GDPR: cómo trabajar con los datos personales de sus empleados, autónomos y empleados de contraparte europeos

El artículo es un breve resumen y mi interpretación de las disposiciones del Reglamento GDPR ("el Reglamento") junto con el Dictamen 2/2017 sobre el procesamiento de datos en el trabajo con fecha 06/08/2017. Está dirigido a empresas que tienen oficinas completas o trabajadores remotos y / o autónomos en los países de la UE, así como a contratistas (socios) con empleados europeos, cuyos datos puede obtener en el proceso de trabajar en proyectos conjuntos.

Analizamos los problemas de procesamiento de datos personales al contratar (reclutar) empleados, celebrar acuerdos con trabajadores independientes o socios comerciales; Monitoreo de los empleados en el lugar de trabajo y de forma remota, incluso a través de sistemas automáticos de adquisición de datos.

La conclusión se realizó antes de la fecha de entrada en vigor del Reglamento y se basa en la Directiva 95/46 / CE de 24.10.2005. Sin embargo, tiene en cuenta las disposiciones del GDPR.

Por conveniencia, y cuando esto no contradiga el contexto, los empleados, trabajadores independientes y empleados de contraparte se denominarán colectivamente como "Empleado".

Asegúrese de tener un motivo para procesar los datos de los empleados

El procesamiento de datos personales de los empleados generalmente se lleva a cabo al menos por uno de los siguientes motivos:

• consentimiento personal;
• la necesidad de cumplir con los requisitos de la ley (generalmente la ley laboral o ALD / CFT al realizar pagos);
• la necesidad de ejecutar un acuerdo ya concluido o la necesidad de concluir un acuerdo, a solicitud del propietario de los datos personales;
• la presencia de interés legítimo en su empresa en dicho procesamiento.

El procesamiento sobre la base de los requisitos de la ley quedará fuera del alcance del artículo. Además, no tocaremos el consentimiento personal. Como ya se señaló en el artículo anterior, Consentimiento para el procesamiento de datos en GDPR: un análisis detallado , el procesamiento de datos personales de los empleados sobre la base de su consentimiento personal es una opción difícil. Siempre existe el riesgo de que el consentimiento en algún lugar se redacte de manera incorrecta y se reconozca como no gratuito, y su empresa violará las normas GDPR.

En las relaciones con los empleados, el procesamiento de datos personales es más confiable según los acuerdos celebrados. Si todos los problemas de procesamiento son técnicamente difíciles o poco prácticos de solucionar en los contratos, entonces deberá abordar de manera responsable la justificación del interés legítimo de su empresa en dicho procesamiento.

Considere qué condiciones y cómo formular en contratos laborales o comerciales para que le permitan procesar datos personales de acuerdo con GDPR. (Dado que el procesamiento sobre la base de intereses legítimos, así como el procesamiento sobre la base de un contrato, también debe documentarse y coincide con este último en muchos aspectos, no lo consideraremos por separado).

Proporcionamos la redacción completa del Artículo 6 (1) (b) del Reglamento (traducción del inglés): "el procesamiento es necesario para ejecutar el contrato en el que el propietario de los datos es parte, o para tomar medidas a solicitud del propietario de los datos personales antes de concluir el contrato ".

De esta redacción se desprende una serie de elementos obligatorios.

La necesidad de datos bajo el contrato

Según el párrafo 44 del Preámbulo de las Reglas, el procesamiento es legal si es necesario en el contexto del contrato o la intención de concluirlo. Entonces, miramos el contexto del contrato en sí. La conclusión 2/2017 recomienda el uso de una prueba de proporcionalidad en tales casos para evaluar si el procesamiento es necesario para lograr un objetivo legítimo (en particular, ejecutar o concluir un contrato), y qué medidas deben tomarse para reducir la interferencia con la privacidad al mínimo

La regulación no descifra lo que incluye una "prueba de proporcionalidad". La conclusión 2/2017 contiene solo la advertencia de que dicha prueba puede formar parte del procedimiento DPIA . En el procedimiento DPIA en sí, la proporcionalidad del procesamiento se describe a través de muchos criterios que la compañía controladora debe seguir. En mi opinión, los más importantes son:

• adecuación de los datos procesados ​​a los fines de procesamiento;
• Los objetivos de procesamiento deben ser específicos y explícitos.

