Соцмережі під захистом ЄС: роботодавцям прикривають доступ до особистої інформації
Євросоюз дав старт перегляду відносин працівників і роботодавців, ухваливши рішення з такого питання, як вивчення роботодавцями даних із соціальних мереж.
Ця проблема за останні роки стала однією з найактуальніших. За даними CareerBuilder, близько 60% європейських роботодавців використовують отриману в соціальних мережах інформацію, перш ніж ухвалити рішення щодо кандидатів.
Чи законно це? Чи достатньо захищена приватна інформація? Всі ці питання стали об'єктом регулювання в ЄС.
25 травня 2018 року набирає чинності Регламент 2016/679 Європейського парламенту і Ради від 27 квітня 2016 року "Про захист фізичних осіб стосовно обробки персональних даних та про вільне переміщення таких даних, а також про скасування Директиви 95/46/ЄС".
Цей Регламент, що підлягає прямому застосуванню як закон у всіх державах-членах ЄС, викликає чимало побоювань в осіб, які так чи інакше обробляють персональні дані. Це пов'язано як з цілою низкою нових правил, так і з тим, що
порушення при обробці персональних даних можуть призвести до відповідальності у вигляді штрафів у розмірі до 20 млн євро або до 4% від загального щорічного обороту за попередній фінансовий рік
(залежно від того, який показник вище).
Напередодні набрання Регламентом чинності Робоча група із захисту фізичних осіб при обробці персональних даних (незалежний консультативний орган ЄС) підготувала 8 червня висновок про обробку персональних даних на робочому місці.
Цей висновок покликаний підготувати до застосування Регламенту 2016/679 і дати роз'яснення з тих чи інших питань, які вже виникають у роботодавців, в тому числі у зв'язку з існуванням нових технологій, що дозволяють здійснювати більш системну обробку персональних даних.
У порівнянні з існуючою Директивою 95/46 / ЄС, Регламент 2016/679 значно посилює пов'язані з обробкою персональних даних норми, переслідуючи необхідність якомога більше захистити персональні дані. Серед нововведень можна відзначити таке:
- до компаній не з країн-членів ЄС, які працюють з контрагентами та/або клієнтами з країн-членів ЄС, будуть застосовуватися положення Регламенту 2016/679, а деяким, можливо, доведеться призначити представника в ЄС;
- в певних обставинах власникам персональних даних потрібно буде призначати спеціально уповноважену особу з питань обробки персональних даних;
- значна увага була приділена концепції "згоди суб'єкта на обробку своїх персональних даних", яка має бути вільною і яку можна легко відкликати;
- встановлено більш детальні правила щодо повідомлення суб'єкта про обробку його персональних даних;
- визначено, що державний орган, уповноважений у сфері обробки персональних даних, має бути повідомлений про будь-який незаконний доступ до персональних даних протягом 72 годин (за винятком деяких випадків);
- врегульовано "право бути забутим", що означає можливість суб'єкта персональних даних у низці випадків вимагати видалення всіх своїх даних у їх власника.
Роз'яснення для рекрутерів
У висновку робочої групи проаналізовані 9 різних сценаріїв, які можуть мати місце при обробці персональних даних у зв'язку з трудовими відносинами (наприклад, при використанні інформаційно-комунікаційних технологій на робочому місці, службових автомобілів, у зв'язку з розкриттям даних працівника третім особам).
Водночас особливу увагу звертають на себе роз'яснення для сценарію "пошуку персоналу". Багато оглядачів навіть відзначають, що новий Регламент – це шанс привести до ладу сферу рекрутингу, в якій, на думку таких оглядачів, погано захищаються не тільки дані претендентів, але навіть дані клієнтів (потенційних роботодавців).
Робоча група зазначила, що претендент має бути коректно повідомлений про будь-яку обробку своїх персональних даних, перш ніж стати учасником процесу відбору персоналу. Таке повідомлення, наприклад, може міститися в оголошенні про вакансію. Сам факт відкритого доступу до профілю здобувача в соціальних мережах не дає права роботодавцям обробляти персональні дані звідти для власних цілей.
Щоб роботодавець міг вивчати чиюсь сторінку в соціальних мережах, необхідна правова підстава і пов'язана із запропонованою вакансією причина (так званий "законний інтерес"). Більш того,
перш ніж аналізувати профіль претендента в соціальних мережах, роботодавець має оцінити, чи стосується цей профіль особистого життя, чи все ж професійної діяльності.
Збирати і обробляти персональні дані роботодавці можуть тільки в тому обсязі, в якому це необхідно для виконання роботи на посаді, на яку претендує людина. Наприклад, щоб отримати можливість оцінити конкретний ризик щодо кандидата на виконання конкретної функції.
Зібрані в процесі пошуку персоналу дані повинні, за загальним правилом, бути видалені, тільки-но стане очевидним, що пропозиції про працевлаштування конкретній особі не буде або відповідний претендент відхилив пропозицію про працевлаштування.
Концепція "згоди"
Для України ця проблема ще актуальніша, ніж для ЄС. Для порівняння, в нашій країні, за даними HeadHunter, соцмережі при підборі персоналу вивчають майже 70% роботодавців.
Чи можливо у нас впровадження подібних норм?
Україна лише наближається до стандартів Євросоюзу щодо гарантій прав і свобод людини, невід'ємною частиною яких є право на захист персональних даних. Так, в українському законодавстві "згода суб'єкта персональних даних на обробку його персональних даних" є, мабуть, головною підставою для їх обробки відповідно до статті 11 закону України "Про захист персональних даних".
Тільки з ухваленням цього закону, який набрав чинності 1 січня 2011 року, ми отримали можливість нарешті порівняти обсяг інформації про себе, що її хтось запитує, з метою її надання. Однак норми документа вже значно відстають від розвитку технологій і вимог часу.
Що в першу чергу необхідно змінити?
Принципово важливими для України є висновки Робочої групи про те, що
концепція "згоди" не працює в ситуації, коли суб'єкт не є по-справжньому незалежним від того, хто запитує дані.
Так, в разі незгоди працівника на обробку персональних даних виникає реальне або потенційне упереджене ставлення до нього. А отже, згода недійсна, оскільки не може даватися вільно.
Відповідно, на думку Робочої групи, правовою підставою такої обробки даних не може бути згода працівників, і необхідні інші правові підстави, в тому числі законний інтерес і необхідність (наприклад, якщо це потрібно в силу закону або у зв'язку з виконанням трудового договору з працівником).
Подальші перспективи
Попри те, що сам Регламент 2016/679 є нормативним актом прямої дії, державам-членам ЄС все ж доведеться вносити зміни до національного законодавства, як для гармонізації норм, так і для встановлення більш детальних правил у випадках, коли Регламент 2016/679 містить лише загальні положення.
Проекти відповідних законопроектів уже опубліковані, наприклад, у Німеччині, Польщі та Нідерландах.
Повною мірою оцінити вплив Регламенту 2016/679 на фактичні відносини у сфері обробки персональних даних, в тому числі трудові відносини, можна буде не раніше, ніж за кілька років після початку його застосування.
Втім, вже зараз можна очікувати значної кількості судових розглядів щодо зв'язаних з Регламентом питань на національному рівні та в Європейському суді з прав людини.
Важливо, що практику ЄСПЛ враховують українські суди при розгляді аналогічних справ. А отже, європейські норми щодо захисту персональних даних мають вплив і на права українських працівників.
Автор: Леонід Гілевич,
юрист ЮФ "Ілляшев та Партнери"
Публікації в рубриці "Експертна думка" не є редакційними статтями і відображають виключно точку зору автора