Работодатели обрабатывают персональные данные своих сотрудников. Никак не уйти от этого. Однако действия работодателей ограничены GDPR и другими законами о защите персональных данных при обработке этих данных.
GDPR довольно прямолинеен, когда речь идет о сборе и обработке данных, которые не нужны, например, для маркетинговых целей. В этом случае нужно получить согласие пользователя на обработку его данных.
Когда речь идет о персональных данных, которые должны быть обработаны в интересах пользователя, правила меняются. Компании могут использовать другие законные основания для этой обработки.
Обработка данных сотрудников находится где-то посередине. Работодатель может обрабатывать их, чтобы соответствовать определенным законодательным требованиям, которые сопровождаются множеством ограничений.
Необходимо также соблюдать правила безопасной передачи данных и внедрить соответствующие меры защиты. Сотрудники, в свою очередь, обладают правами на доступ к своим данным, возможность возражения, исправления и забвения.
Для международных работодателей особенно важно учитывать разнообразие трудовых законодательств и требования GDPR в разных странах.
Напоминаем, что GDPR — это регуляция, которая прямо применима в каждом государстве-члене. GDPR не так конкретизирует обработку данных сотрудников, как это делает в других областях. Он устанавливает рамки, в которых каждое государство-член ЕС может регулировать эти вопросы.
GDPR говорит, что:
Это означает, что работодатель может обрабатывать данные сотрудников для:
Это также включает обработку чувствительных персональных данных, таких как данные о здоровье, раса, этническое происхождение, сексуальная ориентация и другие.
Помимо соблюдения трудового законодательства, работодатель также должен соблюдать GDPR. Если говорить о кадровой службе, это означает следующее:
Обрабатывать данные в правильных целях. Сотрудник предоставил свои данные для целей трудоустройства. Это дает работодателю право обрабатывать эти данные только в целях трудоустройства и ни в каких других.
Получить согласие от сотрудника для обработки данных в других целях. Если работодатель хочет обрабатывать данные сотрудника для других целей, ему нужно явное согласие на конкретные цели. При этом работодатель должен убедиться, что сотрудник хорошо осведомлен об этом и имеет возможность отозвать свое согласие, если пожелает.
Обеспечить законность передачи данных. Передачи данных внутри ЕС и адекватных стран являются свободными. Передачи в третьи страны не являются свободными, а передачи в Соединенные Штаты особенно сложны.
Подробнее о том, как передавать персональные данные в США в соответствии с GDPR.
Реализовать меры безопасности. Муниципалитет Берген, Норвегия, был оштрафован на 170 000 евро за недостаточные меры безопасности по защите персональных данных учащихся и учителей.
Ознакомьтесь со списком штрафов по GDPR, чтобы получить полный обзор всех известных случаев штрафов.
Что они сделали не так? Их компьютерная система имела слабую функцию входа, которая позволяла неавторизованным лицам получить доступ к персональным данным.
Слабый вход может казаться мелочью в повседневной работе, но каждая недостаточная мера безопасности рискует бюджетом и имиджем работодателя.
Возможно, назначить Специалиста по защите данных (DPO). Некоторым компаниям нужно назначить DPO. GDPR требует назначения DPO в следующих случаях:
Не все компании относятся к этим категориям. Поэтому не все обязаны назначать DPO. Для всех остальных назначение человека, ответственного за защиту данных в компании, является хорошей практикой.
Сотрудник может воспользоваться своими правами субъекта данных. Каждый человек, на которого распространяется действие GDPR, имеет ряд прав в области защиты персональных данных, которые он может реализовать, чтобы предотвратить вред и защитить свою приватность.
Право на доступ. Сотрудник всегда может запросить доступ к персональным данным, которые обрабатывает работодатель. При этом сотрудник может узнать цели обработки и выяснить, обрабатываются ли данные только в целях трудоустройства или нет.
Кроме того, сотрудник может узнать о сторонних инструментах, которые работодатель использует для обработки данных. Это поможет ему определить, является ли обработка законной, каковы цели обработки, передаются ли данные за границу и так далее.
Право на возражение. Если сотрудник определяет, что некоторые данные обрабатываются по неверным причинам, он может возразить против этого. Работодатель должен прекратить обработку для этих конкретных целей.
Однако, если данные обрабатываются исключительно в целях трудоустройства, возражать не против чего.
Право на исправление. У сотрудника есть право на исправление неточных данных. Работодатель обязан внести запрошенные исправления.
Право быть забытым. У сотрудника есть право быть забытым в определенных обстоятельствах. Он или она могут запросить удаление своих данных из записей работодателя, если выполнены оба следующих условия:
Во всех других случаях работодатель может отказать в удалении персональных данных сотрудника.
Получить компенсацию в случае ущерба из-за утечки данных. Иногда компании становятся жертвами утечек данных. Эти утечки могут нанести ущерб сотрудникам. Когда происходит ущерб, сотрудник имеет право на компенсацию понесенного ущерба.
Когда и работодатель, и сотрудник находятся в ЕС, всё просто — GDPR действует на всех.
Но сейчас часто бывает так, что работодатель и сотрудник находятся в разных странах. Это тоже влияет на применение GDPR и может создать сложности как для работодателя, так и для сотрудника.
Вот простая формула, которая вам поможет:
Определите, применяется ли GDPR, и если да, то перечитайте, что должен сделать работодатель и что может сделать сотрудник, чтобы надлежащим образом защитить свои персональные данные.
Всегда, когда речь идет о персональных данных, законы о защите данных применяются. Это не исключает трудовых отношений.
GDPR не очень строг, когда дело доходит до обработки данных для трудоустройства. Здесь есть место для трудового законодательства и коллективных договоров, которые определяют категории обрабатываемых данных.
Работодателю нужно соблюсти все другие требования GDPR.
Международному работодателю, который нанимает людей в разных странах, нужно быть очень осторожным. Трудовые законы различны в странах ЕС, и в каждой стране есть свои коллективные договоры.
Это ставит их в очень сложное положение. Они могут выбрать безопасный путь, обрабатывая минимально необходимый объем данных. Это один из основных принципов защиты данных, который упрощает всё остальное.