En consecuencia, la prueba de proporcionalidad implica no solo la necesidad de especificar en el contrato la obligación de proporcionar algunos datos personales para el procesamiento, o de informar al propietario de los datos sobre tal obligación antes de concluir el contrato. Las obligaciones contractuales del empleado, sobre la base de las cuales se recopilan los datos, deben derivarse directamente de la naturaleza de su trabajo futuro o de las características del proyecto en el que estará involucrado. Las obligaciones contractuales deben prever el procesamiento de solo los datos personales mínimos necesarios con referencia a un objetivo de procesamiento específico, formulado de manera muy clara y clara.

Ejemplo A : es razonable exigir que un especialista en relaciones públicas o un gerente de servicio al cliente envíe su foto para publicarla en el sitio web de su empresa. Esto puede justificarse por las características del trabajo de estos empleados, cuando la apariencia juega un papel psicológico en la promoción de los intereses de la empresa, el crecimiento de las ventas. Por el contrario, apenas es necesario exigir y transmitir a los clientes (o publicar en el dominio público) fotos de desarrolladores que participan en manifestaciones por voz, incluso sin incluir una cámara web, y nunca se les exige más.

Creo que será desproporcionado formular la condición sobre los datos de contacto en el contrato de la siguiente manera:

Ejemplo B : "Datos de contacto del empleado: ... correo electrónico para enviar una oferta de trabajo, contrato laboral o materiales de información / EMPRESA /". La dirección de los "materiales de información" es claramente un objetivo innecesario para el cumplimiento de un contrato de trabajo, también implica la distribución de anuncios. Sin embargo, si escribe un poco diferente: “notificaciones de cambios en el horario de trabajo, información sobre los días libres, etc.”, este será un objetivo específico claramente expresado, y el uso del correo electrónico será adecuado para ello.

(Obviamente, simplemente especificar un "correo electrónico" y luego usarlo para enviar materiales de marketing también es inaceptable).

Ejemplo C : su empresa trabaja como agente y promueve los servicios de los mismos desarrolladores en los mercados internacionales. Dado que la colocación de la foto se debe a las peculiaridades de trabajar con los clientes, la necesidad de que evalúen la imagen / retrato psicológico del desarrollador antes de tomar una decisión sobre la contratación, la colocación de la foto puede estar justificada .

(Simplemente no olvide advertir al desarrollador sobre el uso de la foto antes de llegar a un acuerdo con él. También se recomienda que para aquellos desarrolladores que no aceptan indicar su foto en el perfil, sigan brindando la oportunidad de usar los servicios de su empresa, incluso si la efectividad de la contratación ha disminuido debido a la falta de foto).

Ejemplo D : su empleado (por ejemplo, un administrador del sistema) trabaja con servidores que atienden aplicaciones a gran escala y de alta carga, y debe estar disponible las 24 horas del día (a menos, por supuesto, que también cumpla con los requisitos de la legislación laboral para el pago apropiado para dichos empleados). Puede estipular en el contrato una condición para las llamadas a su número de teléfono personal en caso de emergencia. Por el contrario, si no se necesita un empleado después del horario de atención, es mejor no usar un número de teléfono personal (incluso si lo conoce).

Y un ejemplo de la Conclusión 2/201 7: La empresa de entrega no tiene derecho a enviar fotos de mensajería a los clientes (para verificar que el servicio de mensajería es realmente uno), ya que no es necesario transferir fotos para entregar paquetes.

¡IMPORTANTE! La prueba de proporcionalidad se recomienda no solo en la preparación de contratos, sino también en el procesamiento por cualquier otro motivo ; por ejemplo, al obtener el consentimiento (Artículo 6 (1) (a)) o para lograr los intereses legítimos de su empresa (Artículo 6 (1) (f) de las Reglas).

Cualquiera sea la necesidad de recopilar datos personales en su empresa, hágase siempre la pregunta: ¿realmente necesita estos datos? Incluso si a su empleado no parece importarle dárselos. Recuerde que su empleado es visto inicialmente desde el punto de vista de GDPR como un lado vulnerable de la relación laboral, y su consentimiento es a priori no gratuito. Por lo tanto, la tarea de garantizar una mínima interferencia con la privacidad (incluso en virtud de contratos con empleados) recae en su empresa, no con un empleado.

