إجمالي الناتج المحلي: كيفية التعامل مع البيانات الشخصية لموظفيك والموظفين المستقلين والموظفين النظراء الأوروبيين

المقالة عبارة عن ضغط موجز وتفسيري لأحكام لائحة الناتج المحلي الإجمالي ("اللائحة") بالتزامن مع الرأي 2/2017 حول معالجة البيانات في العمل بتاريخ 06/08/2017. إنه موجه للشركات التي لديها مكاتب كاملة أو عمال عن بعد و / أو مستقلون في دول الاتحاد الأوروبي ، وكذلك مقاولون (شركاء) مع موظفين أوروبيين ، يمكن الحصول على بياناتهم أثناء العمل في مشاريع مشتركة.

نقوم بتحليل مشكلات معالجة البيانات الشخصية عند تعيين (توظيف) موظفين ، وإبرام اتفاقيات مع المستقلين أو شركاء الأعمال ؛ مراقبة الموظفين في مكان العمل وعن بعد ، بما في ذلك من خلال نظم الحصول التلقائي على البيانات.

تم الانتهاء من الاستنتاج قبل تاريخ بدء نفاذ اللائحة ويستند إلى التوجيه 95/46 / EC المؤرخ 24.10.2005. ومع ذلك ، فإنه يأخذ في الاعتبار أحكام الناتج المحلي الإجمالي.

للراحة ، وحيث لا يتعارض هذا مع السياق ، سيتم الإشارة إلى الموظفين والموظفين المستقلين والموظفين المقابلين مجتمعين باسم "الموظف".

تأكد من أن لديك سبب لمعالجة بيانات الموظف

تتم معالجة البيانات الشخصية للموظفين عادة على الأقل لأحد الأسباب التالية:

• موافقة شخصية
• الحاجة إلى الامتثال لمتطلبات القانون (عادة ما يكون قانون العمل أو مكافحة غسل الأموال وتمويل الإرهاب عند إجراء المدفوعات) ؛
• الحاجة إلى تنفيذ اتفاقية مبرمة بالفعل أو الحاجة إلى إبرام اتفاق بناءً على طلب صاحب البيانات الشخصية ؛
• وجود مصلحة مشروعة في شركتك في مثل هذه المعالجة.

المعالجة على أساس متطلبات القانون ستترك خارج نطاق المادة. أيضًا ، لن نتطرق إلى الموافقة الشخصية. كما لوحظ بالفعل في المقالة السابقة ، الموافقة على معالجة البيانات المتعلقة بالناتج المحلي الإجمالي: تحليل مفصل ، ومعالجة البيانات الشخصية للموظفين على أساس موافقتهم الشخصية هو خيار صعب. هناك دائمًا خطر أن يتم الموافقة في مكان ما بشكل غير صحيح والتعرف على أنها غير مجانية ، وأن شركتك ستنتهك قواعد إجمالي الناتج المحلي.

في العلاقات مع الموظفين ، تكون معالجة البيانات الشخصية أكثر موثوقية استنادًا إلى الاتفاقيات المبرمة. إذا كانت جميع مشكلات المعالجة صعبة أو غير عملية من الناحية الفنية في العقود ، فستحتاج إلى التعامل بمسؤولية تبرير المصلحة المشروعة لشركتك في مثل هذه المعالجة.

فكر في الشروط وكيفية صياغتها في عقود العمل أو العقود التجارية بحيث تتيح لك معالجة البيانات الشخصية وفقًا لإجمالي الناتج المحلي. (نظرًا لأن المعالجة على أساس المصلحة المشروعة ، مثل المعالجة على أساس العقد ، تحتاج أيضًا إلى توثيقها وتتزامن مع الأخيرة في كثير من النواحي ، فلن نفكر فيها بشكل منفصل).

نعطي الصيغة الكاملة للمادة 6 (1) (ب) من اللائحة (الترجمة من اللغة الإنجليزية): " المعالجة ضرورية لتنفيذ العقد الذي يكون صاحب البيانات طرفًا فيه ، أو لاتخاذ تدابير بناءً على طلب صاحب البيانات الشخصية قبل إبرام العقد "

من هذه الصياغة يتبع عدد من العناصر الإلزامية.

