Публикации

Что следует учитывать, осуществляя обработку данных на предприятиях и в организациях

Юридические лица независимо от их сферы деятельности в повседневности неизбежно сталкиваются с обработкой данных различных физических лиц, в том числе сотрудников и клиентов. В рамках данной статьи бюро присяжных адвокатов „Rasa un Ešenvalds” хочет указать на наиболее существенные принципы, которые должны соблюдать предприятия и
организации при обработке данных физических лиц, а также на возможную ответственность за несоблюдение этих принципов. Особое внимание будет уделено обработке данных в сфере трудовых правовых отношений.

Обзор содержания понятия обработки личных данных

В соответствии со статьей 2 Закона о защите данных физических лиц личные данные – это любая информация частного характера о каком-либо лице, которая позволяет это лицо идентифицировать. Личные данные могут существовать в различных формах: в письменном виде в каком-либо документе или корреспонденции, в том числе и в электронном формате (например, персональный код и номер паспорта, который включен в паспорт лица или указан в послании электронной почты); в виде фотоизображения; звуковой или видеозаписи. Притом этот перечень не является исчерпывающим. Отдельная категория – чувствительные личные данные, которые указывают на расу, этническое происхождение, религиозные, философские и политические убеждения, участие в профсоюзах, а также дают информацию о здоровье или сексуальной жизни лица.

В свою очередь, обработка данных включает в себя любые действия, которые осуществляются с данными лица, в том числе, получение (сбор), регистрация, хранение, редактирование, организация, удаление данных, использование данных в какой-либо конкретной цели, а также их передача (разглашение) другим лицам. Так, например, обработкой данных считается получение от работника личного кода и включение его в личное дело работника, а также передача личного кода работника Службе государственных доходов. Лицо или орган, который обрабатывает данные физических лиц, является оператором личных данных.

Обязанность регистрации в Государственной инспекции данных

Следует указать, что в определенных случаях предприятия и организации, которые обрабатывают данные лиц, должны либо регистрировать самостоятельно обработку данных, либо это должен сделать специально выбранный и соответствующим образом квалифицированный специалист по защите данных в Государственной инспекции данных. Такая обязанность в соответствии со статьей 21 Закона о защите данных физических лиц существует в следующих случаях:
1) если обработка данных связана с направлением деятельности юридического лица (а именно, при оказании финансовых услуг или услуг страхования, при проведении розыгрышей или лотерей, рыночных исследований или исследований общественного мнения, при осуществлении отбора персонала или оценки персонала как вида коммерческой деятельности; а также при оказании услуг по возврату долга и услуг по обработке кредитной информации, как вида коммерческой деятельности);
2) если юридическое лицо осуществляет обработку чувствительных личных данных. Однако это не распространяется на случаи, когда обработку данных осуществляют в целях бухгалтерского учета или учета персонала (трудовых правовых отношений), а также, если данные обрабатывают религиозные организации;
3) если юридическое лицо осуществляет видеонаблюдение и полученные в результате этого записи, на которых изображены лица, сохраняются;
4) если данные предусмотрено передать государству, которое не является страной-участницей Европейского Союза или Европейской Экономической зоны.
Также регистрация необходима, если обрабатываются личные данные в связи с преступными деяниями и административными нарушениями, а также, если обрабатываются генетические данные. После успешной регистрации конкретное предприятие (организация) или специалист в сфере обработки данных включается в Регистр обработки данных, надзор за которым находится в компетенции Государственной трудовой инспекции.

Принципы, соблюдаемые при обработке данных

Закон о защите личных данных физических лиц предусматривает определенные принципы, которые оператор должен соблюдать при обработке личных данных.
Во-первых, обработка данных должна быть законной, таким образом, она может производиться только в определенных случаях, которые предусматривает Закон о защите личных данных физических лиц или другие законы. В контексте реализованной предприятиями и организациями обработки данных важно упомянуть следующие предусмотренные законом случаи, когда разрешено обрабатывать личные данные:

1) если лицо предоставило на это свое согласие, например, представляя копию своего паспорта. Притом это согласие должно быть осознанным и добровольным, а не возлагая его на лицо как обязанность, от которой нельзя отказаться;
2) если обработка данных следует из договорных обязательств конкретного лица или, учитывая его просьбу, обработка данных необходима, чтобы заключить соответствующий договор;
3) если обработка данных необходима, чтобы, соблюдая основные права человека, реализовать законные интересы оператора личных данных. Так, например, предприятие может размещать видеокамеры в здании бюро в определенных местах, чтобы защитить свое имущество от краж или другого вреда.
Во-вторых, данные могут быть обработаны только в соответствии с предусмотренной для этого целью, например, в целях трудовых правовых отношений, и в соразмерном объеме. Нарушением этого принципа будет считаться ситуация, когда предприятие или организация потребует от лица такие данные, которые для конкретной цели вовсе не являются необходимыми, например, такие медицинские данные о работнике, которые не нужны для обеспечения оформления листа нетрудоспособности. Притом в ситуациях, в которых на обработку данных необходимо согласие лица, уже полученные данные нельзя использовать в других целях, с которыми лицо не согласилось. В таком случае повторно необходимо получить согласие лица на новую цель обработки данных.

В-третьих, принцип прозрачности обработки данных предусматривает проинформировать лицо о целях, методах обработки данных, и о том, какие данные конкретного лица обрабатываются.
Оператор данных должен убедиться в правильности данных и в случае необходимости устаревшая или некорректная информация должна быть отредактирована или обновлена. В свою очередь, в случае, когда хранение данных больше не требуется для достижения определенных целей и нормативные акты не предусматривают обязанность ее дальнейшего хранения, эта информация должна быть уничтожена.

