GDPR: comment travailler avec les données personnelles de vos employés, indépendants et employés de contrepartie européens

L'article est une brève compression et mon interprétation des dispositions du règlement GDPR («le règlement») en liaison avec l' avis 2/2017 sur le traitement des données au travail du 06/08/2017. Il s'adresse aux entreprises qui ont des bureaux à part entière ou des travailleurs à distance et / ou des indépendants dans les pays de l'UE, ainsi qu'aux contractants (partenaires) avec des employés européens, dont vous pouvez obtenir les données dans le cadre du travail sur des projets communs.

Nous analysons les problèmes de traitement des données personnelles lors de l'embauche (recrutement) d'employés, de la conclusion d'accords avec des indépendants ou des partenaires commerciaux; surveiller les employés sur le lieu de travail et à distance, y compris par le biais de systèmes d'acquisition automatique de données.

La conclusion a été faite avant la date d'entrée en vigueur du règlement et se fonde sur la directive 95/46 / CE du 24.10.2005. Cependant, il prend en compte les dispositions du RGPD.

Pour plus de commodité, et lorsque cela ne contredit pas le contexte, les employés, les pigistes et les employés de contrepartie seront collectivement appelés «employé».

Assurez-vous d'avoir une raison de traiter les données des employés

Le traitement des données personnelles des employés est généralement effectué au moins pour l'un des motifs suivants:

• consentement personnel;
• la nécessité de se conformer aux exigences de la loi (généralement le droit du travail ou la LBC / FT lors des paiements);
• la nécessité d'exécuter un accord déjà conclu ou la nécessité de conclure un accord, à la demande du propriétaire des données personnelles;
• la présence d'un intérêt légitime dans votre entreprise pour un tel traitement.

Le traitement sur la base des exigences de la loi sera exclu du champ d'application de l'article. De plus, nous ne toucherons pas au consentement personnel. Comme déjà indiqué dans l'article précédent, Consentement au traitement des données sur le RGPD: une analyse détaillée , le traitement des données personnelles des employés sur la base de leur consentement personnel est une option difficile. Il y a toujours le risque qu'un consentement quelque part soit rédigé de manière incorrecte et reconnu comme non libre, et votre entreprise enfreindra les règles du RGPD.

Dans les relations avec les salariés, le traitement des données personnelles est plus fiable sur la base des accords conclus. Si tous les problèmes de traitement sont techniquement difficiles ou impossibles à résoudre dans les contrats, vous devrez alors aborder de manière responsable la justification de l'intérêt légitime de votre entreprise pour un tel traitement.

Considérez quelles conditions et comment formuler dans les contrats de travail ou commerciaux afin qu'ils vous permettent de traiter les données personnelles conformément au RGPD. (Étant donné que le traitement sur la base d'un intérêt légitime, ainsi que le traitement sur la base d'un contrat, doit également être documenté et coïncide avec ce dernier à bien des égards, nous ne le considérerons pas séparément).

Nous donnons le libellé complet de l'article 6, paragraphe 1, point b), du règlement (traduction de l'anglais): «le traitement est nécessaire pour exécuter le contrat auquel le propriétaire des données est partie, ou pour prendre des mesures à la demande du propriétaire des données personnelles avant de conclure le contrat ».

De cette formulation découle un certain nombre d'éléments obligatoires.

Le besoin de données dans le cadre du contrat

Selon le paragraphe 44 du préambule du règlement, le traitement est légal si nécessaire dans le contexte du contrat ou dans l'intention de le conclure. Donc, nous regardons le contexte du contrat lui-même. La conclusion 2/2017 recommande l'utilisation d'un test de proportionnalité dans de tels cas pour évaluer si le traitement est nécessaire pour atteindre un objectif légitime (en particulier, pour exécuter ou conclure un contrat), et quelles mesures devraient être prises pour réduire les atteintes à la vie privée au minimum.

Le règlement ne déchiffre pas ce que comprend un "test de proportionnalité". La conclusion 2/2017 ne contient que la mise en garde qu'un tel test pourrait faire partie de la procédure DPIA . Dans la procédure DPIA elle-même, la proportionnalité du traitement est décrite à travers de nombreux critères que la société de contrôle doit suivre. À mon avis, les plus importants sont:

• adéquation des données traitées aux finalités du traitement;
• les objectifs de traitement eux-mêmes doivent être spécifiques et explicites.