Además, le recomiendo que estudie los requisitos del organismo regulador para la protección de datos personales en el estado de su negocio. Por ejemplo, en Chipre, el lugar más reciente de reubicación de empresas de TI y fintech de Rusia y otros países de la CEI, es obligatorio aplicar el procedimiento DPIA si se lleva a cabo un monitoreo sistemático de la actividad de los empleados, incluido el monitoreo de trabajos, la actividad de Internet o el uso de GPS en los vehículos de los trabajadores. .

El propietario de los datos debe ser parte del contrato.

Parece que todo es obvio aquí. Sin embargo, hay un punto sutil al que pocas personas prestan atención. Este es el procesamiento de datos personales de los empleados de sus socios (clientes, contratistas, intermediarios, etc.), en los que existe una brecha legal.

Su empresa no tiene contrato con los empleados de sus socios. E incluso el consentimiento para el procesamiento de datos con mayor frecuencia no funciona solicitarlo. Sí, esas personas son empleados de su socio (aunque pueden ser autónomos e incluso personal proporcionado por terceros). Y es lógico suponer que, dado que trabajan para él, luego del contrato con su pareja, ya ha acordado transferirle sus datos. Pero esto no es así.

No sabe qué tan bien completó su socio todos los documentos en el marco del GDPR. Si se recibió el consentimiento de su empleado y si se dio libremente, o si el procesamiento de datos personales se acordó en un acuerdo con dicho empleado. Dudo mucho que pueda confiar plenamente en su pareja en este asunto. Mientras tanto, después de recibir los datos de sus empleados, su empresa al menos se convierte en un procesador, es decir procesamiento de datos personales en nombre y en nombre del controlador. Y para evitar responsabilidad por violar el GDPR, su empresa de procesamiento debe actuar al menos de acuerdo con las instrucciones legales de su socio.

Su empresa será un procesador solo si, sobre la base de un acuerdo con su socio, recibe datos personales claramente acordados de sus empleados (por ejemplo, nombre y contactos) y los usa solo para fines claramente establecidos; por ejemplo, comunicación por teléfono, correo electrónico o mensajería instantánea mientras se trabaja en un proyecto. Si de repente decide enviar algún tipo de boletín de marketing u oferta de trabajo a dichos empleados, los automáticos caerán en la categoría de "controlador", con mayor responsabilidad. Ya que usted mismo comenzará a determinar los objetivos y métodos de procesamiento de datos personales.

En tales situaciones, le recomendaría que incluya una cláusula separada en cualquier contrato con sus socios que la contraparte garantice que respeta todas las reglas para trabajar con los datos personales de sus empleados o partes relacionadas que pueden ser aplicables en el lugar del negocio, incluyendo Su empresa ante cualquier reclamo, reclamos que puedan estar asociados con cualquier violación de la ley aplicable al transferirle datos, y garantiza una compensación independiente por daños en dichos reclamos y reclamos. La clásica cláusula sobre indemnización e indemnización, pero solo en relación con los datos personales.

En la práctica, tan pronto como incluya una cláusula para liberarlo de responsabilidad en el contrato, los abogados de su pareja probablemente querrán eliminarlo. Como ser

Realice la transferencia de datos personales de acuerdo con las disposiciones de las Reglas, y será difícil para su pareja no estar de acuerdo con esto.

Para las empresas de procesamiento que reciben datos de sus socios (controladores), el Reglamento (Artículo 28 (3)) contiene requisitos obligatorios para el contenido del contrato en términos de los datos transferidos. En particular, debe especificar qué datos (categorías), con qué fines y durante cuánto tiempo se transfieren a su empresa, y mucho más. Si su empresa transfiere los datos personales al nuevo procesador, es necesario coordinar obligaciones idénticas con ellos.

Si el trabajo conjunto en el proyecto implica la transferencia de datos personales fuera de la Unión Europea a terceros países sin un nivel adecuado de protección de datos personales , junto con el contrato concluido, es necesario redactar y firmar las cláusulas contractuales estándar para la protección de datos personales (Artículo 46 (1) (2) ) (c) del Reglamento). Incluso si el socio no requiere dicho documento, es mejor tener una plantilla prediseñada e insistir en firmarla cuando transfiera datos a los empleados europeos. Esto reducirá significativamente el riesgo de responsabilidad por el procesamiento de datos personales en violación del GDPR.

Las condiciones estándar desarrolladas y aprobadas por la Comisión Europea sobre la base de la Directiva 95/46 / CE para procesadores se pueden encontrar aquí . También puede encontrar las condiciones estándar para los controladores allí.

