Персональные данные в сфере трудовых отношений (Турысбекулы Мади, ведущий юрист АО «Mega Center Management», Муратбек Багжана, юрист АО «АИФН «Mega Center Plus»)

Корреспонденты на фрагмент
Поставить закладку
Посмотреть закладки
Добавить комментарий

Персональные данные в сфере трудовых отношений

Турысбекулы Мади

Ведущий юрист АО «Mega Center Management»

Муратбек Багжана

Юрист АО «АИФН «Mega Center Plus»

Смотрите:

Часть 2

Часть 3

Предисловие

28 января 1981 года в г. Страсбурге была заключена Конвенция о защите физических лиц при автоматизированной обработке персональных данных.

28 января ежегодно, начиная с 2007 года, отмечается Международный день защиты персональных данных (Data Protection Day). Этот праздник был учрежден с целью повышения осведомленности всех лиц (в том числе, компаний), пользующихся Интернетом, и для продвижения наиболее прогрессивных методов (способов) обеспечения конфиденциальности и защиты данных.

Решение отмечать этот праздник было принято 26 апреля 2006 года комитетом министров Совета Европы. По прошествии трех лет, 26 января 2009 года, Палата представителей США приняла резолюцию HR 31, объявив 28 января Национальным днем конфиденциальных данных (National Data Privacy Day).

В числе стран, отмечающих данный праздник числятся США, Канада, Израиль, а также 47 странах Европы.

Конвенция о защите физических лиц при автоматизированной обработке персональных данных стала первым международным договором, обязывающим обеспечить защиту персональных данных, а также определившим механизмы защиты прав человека на неприкосновенность его личной жизни. Кроме того, Конвенция предоставила определение термина «персональные данные».

Основными принципами обработки и защиты персональных данных, предлагаемыми Конвенцией, стали:

- добросовестность и законность получения и обработки персональных данных;

- накопление для точно определенных и законных целей, с запретом использовать в противоречие таким целям;

- адекватность, т.е. персональные данные должны относиться к делу и не быть избыточными применительно к целям, для которых они накапливаются;

- точность (в случае необходимости, персональные данные могут обновляться);

- хранение в такой форме, которая позволяет идентифицировать субъектов данных не дольше, чем этого требует цель, для которой эти данные накапливаются.

В Казахстане специальный нормативный правовой акт был принят лишь в 2013 году, когда 21 мая Президентом Республики Казахстан был подписан Закон Республики Казахстан «О персональных данных и их защите» (далее - Закон). Вместе с тем, стоит отметить, что термин «персональные данные» применялся в законодательстве Казахстана еще до принятия вышеупомянутого закона.

В настоящее время вопросы защиты персональных данных в отношениях между гражданами (как субъектами персональных данных, с одной стороны) и юридическими лицами (как собственниками и/или операторами базы, содержащей персональные данные, с другой), регулируются не только специальным законом, но и рядом отраслевых нормативных правовых актов (в том числе, подзаконных актов). Не стало исключением и трудовое законодательство, которое, в целом, отсылает к общим нормам (содержащимся в Законе) при возникновении вопросов, связанных с защитой персональных данных работников.

В настоящей статье мы бы хотели затронуть ряд насущных (по мнению авторов) проблем, связанных с защитой персональных данных в сфере трудовых правоотношений. При этом, для удобства читателей, авторы разделят настоящую публикацию на три части:

Часть 1. Защита персональных данных на стадии поиска персонала.

Часть 2. Защита персональных данных при приеме на работу и в период трудовых отношений.

Часть 3. Защита персональных данных после прекращения трудовых отношений.

Отметим сразу, что мы намеренно не используем словосочетание «персональные данные работника», поскольку любой работодатель (юридическое лицо или индивидуальный предприниматель), при обращении с персональными данными, обязан соблюдать ограничения, которые закреплены в Законе, не только в период существующих трудовых отношений, но, и на стадии поиска работника на вакантную должность, а также после прекращения трудовых отношений. В связи с чем, считаем использование словосочетания «персональные данные работника» будет некорректным и может ввести читателей в заблуждение. Также мы не будем рассматривать ситуации, при которых получение согласия на сбор и обработку персональных данных не требуется в силу того, что такие персональные данные признаются общедоступными.

Часть 1. Защита персональных данных на стадии поиска персонала

Задумывались ли вы над тем, что работодатель может нарушить Закон еще до того, как официально оформляются трудовые отношения? Казалось бы, что это невозможно, т.к. любой потенциальный кандидат самостоятельно (по собственному волеизъявлению) размещает и рассылает собственное резюме в адрес потенциальных работодателей и/или кадровых агентств, откликаясь на размещенные вакансии, в том числе посредством электронных сервисов (пример, Headhunter, LinkedIn или GoRecruit).

