GDPR: como trabalhar com os dados pessoais de seus funcionários, freelancers e funcionários de contrapartes européias

O artigo é um breve aperto e minha interpretação das disposições do Regulamento GDPR ("o regulamento") em conjunto com o Parecer 2/2017 sobre processamento de dados no trabalho datado de 06/08/2017. Ele é dirigido a empresas que possuem escritórios completos ou trabalhadores remotos e / ou freelancers nos países da UE, bem como contratados (parceiros) com funcionários europeus, cujos dados você pode obter no processo de trabalho em projetos conjuntos.

Analisamos as questões de processamento de dados pessoais ao contratar (recrutar) funcionários, concluindo acordos com freelancers ou parceiros de negócios; monitorar os funcionários no local de trabalho e remotamente, inclusive por meio de sistemas automáticos de aquisição de dados.

A conclusão foi feita antes da data de entrada em vigor do regulamento e baseia-se na Diretiva 95/46 / CE de 24.10.2005. No entanto, leva em consideração as disposições do RGPD.

Por conveniência, e quando isso não contradizer o contexto, os funcionários, freelancers e funcionários da contraparte serão coletivamente referidos como "Empregado".

Verifique se você tem um motivo para processar os dados dos funcionários

O processamento de dados pessoais dos funcionários geralmente é realizado pelo menos por um dos seguintes motivos:

• consentimento pessoal;
• a necessidade de cumprir os requisitos da lei (geralmente direito do trabalho ou ABC / CFT ao efetuar pagamentos);
• a necessidade de executar um contrato já concluído ou a necessidade de concluir um acordo, a pedido do proprietário dos dados pessoais;
• a presença de interesse legítimo da sua empresa nesse processamento.

O processamento com base nos requisitos da lei ficará fora do escopo do artigo. Além disso, não tocaremos no consentimento pessoal. Como já observado no artigo anterior, Consentir com o processamento de dados no GDPR: uma análise detalhada , o processamento de dados pessoais dos funcionários com base em seu consentimento pessoal é uma opção difícil. Sempre existe o risco de que o consentimento em algum lugar seja estabelecido incorretamente e reconhecido como não gratuito, e sua empresa violará as regras do GDPR.

Nas relações com os funcionários, o processamento de dados pessoais é mais confiável com base nos acordos concluídos. Se todos os problemas de processamento forem tecnicamente difíceis ou impraticáveis ​​de serem fixados em contratos, será necessário abordar com responsabilidade a justificação do interesse legítimo da sua empresa nesse processamento.

Considere quais condições e como formular contratos de trabalho ou comerciais para que eles permitam o processamento de dados pessoais de acordo com o GDPR. (Dado que o processamento com base em interesses legítimos, bem como o processamento com base em contrato, também precisa ser documentado e coincide com o último em muitos aspectos, não o consideraremos separadamente).

Apresentamos a redação completa do artigo 6 (1) (b) do Regulamento (tradução do inglês): “o processamento é necessário para executar o contrato do qual o proprietário dos dados é parte, ou para tomar medidas a pedido do proprietário dos dados pessoais antes de concluir o contrato ”.

A partir desta redação segue uma série de elementos obrigatórios.

A necessidade de dados sob o contrato

De acordo com o parágrafo 44 do Preâmbulo das Regras, o processamento é legal, se necessário, no contexto do contrato ou na intenção de concluí-lo. Então, olhamos para o contexto do próprio contrato. A Conclusão 2/2017 recomenda o uso de um teste de proporcionalidade nesses casos para avaliar se o processamento é necessário para atingir uma meta legítima (em particular, executar ou concluir um contrato) e quais medidas devem ser tomadas para reduzir a interferência na privacidade. ao mínimo.

O regulamento não decifra o que inclui um "teste de proporcionalidade". A conclusão 2/2017 contém apenas a ressalva de que esse teste pode se tornar parte do procedimento DPIA . No próprio procedimento DPIA, a proporcionalidade do processamento é descrita através de muitos critérios que a empresa controladora deve seguir. Na minha opinião, os mais importantes são:

• adequação dos dados processados ​​aos propósitos de processamento;
• as próprias metas de processamento devem ser específicas e explícitas.

Consequentemente, o teste de proporcionalidade implica não apenas a necessidade de especificar no contrato a obrigação de fornecer alguns dados pessoais para processamento, ou de informar o proprietário dos dados sobre tal obrigação antes de concluir o contrato. As obrigações contratuais do empregado, com base nas quais os dados são coletados, devem fluir diretamente da natureza de seu trabalho futuro ou das características do projeto em que ele estará envolvido. As obrigações contratuais devem prever o processamento apenas dos dados pessoais mínimos necessários, com referência a uma meta específica de processamento, formulada de maneira muito clara e clara.