La adopción de las medidas necesarias antes de la celebración del contrato, a petición del titular de los datos personales.

Debe haber una relación clara: los eventos se llevan a cabo en relación con el propietario de los datos, y él mismo autoriza su implementación en la solicitud.

Ejemplo : Verificar el historial criminal de un candidato, si su posición implica trabajar con datos de mayor secreto y sin verificación, es imposible obtener una invitación para trabajar. Al mismo tiempo, el empleador informa al candidato por adelantado en la descripción del trabajo sobre la necesidad de pasar la verificación de algunos hechos criminales en su biografía. Y el candidato, al enviar su currículum o de otra manera, confirma que está de acuerdo con tal verificación .

Para formar correctamente una solicitud legítima de un candidato para el procesamiento de sus datos, es necesario proporcionar al candidato la máxima información necesaria sobre el procesamiento futuro, incluidos los métodos para tomar decisiones sobre sus resultados. (Para obtener más información, consulte el procedimiento: primero informar, luego procesar a continuación.

Freelancers: ¿también son trabajadores?

En la Conclusión 2/2017, bajo los trabajadores, se recomienda considerar no solo a aquellos que trabajan bajo un contrato de trabajo, sino también a trabajadores independientes, si las relaciones con ellos son de naturaleza laboral. Hay una dificultad aquí.

¿Qué significa "relaciones laborales" con los trabajadores independientes, además, en términos de GDPR? La conclusión 2/2017 no proporciona una respuesta a esta pregunta. Creo que debemos analizar el contexto en el que se menciona a los empleados en el Reglamento. Esta es su desventaja a priori para el empleador, cuando no pueden negarse a proporcionar sus datos sin el riesgo de no obtener o perder un trabajo, u otras consecuencias negativas. Si sigue esta lógica, un profesional independiente puede equipararse con un empleado en situaciones en las que su empresa será su única fuente de órdenes. Si la cantidad de pedidos (y pagos) de su empresa es pequeña y el profesional independiente puede elegir cooperar con usted y bajo qué condiciones, entonces tiene más libertad para tomar decisiones con respecto a sus datos personales. Y en este caso, puede ser considerado un empresario independiente y no un empleado.

En cualquier caso, debe esperar el desarrollo de la práctica de aplicar GDPR o la divulgación de este problema en el llamado "Leyes blandas" de la Unión Europea: conclusiones y recomendaciones, así como en la legislación nacional.

Seguimos el procedimiento: primero - informar, luego - procesar

El propietario de los datos debe ser informado antes del procesamiento. Este es un requisito general del Artículo 13 de las Reglas. En cada caso individual (procesamiento dentro del marco del contrato o antes de su celebración), así como sin contrato, pero si su empresa tiene un interés legítimo, el propietario de los datos debe recibir la información mínima necesaria.

En el caso de los empleados, dicha información se realiza mejor simultáneamente con la colocación de requisitos para un candidato para una vacante. Si un contrato comercial se celebra con un profesional independiente, debe informar antes de concluir el contrato o, en casos extremos, simultáneamente con su firma. , 13 , , , .

, . , . . , .


, . , , / .

()

. . , -. – . , , , .

: , . - , , . . , , .

. ( , , - ). , , , , . .

, ( – ). , , , .

, . (, PR-, -, ..). , .

(, )

, . . . , .

( , WiFi) , . , , .

! , «»: -, . , . .

, ( ) . , . , , , :

• / ;
• - (, );

, . - / , – , . , 2/2017.

A 2/2017 : , -, ( ), . .

B 2/2017 : . , (, ).

2/2017 : , , , .

«home-office»

, , , ( , ), , , ( !), . , , ( 5.4.1. 2/2017).

?

En primer lugar, (como si no le resultara familiar), para comprender si necesita dicha supervisión o no. En segundo lugar, indique claramente (con documentación) en qué consiste su interés legítimo y, si es posible, registre dicha supervisión en los acuerdos existentes.

, . . . ( — ). , , , .

/

“” , « »: , . , .

02/2017 : (, , ) , . , , . ( / ).

« »

, . , . . , . .

(, , ( ?) , , ).

:

1. ( ) , . ( , )
2. , , ( ) . .
3. , . - ( , ), .
4. (Standard contractual clauses), , .