الحاجة إلى البيانات بموجب العقد

وفقًا للفقرة 44 من ديباجة القواعد ، تكون المعالجة قانونية إذا لزم الأمر في سياق العقد أو في نية إبرامها. لذلك ، نحن ننظر إلى سياق العقد نفسه. يوصي الاستنتاج 2/2017 باستخدام اختبار التناسب في مثل هذه الحالات لتقييم ما إذا كانت المعالجة ضرورية لتحقيق هدف مشروع (على وجه الخصوص ، تنفيذ أو إبرام عقد) ، وما هي التدابير التي ينبغي اتخاذها لتقليل التداخل في الخصوصية إلى الحد الأدنى.

النظام لا يحذف ما يتضمنه "اختبار التناسب". الاستنتاج 2/2017 يحتوي فقط على التحذير من أن مثل هذا الاختبار قد يصبح جزءًا من إجراء DPIA . في إجراء DPIA نفسه ، يتم وصف تناسق المعالجة من خلال العديد من المعايير التي يجب أن تتبعها شركة التحكم. في رأيي ، الأهم هو:

• كفاية البيانات المعالجة لأغراض المعالجة ؛
• يجب أن تكون أهداف المعالجة نفسها محددة وصريحة.

وبالتالي ، فإن اختبار التناسب لا يعني فقط الحاجة إلى تحديد في العقد الالتزام بتوفير بعض البيانات الشخصية للمعالجة ، أو إبلاغ صاحب البيانات بمثل هذا الواجب قبل إبرام العقد. يجب أن تتدفق الالتزامات التعاقدية للموظف ، والتي يتم على أساسها جمع البيانات ، مباشرة من طبيعة عمله في المستقبل أو من ميزات المشروع الذي سيشارك فيه. يجب أن تنص الالتزامات التعاقدية على معالجة الحد الأدنى من البيانات الشخصية الضرورية فقط مع الإشارة إلى هدف معالجة محدد ، يتم صياغته بوضوح تام وواضح.

مثال أ : من المعقول مطالبة أخصائي علاقات عامة أو مدير خدمة عملاء بإرسال صورتك للنشر على موقع شركتك. يمكن تبرير ذلك من خلال ميزات عمل هؤلاء الموظفين ، عندما يلعب المظهر دورًا نفسيًا في تعزيز مصالح الشركة ، نمو المبيعات. على العكس من ذلك ، لا يكاد يكون من الضروري طلب صور للمطورين الذين يشاركون في المسيرات عن طريق الصوت ونقلها إلى العملاء (أو نشرها في المجال العام) ، حتى بدون تضمين كاميرا ويب ، ولا يُطلب منهم أبدًا.

أعتقد أنه سيكون من غير المناسب صياغة الشرط الخاص بتفاصيل الاتصال في العقد على النحو التالي:

مثال ب : "تفاصيل الاتصال بالعامل: ... البريد الإلكتروني لإرسال عرض عمل أو عقد عمل أو مواد إعلامية / شركة /". من الواضح أن اتجاه "المواد الإعلامية" هدف غير ضروري للوفاء بعقد العمل ؛ كما أنه ينطوي أيضًا على توزيع الإعلانات. ومع ذلك ، إذا كتبت بشكل مختلف بعض الشيء: "إخطارات التغييرات في جدول العمل ، ومعلومات حول أيام العطلة ، وما إلى ذلك" ، فسيكون هذا هدفًا محددًا ومعبّرًا عنه بوضوح ، وسيكون استخدام البريد الإلكتروني مناسبًا له.

(من الواضح أن تحديد "بريد إلكتروني" ببساطة ثم استخدامه لإرسال مواد تسويقية أمر غير مقبول).

مثال C : تعمل شركتك كوكيل وتروج لخدمات المطورين أنفسهم في الأسواق الدولية. نظرًا لأن موضع الصورة يرجع إلى خصوصيات العمل مع العملاء ، فإن الحاجة إلى تقييم الصورة / الصورة النفسية للمطور قبل اتخاذ قرار بشأن التوظيف ، قد يكون وضع الصورة مبررًا .

