$

2.5435 руб.

2.8701 руб.

Р (100)

3.4550 руб.

Ставка рефинансирования

9.25%

Актуально

Персональные данные усложнят жизнь работодателям

29.10.2021
Персональные данные усложнят жизнь работодателям
Дмитрий Вильтовский

C 15 ноября 2021 г. наниматели должны будут придерживаться законодательно закрепленных правил обработки  персональных данных работника. О том, как наладить  процесс и какие сложности могут возникнуть у компаний, мы беседуем с управляющим партнером GRATA International Дмитрием ВИЛЬТОВСКИМ.

– Дмитрий, каким образом сегодня регулируется обращение с персональными данными работника?

– Закон «О защите персональных данных», которым будет регулироваться обращение персональных данных физических лиц, в т.ч. работников предприятий, вступает в силу с 15.11.2021.

Он внесет существенные коррективы в работу нанимателей Беларуси, т.к. потребует внедрения определенного документооборота, системы защиты данных. Наниматель обязан будет назначить лицо, ответственное за обработку персональных данных и осуществление внутреннего контроля за обработкой персональных данных (в европейской практике – Data Protection Officer (DPO)).

Получение, хранение, использование персональных данных белорусского работника с нанимателем в Беларуси под регулирование европейского регламента GDPR не подпадает.

Напомним, что обработкой персональных данных признается любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление.

– Как наниматель сможет законно собирать, обрабатывать, распространять персональные данные работника?

– В соответствии с новым законом наниматель будет обладать правами и обязанностями оператора персональных данных. В частности, он будет обязан разъяснять работнику его права, связанные с персональными данными, получать согласие работника на их сбор, обработку, распространение, предоставление, разрабатывать и знакомить сотрудников с политикой в отношении обработки персональных данных.

Исходя из положений того же закона заключение трудового договора является основанием для получения персональных данных работников. Однако круг такой информации ограничен целями договора, т.е. наниматель может получить от работника только ту информацию, которая необходима ему для оформления трудовых отношений, надлежащего выполнения условий трудового договора обеими сторонами, а также для соблюдения требований трудового законодательства.

Без отдельно оформленного согласия работника запросить можно будет сведения, которые должны содержатся в документах, предъявляемых при заключении трудового договора, в его личном деле (ФИО, адрес и т.п.) и должны быть представлены в уполномоченные государственные органы (например, данные для форм отчетов в различные органы).

На иную личную информацию, в т.ч. не связанную с трудовой деятельностью, наниматель сможет получить согласие работника по общим правилам.

– В каком виде должно быть получено согласие работника?

– Обязательная форма согласия работника на сбор, обработку, распространение, предоставление данных не предусмотрена. Это может быть документ в письменной форме, в виде электронного документа или в иной электронной форме, а также согласие, полученное другими способами, позволяющими установить факт его получения. Надлежащим будет считаться согласие, которое содержит следующие сведения: ФИО субъекта данных; дату его рождения; идентификационный номер, а в случае отсутствия такого номера – номер документа, удостоверяющего личность субъекта персональных данных.

Вместе с тем до получения согласия наниматель в письменной или электронной форме (форма должна соответствовать форме выражения согласия) обязан предоставить работнику следующую информацию: наименование и место нахождения нанимателя; цель сбора, обработки персональных данных; перечень данных, на обработку которых дается согласие; перечень действий с персональными данными, на совершение которых дается согласие; срок, на который дается согласие; порядок отзыва согласия.

Требования о согласии работника будут распространяться и на случаи передачи нанимателем персональных данных третьим лицам.

– Какие права есть у субъекта в отношении передаваемых им персональных данных, какие требования он может заявлять в этой связи нанимателю?

– В соответствии с принятым законом субъекты персональных данных имеют следующие права: на отзыв согласия; на получение информации, касающейся обработки персональных данных и изменения персональных данных; на получение информации о предоставлении персональных данных третьим лицам. Они вправе требовать прекращения обработки персональных данных и их удаления. Могут обжаловать действия (бездействие) и решения оператора, связанные с обработкой персональных данных.

Что касается «права быть забытым», имеющего отражение в европейском GGPR и нашедшего отражение в белорусском законе, то оно подразумевает, что любой человек вправе отозвать свои персональные данные, а лицо, которое обладало такой информацией, обязано ее удалить. При этом работник не может потребовать удаления его персональных данных в период работы у данного нанимателя. После прекращения трудовых отношений в силу инструкций по делопроизводству наниматель не сможет удалить персональные данные работника, которые включаются в личное дело и подлежат хранению в течение определенного срока.

– Какие обязанности в отношении персональных данных работника установлены для нанимателя?

– Отдельно нужно отметить, что процесс получения личной информации от работника должен быть понятным для работника. Получение согласия должно быть свободным, однозначным и информированным.

