Российский законодатель лишил работодателя возможности напрямую использовать правовую возможность оценки баланса интересов. Тем самым, законодатель взял на себя ответственность за правовое обеспечение всех возможных законных интересов работодателя в специальных статьях, например, законодательства о труде. В дальнейшем, рассматривая анализ правовых коллизий, связанных с трудовыми отношениями, читателю следует самостоятельно учитывать это обстоятельство и, соответственно, «примерять» российский Закон к обсуждаемым вопросам.
Российский законодатель, как и в случае с оценкой баланса интересов, не предусмотрел возможности для работодателя обрабатывать особые персональные данные своих работников без их согласия. С первой частью этого материала можно познакомиться по ссылке: http://psj.ru/saver_magazins/detail.php?ID=19455
Еще одно замечание: это когда обработка относится к данным, которые являются необходимыми для внесения, поддержания или защиты судебных исков.
Чаще всего данное положение может иметь отношение к рассматриваемому вопросу в случаях, связанных с претензиями работника по отношению к своему работодателю, например, при увольнении и передачи соответствующих данных в суд или адвокату. Соответственно, удовлетворение данному положению возможно при возникновении конкретной ситуации, но не ходе повседневной жизни.
Также в случае, если обработка данных требуется в целях превентивной медицины, медицинского диагноза, предоставления медицинского обслуживания, лечения или управления услугами здравоохранения, а также если такие данные находятся во владении лица, профессионально занимающегося медицинской деятельностью в соответствии с национальным законодательством или правилами, установленными компетентными национальными органами, устанавливающими обязательства сохранения профессиональной тайны, или иного лица, также имеющего эквивалентные обязательства по сохранению тайны.
По преимуществу данное положение применимо в случаях, связанных с необходимостью получения данных о здоровье работника, когда эти сведения могут раскрывать профзаболевания.
Не имея возможности воспользоваться ни одним из перечисленных правовых оснований, работодатель оказывается перед неизбежностью получения согласия работника на обработку его персональных данных, если продолжает считать такую обработку необходимой.
Евродиректива определяет согласие как «любое свободно данное конкретное и сознательное указание о своей воле, которым субъект данных оповещает о своем согласии на обработку касающихся его персональных данных».
Более того, согласие в случае особых персональных данных должно быть явным, что практически сводится к письменному оформлению согласия.
Приняв решение опираться на согласие работника, работодатель должен отдавать себе отчет в том, что было бы самообманом ориентироваться исключительно на согласие работника. Свобода согласия работника означает его право в любой момент и без объяснения причин отозвать согласие. Тем самым, в случае, если работник не может в силу объективных обстоятельств, навязанных работодателем, не дать согласия, а равно не имеет возможности в любой момент отказаться от своего согласия без неблагожелательных для себя последствий, то это не является согласием в терминах Евродирективы.
В случае особых персональных данных следует напомнить, что согласие на обработку может быть признано ничтожным.
Наиболее сложной является ситуация, когда согласие является условием приема на работу. Теоретически, претендент на рабочее место может не давать своего согласия, однако в этом случае он теряет возможность эту работу получить. В таких случаях согласие не может быть признано имеющим законную силу, ввиду того, что оно выражено не свободно.
Кроме этого, в случаях, когда приходится полагаться на согласие, необходимо тщательно рассмотреть каждый из этих конкретных случаев с точки зрения применения к ним общих принципов обработки персональных данных. Действуя, исходя из законных оснований, работодатель, должен также соблюдать принципы обработки персональных данных.
Осведомленность работника
Принцип честности в рассматриваемом контексте отношений поднимает вопрос об осведомленности работника о производимых действиях. Этот вопрос является в данном контексте определяющим.
Подавляющее большинство действий работодателя могут рассматриваться как нарушающие закон, не потому, что они незаконны сами по себе, а потому, что не выполняется условие осведомленности об этих действиях работника. Как минимум, работник должен быть поставлен в известность о том, какие данные о нем собираются (непосредственно от него или из других источников и другими способами) и для каких целей происходит обработка. Прозрачность гарантирует также право работника на доступ к этим данным.
Пример:
Интерес работодателя к тому, на какое количество телефонных звонков ответил работник, является законным. Однако работодатель не будет выходить за рамки закона в том случае, если о сборе таких данных работник будет должным образом проинформирован.
Законность
Это требование оказывается критичным тогда, когда выбор работодателем правового основания не является однозначным. Следует подчеркнуть, что применение правового основания оценки баланса интересов (статья 7(f) Евродирективы), если оно применимо, не дает, тем не менее, работодателю карт-бланш на любую обработку персональных данных. В любом случае требуется не только выполнение требований принципа пропорциональности, но сама применимость указанной статьи не лишает работника его прав и свобод.
Пример:
Работодатель имеет законный интерес в получении данных о выполнении работником своих обязанностей и, соответственно, обрабатывать необходимые персональные данные. Принцип законности может считаться выполненным, если слежение за работником не нарушает его прав и свобод. Это будет проиллюстрировано на примере слежения за использованием работником электронной почты или Интернета.
Принцип пропорциональности
Презюмируя информированность работников об обработке и законность самой обработки, необходимо специально подчеркнуть, что в любом случае персональные данные должны быть:
«адекватными, относящимися к делу и не избыточными в отношении целей, для которых они собираются и/или в дальнейшем обрабатываются».
В конечном итоге, выполнение принципа пропорциональности ведет к обеспечению честности по отношению к работнику, чьи персональных данных подвергаются обработке. Это очевидно также, исходя из тех соображений, что работодатель должен действовать таким образом, чтобы минимально вторгаться в частную жизнь работников. Избыточность данных, в частности, увеличивает риск такого вторжения.
Пример:
При приеме на работу работодателю необходимо знать (для самых разных возможных целей), имеет ли претендент на работу автомобиль и право на вождение. Однако будет выходящим за рамки допустимого спрашивать о марке автомобиля или его цвете.
Точность и полнота персональных данных
Работодатель должен обеспечивать необходимую точность и полноту обрабатываемых персональных данных работников, а также уничтожать те данные, которые не отвечают этим требованиям. При этом он должен действовать, исходя из той цели, для которой персональные данные собирались. Соответственно, подлежат уничтожению те персональные данные, необходимость в которых исчезла.
Пример:
Данные, которые подлежат передаче госведомствам на основании предписаний закона, должны быть уничтожены после того, как истек предписанный законом срок их хранения.
Безопасность обработки
Работодатель обязан предпринять адекватные меры организационного и технического свойства для обеспечения защищенности тех баз данных, которые содержат персональные данные работников. Персональные данные должны быть недоступны для чересчур любознательных коллег по работе или третьих лиц. Современные технологии позволяют не только не допустить неавторизованный доступ к данным, но и установить контроль доступа и учет конкретных запросов данных. Соответственно, в случае, если обработка персональных данных поручена обработчику, то соответствующие меры обеспечения защищенности персональных данных должны быть предметом договора между работодателем и обработчиком.
Организационные меры обеспечения безопасности обработки включают в себя также меры, направленные на обучение штатных сотрудников, связанных; обработкой персональных данных.