(فقط لا تنسى تحذير المطور من استخدام الصورة قبل إبرام اتفاق معه. يوصى أيضًا بأنه بالنسبة لأولئك المطورين الذين لا يوافقون على الإشارة إلى صورتهم في ملف التعريف الخاص بك ، لا تزال توفر الفرصة لاستخدام خدمات شركتك ، حتى إذا انخفضت فعالية التوظيف بسبب نقص الصورة).

مثال د : يعمل الموظف (على سبيل المثال ، مسؤول النظام) مع الخوادم التي تقدم تطبيقات كبيرة الحجم ومحملة ، ويجب أن تكون متاحة على مدار 24 ساعة في اليوم (ما لم تكن ، بالطبع ، أيضًا تمتثل لمتطلبات تشريعات العمل المتعلقة بالدفع المناسب لهؤلاء الموظفين). يمكنك أن تنص في العقد على شرط لإجراء مكالمات على رقم هاتفه الشخصي في حالة الطوارئ. على العكس من ذلك ، إذا لم تكن هناك حاجة للموظف بعد ساعات ، فمن الأفضل عدم استخدام رقم هاتف شخصي (حتى لو كنت تعرفه).

ومثال من الاستنتاج 2/201 7: لا تملك شركة التوصيل الحق في إرسال صور للبريد السريع إلى العملاء (للتحقق من أن البريد السريع بالفعل) ، حيث لا توجد حاجة لنقل الصور لتسليم الطرود.

مهم! يوصى باختبار التناسب ليس فقط في إعداد العقود ، ولكن أيضًا في المعالجة لأي سبب آخر ؛ على سبيل المثال ، من خلال الحصول على موافقة (المادة 6 (1) (أ)) أو لتحقيق المصالح المشروعة لشركتك (المادة 6 (1) (و) من القواعد).

مهما كانت الحاجة لجمع البيانات الشخصية في شركتك ، اسأل نفسك دائمًا السؤال: هل تحتاج حقًا إلى هذه البيانات؟ حتى لو كان الموظف الخاص بك لا يمانع في منحهم لك. تذكر أن الموظف يُنظر إليه مبدئيًا من وجهة نظر إجمالي الناتج المحلي باعتباره جانبًا ضعيفًا في علاقة العمل ، وموافقته هي بداهة وليست مجانية. لذلك ، فإن مهمة ضمان الحد الأدنى من التدخل في الخصوصية (بما في ذلك بموجب عقود مع الموظفين) تقع على عاتق شركتك ، وليس مع موظف.

بالإضافة إلى ذلك ، أوصي بأن تدرس متطلبات الهيئة التنظيمية لحماية البيانات الشخصية في حالة عملك. على سبيل المثال ، في قبرص ، آخر مكان لنقل تكنولوجيا المعلومات وشركات fintech من روسيا وبلدان رابطة الدول المستقلة الأخرى ، من الضروري تطبيق إجراء DPIA في حالة إجراء مراقبة منهجية لنشاط الموظف ، بما في ذلك مراقبة وظائف أو نشاط الإنترنت أو استخدام GPS على سيارات العمال .

يجب أن يكون مالك البيانات طرفًا في العقد

يبدو أن كل شيء واضح هنا. ومع ذلك ، هناك نقطة واحدة خفية أن القليل من الناس تولي اهتماما ل. هذا هو معالجة البيانات الشخصية لموظفي شركائك (العملاء والمقاولين والوسطاء ، وما إلى ذلك) ، حيث توجد فجوة قانونية.

ليس لشركتك عقد مع موظفي شركائك. وحتى الموافقة على معالجة البيانات في معظم الأحيان لا تعمل على الطلب. نعم ، هؤلاء الأشخاص هم موظفون في شريكك (على الرغم من أنهم قد يكونون مستقلين بل وحتى موظفين مقدمين من أطراف ثالثة). ومن المنطقي افتراض أنه نظرًا لأنهم يعملون لصالحه ، ثم بموجب العقد المبرم مع شريك حياتك ، فقد وافقت بالفعل على نقل بياناتك إليك. لكن هذا ليس كذلك.