Par conséquent, le test de proportionnalité implique non seulement la nécessité de préciser dans le contrat l'obligation de fournir certaines données personnelles pour le traitement, ou d'informer le propriétaire des données d'une telle obligation avant de conclure le contrat. Les obligations contractuelles du salarié, sur la base desquelles les données sont collectées, doivent découler directement de la nature de son futur travail ou des caractéristiques du projet dans lequel il sera impliqué. Les obligations contractuelles devraient prévoir le traitement uniquement des données personnelles minimales nécessaires en référence à un objectif de traitement spécifique, formulées de manière très claire et claire.

Exemple A : il est raisonnable d'exiger qu'un spécialiste des relations publiques ou un responsable du service client soumette votre photo pour publication sur le site Web de votre entreprise. Cela peut être justifié par les caractéristiques du travail de ces employés, lorsque l'apparence joue un rôle psychologique dans la promotion des intérêts de l'entreprise, la croissance des ventes. Au contraire, il n'est guère nécessaire d'exiger et de transmettre à des clients (ou de publier dans le domaine public) des photos de développeurs qui participent à des rallyes par la voix, même sans webcam, et rien de plus n'est exigé d'eux.

Je pense qu'il sera disproportionné de formuler la condition sur les coordonnées dans le contrat comme suit:

Exemple B : «Coordonnées des employés: ... e-mail pour envoyer une offre d'emploi, un contrat de travail ou des documents d'information / ENTREPRISE /». L'orientation du «matériel d'information» est clairement un objectif inutile pour l'exécution d'un contrat de travail, qui comprend également la distribution de publicité. Cependant, si vous écrivez un peu différemment: «notifications de changements dans l'horaire de travail, informations sur les jours de congé, etc.», ce sera un objectif précis et clairement exprimé, et l'utilisation du courrier électronique y suffira.

(De toute évidence, le simple fait de spécifier un «e-mail», puis de l'utiliser pour envoyer du matériel marketing est également inacceptable).

Exemple C : Votre entreprise travaille comme agent et fait la promotion des services des mêmes développeurs sur les marchés internationaux. Étant donné que le placement de la photo est dû aux particularités de travailler avec les clients, la nécessité pour eux d'évaluer l'image / le portrait psychologique du développeur avant de prendre une décision d'embauche, le placement de la photo peut être justifié .

(N'oubliez pas d'avertir le développeur de l'utilisation de la photo avant de conclure un accord avec lui. Il est également recommandé que pour les développeurs qui n'acceptent pas d'indiquer leur photo sur le profil, vous fournissiez toujours la possibilité d'utiliser les services de votre entreprise, même si l'efficacité du recrutement a diminué en raison du manque de photo).

Exemple D : votre employé (par exemple, un administrateur système) travaille avec des serveurs desservant des applications à grande échelle et à forte charge, et devrait être disponible 24 heures sur 24 (à moins, bien sûr, que vous respectiez également les exigences de la législation du travail pour un paiement approprié pour ces employés). Vous pouvez stipuler dans le contrat une condition pour les appels vers son numéro de téléphone personnel en cas d'urgence. Au contraire, si un employé n'est pas nécessaire après les heures de bureau, il vaut mieux ne pas utiliser de numéro de téléphone personnel (même si vous le connaissez).

Et un exemple tiré de la Conclusion 2/201 7: Une entreprise de livraison n'a pas le droit d'envoyer des photos de courriers aux clients (pour vérifier qu'il s'agit bien d'une messagerie), car il n'est pas nécessaire de transférer des photos pour livrer des colis.

IMPORTANT! Le test de proportionnalité est recommandé non seulement dans la préparation des contrats, mais également dans le traitement pour toute autre raison ; par exemple, en obtenant un consentement (article 6, paragraphe 1, point a)) ou pour réaliser les intérêts légitimes de votre entreprise (article 6, paragraphe 1, point f), du règlement).

Quel que soit le besoin de collecte de données personnelles dans votre entreprise, posez-vous toujours la question: avez-vous vraiment besoin de ces données? Même si votre employé ne semble pas déranger de vous les donner. N'oubliez pas que votre employé est initialement considéré du point de vue du RGPD comme un aspect vulnérable de la relation de travail, et son consentement n'est a priori pas libre. Par conséquent, la tâche d'assurer une interférence minimale avec la vie privée (y compris dans le cadre de contrats avec des employés) incombe à votre entreprise et non à un employé.

