Евросоюз дал старт пересмотру взаимотношений работников и работодателей, приняв решение по такому вопросу, как изучение работодателями данных из социальных сетей. 

Эта проблема за последние годы  стала одной из наиболее актуальных. По данным CareerBuilder, около 60% европейских работодателей пользуются полученной в социальных сетях информацией, прежде чем принять решение о кандидатах. 

Законно ли это? Достаточно ли защищена приватная информация? Все эти вопросы стали объектом регулирования в ЕС. 

25 мая 2018 года вступает в силу Регламент 2016/679 Европейского парламента и Совета от 27 апреля 2016 года "О защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных, а также об отмене Директивы 95/46/ЕС".

Этот Регламент, подлежащий прямому применению как закон во всех государствах-членах ЕС, вызывает немало опасений у лиц, так или иначе обрабатывающих персональные данные. Это связано как с целым рядом новых правил, так и с тем, что

нарушения при обработке персональных данных могут привести к ответственности в виде штрафов в размере до 20 млн евро или до 4% общего ежегодного оборота за предыдущий финансовый год

(в зависимости от того, какой показатель выше).

В предверии вступления Регламента в силу Рабочая группа по защите физических лиц при обработке персональных данных (независимый консультативный орган ЕС) подготовила 8 июня заключение об обработке персональных данных на рабочем месте.

Данное заключение призвано подготовить к применению Регламента 2016/679 и дать разъяснения в отношении тех или иных вопросов, которые уже возникают у работодателей, в том числе в связи с существованием новых технологий, позволяющих осуществлять более системную обработку персональных данных.

По сравнению с существующей Директивой 95/46/ЕС, Регламент 2016/679 существенно ужесточает связанные с обработкой персональных данных нормы, преследуя необходимость как можно больше защитить персональные данные. Среди новшеств можно отметить следующее:

• к компаниям не из стран-членов ЕС, которые работают с контрагентами и/или клиентами из стран-членов ЕС, будут применяться положения Регламента 2016/679, а некоторым, возможно, придется назначить представителя в ЕС;
• в определенных обстоятельствах владельцам персональных данных нужно будет назначать специально уполномоченное лицо по вопросам обработки персональных данных;
• значительное внимание было уделено концепции "согласия субъекта на обработку своих персональных данных", которое должно быть свободным и легко отзываемым;
• установлены более детальные правила в отношении уведомления субъекта об обработке его персональных данных;
• определено, что государственный орган, уполномоченный в сфере обработки персональных данных, должен быть уведомлен о любом незаконном доступе к персональным данным в течение 72 часов (за исключением некоторых случаев);
• урегулировано "право быть забытым", означающее возможность субъекта персональных данных в ряде случаев требовать удаления всех своих данных у их владельца.

Разъяснения для рекрутеров

В заключении рабочей группы проанализированы 9 различных сценариев, которые могут иметь место при обработке персональных данных в связи с трудовыми отношениями (например, при использовании информационно-коммуникационных технологий на рабочем месте, служебных автомобилей, в связи с раскрытием данных работника третьим лицам).

В то же время особое внимание обращают на себя разъяснения для сценария "поиска персонала". Многие обозреватели даже отмечают, что новый Регламент – это шанс привести в порядок сферу рекрутинга, в которой, по мнению таких обозревателей, из рук вон плохо защищаются не только данные соискателей, но даже данные клиентов (потенциальных работодателей).

Рабочая группа отметила, что соискатель должен быть корректно уведомлен о любой обработке своих персональных данных, прежде чем стать участником процесса отбора персонала. Такое уведомление, к примеру, может содержаться в объявлении о вакансии. Сам факт открытого доступа к профилю соискателя в социальных сетях не дает права работодателям обрабатывать персональные данные оттуда для собственных целей.

Чтобы работодатель мог изучать чью-либо страницу в социальных сетях, необходимо правовое основание и связанная с предложенной вакансией причина (так называемый "законный интерес"). Более того,

прежде чем анализировать профиль соискателя в социальных сетях, работодатель должен будет оценить, относится ли такой профиль к личной жизни или же профессиональной деятельности.

Собирать и обрабатывать персональные данные работодатели могут только в том объеме, в котором это необходимо для выполнения работы на должности, на которую претендует соискатель. Например, чтобы получить возможность оценить конкретный риск в отношении кандидата на выполнение конкретной функции.

Собранные в процессе поиска персонала данные должны, по общему правилу, быть удалены, как только станет очевидно, что предложение о трудоустройстве конкретному лицу сделано не будет или соответствующий соискатель отклонил предложение о трудоустройстве.

Концепция "согласия"

Для Украины эта проблема еще более актуальна, чем для ЕС. Для сравнения, в нашей стране, по данным HeadHunter, соцсети при подборе персонала изучает почти 70% работодателей. 

Возможно ли у нас внедрение подобных норм? 

Украина лишь приближается к стандартам Евросоюза по гарантии прав и свобод человека, неотъемлемой частью которых является право на защиту персональных данных. Так, в украинском законодательстве "согласие субъекта персональных данных на обработку его персональных данных" является, пожалуй, главным основанием для обработки персональных данных согласно статье 11 закона Украины "О защите персональных данных".

Только с принятием этого закона, вступившего в силу 1 января 2011 года, мы получили возможность, наконец, соизмерить объем запрашиваемой  информации о себе с целью ее предоставления. Однако его нормы уже значительно отстают от развития технологий и требований времени.

Что в первую очередь необходимо изменить? 

Принципиально важными для Украины являются выводы Рабочей группы о том, что

концепция "согласия" не работает в ситуации, когда субъект не является по-настоящему независимым от запрашивающего данные лица.

Так, в случае несогласия работника на обработку персональных данных возникает реальное или потенциальное предвзятое отношение к нему. А значит, согласие недействительно, так как оно не может даваться свободно.

Соответственно, по мнению Рабочей группы, правовым основанием такой обработки данных не может быть согласие работников, и необходимы иные правовые основания, в том числе законный интерес и необходимость (например, если это требуется в силу закона или в связи с исполнением трудового договора с работником).

Дальнейшие перспективы

Несмотря на то, что сам Регламент 2016/679 – нормативный акт прямого действия, государствам-членам ЕС все же придется вносить изменения в национальное законодательство, как для гармонизации норм, так и для установления более детальных правил в случаях, когда Регламент 2016/679 содержит лишь общие положения.

Проекты соответствующих законопроектов уже опубликованы, к примеру, в Германии, Польше и Нидерландах.

В полной мере оценить влияние Регламента 2016/679 на фактические отношения в сфере обработки персональных данных, в том числе трудовые отношения, можно будет не ранее, чем через несколько лет после начала его применения.

Впрочем, уже сейчас можно ожидать значительного количества судебных разбирательств по связанным с Регламентом вопросам на национальном уровне и в Европейском суде по правам человека.

Немаловажно, что практику ЕСПЧ учитывают украинские суды при рассмотрении аналогичных дел. А значит, европейские нормы по защите персональных данных имеют влияние и на права украинских работников. 

Автор: Леонид Гилевич,

юрист ЮФ "Ильяшев и Партнеры"

Публикации в рубрике "Экспертное мнение" не является редакционными статьями и отражают исключительно точку зрения автора