أنت لا تعرف مدى نجاح شريكك في إكمال جميع المستندات في إطار إجمالي الناتج المحلي. سواء تم استلام الموافقة من موظفه وما إذا كان قد تم منحها بحرية ، أو ما إذا كان قد تم الاتفاق على معالجة البيانات الشخصية في اتفاق مع هذا الموظف. أشك كثيراً في أنه يمكنك الاعتماد بالكامل على شريكك في هذا الأمر. وفي الوقت نفسه ، بعد تلقي بيانات موظفيها ، تصبح شركتك على الأقل معالجًا ، على سبيل المثال معالجة البيانات الشخصية نيابة عن نيابة عن وحدة التحكم. ولتجنب المسؤولية عن انتهاك إجمالي الناتج المحلي ، يجب أن تتصرف شركة المعالجة على الأقل وفقًا للتعليمات القانونية لشريكك.

لن تكون شركتك معالجًا إلا إذا استلمت ، على أساس اتفاق مع شريكك ، بيانات شخصية محددة بوضوح لموظفيها (على سبيل المثال ، الاسم وجهات الاتصال) وتستخدمها فقط لأغراض محددة بوضوح ؛ على سبيل المثال ، التواصل عن طريق الهاتف أو البريد الإلكتروني أو الرسائل الفورية أثناء العمل في مشروع. إذا قررت فجأة إرسال نوع من النشرات الإخبارية التسويقية أو عرض العمل لهؤلاء الموظفين ، فسوف تندرج الرسائل التلقائية في فئة "وحدة التحكم" ، مع زيادة المسؤولية. نظرًا لأنك أنت ستبدأ بالفعل في تحديد أهداف وطرق معالجة البيانات الشخصية.

في مثل هذه الحالات ، أوصي بتضمين بند منفصل في أي عقد مع شركائك يضمن الطرف المقابل أنه يحترم جميع قواعد العمل مع البيانات الشخصية لموظفيه أو الأطراف ذات الصلة التي قد تنطبق عليها في مكان العمل ، بما في ذلك شركتك من أي مطالبات ، والمطالبات التي قد تكون مرتبطة بأي انتهاكات للقانون المعمول به عند نقل البيانات إليك ، ويضمن تعويض مستقل عن الضرر في هذه المطالبات والمطالبات. البند الكلاسيكي بشأن التعويض والتعويض ، ولكن فقط فيما يتعلق بالبيانات الشخصية.

في الممارسة العملية ، بمجرد تضمين بند على إعفائك من المسؤولية في العقد ، من المرجح أن يرغب محامو شريكك في حذفه. كيف تكون

قم بنقل البيانات الشخصية وفقًا لأحكام القواعد ، وسيكون من الصعب على شريكك عدم الموافقة على ذلك.

لمعالجة الشركات التي تتلقى بيانات من شركائها (المراقبين) ، تحتوي اللائحة (المادة 28 (3)) على متطلبات إلزامية لمحتوى العقد من حيث البيانات المنقولة. على وجه الخصوص ، تحتاج إلى تحديد البيانات (الفئات) ، ولأي أغراض وإلى متى يتم نقلها إلى شركتك ، وأكثر من ذلك بكثير. إذا تم نقل البيانات الشخصية من قِبل شركتك إلى المعالج الجديد ، فمن الضروري تنسيق الالتزامات المماثلة معها.

إذا كان العمل المشترك في المشروع ينطوي على نقل البيانات الشخصية خارج الاتحاد الأوروبي إلى دول ثالثة دون مستوى كافٍ من حماية البيانات الشخصية ، إلى جانب العقد المبرم ، فمن الضروري وضع وتوقيع البنود التعاقدية القياسية لحماية البيانات الشخصية (المادة 46 (1) (2) ) (ج) من اللائحة). حتى إذا كان الشريك لا يحتاج إلى مثل هذا المستند ، فمن الأفضل أن يكون لديك قالب مصمم مسبقًا والإصرار على التوقيع عليه عند نقل البيانات إلى الموظفين الأوروبيين. هذا سوف يقلل بشكل كبير من خطر المسؤولية عن معالجة البيانات الشخصية في انتهاك لل الناتج القومي الإجمالي.