En outre, je vous recommande d'étudier les exigences de l'organisme de réglementation pour la protection des données personnelles dans l'état de votre entreprise. Par exemple, à Chypre, le dernier lieu de délocalisation des entreprises informatiques et fintech de Russie et d'autres pays de la CEI, il est obligatoire d'appliquer la procédure DPIA si un contrôle systématique de l'activité des employés est effectué, y compris le contrôle des emplois, l'activité Internet ou l'utilisation du GPS sur les véhicules des travailleurs. .

Le propriétaire des données doit être partie au contrat

Il semblerait que tout soit évident ici. Cependant, il y a un point subtil auquel peu de gens prêtent attention. Il s'agit du traitement des données personnelles des employés de vos partenaires (clients, contractants, intermédiaires, etc.), dans lequel il existe un vide juridique.

Votre entreprise n'a aucun contrat avec les employés de vos partenaires. Et même le consentement au traitement des données ne fonctionne le plus souvent pas à la demande. Oui, ces personnes sont des employés de votre partenaire (même si elles peuvent être des indépendants et même du personnel fourni par des tiers). Et il est logique de supposer qu'étant donné qu'ils travaillent pour lui, alors dans le cadre du contrat avec votre partenaire, vous avez déjà accepté de vous transférer vos données. Mais ce n'est pas le cas.

Vous ne savez pas dans quelle mesure votre partenaire a rempli tous les documents dans le cadre du RGPD. Si le consentement a été reçu de son employé et s'il a été donné librement, ou si le traitement des données personnelles a été convenu dans un accord avec un tel employé. Je doute fort que vous puissiez pleinement compter sur votre partenaire en la matière. Pendant ce temps, après avoir reçu les données de ses employés, votre entreprise devient au moins un processeur, c'est-à-dire le traitement des données personnelles au nom et pour le compte du responsable du traitement. Et afin d'éviter toute responsabilité en cas de violation du RGPD, votre entreprise de traitement doit au moins agir sur la base des instructions légales de votre partenaire.

Votre entreprise ne sera un processeur que si, sur la base d'un accord avec votre partenaire, elle reçoit des données personnelles clairement spécifiées de ses employés (par exemple, nom et contacts) et ne les utilise qu'à des fins clairement définies; par exemple, communication par téléphone, e-mail ou messagerie instantanée tout en travaillant sur un projet. Si soudain vous décidez d'envoyer une sorte de newsletter marketing ou une offre d'emploi à ces employés, alors les automatiques tomberont dans la catégorie des «contrôleurs», avec une responsabilité accrue. Puisque vous-même commencez déjà à déterminer les objectifs et les méthodes de traitement des données personnelles.

Dans de telles situations, je vous recommande d'inclure une clause distincte dans tout contrat avec vos partenaires que la contrepartie garantit qu'elle respecte toutes les règles de travail avec les données personnelles de ses employés ou des parties liées qui peuvent lui être applicables sur le lieu d'affaires, y compris Votre entreprise contre toute réclamation, réclamation pouvant être associée à toute violation de la loi applicable lors du transfert de données, et garantit une indemnisation indépendante pour les dommages dans ces réclamations et réclamations. La clause classique sur l'indemnité et l'indemnité, mais uniquement en relation avec les données personnelles.

En pratique, dès que vous incluez une clause de décharge de responsabilité dans le contrat, les avocats de votre partenaire voudront très probablement la supprimer. Comment être

Effectuez le transfert des données personnelles conformément aux dispositions du Règlement, et il sera difficile pour votre partenaire d'être en désaccord avec cela.

Pour les sociétés de traitement recevant des données de leurs partenaires (responsables du traitement), le règlement (article 28, paragraphe 3) contient des exigences obligatoires pour le contenu du contrat en termes de données transférées. En particulier, vous devez spécifier quelles données (catégories), à quelles fins et pendant combien de temps sont transférées à votre entreprise, et bien plus encore. Si les données personnelles sont transférées par votre entreprise à la suite du nouveau processeur, il est nécessaire de coordonner des obligations identiques avec lui.

Si le travail conjoint sur le projet implique le transfert de données personnelles en dehors de l'Union européenne vers des pays tiers sans un niveau adéquat de protection des données personnelles , ainsi que le contrat conclu, il est nécessaire d'établir et de signer les clauses contractuelles types pour la protection des données personnelles (article 46, paragraphe 1 (2). ) c) du règlement). Même si le partenaire n'a pas besoin d'un tel document, il vaut mieux avoir un modèle prédéfini et insister pour le signer lors du transfert des données aux salariés européens. Cela réduira considérablement le risque de responsabilité pour le traitement des données personnelles en violation du RGPD.

