Защита персональных данных работников

Персональные данные – это любые сведения, относящиеся к определяемому физическому лицу, которые предоставляются другим физическим или юридическим лицам, публичным образованиям. Проблема эффективной защиты персональных данных возрастает в связи с вступлением общества в эпоху цифровизации.

Европейское законодательство значительно повлияло на защиту персональных данных в государствах – членах ЕС.

На данный момент единые требования в этой сфере предусмотрены для всех государств — членов ЕС в документе прямого действия, не оставляющем государствам – членам ЕС права выбора: в Общем регламенте по защите данных 2016/679 от 4 мая 2016 г. (General Data Protection Regulation, GDPR).

Действующий с 25 мая 2018 г. Регламент ужесточил требования к хранению, передаче и использованию данных. За несоблюдение требований Регламента работодатели могут быть оштрафованы на сумму до 20 млн евро или до 4% от оборота. Проект Регламента о защите данных обсуждался в Европейской комиссии, Европейском парламенте и Европейском совете с 2012 года и после 4 лет обсуждений был наконец принят.

Регламент нередко называют революцией в сфере защиты данных, потому что он значительно усиливает ответственность структур, собирающих и хранящих информацию. В соответствии с имеющимися требованиями законодательства работодатель не вправе задавать любые вопросы кандидатам на должность, если они не относятся к работе.

В сфере труда потребность в защите персональных данных очевидна: работодатели оперируют огромными объемами информации о работниках.

Эти блоки информации формируются из повседневного управления сотрудниками, подбора персонала, профессиональной оценки, обучения, осуществления контроля в отношении выполняемой сотрудниками работы, мониторинга электронной почты, интернет-браузеров, геолокации и т.д. Все чаще работодатели используют различные технические средства для мониторинга на рабочем месте.

Несоблюдение правил может повлечь юридическую ответственность работодателя. К примеру, компания была наказана штрафом в 10 000 евро за отказ предоставить сотруднику доступ к своим данным, имеющимся у кадровой службы компании. Новые обязательства для работодателей – «документирование» своих действий, цель – обязать работодателя проявить должную осмотрительность в работе, демонстрируя соблюдение положений о защите данных. Контроль за этим должны осуществлять национальные регуляторы и суды. Работодатели обязаны сохранять историю работы с данными, обучать персонал, который обрабатывает данные, по вопросам защиты данных и имеющимся рискам.

Происходит внедрение риск-ориентированного подхода: работодателям предлагается самим определить точный уровень риска в отношении защиты конфиденциальности в каждом случае. Чем выше риск, тем важнее должны быть защитные меры, и все это должно быть задокументировано. Работодатель обязан сообщать о нарушениях безопасности.

Данный Регламент, в первую очередь, действует в интересах работников. Но также, благодаря Регламенту, теперь европейское регулирование в области защиты данных унифицировано. До этого оно было разнообразным, что создавало ряд проблем для работодателей, функционирующих на общеевропейском уровне.