| ||||||||||||||||||||
|
|
|
Персональные данные в сфере трудовых отношений. Часть 3. Защита персональных данных после прекращения трудовых отношений
Турысбекулы Мади Ведущий юрист АО «Mega Center Management» Муратбек Багжана Юрист АО «АИФН «Mega Center Plus» Смотрите:
Третья, завершающая часть нашей публикации, коснется правовых рисков, с которыми работодатели могут столкнуться после прекращения трудовых отношений с работником. В настоящей публикации мы затронем лишь некоторые ситуации, которые могут повлечь за собой нарушение работодателем положений Закона РК «О персональных данных и их защите» (далее - Закон), а именно: 1. Обработка ПДн бывшего работника в силу требований действующего законодательства Республики Казахстан; 2. Обработка ПДн бывшего работника в иных случаях.
1. Обработка ПДн бывшего работника в силу требований действующего законодательства Республики Казахстан. С прекращением трудовых отношений, вне зависимости от оснований такого прекращения, казалось бы, на вопрос «Вправе ли работодатель продолжать обрабатывать ПДн бывшего работника?» может быть однозначный отрицательный ответ. Однако, на самом деле это не так. Действующее законодательство Республики Казахстан в определенных случаях возлагает на работодателя обязанность по обработке ПДн бывшего работника даже по истечении срока трудовых отношений. К числу таких случаев можно отнести (перечень неполный): a. Хранение первичных документов и приложений к ним, зафиксировавших факт совершения хозяйственной операции и явившихся основанием для бухгалтерских записей (кассовые документы и книги, банковские документы, книги учета покупок-продаж, корешки банковских чековых книжек, ордера, табели, извещения банков и переводные требования, акты о приеме, сдаче, списании имущества и материалов, квитанции, счета-фактуры, накладные и авансовые отчеты, переписка и другие документы) со сроком хранения 5 лет[1]; b. Хранение ведомости начисления заработной платы (лицевые карточки, счета работников) - 75 лет; c. Хранение исполнительных листов работников (исполнительные документы) - 5 лет; d. Хранение трудовых договоров, контрактов - 75 лет; e. Хранение договоров о полной материальной ответственности материально ответственного лица - 5 лет. Обращаем ваше внимание, что несмотря на тот факт, что тот или иной документ, содержащий ПДн бывшего работника, может храниться у работодателя продолжительное время, это обстоятельство не позволяет работодателю собирать и обрабатывать ПДн бывшего работника для целей, не совпадающих с целями, которые законодатель преследует в той или иной ситуации (к примеру, для целей налогообложения, бухгалтерского учета и т.д.). К примеру, обязанность работодателя по хранению трудового договора с бывшим работником не означает, что работодатель вправе собирать и обрабатывать ПДн бывшего работника для цели оформления новых трудовых отношений с таким работником (в случае его возвращения в компанию работодателя на прежнюю или иную должность). Для оформления трудовых отношений пусть и с бывшим работником необходимо будет получать новое согласие на сбор и обработку ПДн. Также считаем важным отметить следующее: хранение ПДн допускается в том виде, в котором они были собраны изначально. К примеру, если исполнительный лист бывшего работника был получен работодателем на бумажном носителе, работодателю не рекомендуется в последующем самостоятельно загружать (скачивать с Интернет-портала) исполнительный лист в электронном формате, как и не следует оцифровывать (сканировать в PDF, JPEG или иной формат) исполнительный лист с последующим его хранением на жестком диске или ином носителе информации (в том числе, облачном хранилище). В связи с чем, мы рекомендуем строго придерживаться тех целей, для которых осуществляется обработка ПДн бывшего работника, не допуская нарушений норм действующего законодательства Республики Казахстан.
2. Обработка ПДн бывшего работника в иных случаях. В ситуациях, когда обработка ПДн бывшего работника осуществляется работодателем в силу требований действующего законодательства Республики Казахстан, по большому счету все понятно, - согласие бывшего работника не требуется, если обработка ПДн осуществляется в целях и пределах, прямо предусмотренных законодательством Республики Казахстан. Однако, как быть работодателю в иных случаях, если возникает необходимость обработки ПДн бывшего работника? К примеру, если работодателю необходимо получить доступ к учетной записи работника, в целях доступа к его рабочей электронной почте. Или требуется получить доступ к рабочим контактам (контрагентов, клиентов и др.), сохраненным на мобильном телефоне (ноутбуке, планшете) работника, предоставленном работодателем. И в течение какого времени работодатель вправе обрабатывать ПДн работника после прекращения трудовых отношений? Постараемся ответить на эти вопросы. По общему правилу ПДн подлежат уничтожению, если они (ПДн) не нужны для достижения и реализации целей, ради которых они собирались и обрабатывались. В ситуации, когда трудовые отношения с работником прекращены, считаем, что работодатель вправе обрабатывать только те ПДн бывшего работника, которые необходимы для достижения целей осуществления деятельности компании работодателя. Говоря простым языком, - работодатель вправе обрабатывать ПДн бывшего работника, если такие ПДн связаны с его должностными обязанностями (трудовыми функциями), а не с личностью самого работника. Соответственно, все, что касается квалификации, опыта (стажа) работы, образования, состояния здоровья работника и аналогичной информации (непосредственно связанные с личностью работника, а не с его должностными обязанностями) - запрещено обрабатывать. Разница заключается в том, что ПДн, связанные с личностью бывшего работника никоим образом не препятствуют нормальному осуществлению деятельности компании работодателя, в то время, как ПДн, связанные с выполнением должностных обязанностей (трудовых функций) бывшего работника, имеют непосредственное отношение к деятельности компании работодателя. Так, к примеру, клиентская база (ФИО покупателей, их адреса, номера телефонов, история покупок и т.