Обработка личных данных в сфере трудовых правовых отношений

С заключением трудового договора как работодатель, так и наемный работник осознают, что передали друг другу определенный объем конфиденциальной информации, который необходим для объективной цели, а именно, для полноценного начала трудовых отношений. В дальнейшем в рамках трудовых правовых отношений предприятие (организация) должно различными способами распоряжаться личными данными работника, поэтому важно обратить внимание на различные специфические аспекты обработки данных в этой области к дополнению к упомянутым ранее общим принципам обработки данных.

Во-первых, работодатель может осуществлять сбор только таких личных данных работника, которые объективно связаны с выполнением трудовых обязанностей и квалификацией. На предприятии (в организации) должно быть четко определено, кто (лицо, лица) осуществляет обработку данных. Это лицо должно иметь образование в вопросах обработки данных и одно должно быть проинструктировано о неразглашении обработанной информации другим лицам, в том числе, другим работникам в целях удовлетворения любопытства.

Данные работников могут быть переданы другим лицам или институциям только с согласия данного работником или без согласия в других случаях, определенных законом. Так, например, с согласия работника предприятие (организация) может передать личные данные работника страховому обществу в целях предоставления ему полиса страхования здоровья. В свою очередь, в соответствии со статьей 13 Закона о защите данных физических лиц в случаях, определенных законом, работодатель будет иметь обязанность предоставить информацию о работнике без его согласия государственным должностным лицам и должностным лицам самоуправления, например, полиции. Особо чувствительный аспект – придание публичной доступности данным работника, например, предание публичности CV и фотографии работника на домашней странице предприятия или в социальной сети. В таком случае согласие работника является обязательным.

В сфере использования Работником коммуникаций (телефонные разговоры, корреспонденция по электронной почте) и информационных технологий (интернета) работодатель должен особо уважать частную жизнь работника. Предприятие (организация) среди прочего не имеет права контролировать ни частные телефонные разговоры работника (выяснять их продолжительность, адресата разговоров, вести звукозапись), ни электронную переписку, ни проверять, какие сайты в интернете работник посещал, и какие комбинации клавиш вводил, используя клавиатуру. В этом контексте не имеет значения то, обеспечил ли работодатель коммуникациями или устройствами для использования и подключением интернета и осуществляет ли он оплату полученных услуг.

Однако в соответствии со статьей 55-56 Закона о труде работодатель может установить некоторые ограничения в отношении коммуникаций и использования интернета, включив их в правила внутреннего распорядка. Так, например, предприятие (организация) может определить, что электронная почта не используется для частной коммуникации или может блокировать определенные сайты в интернете.

Работодатель может осуществлять видеонаблюдение на рабочем месте, однако в таком случае обязательной обязанностью является регистрировать обработку данных или специалиста по обработке данных в Государственной инспекции данных. Для видеонаблюдения должна быть четко определена цель обработки данных, которой нельзя было бы достигнуть также эффективно с помощью других альтернативных средств. Такими целями могут быть, например, защита собственности предприятия (организации) или защита других лиц, особенно детей. Обычно видеонаблюдение осуществляется в публично доступных рабочих местах, например, в библиотеке или продовольственном магазине. Видеокамеры разрешено размещать у входов, выходов из здания, в коридорах и тому подобных местах, однако не в помещениях частного характера, особенно в туалетах или кабинетах работников. Об использовании видеонаблюдения работники обязательно должны быть проинформированы, притом в таком случае следует разместить предупредительные указатели, которые должны быть доступными как для работников, так и для других лиц, входящих в здание.

Предприятие (организация) должно обеспечить право работников иметь доступ к своим данным и выяснить цель и правовое основание для обработки данных. Следует указать, что даже очень рекомендуется информировать работников об этих правах по инициативе работодателя. Также работник имеет право требовать, чтобы его личные данные дополнили или исправили, а также прекратили их обработку или уничтожили их, если данные о лице являются неполными, устаревшими, ложными, противозаконно обработанными или они уже не требуются для цели хранения. Личные дела работника должны храниться соразмерный период времени, то есть, не дольше, чем эта информация необходима для достижения цели обработки данных, особенно, если трудовые правовые отношения были прекращены. Однако и в таком случае данные могут храниться, если это необходимо для определенной и важной цели, например, для расследования какого-либо инцидента на рабочем месте.

В случае, если предприятие (организация) не соблюдает упомянутые права работника, лицо может жаловаться на это в Государственную инспекцию данных, которая в таком случае может возбудить дело об административном нарушении и возложить административное наказание. Также работник может требовать компенсацию за вред, причиненный ему в результате обработки данных.

Ответственность

Бюро присяжных адвокатов Rasa un Ešenvalds указывает, что важность законности обработки данных и соблюдения других принципов подчеркивает возможная административная и даже уголовная ответственность, предусмотренная за несоблюдение этих требований. За незаконные действия с данными физического лица, за обработку данных без определенного законом регистрирования в Государственной инспекции данных, а также за отказ от предоставления субъекту данных запрошенной информации об обработке данных предусмотрена административная ответственность в статье 204.7 -204.9 Латвийского Кодекса административных нарушений. В случае, если предприняты незаконные действия с данными физического лица и таким образом причинен существенный вред, лицо может быть наказано в соответствии со статьей 145 Уголовного закона. Притом лицо, данные которого были противоправно обработаны, может требовать возместить ему причиненный вред и предоставить компенсацию путем искового судопроизводства.

Автор статьи: юрист Лаура Ямбушева, LL.M.

readvokati.lv