Обработка Данных Сотрудников: Что Допустимо и Что Нет По GDPR

Petar Todorovski

By Petar Todorovski . 22 февраля 2024

Data Privacy Specialist

Miklos Zoltan

Fact-Checked this

Работодатели обрабатывают персональные данные своих сотрудников. Никак не уйти от этого. Однако действия работодателей ограничены GDPR и другими законами о защите персональных данных при обработке этих данных.

GDPR довольно прямолинеен, когда речь идет о сборе и обработке данных, которые не нужны, например, для маркетинговых целей. В этом случае нужно получить согласие пользователя на обработку его данных.

Когда речь идет о персональных данных, которые должны быть обработаны в интересах пользователя, правила меняются. Компании могут использовать другие законные основания для этой обработки.

Обработка данных сотрудников находится где-то посередине. Работодатель может обрабатывать их, чтобы соответствовать определенным законодательным требованиям, которые сопровождаются множеством ограничений.

Краткое содержание статьи: Статья затрагивает вопрос обработки персональных данных сотрудников их работодателями и важность регулирования этого процесса в рамках GDPR. GDPR устанавливает общие принципы для стран Евросоюза по защите данных сотрудников, а национальное законодательство и коллективные договоры дополняют эти положения, обеспечивая дополнительную защиту. Работодатели имеют право на обработку данных сотрудников в рамках трудовых отношений и должны получить явное согласие сотрудников для иных целей.

Необходимо также соблюдать правила безопасной передачи данных и внедрить соответствующие меры защиты. Сотрудники, в свою очередь, обладают правами на доступ к своим данным, возможность возражения, исправления и забвения.

Для международных работодателей особенно важно учитывать разнообразие трудовых законодательств и требования GDPR в разных странах.

Обработка данных сотрудников

How Does GDPR Regulate Processing Employees’ Personal Data

Напоминаем, что GDPR — это регуляция, которая прямо применима в каждом государстве-члене. GDPR не так конкретизирует обработку данных сотрудников, как это делает в других областях. Он устанавливает рамки, в которых каждое государство-член ЕС может регулировать эти вопросы.

GDPR говорит, что:

  • Каждое государство-член Европейского Союза имеет свободу выбора, как регулировать обработку данных сотрудников, включая чувствительные данные
  • Они могут регулировать обработку через национальные законы и коллективные соглашения
  • Государства-члены должны обеспечить, чтобы их законы и коллективные договоры защищали человеческое достоинство субъекта данных, законные интересы и основные права
  • Национальные законы и коллективные соглашения должны учитывать правила GDPR о прозрачности обработки и международных передачах данных.

Что Это Значит

Это означает, что работодатель может обрабатывать данные сотрудников для:

  • Найма
  • Исполнения трудовых контрактов
  • Диверсификации и равенства в месте работы
  • Планирования и организации работы
  • Управления компанией
  • Безопасности и здоровья на рабочем месте
  • Защиты имущества работодателя или клиентов, или
  • Любых других обязательств, которые у работодателя могут быть в соответствии с применимыми законами и коллективными соглашениями.

Это также включает обработку чувствительных персональных данных, таких как данные о здоровье, раса, этническое происхождение, сексуальная ориентация и другие.

Что Должен Сделать Работодатель

Помимо соблюдения трудового законодательства, работодатель также должен соблюдать GDPR. Если говорить о кадровой службе, это означает следующее:

Обрабатывать данные в правильных целях. Сотрудник предоставил свои данные для целей трудоустройства. Это дает работодателю право обрабатывать эти данные только в целях трудоустройства и ни в каких других.

Получить согласие от сотрудника для обработки данных в других целях. Если работодатель хочет обрабатывать данные сотрудника для других целей, ему нужно явное согласие на конкретные цели. При этом работодатель должен убедиться, что сотрудник хорошо осведомлен об этом и имеет возможность отозвать свое согласие, если пожелает.

Обеспечить законность передачи данных. Передачи данных внутри ЕС и адекватных стран являются свободными. Передачи в третьи страны не являются свободными, а передачи в Соединенные Штаты особенно сложны.

Подробнее о том, как передавать персональные данные в США в соответствии с GDPR.

Реализовать меры безопасности. Муниципалитет Берген, Норвегия, был оштрафован на 170 000 евро за недостаточные меры безопасности по защите персональных данных учащихся и учителей.

Ознакомьтесь со списком штрафов по GDPR, чтобы получить полный обзор всех известных случаев штрафов.

Что они сделали не так? Их компьютерная система имела слабую функцию входа, которая позволяла неавторизованным лицам получить доступ к персональным данным.

Слабый вход может казаться мелочью в повседневной работе, но каждая недостаточная мера безопасности рискует бюджетом и имиджем работодателя.