يمكن العثور هنا على الشروط القياسية التي طورتها واعتمدتها المفوضية الأوروبية على أساس التوجيه 95/46 / EC للمعالجات. يمكنك أيضًا العثور على الشروط القياسية لوحدات التحكم هناك.

اعتماد التدابير اللازمة قبل إبرام العقد ، بناء على طلب صاحب البيانات الشخصية

يجب أن تكون هناك علاقة واضحة: تقام الأحداث فيما يتعلق بمالك البيانات ، وهو نفسه يعطي الإذن بتنفيذها في الطلب.

مثال : التحقق من التاريخ الإجرامي للمرشح ، إذا كان منصبه ينطوي على التعامل مع البيانات المتعلقة بالسرية المتزايدة ودون التحقق ، فمن المستحيل الحصول على دعوة للعمل. في الوقت نفسه ، يقوم صاحب العمل بإبلاغ المرشح مقدمًا في الوصف الوظيفي عن الحاجة إلى اجتياز التحقق من بعض الحقائق الجنائية في سيرته الذاتية. ويؤكد المرشح ، من خلال إرسال سيرته الذاتية أو بطريقة أخرى ، أنه يوافق على هذا الشيك .

من أجل تشكيل طلب شرعي بشكل صحيح من مرشح لمعالجة بياناته ، من الضروري تزويد المرشح بأكبر قدر من المعلومات اللازمة حول المعالجة المستقبلية ، بما في ذلك طرق اتخاذ القرارات بشأن نتائجها. (لمزيد من المعلومات ، راجع الإجراء: أولاً ، ثم المعالجة أدناه).

أعمال حرة: هل هم عمال أيضًا؟

في الخاتمة 2/2017 ، بموجب العمال ، يوصى بعدم النظر فقط إلى أولئك الذين يعملون بموجب عقد عمل ، ولكن أيضًا لحسابهم الخاص ، إذا كانت العلاقات معهم ذات طبيعة عمالية. هناك صعوبة هنا.

ماذا تعني "علاقات العمل" مع المستقلين ، علاوة على ذلك ، فيما يتعلق بالناتج المحلي الإجمالي؟ الاستنتاج 2/2017 لا يقدم إجابة على هذا السؤال. أعتقد أننا بحاجة إلى النظر في السياق الذي يتم فيه ذكر أي موظف في اللوائح. هذا هو عيبهم المسبق لصاحب العمل ، عندما لا يستطيعون رفض تقديم بياناتهم دون التعرض لخطر عدم الحصول على وظيفة أو فقدانها ، أو عواقب سلبية أخرى. إذا اتبعت هذا المنطق ، يمكن عندئذٍ مساواة أحد الموظفين المستقلين في المواقف التي تكون فيها شركتك هي المصدر الوحيد للطلبات. إذا كانت حصة الطلبات (والمدفوعات) من شركتك صغيرة ويمكن أن يختار المستقل ما إذا كان سيتعاون معك وتحت أي ظروف ، فإنه يتمتع بمزيد من الحرية في اتخاذ القرارات المتعلقة ببياناته الشخصية. وفي هذه الحالة ، يمكن اعتباره رجل أعمال مستقل ، وليس موظفًا.

في أي حال ، يجب أن تنتظر تطوير ممارسة تطبيق إجمالي الناتج المحلي أو الكشف عن هذه المشكلة فيما يسمى "القوانين اللينة" للاتحاد الأوروبي: الاستنتاجات والتوصيات ، وكذلك في التشريعات الوطنية.

نتبع الإجراء: أولاً - إعلام ، ثم - معالجة

يجب إبلاغ صاحب البيانات قبل المعالجة. هذا مطلب عام للمادة 13 من القواعد. في كل حالة على حدة (تتم المعالجة في إطار العقد أو قبل إبرامه) ، وكذلك بدون عقد ، ولكن إذا كانت شركتك لديها مصلحة مشروعة ، يجب أن يتلقى مالك البيانات الحد الأدنى الضروري من المعلومات.

