НБУ курс:

USD

41,88

--0,05

EUR

43,51

--0,07

Наличный курс:

USD

42,31

42,23

EUR

44,40

44,15

Новая реальность приватности для работодателей — чего ожидать?

Проект закона о защите персональных данных № 5628 устанавливает особенные требования для обработки данных работодателями. Это одно из ключевых отличий между Законопроектом и его европейским "собратом" GDPR

В течение длительного времени в Украине отсутствовали особые правила или руководства для работодателей относительно обработки персональных данных сотрудников помимо общих правил, устанавливаемых Законом Украины "О защите персональных данных".

Проект закона о защите персональных данных № 5628 (далее — Законопроект) устанавливает особенные требования для обработки данных работодателями. Это одно из ключевых отличий между Законопроектом и его европейским "собратом" GDPR, в котором есть только одна статья, посвященная обработке данных сотрудников. Рассмотрим же, какие основные моменты нужно учитывать работодателям после принятия Законопроекта.

Согласие больше не является законным основанием для обработки?

Большинство работодателей получают согласие на обработку от своих сотрудников для всех видов данных, которые они потенциально могут обрабатывать.

Такое согласие видится наиболее понятным и неоспоримым правовым основанием. Шаблон формы согласия редко подвергают изменениям, и такие согласия хранятся в делах сотрудников как очередная бюрократическая бумажка, призванная защитить работодателя в случае жалоб со стороны сотрудника.

Хотя, согласно действующему закону, согласие не должно быть универсальным правовым основанием, Законопроект еще больше ужесточает это правило.

Законопроект предусматривает, что согласие можно использовать как правовое основание только в том случае, если иные основания для обработки неприменимы (сегодня такое ограничение отсутствует). Кроме того, такое согласие не будет считаться свободным, если у субъекта данных отсутствует возможность отказаться от его предоставления.

Работодатель, использующий согласие как правовое основание для обработки, может столкнуться с проблемой его отзыва (что является абсолютным правом субъекта данных, в том числе сотрудника). В этом случае работодатель формально больше не сможет обрабатывать данные о своем сотруднике, в том числе его имя, заработную плату, данные о банковском счете и пр.

В связи с этим работодателю нужно рассмотреть другие правовые основания, такие как:

  • исполнение трудового договора (например, для обработки данных о банковском счете сотрудника);
  • исполнение юридического обязательства работодателя (например, при обработке данных о здоровье сотрудника для осуществления соответствующих выплат); 
  • легитимный интерес работодателя, когда такие интересы не преобладают над правами сотрудников в сфере защиты данных.

Согласие можно использовать в исключительных случаях, если работодатель гарантирует отсутствие негативных последствий для сотрудников в случае отказа предоставить такое согласие (например, для съемки проморолика компании).

Обработка чувствительных данных

Ситуация 1: Ресторан обрабатывает данные о состоянии здоровья и данные о местоположении персонала, осуществляющего доставку еды.

Аналогично действующему закону, Законопроект позволяет работодателю обрабатывать чувствительные данные сотрудников для выполнения установленных законом трудовых обязательств. Законопроект устанавливает отдельные правовые основания для обработки данных о состоянии здоровья сотрудников:

  • данные необходимы для определения способности сотрудника выполнять соответствующую работу;
  • данные необходимы для выполнения требований об обязательных медицинских осмотрах в случаях, предусмотренных законом;
  • для обеспечения медицинского обслуживания и оздоровления или выполнения требований по организации труда;
  • для защиты жизненно важных интересов сотрудника или других физических лиц;
  • для предоставления социальных услуг и других дополнительных благ; 
  • для обоснования, удовлетворения или защиты правовых требований.

Данные о местоположении более не являются чувствительными согласно Законопроекту.

Если работодатель обрабатывает чувствительные данные для целей, не связанных с его правовыми обязательствами как работодателя, ему нужно использовать другие правовые основания, например, явное согласие.

Положительной тенденцией является отказ Законопроекта от обязательства уведомлять орган в сфере защиты данных об обработке чувствительных данных.

Проверка биографических данных

Ситуация 2: Перед наймом сотрудника работодатель проверяет его биографические данные, в том числе относительно привлечения к уголовной ответственности и уголовных производств.

На сегодняшний день такой тип данных считается чувствительным и подпадает под общие правила обработки чувствительных данных.

Однако Законопроект повышает уровень защиты такого типа данных аналогично GDPR. Он позволяет такую обработку лишь в том случае, когда это прямо предусмотрено законом и требует особых гарантий для защиты обработки.

Сейчас существуют законодательные требования относительно отсутствия судимости для некоторых должностей (например, работники госслужбы, прокуратуры, лица, имеющие доступ к государственной тайне, и пр.)

Бывают случаи, когда согласно судебному решению человеку запрещено занимать некоторые должности. В случае нарушения запрета такой сотрудник будет нести уголовную ответственность. Однако это не дает права работодателю проверять отсутствие такого запрета.

В отличие от некоторых европейских стран (например, Великобритании) текущая редакция Законопроекта не предусматривает возможность обработки данных об уголовной ответственности на основании согласия субъекта данных.

Соответственно, если к должности отсутствуют особые требования, которые позволяли бы нашему работодателю проверять данные об уголовной ответственности кандидата, такая проверка будет противоречить положениям Законопроекта.

Видеонаблюдение на рабочем месте

Ситуация 3: Работодатель установил видеокамеры на складе для возможности идентифицировать лиц, участвующих в потенциальной краже. Видеонаблюдение осуществлялось администрацией бизнес-центра. Позже работодатель использовал данные с видеокамер для отслеживания того, сколько времени сотрудники проводили на рабочем месте, для целей оценки эффективности персонала.

В отличие от GDPR, в Законопроекте есть отдельные положения о видеонаблюдении. Законопроект разрешает видеонаблюдение при выполнении таких условий:

  • для защиты собственности работодателя и предотвращения правонарушений, предусмотренных законом;
  • когда при конкретных обстоятельствах нельзя достичь легитимной цели другими мерами, степень вмешательства в частную жизнь лиц меньше, и если иные меры не приведут к несоразмерным расходам.

В описанной ситуации работодатель мог установить видеокамеры для целей безопасности, и это не преобладало бы над правами сотрудников. Последних необходимо было уведомить о таком видеонаблюдении (например, разместив соответствующий знак с указанием бизнес-центра как оператора данных).

Однако работодатель нарушил принцип ограничения цели, когда начал использовать данные с видеокамер для цели, отличающейся от первоначальной, а именно для оценки эффективности сотрудников.

Данные кандидатов на трудоустройство

Законопроект прямо устанавливает срок хранения данных кандидатов, которые не были приняты на работу. Их данные должны быть удалены сразу же после принятия решения об отказе, кроме случаев, когда кандидат предоставил согласие на дальнейшую обработку (например, для возможных будущих карьерных возможностей).

Обновленные требования и обязанности, установленные Законопроектом, в значительной мере повлияют на работодателей и потребуют от них переоценки их действий по обработке данных сотрудников и кандидатов на трудоустройство.

Юлия Бруско, юрист юридической фирмы  Sayenko Kharenko

Арио Дехгани, советник, руководитель практики комплаенс и расследования юридической фирмы  Sayenko Kharenko

Фото: Depositphotos