Соцсети под защитой ЕС: работодателям прикрывают доступ к личной информации
Евросоюз дал старт пересмотру взаимотношений работников и работодателей, приняв решение по такому вопросу, как изучение работодателями данных из социальных сетей.
Эта проблема за последние годы стала одной из наиболее актуальных. По данным CareerBuilder, около 60% европейских работодателей пользуются полученной в социальных сетях информацией, прежде чем принять решение о кандидатах.
Законно ли это? Достаточно ли защищена приватная информация? Все эти вопросы стали объектом регулирования в ЕС.
25 мая 2018 года вступает в силу Регламент 2016/679 Европейского парламента и Совета от 27 апреля 2016 года "О защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных, а также об отмене Директивы 95/46/ЕС".
Этот Регламент, подлежащий прямому применению как закон во всех государствах-членах ЕС, вызывает немало опасений у лиц, так или иначе обрабатывающих персональные данные. Это связано как с целым рядом новых правил, так и с тем, что
нарушения при обработке персональных данных могут привести к ответственности в виде штрафов в размере до 20 млн евро или до 4% общего ежегодного оборота за предыдущий финансовый год
(в зависимости от того, какой показатель выше).
В предверии вступления Регламента в силу Рабочая группа по защите физических лиц при обработке персональных данных (независимый консультативный орган ЕС) подготовила 8 июня заключение об обработке персональных данных на рабочем месте.
Данное заключение призвано подготовить к применению Регламента 2016/679 и дать разъяснения в отношении тех или иных вопросов, которые уже возникают у работодателей, в том числе в связи с существованием новых технологий, позволяющих осуществлять более системную обработку персональных данных.
По сравнению с существующей Директивой 95/46/ЕС, Регламент 2016/679 существенно ужесточает связанные с обработкой персональных данных нормы, преследуя необходимость как можно больше защитить персональные данные. Среди новшеств можно отметить следующее:
- к компаниям не из стран-членов ЕС, которые работают с контрагентами и/или клиентами из стран-членов ЕС, будут применяться положения Регламента 2016/679, а некоторым, возможно, придется назначить представителя в ЕС;
- в определенных обстоятельствах владельцам персональных данных нужно будет назначать специально уполномоченное лицо по вопросам обработки персональных данных;
- значительное внимание было уделено концепции "согласия субъекта на обработку своих персональных данных", которое должно быть свободным и легко отзываемым;
- установлены более детальные правила в отношении уведомления субъекта об обработке его персональных данных;
- определено, что государственный орган, уполномоченный в сфере обработки персональных данных, должен быть уведомлен о любом незаконном доступе к персональным данным в течение 72 часов (за исключением некоторых случаев);
- урегулировано "право быть забытым", означающее возможность субъекта персональных данных в ряде случаев требовать удаления всех своих данных у их владельца.
Разъяснения для рекрутеров
В заключении рабочей группы проанализированы 9 различных сценариев, которые могут иметь место при обработке персональных данных в связи с трудовыми отношениями (например, при использовании информационно-коммуникационных технологий на рабочем месте, служебных автомобилей, в связи с раскрытием данных работника третьим лицам).
В то же время особое внимание обращают на себя разъяснения для сценария "поиска персонала". Многие обозреватели даже отмечают, что новый Регламент – это шанс привести в порядок сферу рекрутинга, в которой, по мнению таких обозревателей, из рук вон плохо защищаются не только данные соискателей, но даже данные клиентов (потенциальных работодателей).
Рабочая группа отметила, что соискатель должен быть корректно уведомлен о любой обработке своих персональных данных, прежде чем стать участником процесса отбора персонала. Такое уведомление, к примеру, может содержаться в объявлении о вакансии. Сам факт открытого доступа к профилю соискателя в социальных сетях не дает права работодателям обрабатывать персональные данные оттуда для собственных целей.
Чтобы работодатель мог изучать чью-либо страницу в социальных сетях, необходимо правовое основание и связанная с предложенной вакансией причина (так называемый "законный интерес"). Более того,
прежде чем анализировать профиль соискателя в социальных сетях, работодатель должен будет оценить, относится ли такой профиль к личной жизни или же профессиональной деятельности.
Собирать и обрабатывать персональные данные работодатели могут только в том объеме, в котором это необходимо для выполнения работы на должности, на которую претендует соискатель. Например, чтобы получить возможность оценить конкретный риск в отношении кандидата на выполнение конкретной функции.
Собранные в процессе поиска персонала данные должны, по общему правилу, быть удалены, как только станет очевидно, что предложение о трудоустройстве конкретному лицу сделано не будет или соответствующий соискатель отклонил предложение о трудоустройстве.
Концепция "согласия"
Для Украины эта проблема еще более актуальна, чем для ЕС. Для сравнения, в нашей стране, по данным HeadHunter, соцсети при подборе персонала изучает почти 70% работодателей.
Возможно ли у нас внедрение подобных норм?
Украина лишь приближается к стандартам Евросоюза по гарантии прав и свобод человека, неотъемлемой частью которых является право на защиту персональных данных. Так, в украинском законодательстве "согласие субъекта персональных данных на обработку его персональных данных" является, пожалуй, главным основанием для обработки персональных данных согласно статье 11 закона Украины "О защите персональных данных".
Только с принятием этого закона, вступившего в силу 1 января 2011 года, мы получили возможность, наконец, соизмерить объем запрашиваемой информации о себе с целью ее предоставления. Однако его нормы уже значительно отстают от развития технологий и требований времени.
Что в первую очередь необходимо изменить?
Принципиально важными для Украины являются выводы Рабочей группы о том, что
концепция "согласия" не работает в ситуации, когда субъект не является по-настоящему независимым от запрашивающего данные лица.
Так, в случае несогласия работника на обработку персональных данных возникает реальное или потенциальное предвзятое отношение к нему. А значит, согласие недействительно, так как оно не может даваться свободно.
Соответственно, по мнению Рабочей группы, правовым основанием такой обработки данных не может быть согласие работников, и необходимы иные правовые основания, в том числе законный интерес и необходимость (например, если это требуется в силу закона или в связи с исполнением трудового договора с работником).
Дальнейшие перспективы
Несмотря на то, что сам Регламент 2016/679 – нормативный акт прямого действия, государствам-членам ЕС все же придется вносить изменения в национальное законодательство, как для гармонизации норм, так и для установления более детальных правил в случаях, когда Регламент 2016/679 содержит лишь общие положения.
Проекты соответствующих законопроектов уже опубликованы, к примеру, в Германии, Польше и Нидерландах.
В полной мере оценить влияние Регламента 2016/679 на фактические отношения в сфере обработки персональных данных, в том числе трудовые отношения, можно будет не ранее, чем через несколько лет после начала его применения.
Впрочем, уже сейчас можно ожидать значительного количества судебных разбирательств по связанным с Регламентом вопросам на национальном уровне и в Европейском суде по правам человека.
Немаловажно, что практику ЕСПЧ учитывают украинские суды при рассмотрении аналогичных дел. А значит, европейские нормы по защите персональных данных имеют влияние и на права украинских работников.
Автор: Леонид Гилевич,
юрист ЮФ "Ильяшев и Партнеры"
Публикации в рубрике "Экспертное мнение" не является редакционными статьями и отражают исключительно точку зрения автора