في حالة الموظفين ، من الأفضل القيام بهذه المعلومات في وقت واحد مع وضع متطلبات المرشح لشغل منصب شاغر. إذا تم إبرام عقد تجاري مع مترجم مستقل ، فأنت بحاجة إلى إبلاغك قبل إبرام العقد ، أو في الحالات القصوى بالتزامن مع توقيعه. إلى جانب المعلومات الأخرى المدرجة في المادة 13 من القواعد ، من الضروري الإشارة إلى ما إذا كان توفير البيانات الشخصية مدرجًا في واجبات الموظف المستقبلي وما هي العواقب التي قد تترتب على ذلك إذا رفض تقديمها.

لا تنس أن يكون شكل الاتصال بسيطًا ويمكن الوصول إليه قدر الإمكان. لا تقم بتضمين هذه المعلومات في نص العقد الرئيسي ، حيث قد يتم فقدها. جعل في شكل وثيقة منفصلة هو أفضل. من المستحسن أن يكون هذا المستند مؤرخًا قبل تاريخ توقيع العقد الرئيسي.


كانت هذه متطلبات عامة لمعالجة البيانات الشخصية على أساس العقد ، فيما يتعلق بالحاجة إلى إبرام عقد بناءً على طلب مالك البيانات أو إذا كانت هناك مصلحة مشروعة. بعد ذلك ، فإننا نفكر بإيجاز في معالجة البيانات الشخصية عند تعيين الموظفين ، ومراقبة الموظفين في مكان العمل وعن بعد ، وكذلك مراقبة وقت التواجد في مكان العمل و / أو الوقت الذي يقضيه.

معالجة البيانات عند توظيف (توظيف) الموظفين

ترغب شركات التوظيف في عرض ملفات تعريف المرشحين على الشبكات الاجتماعية. حتى أن البعض يسأل عن مراجع لهم في ملفات التعريف أو في السير الذاتية. عند جمع البيانات من الشبكات الاجتماعية لشركتك ، تحتاج إلى معرفة ما إذا كانت هذه الملفات مخصصة للاستخدام الشخصي أم لأغراض تجارية. المفتاح هنا هو الاستخدام. كن على دراية بأنه حتى ملفات التعريف المفتوحة للعرض العام لا يمكن استخدامها للتجنيد ، وتقييم مرشح للعمل ، إذا لم يكن هذا مرتبطًا بشكل مباشر بوظيفة المرشح المستقبلية في شركتك أو مشروعك.

مثال : , . - , , . . , , .

المراقبة العامة لبيانات الموظفين السابقين من الملفات الشخصية على الشبكات الاجتماعية عادة ما تكون غير مقبولة. (يمكن إجراء مثل هذه المراقبة لمعرفة ما إذا كان الموظف السابق لم ينتهك شرط حظر التبديل إلى العمل مع المنافسين لبعض الوقت). ومع ذلك ، إذا أثبت صاحب العمل أنه لا يمكن الحصول على هذه المعلومات بخلاف عرض ملفات التعريف ، فقد يتم الاعتراف بجمع البيانات من الشبكات الاجتماعية على أنها مقبولة. هنا ، ينبغي أيضًا مراعاة شرط الحاجة إلى إبلاغ الموظف مقدمًا بالمراقبة المستمرة.

من الواضح ، أنه من الأفضل إعلامك بالمراقبة قبل إنهاء العقد (والأفضل ، قبل إبرامها). وإلا ، فمن المحتمل جدًا أن يقوم الموظف ، بعد تلقي إشعار ، بحذف كل المعلومات وجهات الاتصال التي تعرضه للخطر.

لا يجوز إجبار الموظفين على استخدام وسائل الإعلام الاجتماعية ليست سوى البيانات الشخصية المرتبطة مع صاحب العمل. حتى إذا تم توفير مثل هذا الالتزام من خلال ميزات عملهم (على سبيل المثال ، ممثل خدمة العلاقات العامة ، متحدث رسمي ، مدير خدمة العملاء ، إلخ). في أي حال ، يجب أن يحتفظ هؤلاء الموظفون بالقدرة على استخدام ملف تعريف شخصي غير عام.