Les conditions standard élaborées et approuvées par la Commission européenne sur la base de la directive 95/46 / CE pour les processeurs sont disponibles ici . Vous pouvez également y trouver des conditions standard pour les contrôleurs.

L'adoption des mesures nécessaires avant la conclusion du contrat, à la demande du propriétaire des données personnelles

Il doit y avoir une relation claire: les événements sont organisés en relation avec le propriétaire des données, et il donne lui-même la permission de leur mise en œuvre dans la demande.

Exemple : Vérification des antécédents criminels d'un candidat, si son poste implique de travailler avec des données de confidentialité accrue et sans vérification, il est impossible d'obtenir une invitation à travailler. Dans le même temps, l'employeur informe le candidat à l'avance dans la description de poste de la nécessité de passer la vérification de certains faits criminels dans sa biographie. Et le candidat, en envoyant son curriculum vitae ou d'une autre manière, confirme qu'il est d'accord avec un tel chèque .

Afin de former correctement une demande légitime d'un candidat pour le traitement de ses données, il est nécessaire de fournir au candidat le maximum d'informations nécessaires sur le traitement futur, y compris les méthodes pour prendre des décisions sur ses résultats. (Pour plus d'informations, voir la procédure: d'abord informer, puis traiter ci-dessous.

Indépendants: sont-ils aussi des travailleurs?

Dans la Conclusion 2/2017, sous les travailleurs, il est recommandé de considérer non seulement ceux qui travaillent sous contrat de travail, mais aussi les indépendants, si les relations avec eux sont de nature professionnelle. Il y a une difficulté ici.

Que signifient par ailleurs les «relations de travail» avec les indépendants en termes de RGPD? La conclusion 2/2017 ne fournit pas de réponse à cette question. Je pense que nous devons examiner le contexte dans lequel tout employé est mentionné dans le Règlement. Il s'agit là de leur désavantage a priori pour l'employeur, lorsqu'il ne peut refuser de fournir ses données sans risque de ne pas obtenir ou perdre un emploi, ou autres conséquences négatives. Si vous suivez cette logique, un pigiste peut être assimilé à un employé dans des situations où votre entreprise sera sa seule source de commandes. Si la part des commandes (et des paiements) de votre entreprise est faible et que le pigiste peut choisir de coopérer avec vous et dans quelles conditions, il a plus de liberté pour prendre des décisions concernant ses données personnelles. Et dans ce cas, il peut être considéré comme un entrepreneur indépendant et non comme un employé.

Dans tous les cas, vous devez attendre le développement de la pratique d'application du RGPD ou la divulgation de cette question dans le soi-disant «Législation douce» de l'Union européenne: conclusions et recommandations, ainsi que dans la législation nationale.

Nous suivons la procédure: d'abord - informer, puis - traiter

Le propriétaire des données doit être informé avant le traitement. Il s'agit d'une exigence générale de l'article 13 du Règlement. Dans chaque cas individuel (traitement dans le cadre du contrat ou avant sa conclusion), ainsi que sans contrat, mais si votre entreprise a un intérêt légitime, le propriétaire des données doit recevoir les informations minimales nécessaires.

Dans le cas des employés, ces informations sont mieux faites simultanément avec le placement des exigences pour un candidat à un poste vacant. Si un contrat commercial est conclu avec un pigiste, vous devez en informer avant de conclure le contrat, ou, dans les cas extrêmes, simultanément à sa signature. Outre les autres informations énumérées à l'article 13 du règlement, il est nécessaire d'indiquer si la fourniture de données à caractère personnel fait partie des obligations du futur salarié et quelles peuvent être les conséquences s'il refuse de les fournir.

N'oubliez pas que la forme de communication doit être aussi simple et accessible que possible. N'incluez pas ces informations dans le texte du contrat principal, où elles pourraient être perdues. Faire sous la forme du document séparé est mieux. Il est souhaitable qu'un tel document soit daté avant la date de signature du contrat principal.


Il s'agissait là d'exigences générales pour le traitement de données à caractère personnel sur la base d'un contrat, en rapport avec la nécessité de conclure un contrat à la demande du propriétaire des données ou s'il y avait un intérêt légitime. Ensuite, nous considérons brièvement le traitement des données personnelles lors du recrutement des employés, le suivi des employés sur le lieu de travail et à distance, ainsi que le suivi du temps de présence sur le lieu de travail et / ou du temps passé.