п.), которую бывший работник создавал, дополнял и актуализировал на регулярной основе в течение трудовых отношений, представляет для работодателя особую ценность и позволяет не только упростить работу, поскольку не требуется создание новой базы с нуля, но, и служит гарантией сохранения лояльности и удовлетворенности со стороны клиентов. Конечно, такая клиентская база может быть передана работником до даты прекращения трудовых отношений. Но, мы сомневаемся в том, что такие действия (передача клиентской базы уходящим работником заменяющему его работнику) осуществляются всеми без исключения и должным образом. Получение доступа к учетной записи бывшего работника позволит работодателю эффективным образом заменить ушедшего работника, возложив его должностные обязанности (трудовые функции) на другого работника. В связи с чем, считаем, что выходом из ситуации может стать согласие на сбор и обработку ПДн, в котором указаны цели и сроки обработки ПДн работника в случае его увольнения. Такое согласие может быть подписано, как в самом начале (при оформлении трудовых отношений), так и в последующее время. В том числе, непосредственно перед прекращением трудовых отношений. Хотим обратить ваше внимание на тот факт, что работодатель должен понимать и строго соблюдать пределы сбора и обработки ПДн бывшего работника. Так, в частности, личная информация и файлы бывшего работника, хранящиеся на компьютере (ноутбуке, планшете, телефоне или ином носителе), не могут собираться и обрабатываться работодателем без согласия бывшего работника. Кроме того, любая переписка частного характера, пусть даже и отправленная с рабочей электронной почты, также не может быть обработана работодателем[2]. Такая информация и файлы должны быть уничтожены (удалены), чтобы исключить их возможное использование не только работодателем и/или работниками, но, и иными лицами. Еще одним вопросом, который является немаловажным на наш взгляд, является вопрос о том, в течение какого времени работодатель вправе обрабатывать ПДн бывшего работника? Действующее законодательство Республики Казахстан в этом отношении не устанавливает четких границ, указывая, что срок хранения ПДн определяется датой достижения целей их сбора и обработки, если иное не предусмотрено законодательством Республики Казахстан. То есть работодатель самостоятельно должен определить предел времени, в течение которого он на законном основании может обрабатывать ПДн бывшего работника. Мы понимаем, что определить точные сроки для обработки ПДн бывшего работника порой бывает сложно, но, все же склоняемся к тому, что эти сроки должны быть разумными. К примеру, для бывших работников, чьи должностные обязанности не были связаны с большим количеством внешних контактов (клиентов/ деловых партнеров) и чьи трудовые обязанности не имели существенного (критического) значения для компании работодателя, нет смысла устанавливать длительный срок для обработки ПДн. В то же время, для бывших работников, занимавших посты, связанные с большим количеством внешних контактов, чьи трудовые обязанности имели для компании работодателя существенное значение (в их числе, руководители структурных подразделений, руководители исполнительного органа и т.п.), срок для обработки ПДн может быть большей продолжительности. Однако, повторимся, в любом случае, такой срок должен быть разумным. В заключение, мы рекомендуем работодателям предпринять следующие меры, которые позволят снизить правовые риски при обработке ПДн бывшего работника: a. В случаях, когда законодательством Республики Казахстан на работодателя возложена обязанность по обработке ПДн бывшего работника, осуществлять такую обработку следует исключительно в целях и в сроки, прямо установленные законодательством Республики Казахстан; b. В случаях, когда обработка ПДн бывшего работника не является обязанностью работодателя, необходимо получить от работника согласие на обработку ПДн после прекращения трудовых отношений. Согласие может быть подписано в любой момент: как при оформлении трудовых отношений, так и перед самым их прекращением; c. В политике по сбору и обработке ПДн работодателю необходимо предусмотреть цели и сроки (для разных категорий работников), в течение которых работодатель вправе обрабатывать ПДн бывших работников; d. Получение доступа к учетной записи (в том числе, к рабочей электронной почте) бывшего работника должно быть, во-первых, ограниченным, т.е. доступ вправе получить только один работник, который сможет копировать всю необходимую информацию и файлы в кратчайшие сроки на жесткий диск или иной носитель, во-вторых, такой доступ должен быть ограничен по времени, по истечение которого доступ автоматически прекращается для всех лиц. Любая информация и файлы, носящие личный характер, должны быть незамедлительно уничтожены; e. Необходимо настроить рабочую электронную почту бывшего работника на отправку автоматических сообщений в ответ на все входящие сообщения (с указанием контактов работника/-ов, который будет заниматься всеми вопросами/задачами бывшего работника, а также датой, по истечению которой рабочая электронная почта бывшего работника будет удалена). При этом не рекомендуем настраивать автоматическую переадресацию всех входящих сообщений на электронную почту другого работника, поскольку этот шаг не только несет в себе риски, связанные с обработкой ПДн бывшего работника за пределами оградительных сроков, но, и может стать потенциальным источником незаконного разглашения личной информации (в том числе, тайны личной жизни, личной переписки) о бывшем работнике. [1] Сроки хранения приводятся в соответствии с Приказом и. о. Министра культуры и спорта Республики Казахстан от 29 сентября 2017 года № 263 «Об утверждении Перечня типовых документов, образующихся в деятельности государственных и негосударственных организаций, с указанием срока хранения». [2] По общему правилу любой человек имеет право на тайну частной (личной) жизни, тайну личной переписки. Однако, из этого правила существуют исключения. Примером такого исключения является дело Garamukanwa v. the United Kingdom (application no. 70573/17), которое было рассмотрено, в том числе, в ЕСПЧ.
Доступ к документам и консультации
от ведущих специалистов |