تركيب أدوات (أنظمة ، تطبيقات) للمعالجة الإلكترونية للبيانات على أجهزة كمبيوتر تعمل على الشبكة

نحن نتحدث عن أي أنظمة وتطبيقات تجمع البيانات الشخصية بشكل أو بآخر وتنقلها إلى صاحب العمل أو الجهات الخارجية. يتطلب التثبيت موافقة مستنيرة من الموظف. حتى الإجراءات المستقلة للموظف لتنشيط التطبيق على جهاز عمله أو إتاحة الوصول للتثبيت عن بعد للنظام بالإعدادات الافتراضية لن تعتبر تعبيرًا عن موافقته على التثبيت. نظرًا لأنه يجب منح الموافقة من خلال الإجراءات النشطة الخاصة بالمستخدم ، لا يمكن مساواة سوى التثبيت مع تغيير الإعدادات الافتراضية بتعبير مستنير ومجاني عن إرادة الموظف للتثبيت.

عند مراقبة بيانات الموظفين أو أجهزتهم (بما في ذلك البيانات الشخصية المتصلة بشبكة شركة أو شبكة WiFi) ، يجب أن يكون لدى صاحب العمل سياسة مراقبة في مكان العمل يتم تطويرها ، ويمكن الوصول إليها بسهولة وبشكل مستمر لكل موظف . بحيث يفهم الجميع بوضوح ماذا وكيف سيتم ذلك ولأي أغراض سيتم استخدامها.

مهم! لا يمكنك اتباع الطريقة التي يحبها العديد من "الأفراد" الروس: عند تعيينهم ، أعطهم مائة أو مائتي صفحة من التعليمات لقراءتها ، ثم اطلب منهم تذكر كل شيء وتنسى إزالته إلى الأبد. اكتب ، تعرفت. يجب أن تكون السياسة سهلة الوصول إليها في أي وقت.

يجب مراجعة سياسة المراقبة ، مثلها مثل أي سياسة (خصوصية) لمعالجة البيانات الشخصية بشكل منتظم. إن إعادة التقييم ضرورية بقدر ما تكون المراقبة ضرورية لتلبية المصالح المشروعة للشركة. لذلك ، أوصي بهؤلاء الذين يرغبون في إزالة المطالبات المحتملة في حالة التعارض أو الشيكات ، لكنهم ليسوا مستعدين لتخصيص الكثير من الموارد لهذا:

• قم بعمل بروتوكولات / أوامر مرة واحدة على الأقل في السنة مع تعليمات لإجراء جرد للنظام بأكمله لجمع ومعالجة البيانات الشخصية ؛
• وفقًا لنتائج المخزون ، قم بإجراء ما لا يقل عن الحد الأدنى من التغييرات في السياسة (على سبيل المثال ، قلل العمر الافتراضي لفئات معينة من البيانات) ؛

بدلاً من مراقبة الموظفين باستمرار ، حاول منع السلوك غير المرغوب فيه. إذا كان حظر أي موارد / مواقع يتيح لك تحقيق هدفك ، فمن الأفضل منع وصول الموظفين إليها بدلاً من مراقبته باستمرار. هذا هو مبدأ عام للتفاعل بين صاحب العمل والموظف ، والذي ينصح به في الاستنتاج 2/2017.

مثال أ من الاستنتاج 2/2017 : إن حظر جميع رسائل البريد الإلكتروني في صف واحد والتي يمكن أن تشكل خطراً على تسرب البيانات من قبل صاحب العمل يتطلب إبلاغ الموظف بهذا (في كل مرة قبل إرسال خطاب) ، مع خيار رفض الإرسال. خلاف ذلك ، هناك خطر تجاوز التدخل الضروري في الخصوصية والوصول التعسفي إلى المراسلات الشخصية للموظف.

مثال B للاستنتاج 2/2017 : . , (, ).

2/2017 : , , , .