Однако, не все так просто, как может показаться на первый взгляд.

Рассмотрим три наиболее распространенных случая:

1. Получение резюме работодателем через электронный сервис;

2. Получение резюме работодателем непосредственно от потенциального кандидата, от кадрового агентства[1] или третьих лиц (посредством электронной почты, через мессенджер или на бумажном носителе «из рук в руки»)

3. Самостоятельный сбор информации (в том числе, персональных данных) о кандидате из других источников.

Как правило, любой пользователь Интернета, используя тот или иной электронный сервис в целях поиска работы, проходит процедуру регистрации, по результатам которой ему присваивается уникальное имя (логин) и пароль.

Тем самым, с учетом правил использования электронного сервиса, любой пользователь, размещая резюме и внося персональные данные (в момент регистрации или в последующем), выражает свое согласие и предоставляет собственнику/ оператору право на сбор и обработку персональных данных.

К примеру, в Условиях использования Сайтов, размещенных на hh.kz, указано следующее:

«Пользователь, предоставляя при регистрации на Сайте либо в последующем какие-либо данные, в том числе персональные данные, в соответствии с Законом Республики Казахстан от 21 мая 2013 года № 94-V «О персональных данных и их защите» выражает (предоставляет) свое согласие Администрации Сайта на осуществление со всеми предоставленными персональными данными следующих действий: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление или изменение), извлечение, использование, распространение, предоставление, доступ, обезличивание, блокирование, удаление, уничтожение, а также иных действий по обработке персональных данных для указанных выше целей. Срок размещения персональных данных не ограничен и определяется самостоятельно субъектом персональных данных»[2].

Хотим обратить внимание на то, что работодателям следует помнить, что согласие, предоставленное пользователем собственнику/ оператору базы, содержащей персональные данные, не предоставляет работодателю право неограниченно пользоваться персональными данными, размещенными в электронном сервисе. До тех пор, пока работодатель обрабатывает персональные данные в рамках электронного сервиса, в том числе, ведет переписку, приглашает на собеседование и т.п., действия работодателя считаются законными и получение отдельного согласия на сбор и обработку персональных данных, - не требуется.

Однако, как только работодатель выходит за рамки электронного сервиса: копирует, скачивает, распечатывает или иным образом переносит обработку персональных данных вне электронного сервиса, - он обязан получить отдельное согласие от субъекта персональных данных, поскольку ответственность собственника/ оператора базы ограничена рамками их электронного сервиса.

Бывают ситуации, когда персональные данные и иную информацию на электронном сервисе вносит не сам кандидат (соискатель), а третье лицо (в том числе, близкий родственник). В этом случае, ответственность за такие действия несет сам кандидат (соискатель), поскольку ни работодатель, ни собственник/ оператор базы, содержащей персональные данные не могут отследить - кто именно вносит информацию о кандидате. Соответствующая оговорка (об освобождении собственника/ оператора базы, содержащей персональные данные, от ответственности за то, что персональные данные кандидата могут быть раскрыты третьим лицом) присутствует в условиях использования электронного сервиса.

1. Получая резюме непосредственно от потенциального кандидата на вакантную должность или через кадровое агентство, работодатель обязан самостоятельно позаботиться о получении согласия на сбор и обработку персональных данных.

Если с получением согласия непосредственно от потенциального кандидата вопросов не возникает (необходимо получить подпись от самого соискателя), то как быть в ситуации с кадровым агентством?

Как правило, вопросом получения согласия по сбору и обработке персональных данных соискателей занимаются сами кадровые агентства. Однако, следует помнить, что в целях снижения правовых рисков для работодателя, рекомендуется (до начала договорных отношений с кадровым агентством):

- внимательно ознакомиться с существующими внутренними документами (в том числе, формой согласия) кадрового агентства, регулирующими процесс сбора и обработки персональных данных. При приглашении того или иного кандидата на собеседование, рекомендуем получать от кадрового агентства копию согласия, подписанного соискателем;

- в договоре на оказание услуг, заключаемом с кадровым агентством, в обязательном порядке отразить, что последнее несет все риски, связанные с возможным нарушением действующего законодательства Республики Казахстан в области персональных данных, а также указать на то, какая из сторон договора несет те или иные обязательства в отношении обработки персональных данных соискателей. Четкое разграничение таких обязательств, вкупе с закрепленными мерами ответственности кадрового агентства, позволит снизить риски работодателя по данному вопросу.