Exemplo A : É razoável exigir que um especialista em relações públicas ou gerente de atendimento ao cliente envie sua foto para publicação no site da sua empresa. Isso pode ser justificado pelas características do trabalho desses funcionários, quando a aparência desempenha um papel psicológico na promoção dos interesses da empresa, no crescimento das vendas. Pelo contrário, dificilmente é necessário exigir e transmitir aos clientes (ou publicar em domínio público) fotos de desenvolvedores que participam de comícios por voz, mesmo sem incluir uma webcam, e mais nunca é exigido deles.

Eu acho que será desproporcional formular a condição nos detalhes de contato no contrato da seguinte forma:

Exemplo B : “Detalhes de contato dos funcionários: ... email para enviar uma oferta de emprego, contrato de trabalho ou materiais de informação / EMPRESA /”. A direção dos "materiais de informação" é claramente uma meta desnecessária para o cumprimento de um contrato de trabalho, mas também implica a distribuição de publicidade. No entanto, se você escrever um pouco diferente: “notificações de alterações no horário de trabalho, informações sobre os dias de folga, etc.”, esse será um objetivo específico, claramente expresso e o uso de e-mail será adequado a ele.

(Obviamente, simplesmente especificar um "email" e usá-lo para enviar materiais de marketing também é inaceitável).

Exemplo C : Sua empresa trabalha como agente e promove os serviços dos mesmos desenvolvedores nos mercados internacionais. Como a colocação da foto é devido às peculiaridades de trabalhar com os clientes, é necessário que eles avaliem a imagem / retrato psicológico do desenvolvedor antes de tomar uma decisão sobre a contratação, o posicionamento da foto pode ser justificado .

(Não se esqueça de avisar o desenvolvedor sobre o uso da foto antes de concluir um contrato com ele. Também é recomendável que, para aqueles desenvolvedores que não concordam em indicar sua foto no perfil, você ainda ofereça a oportunidade de usar os serviços da sua empresa, mesmo que a eficácia da contratação tenha diminuído devido à falta de foto).

Exemplo D : seu funcionário (por exemplo, um administrador de sistema) trabalha com servidores que atendem a aplicativos de grande porte e alta carga e deve estar disponível 24 horas por dia (a menos que, é claro, você também cumpra os requisitos da legislação trabalhista para pagamento apropriado a esses funcionários). Você pode estipular no contrato uma condição para chamadas para seu número de telefone pessoal em caso de emergência. Pelo contrário, se um funcionário não for necessário após o expediente, é melhor não usar um número de telefone pessoal (mesmo que você o conheça).

E um exemplo da Conclusão 2/201 7: A empresa de entrega não tem o direito de enviar fotos dos correios aos clientes (para verificar se o correio é realmente um), uma vez que não há necessidade de transferir fotos para entregar as encomendas.

IMPORTANTE! O teste de proporcionalidade é recomendado não apenas na preparação de contratos, mas também no processamento por qualquer outro motivo ; por exemplo, obtendo consentimento (artigo 6 (1) (a)) ou para alcançar os interesses legítimos da sua empresa (artigo 6 (1) (f) das Regras).

Qualquer que seja a necessidade de coletar dados pessoais em sua empresa, sempre faça a si mesmo a pergunta: você realmente precisa desses dados? Mesmo que seu funcionário não pareça se importar em entregá-lo a você. Lembre-se de que seu funcionário é inicialmente visto do ponto de vista do GDPR como um lado vulnerável da relação de trabalho, e seu consentimento é, a priori, não gratuito. Portanto, a tarefa de garantir interferência mínima na privacidade (inclusive sob contratos com funcionários) cabe à sua empresa, não a um funcionário.

Além disso, recomendo que você estude os requisitos do órgão regulador para a proteção de dados pessoais no estado de seus negócios. Por exemplo, em Chipre, o local mais recente de realocação de negócios de TI e fintech da Rússia e de outros países da CEI, é obrigatório aplicar o procedimento DPIA se for realizado um monitoramento sistemático da atividade dos funcionários, incluindo monitoramento de trabalhos, atividade na Internet ou uso de GPS nos veículos dos trabalhadores .