Traitement des données lors du recrutement (embauche) d'employés

Les recruteurs aiment voir les profils des candidats sur les réseaux sociaux. Certains demandent même des références à eux dans des profils ou dans des CV. Lorsque vous collectez des données sur les réseaux sociaux de votre entreprise, vous devez savoir si ces profils sont destinés à un usage personnel ou à des fins commerciales. La clé ici est l'utilisation. Sachez que même les profils ouverts au public ne peuvent pas être utilisés à des fins de recrutement, d'évaluation des candidats à l'emploi, si cela n'est pas directement lié à la fonction future du candidat dans votre entreprise ou votre projet.

Exemple : , . - , , . . , , .

La surveillance générale des données des anciens employés à partir des profils sur les réseaux sociaux n'est généralement pas acceptable. (Un tel contrôle peut être effectué pour savoir si l'ancien employé n'a pas violé la condition d'interdiction de travailler avec des concurrents pendant un certain temps). Cependant, si l'employeur prouve que ces informations ne peuvent être obtenues autrement qu'en consultant les profils, la collecte de données à partir des réseaux sociaux peut être reconnue comme autorisée. Ici, il convient également de respecter la condition relative à la nécessité d'informer l'employé à l'avance de la surveillance en cours.

Évidemment, il vaut mieux informer sur le suivi avant la résiliation du contrat (et, idéalement, avant sa conclusion). Sinon, il est fort probable que l'employé, après avoir reçu une notification, supprimera simplement toutes les informations et contacts qui le compromettent.

Il n'est pas autorisé de forcer les employés à utiliser uniquement le profil associé à l'employeur sur les réseaux sociaux . Même si une telle obligation est prévue par les caractéristiques de leur travail (par exemple, un représentant du service RP, un porte-parole, un responsable du service client, etc.). Dans tous les cas, ces employés doivent conserver la possibilité d'utiliser un profil personnel et non public.

Installation d'outils (systèmes, applications) de traitement électronique des données sur des ordinateurs fonctionnant en réseau

Nous parlons de tous les systèmes et applications qui, sous une forme ou une autre, collectent des données personnelles et les transmettent à l'employeur ou à des tiers. L'installation nécessite le consentement éclairé de l'employé. Même les actions indépendantes d'un employé pour activer l'application sur sa machine de travail ou fournir un accès pour l'installation à distance du système avec les paramètres par défaut ne seront pas considérées comme une expression de consentement à l'installation. Étant donné que le consentement doit être donné par les propres actions actives de l'utilisateur, seule une installation avec une modification des paramètres par défaut peut être assimilée à une expression éclairée et libre de la volonté d'installation de l'employé.

Lors de la surveillance des employés ou des données de leurs appareils (y compris les données personnelles connectées à un réseau d'entreprise ou au WiFi), l'employeur devrait avoir élaboré une politique de surveillance du lieu de travail , facilement et constamment accessible et compréhensible pour chaque employé . Pour que chacun comprenne clairement ce qui va se passer et comment, et à quelles fins il sera utilisé.

IMPORTANT! Vous ne pouvez pas adhérer à l'approche que beaucoup de «personnels» russes aiment: lors de l'embauche, donnez-leur cent ou deux cents pages d'instructions à lire, puis demandez-leur de se souvenir de tout et d'oublier de l'enlever à jamais. Type, fait connaissance. La politique doit être facilement accessible à tout moment.

La politique de surveillance, comme toute autre politique de traitement des données personnelles (confidentialité), doit être régulièrement revue. Une réévaluation est nécessaire dans la mesure où une surveillance est nécessaire pour satisfaire les intérêts légitimes de l'entreprise. Par conséquent, je recommanderais à ceux qui souhaitent supprimer d'éventuelles réclamations en cas de conflit ou de chèques, mais ne sont pas prêts à y consacrer beaucoup de ressources:

• faire au moins une fois par an des protocoles / commandes avec des instructions pour effectuer un inventaire de l'ensemble de votre système de collecte et de traitement des données personnelles;
• selon les résultats de l'inventaire, apporter au moins des modifications minimes à la politique (par exemple, réduire la durée de conservation de certaines catégories de données);

Au lieu de surveiller constamment les employés, essayez d'éviter les comportements indésirables. Si le blocage de ressources / sites vous permet d'atteindre votre objectif, il est préférable de bloquer l'accès des employés à ceux-ci plutôt que de le surveiller en permanence. Il s'agit d'un principe général d'interaction entre l'employeur et le salarié, qui est recommandé par la Conclusion 2/2017.

