После вступления в силу постановления о защите личных данных предприятия принялись усердно защищать данные своих клиентов и партнеров, но на защиту прав работников по-прежнему обращается недостаточно внимания.
Ошибки при обработке данных работников могут повлечь штрафы в сотни тысяч евро. «Многие предприниматели не учитывают, что работодатели могут собирать и обрабатывать данные своих работников только в том объеме, который требуется для исполнения трудового договора, предусмотренного законом обязательства или оправданного интереса. Предприниматели также часто не учитывают, что для обработки личных данных недостаточно согласия работника», – говорит Силья Хундт, юрист адвокатского бюро Hedman Partners.
.
Ошибки могут дорого обойтись.
Например, греческий департамент защиты данных оштрафовал PWC Business на 150 000 евро за то, что предприятие постановило согласие работников основанием для обработки их личных данных. Подобное поведение также противоречит принципам прозрачности и предприятие не смогло доказать, что основание для обработки данных было заранее обдумано и оценено.
За нарушение личных прав работник может потребовать от работодателя компенсации. В Эстонии есть решение суда, по которому работнику присудили 1000 евро за то, что работодатель загрузил его фотографии с отпуска в среду для скачивания и поделился ими с другими работниками.
По словам юриста Сильи Хундт, для обработки личных данных работника работодателем последний должен определить цель и правовую основу обработки. «Например, работодатель должен сообщить государству личные данные работника для социального и медицинского страхования, т.е. обработка подобных данных оправдана. Однако, у работодателя нет причины собирать данные о семейном положении или хобби работника»,– объяснила юрист.
Работодатель может обрабатывать личные данные на основании оправданного интереса, если у него есть для этого весомые причины, но сбор данных не должен существенно нарушать права работника.
«Например, использование камер наблюдения на рабочем месте должно быть обосновано и не может существенно нарушать личностные права работника», – подчеркнула юрист.
Поскольку работник является более слабой стороной в трудовых отношениях, для обработки личных данных недостаточно его согласия. А именно, постановление о защите личных данных гласит, что согласие должно быть добровольным. «Если одна сторона является зависимой или более слабой в юридическом отношении, то ее согласие нельзя считать добровольным», – пояснила юрист Hedman Partners.
Согласие работника все же может быть уместно в ситуациях организационного характера, например, обработка данных детей работника для рождественского праздника или использование фото работников в корпоративных медиа.
По словам юриста, избежать споров и потенциальных штрафов можно с помощью договоренности об условиях обработки данных на предприятии, например, включив это в правила трудового распорядка. Необходимо также извещать работников о факте обработки данных.
Адвокатское бюро Hedman Partners предоставляет консультационные услуги по корпоративному и коммерческому праву предприятиям, их учредителям и инвесторам на всех этапах жизненного цикла компании – от разработки бизнес-модели до привлечения инвестиций и продажи предприятия. Hedman Partners консультирует по вопросам дигитализации сектора услуг и производства и оказывает поддержку своим клиентам в привлечении средств, организации отношений с акционерами и пайщиками, слияниях и поглощениях, международном передвижении коммерческих предприятий, ИТ-праве и защите данных, вопросах интеллектуальной собственности
.