O proprietário dos dados deve ser parte no contrato

Parece que tudo é óbvio aqui. No entanto, há um ponto sutil ao qual poucas pessoas prestam atenção. É o processamento de dados pessoais dos funcionários de seus parceiros (clientes, prestadores de serviços, intermediários etc.), nos quais há uma lacuna legal.

Sua empresa não tem contrato com funcionários de seus parceiros. E mesmo o consentimento para o processamento de dados na maioria das vezes não funciona a pedido. Sim, essas pessoas são funcionários do seu parceiro (embora possam ser freelancers e até funcionários fornecidos por terceiros). E é lógico supor que, como eles trabalham para ele e, de acordo com o contrato com seu parceiro, você já concordou em transferir seus dados para você. Mas isso não é verdade.

Você não sabe o quão bem seu parceiro concluiu todos os documentos dentro da estrutura do GDPR. Se o consentimento foi recebido de seu funcionário e se foi concedido livremente ou se o processamento de dados pessoais foi acordado em um contrato com esse funcionário. Duvido muito que você possa confiar plenamente em seu parceiro nesse assunto. Enquanto isso, após receber os dados de seus funcionários, sua empresa se torna pelo menos um processador, ou seja, processamento de dados pessoais em nome e em nome do responsável pelo tratamento. E para evitar a responsabilidade por violar o GDPR, sua empresa de processamento deve pelo menos agir com base nas instruções legais de seu parceiro.

Sua empresa será processadora apenas se, com base em um contrato com seu parceiro, receber dados pessoais claramente acordados de seus funcionários (por exemplo, nome e contatos) e usá-los apenas para fins claramente declarados; por exemplo, comunicação por telefone, email ou mensagens instantâneas enquanto trabalhava em um projeto. Se, de repente, você decidir enviar algum tipo de boletim de marketing ou oferta de emprego a esses funcionários, os automáticos cairão na categoria de "controlador", com maior responsabilidade. Como você já começará a determinar os objetivos e métodos de processamento de dados pessoais.

Em tais situações, eu recomendaria que você incluísse uma cláusula separada em qualquer contrato com seus parceiros de que a contraparte garanta que respeite todas as regras para trabalhar com os dados pessoais de seus funcionários ou partes relacionadas que possam ser aplicáveis ​​a ela no local de negócios, incluindo A sua empresa de quaisquer reclamações, reclamações que possam estar associadas a qualquer violação da lei aplicável ao transferir dados para você e garante uma compensação independente por danos em tais reclamações e reclamações. A cláusula clássica de indenização e indenização, mas apenas em relação a dados pessoais.

Na prática, assim que você incluir uma cláusula de isenção de responsabilidade no contrato, os advogados do seu parceiro provavelmente desejarão excluí-lo. Como ser

Faça a transferência de dados pessoais de acordo com as disposições das Regras, e será difícil para seu parceiro discordar disso.

Para as empresas de processamento que recebem dados dos seus parceiros (controladores), o Regulamento (artigo 28.º, n.º 3) contém requisitos obrigatórios para o conteúdo do contrato em termos dos dados transferidos. Em particular, você precisa especificar quais dados (categorias), para quais finalidades e por quanto tempo são transferidos para sua empresa e muito mais. Se os dados pessoais forem transferidos pela sua empresa para o novo processador, será necessário coordenar obrigações idênticas.

Se o trabalho conjunto do projeto envolver a transferência de dados pessoais para fora da União Europeia para países terceiros sem um nível adequado de proteção de dados pessoais , juntamente com o contrato celebrado, é necessário elaborar e assinar as cláusulas contratuais padrão para a proteção de dados pessoais (artigo 46 (1) (2) ) c) do regulamento). Mesmo que o parceiro não exija esse documento, é melhor ter um modelo pré-projetado e insistir em assiná-lo ao transferir dados para funcionários europeus. Isso reduzirá significativamente o risco de responsabilidade pelo processamento de dados pessoais em violação ao RGPD.

As condições padrão desenvolvidas e aprovadas pela Comissão Europeia com base na Diretiva 95/46 / EC para processadores podem ser encontradas aqui . Você também pode encontrar condições padrão para os controladores lá.

A adoção das medidas necessárias antes da celebração do contrato, a pedido do proprietário dos dados pessoais

Deve haver um relacionamento claro: os eventos são mantidos em relação ao proprietário dos dados, e ele próprio dá permissão para sua implementação na solicitação.