Нередки случаи, когда резюме, содержащие персональные данные соискателей, поступают к работодателю от третьих лиц. К числу таких лиц можно отнести коллег из других компаний, друзей, родственников или знакомых. Во всех вышеупомянутых случаях мы бы рекомендовали не рисковать и удалять (уничтожать) такие резюме. Даже передача резюме внутри одной группы компаний (от одного юридического лица другому) считается незаконной.

В случае, если резюме размещено в Интернете на сайте, имеющем открытый доступ, рекомендуется не скачивать такое резюме (с большой вероятностью будет признано незаконным), а ограничиться ссылкой на него, без указания в переписке персональных данных самого соискателя.

В то же время, снизить правовые риски работодатель может одним из следующих способов:

· пригласить соискателя на собеседование. Явка кандидата в назначенное время на собеседование служит свидетельством тому, что соискатель предоставляет свое согласие на сбор и обработку его персональных данных;

· направить сообщение (на электронный адрес или через мессенджер, указанные в резюме) кандидату, с просьбой подтвердить заинтересованность в вакансии, имеющейся у работодателя. Положительный ответ соискателя (заинтересованность в вакансии, заполнение типовой анкеты работодателя и т.п.) также признается согласием на сбор и обработку персональных данных.

2. Самостоятельный сбор информации (в том числе, персональных данных) о кандидате из других источников также может нести для работодателя правовые риски, в случае нарушения Закона.

В большинстве крупных компаний довольно распространена практика, в соответствии с которой информацию об интересующем работодателя кандидате собирают через специальные базы (сервисы) и социальные сети. Сразу оговоримся, что в Казахстане отсутствует закон о частной детективной деятельности, в связи с чем, подобные действия (фактически, деятельность детектива) не запрещены. Однако, это не означает, что подобный сбор информации (не только о персональных данных, но, и информации, относящейся к частной жизни) в отношении соискателя однозначно будет признан законным. Сбор персональных данных через социальные сети и/или специальные базы (к примеру, сервисы, содержащие информацию о наличии/отсутствии налоговой задолженности, о наличии/отсутствии обременений на недвижимое имущество и др.) может быть признан законным, только если осуществляется сбор общедоступных персональных данных. Во всех остальных случаях, считаем, что требуется отдельное согласие от соискателя на сбор и обработку персональных данных.

Незаконным может быть признан также и сбор персональных данных, которые собраны (созданы) для различных целей: к примеру, резюме, содержащее персональные данные соискателя и размещенное в открытом доступе на сайте по поиску работы, не может быть признано аналогичным (по целевым критериям) информации, которая содержится в базе данных налоговых органов.

Чтобы снизить правовые риски для работодателя в этой ситуации, рекомендуется:

· не хранить весь собранный материал и данные в одном файле (папке или документе, содержащем ссылки на веб-сайты);

· в резюме соискателя сделать отметку о том, что информация по соискателю была получена также из других источников (опять же, без ссылки на веб-сайты).

В целом, чтобы снизить правовые риски для работодателя на этапе поиска соискателя на вакантную должность, мы бы рекомендовали:

a. Разработать и утвердить внутренние правила (с их последующим размещением на официальной странице компании-работодателя для возможности самостоятельного ознакомления всех заинтересованных лиц с их содержанием), в которых, помимо общих положений, необходимо подробно указать все действия, которые совершаются работодателем в отношении сбора и обработки персональных данных соискателей, а также о мерах, предпринимаемых работодателем в целях защиты персональных данных соискателей от незаконного разглашения/ раскрытия;

b. Приказом назначить лицо, из числа работников HR отдела, ответственное за сбор и обработку персональных данных соискателей, а также работников;

c. Создать все условия, необходимые для защиты персональных данных соискателей и работников (в том числе, выделить несгораемый шкаф/сейф для хранения резюме соискателей, запираемый на ключ и исключающий бесконтрольный доступ к резюме соискателей).

В следующей публикации мы обратимся к правовым рискам в связи со сбором и обработкой персональных данных, с которыми работодатель может столкнуться на этапе непосредственно приема на работу и оформления трудовых отношений, а также в период существования самих трудовых отношений.

[1] Говоря о «кадровом агентстве», авторы имеют в виду любых посредников (рекрутеров), которые оказывают услуги работодателям (нередко и соискателям) по поиску и подбору персонала, а также иные сопутствующие услуги.

[2] Пункт 6.6. Условий использования Сайтов (в редакции от 02.10.2020 г.). https://hh.kz/terms

См. часть 2