В процессе осуществления трудовых обязанностей наниматель может устанавливать контроль в течение рабочего времени за работником с использованием компьютерных программ и (или) камер видеонаблюдения и т.п. По сути такие действия также являются сбором персональных данных. Наниматель в таком случае должен получить письменное согласие работника на сбор персональных данных.

Получая информацию о работнике, наниматель обязуется принимать все необходимые меры по ее защите и соблюдать конфиденциальность.

Защита персональных данных включает целую группу мер. Это меры организационно-правового характера: издание документов, определяющих политику оператора в отношении обработки персональных данных и ознакомление с ними сотрудников оператора, обучение сотрудников оператора, назначение структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных, введение режима и охраны помещений, эффективного делопроизводства по электронным документам. 

Меры технического характера предполагают осуществление технической и криптографической защиты персональных данных и др.

Меры, решаемые путем программирования, – это регламентация права на доступ, ограждение от вирусов, стирание информации при несанкционированном доступе.

Есть еще меры аппаратной защиты: отключение компьютера при ошибочных действиях пользователя или попытке несанкционированного доступа.

– Какая ответственность пре­дусмотрена за несоблюдение обязанностей в отношении персональных данных?

– Наниматель несет ответственность за несоблюдение правил работы с персональными данными всеми его сотрудниками. В рамках организации следует разработать внутренние политики (положение о защите персональных данных), которые подробно будут фиксировать задачи, функции и ответственность сотрудников в области защиты предоставленных работниками персональных данных. Рекомендуем проводить регулярные проверки наличия традиционных и электронных документов, дел и баз данных у работников отдела и кадровых документов в подразделениях предприя­тия.

За нарушение законодательства о защите персональных данных преду­смотрена административная ответственность по ст. 23.7 КоАП.

С 1 марта 2021 г. ответственность распространяется и на физлиц, и на юридических лиц.

Умышленные незаконные сбор, обработка, хранение или предоставление персональных данных физлица либо нарушение его прав, связанных с обработкой персональных данных, влекут штраф до 50 БВ. Эти нарушения, совершенные лицом, которому персональные данные известны в связи с его профессиональной или служебной деятельностью, предполагают штраф от 4 до 100 БВ. Умышленное незаконное распространение персональных данных физлиц наказывается штрафом до 200 БВ, а за несоблюдение мер по защите персональных данных физлиц юрлицо может получить штраф от 20 до 50 БВ.

В Законе о защите персональных данных, а также исходя из трактовки действующего гражданского законодательства предусматривается возможность материального возмещения морального вреда независимо от возмещения имущественного вреда и убытков.

– Как в соответствии с новыми нормами построить процесс обработки и хранения персональных данных при получении резюме кандидата на работу по электронным каналам?

– Важно помнить о том, что необходимо получить согласие на обработку персональных данных. Удобнее всего разместить его на сайте компании. После ознакомления с перечнем обрабатываемой вами информации и целями обработки потенциальный работник может дать осознанное согласие. Далее потенциальный работник сможет загрузить резюме или заполнить форму прямо на вашем сайте. Помните, что вы обязаны в любой момент удалить всю информацию о субъекте и прекратить обработку его данных, как только он этого потребует. Также без согласия потенциального работника резюме, к примеру, не может быть передано из одной компании в другую с той же целью – найма на работу.

Представим себе ситуацию: произошло слияние двух компаний «А» и «В». Вся база работников компании «А» перешла в компанию «В». У компании «А» были письменные (или иные) разрешения от работников на обработку персональных данных. У компании «В» нет разрешений на обработку данных работников компании «А». По новым нормам для осуществления компанией «B» обработки персональных данных работников компании «А» ей необходимо получить согласие каждого работника. Процедуру получения согласия и его содержание мы описали выше. В случае отсутствия согласия каждого конкретного работника обработка его персональных данных невозможна.

– Имеет ли право наниматель размещать фотографии работника на сайте или в социальных сетях? Должен ли он удалить фото после увольнения работника?

– Использование фотографий ра­ботника в интернете хоть и объясняется тем, что работник состоит с нанимателем в трудовых отношениях, однако, как правило, не влияет на надлежащее выполнение трудовых обязанностей. В таком случае действует общее правило получения персональных данных – согласие работника. Что касается удаления фото после увольнения: если согласие работника ограничено сроком трудового договора, то наниматель обязан удалить фотографию по истечении такого срока согласия. Работник может потребовать удаления фотографии и до истечения срока согласия, а наниматель, в свою очередь, не вправе отказать ему.

Зпись вебинара «Новые подходы к защите персональных данных»

Автор публикации: Беседовала Елена ПЕТРОШЕВИЧ


***
Актуально: рубрики
Актуально
Важно
Мы в соцсетях
Архивы «ЭГ»
Подборки
Полезное