Exemplo : Verificando o histórico criminal de um candidato, se sua posição envolve trabalhar com dados de maior sigilo e sem verificação, é impossível obter um convite para trabalhar. Ao mesmo tempo, o empregador informa o candidato com antecedência na descrição do trabalho sobre a necessidade de passar na verificação de alguns fatos criminais em sua biografia. E o candidato, enviando seu currículo ou de outra maneira, confirma que concorda com esse cheque .

Para formar corretamente uma solicitação legítima de um candidato para o processamento de seus dados, é necessário fornecer ao candidato o máximo de informações necessárias sobre o processamento futuro, incluindo métodos para tomar decisões sobre seus resultados. (Para obter mais informações, consulte o procedimento: primeiro informando e depois o processamento abaixo.

Freelancers: eles também são trabalhadores?

Na Conclusão 2/2017, sob os trabalhadores, recomenda-se considerar não apenas aqueles que trabalham sob contrato de trabalho, mas também freelancers, se as relações com eles forem de natureza trabalhista. Há uma dificuldade aqui.

O que significa “relações de trabalho” com freelancers, além disso, em termos de GDPR? A conclusão 2/2017 não fornece uma resposta para esta pergunta. Eu acho que precisamos olhar para o contexto em que qualquer funcionário é mencionado no Regulamento. Essa é uma desvantagem a priori para o empregador, quando ele não pode se recusar a fornecer seus dados sem o risco de não conseguir ou perder um emprego, ou outras consequências negativas. Se você seguir essa lógica, um freelancer poderá ser comparado a um funcionário em situações em que sua empresa será sua única fonte de pedidos. Se a parcela de pedidos (e pagamentos) da sua empresa for pequena e o freelancer puder optar por cooperar com você e sob quais condições, ele terá mais liberdade para tomar decisões sobre seus dados pessoais. E, nesse caso, ele pode ser considerado um empreendedor independente, e não um empregado.

De qualquer forma, você deve aguardar o desenvolvimento da prática de aplicação do RGPD ou a divulgação desta questão nos chamados “Leis brandas” da União Europeia: conclusões e recomendações, bem como na legislação nacional.

Seguimos o procedimento: primeiro - informar, depois - processar

O proprietário dos dados deve ser informado antes do processamento. Este é um requisito geral do artigo 13 do Regulamento. Em cada caso individual (processamento dentro da estrutura do contrato ou antes de sua conclusão), bem como sem contrato, mas se a sua empresa tiver um interesse legítimo, o proprietário dos dados deverá receber as informações mínimas necessárias.

No caso de funcionários, essas informações são melhor executadas simultaneamente com a colocação de requisitos para um candidato a uma vaga. Se um contrato comercial for concluído com um freelancer, é necessário informar antes de concluir o contrato ou, em casos extremos, simultaneamente à sua assinatura. Juntamente com outras informações listadas no artigo 13 do Regulamento, é necessário indicar se o fornecimento de dados pessoais está incluído nos deveres do futuro funcionário e quais consequências podem ser se ele se recusar a fornecê-los.

Não esqueça que a forma de comunicação deve ser o mais simples e acessível possível. Não inclua essas informações no texto do contrato principal, onde podem ser perdidas. Fazer sob a forma de um documento separado é melhor. É aconselhável que esse documento seja datado antes da data de assinatura do contrato principal.


Estes eram requisitos gerais para o tratamento de dados pessoais com base em um contrato, em conexão com a necessidade de concluir um contrato a pedido do proprietário dos dados ou se houvesse um interesse legítimo. Em seguida, consideramos brevemente o processamento de dados pessoais ao recrutar funcionários, monitorar funcionários no local de trabalho e remotamente, bem como monitorar o tempo de presença no local de trabalho e / ou o tempo gasto.

Processamento de dados ao recrutar (contratar) funcionários

Os recrutadores gostam de ver perfis de candidatos nas redes sociais. Alguns até pedem referências a eles em perfis ou em currículos. Ao coletar dados das redes sociais da sua empresa, você precisa descobrir se esses perfis são para uso pessoal ou para fins comerciais. A chave aqui é usar. Lembre-se de que mesmo os perfis abertos à exibição pública não podem ser usados ​​para recrutar, avaliar um candidato a emprego, se isso não estiver diretamente relacionado à função futura do candidato em sua empresa ou projeto.

Exemplo : , . - , , . . , , .