«home-office»

باستخدام التقنيات التي تسمح لك بتتبع النقرات وحركات الماوس والإجراءات المماثلة الأخرى للموظفين ، وكذلك التقاط لقطات الشاشة (بشكل انتقائي ودوري) ، والحصول على معلومات حول التطبيقات التي تم تنزيلها ووقت التنزيل ، وتلقي البيانات من كاميرات الويب أو أخذ قراءات عن الطريق ، مرت من قبل الموظف (مرحبا الشر المقيم لأمازون والباقي !) ، ويعتبر غير متناسب. من المرجح أن يتجاوز هذا الرصد المصالح المشروعة لصاحب العمل (الفقرة 5.4.1. الاستنتاجات 2/2017).

ما يمكن التوصية به هنا؟

أولاً ، (كما لو لم تكن مألوفة) ، لفهم ما إذا كنت بحاجة إلى مثل هذه المراقبة أم لا. ثانياً ، حدد بوضوح (مع الوثائق) ماهية اهتماماتك المشروعة ، وإذا أمكن ، قم بتسجيل مثل هذا الرصد في الاتفاقيات الحالية.

على سبيل المثال ، لا يمكن تقدير عمل مبرمج في مشروع مسبقًا من حيث الوقت اللازم. يتكون الدفع عن طريق عدد ساعات العمل. يصر عميلك على مراقبة نشاط الموظف من خلال التقاط لقطات أو مراقبة تصرفاته على خادم سحابة. يجب إصلاح حالة العميل المتعلقة بلقطات الشاشة أو التحكم في الخادم في العقد المبرم مع العميل (إذا تم تقدير وقت العمل من خلال أي أنظمة محاسبة أخرى - على نحو مماثل). يجب أيضًا إخطار الموظف الذي يعمل في مشروع هذا العميل مقدمًا قبل المراقبة ، ويجب توضيح إمكانية هذا الرصد في العقد المبرم معه.

مراقبة ساعات العمل / التواجد في مكان العمل من خلال نظام الوصول

هذه "خدعة" مفضلة لدى العديد من الشركات المحلية ، من "الصغيرة إلى الكبيرة": ضع نقطة تفتيش إلكترونية وتفرض غرامات على التأخير لمدة دقيقة ، أو أدخل هذه المعلومات في ملف شخصي. لذلك ، مع موظفيك الأوروبيين هذا هو دائما تقريبا غير مقبول.

مثال من الاستنتاج 02/2017 : يمكنك استخدام نظام محاسبة الوصول (التاريخ والوقت ومالك مفتاح الوصول) للتحكم في الوصول إلى الأماكن الحساسة بشكل خاص. على سبيل المثال ، في غرفة الخادم ، حيث يتم تخزين المعلومات المهمة. لكن من المستحيل استخدام البيانات التي تم الحصول عليها من أجل تقييم إنتاجية الموظف (وقت التواجد / الغياب في مكان العمل).

مراقبة "جو السعادة" في الشركة

لا يُسمح بمراقبة تعبيرات الوجه للموظفين باستخدام الوسائل الآلية لاكتشاف الانحرافات عن الأنماط الحركية المحددة مسبقًا. بالإضافة إلى المراقبة ، يمكن لبيانات مثل هذه الملاحظة أن تشكل الأساس لتعريف الموظف واتخاذ القرارات التلقائية بشأنه. هذا غير متناسب مع حقوق وحريات الموظفين. كقاعدة عامة ، يجب على صاحب العمل الامتناع عن استخدام تقنيات التعرف على الوجوه. على الرغم من أن بعض الاستثناءات على القاعدة العامة قد تكون مسموح بها.

(أفترض أن المضبوطات مسموح بها عندما يحدث الإنتاج الضار (هل ما زالت في أوروبا؟) أو للسيطرة على التعب من السائقين والمشغلين ، كما هو موضح في المقالة المتعلقة بالأمازون ، على الرابط أعلاه).

استنتاجات وتوصيات موجزة:

1. ( ) , . ( , )
2. , , ( ) . .
3. , . - ( , ), .
4. قم بتطوير البنود النموذجية التعاقدية لحماية البيانات الشخصية كقالب ، والتي يجب توقيعها عند استلام البيانات الشخصية للموظفين الأوروبيين ، إذا تم نقل هذه البيانات إلى دولة ثالثة دون مستوى كافٍ من الحماية.