующей информации сотрудника, например количество сотрудников с положительным результатом теста, не являются конфиденциальной медицинской информацией.