Возможно, назначить Специалиста по защите данных (DPO). Некоторым компаниям нужно назначить DPO. GDPR требует назначения DPO в следующих случаях:

  • Государственные органы
  • Компании, основным источником дохода которых является обработка данных, и
  • Компании, которые собирают и/или обрабатывают чувствительные персональные данные.

Не все компании относятся к этим категориям. Поэтому не все обязаны назначать DPO. Для всех остальных назначение человека, ответственного за защиту данных в компании, является хорошей практикой.

Что Может Сделать Сотрудник

Сотрудник может воспользоваться своими правами субъекта данных. Каждый человек, на которого распространяется действие GDPR, имеет ряд прав в области защиты персональных данных, которые он может реализовать, чтобы предотвратить вред и защитить свою приватность.

Право на доступ. Сотрудник всегда может запросить доступ к персональным данным, которые обрабатывает работодатель. При этом сотрудник может узнать цели обработки и выяснить, обрабатываются ли данные только в целях трудоустройства или нет.

Кроме того, сотрудник может узнать о сторонних инструментах, которые работодатель использует для обработки данных. Это поможет ему определить, является ли обработка законной, каковы цели обработки, передаются ли данные за границу и так далее.

Право на возражение. Если сотрудник определяет, что некоторые данные обрабатываются по неверным причинам, он может возразить против этого. Работодатель должен прекратить обработку для этих конкретных целей.

Однако, если данные обрабатываются исключительно в целях трудоустройства, возражать не против чего.

Право на исправление. У сотрудника есть право на исправление неточных данных. Работодатель обязан внести запрошенные исправления.

Право быть забытым. У сотрудника есть право быть забытым в определенных обстоятельствах. Он или она могут запросить удаление своих данных из записей работодателя, если выполнены оба следующих условия:

  • Сотрудник больше не работает на этого работодателя, и
  • Работодателю не нужны персональные данные сотрудника.

Во всех других случаях работодатель может отказать в удалении персональных данных сотрудника.

Получить компенсацию в случае ущерба из-за утечки данных. Иногда компании становятся жертвами утечек данных. Эти утечки могут нанести ущерб сотрудникам. Когда происходит ущерб, сотрудник имеет право на компенсацию понесенного ущерба.

Что Происходит, Когда Работодатель и Сотрудник в Разных Странах?

Когда и работодатель, и сотрудник находятся в ЕС, всё просто — GDPR действует на всех.

Но сейчас часто бывает так, что работодатель и сотрудник находятся в разных странах. Это тоже влияет на применение GDPR и может создать сложности как для работодателя, так и для сотрудника.

Вот простая формула, которая вам поможет:

  • Работодатель из ЕС и сотрудники из других стран — действует GDPR
  • Работодатель из ЕС и сотрудники тоже из ЕС, но в других странах — действует GDPR
  • Работодатель и сотрудники из ЕС — действует GDPR
  • Работодатель и сотрудники из других стран — GDPR не действует
  • Работодатель из других стран и сотрудники из ЕС в других странах — GDPR действует только по отношению к сотрудникам из ЕС.

Определите, применяется ли GDPR, и если да, то перечитайте, что должен сделать работодатель и что может сделать сотрудник, чтобы надлежащим образом защитить свои персональные данные.

Что Запомнить

Всегда, когда речь идет о персональных данных, законы о защите данных применяются. Это не исключает трудовых отношений.

GDPR не очень строг, когда дело доходит до обработки данных для трудоустройства. Здесь есть место для трудового законодательства и коллективных договоров, которые определяют категории обрабатываемых данных.

Работодателю нужно соблюсти все другие требования GDPR.

Международному работодателю, который нанимает людей в разных странах, нужно быть очень осторожным. Трудовые законы различны в странах ЕС, и в каждой стране есть свои коллективные договоры.

Это ставит их в очень сложное положение. Они могут выбрать безопасный путь, обрабатывая минимально необходимый объем данных. Это один из основных принципов защиты данных, который упрощает всё остальное.

Petar Todorovski
Эксперт по защите данных Юридический советник по ИТ-регулированию - Министерство информационного общества и администрации Македонии Петар Тодоровски интересуется всем, где пересекаются право и технологии. Его работа включает юридическое консультирование компаний, разработку законодательства в области ИТ для правительства Македонии и создание юридических технических приложений для платформы управления защитой данных. У него есть опыт в области защиты данных, кибербезопасности, доверительных услуг, цифровой трансформации государственных услуг, доступа к правосудию и написания для интернета. Он является сторонником автоматизации, дизайна, ориентированного на пользователя, и использования простого языка в юридической отрасли. Петар делает перерыв от права и технологий, занимаясь тренировками в Crossfit, наслаждаясь природой и читая блоги умных людей.
Petar Todorovski
  • Connect with the author:

Leave a Comment