Exemple A de la conclusion 2/2017 : le blocage de tous les e-mails consécutifs pouvant présenter un risque de fuite de données par l'entreprise employeur nécessite que l'employé en soit informé (à chaque fois avant d'envoyer une lettre), avec la possibilité de refuser d'envoyer. Sinon, il existe un risque de dépassement des interférences nécessaires avec la vie privée et l'accès arbitraire à la correspondance personnelle d'un employé.

Exemple B de la conclusion 2/2017 : . , (, ).

2/2017 : , , , .

«home-office»

Utiliser des technologies qui vous permettent de suivre les clics et les mouvements de la souris, d'autres actions similaires des employés, ainsi que de prendre des captures d'écran (à la fois de manière sélective et périodique), de recevoir des informations sur les applications téléchargées et leur temps de téléchargement, de recevoir des données des webcams ou de prendre des lectures sur le chemin, passé par l'employé (bonjour résident maléfique à Amazon et au reste !), il est jugé disproportionné. Une telle surveillance est susceptible de dépasser les intérêts légitimes de l'employeur (clause 5.4.1. Conclusions 2/2017).

Que peut-on recommander ici?

Tout d'abord, (comme si cela ne vous semblait pas familier), pour comprendre si vous avez besoin d'une telle surveillance ou non. Deuxièmement, indiquez clairement (avec documentation) en quoi consiste votre intérêt légitime et, si possible, enregistrez ce contrôle dans les accords existants.

Par exemple, le travail d'un programmeur sur un projet ne peut pas être estimé à l'avance en termes de temps nécessaire. Le paiement est formé par le nombre d'heures travaillées. Votre client insiste pour surveiller l'activité de votre employé en prenant des captures d'écran ou en surveillant ses actions sur un serveur cloud. La condition du client concernant les captures d'écran ou le contrôle sur le serveur doit être fixée dans le contrat avec le client (si le temps de travail est estimé par le biais d'autres systèmes comptables - de la même manière). L'employé travaillant sur le projet de ce client doit également être informé à l'avance de la surveillance, et la possibilité d'une telle surveillance doit être précisée dans le contrat avec lui.

Surveillance des heures de travail / présence sur le lieu de travail via le système d'accès

C'est une «astuce» préférée de nombreuses entreprises nationales, des «petites aux grandes»: mettre un point de contrôle électronique et facturer des pénalités pour les retards minute, ou saisir ces informations dans un dossier personnel. Donc, avec votre personnel européen, c'est presque toujours inacceptable.

Un exemple de la Conclusion 02/2017 : Vous pouvez utiliser le système de comptabilité d'accès (date, heure, propriétaire de la clé d'accès) afin de contrôler l'accès à des endroits particulièrement sensibles. Par exemple, dans la salle des serveurs, où sont stockées des informations importantes. Mais il est impossible d'utiliser les données obtenues pour évaluer la productivité des employés (temps de présence / absence sur le lieu de travail).

Surveiller "l'atmosphère de bonheur" dans l'entreprise

L'observation des expressions faciales des employés à l'aide de moyens automatiques n'est pas autorisée à détecter les écarts par rapport aux schémas moteurs prédéfinis. Outre le suivi, les données d'une telle observation peuvent constituer la base du profilage d'un salarié et de la prise de décision automatique le concernant. Cela est disproportionné par rapport aux droits et libertés des employés. En règle générale, un employeur devrait s'abstenir d'utiliser de telles technologies de reconnaissance faciale. Bien que certaines exceptions à la règle générale puissent être autorisées.

(Je suppose que les saisies sont autorisées là où une production nuisible a lieu (sont-elles toujours en Europe?) Ou pour contrôler la fatigue des conducteurs et des opérateurs, comme décrit dans l'article sur Amazon, au lien ci-dessus).

Brèves conclusions et recommandations:

1. ( ) , . ( , )
2. , , ( ) . .
3. , . - ( , ), .
4. Développer comme modèle les clauses contractuelles standard de protection des données personnelles, qui devront être signées à la réception des données personnelles des employés européens, si ces données sont transférées vers un pays tiers sans un niveau de protection adéquat.