O monitoramento geral de dados de ex-funcionários de perfis em redes sociais geralmente não é aceitável. (Esse monitoramento pode ser realizado para descobrir se o ex-funcionário não violou a condição da proibição de mudar para trabalhar com os concorrentes por algum tempo). No entanto, se o empregador provar que essas informações não podem ser obtidas a não ser pela visualização de perfis, a coleta de dados das redes sociais pode ser reconhecida como permitida. Aqui, também deve ser observada a condição sobre a necessidade de informar antecipadamente o funcionário sobre o monitoramento em andamento.

Obviamente, é melhor informar sobre o monitoramento antes da rescisão do contrato (e, idealmente, antes de sua conclusão). Caso contrário, é altamente provável que o funcionário, após receber uma notificação, simplesmente exclua todas as informações e contatos que o comprometem.

Não é permitido forçar os funcionários a usar apenas o perfil associado ao empregador nas redes sociais . Mesmo que essa obrigação seja prevista pelos recursos de seu trabalho (por exemplo, um representante do serviço de relações públicas, um porta-voz, um gerente de atendimento ao cliente etc.). De qualquer forma, esses funcionários devem manter a capacidade de usar um perfil pessoal e não público.

Instalação de ferramentas (sistemas, aplicativos) de processamento eletrônico de dados em computadores de rede

Estamos falando de quaisquer sistemas e aplicativos que, de uma forma ou de outra, coletem dados pessoais e os transmitam ao empregador ou a terceiros. A instalação requer o consentimento informado do funcionário. Mesmo ações independentes de um funcionário para ativar o aplicativo em sua máquina de trabalho ou fornecer acesso para instalação remota do sistema com as configurações padrão não serão consideradas uma expressão de consentimento para a instalação. Como o consentimento deve ser dado pelas próprias ações ativas do usuário, apenas uma instalação com uma alteração nas configurações padrão pode ser equiparada a uma expressão livre e informada da vontade do funcionário em instalar.

Ao monitorar os funcionários ou os dados de seus dispositivos (incluindo dados pessoais conectados a uma rede corporativa ou WiFi), o empregador deve ter uma política de monitoramento no local de trabalho desenvolvida, fácil e constantemente acessível e compreensível para cada funcionário . Para que todos compreendam claramente o que e como está indo, e para que fins será usado.

IMPORTANTE! Você não pode aderir à abordagem que muitos "funcionários" russos adoram: ao contratar, dê a eles cem ou duzentas páginas de instruções para ler e peça que lembrem de tudo e esqueça de removê-lo para sempre. Tipo, se familiarizou. A política deve estar facilmente acessível a qualquer momento.

A política de monitoramento, como qualquer outra política de processamento de dados pessoais (privacidade), deve ser revisada regularmente. Uma reavaliação é necessária na medida do monitoramento necessário para satisfazer os interesses legítimos da empresa. Portanto, eu recomendaria àqueles que gostariam de remover possíveis reivindicações em caso de conflito ou verificação, mas não estão prontos para dedicar muitos recursos a isso:

• faça pelo menos uma vez por ano protocolos / pedidos com instruções para realizar um inventário de todo o seu sistema para coletar e processar dados pessoais;
• de acordo com os resultados do inventário, faça pelo menos alterações mínimas na Política (por exemplo, reduza o prazo de validade de determinadas categorias de dados);

Em vez de monitorar constantemente os funcionários, tente evitar comportamentos indesejados. Se o bloqueio de quaisquer recursos / sites permite que você alcance seu objetivo, é melhor bloquear o acesso dos funcionários a eles do que monitorá-lo constantemente. Este é um princípio geral de interação entre o empregador e o empregado, recomendado pela Conclusão 2/2017.

Exemplo A da Conclusão 2/2017 : o bloqueio de todos os e-mails seguidos que possam representar um risco de vazamento de dados pela empresa empregadora exige que o funcionário seja informado sobre isso (sempre antes de enviar uma carta), com a opção de recusar o envio. Caso contrário, existe o risco de exceder a interferência necessária com a privacidade e o acesso arbitrário à correspondência pessoal de um funcionário.

Exemplo B da Conclusão 2/2017 : . , (, ).

2/2017 : , , , .

«home-office»

Usando tecnologias que permitem rastrear cliques e movimentos do mouse, outras ações semelhantes dos funcionários, além de capturar capturas de tela (seletiva e periodicamente), receber informações sobre aplicativos baixados e seu tempo de download, receber dados de webcams ou fazer leituras sobre o caminho, passado pelo funcionário (Olá residente mal para a Amazônia e o resto !), é considerado desproporcional. É provável que esse monitoramento esteja além dos interesses legítimos do empregador (seção 5.4.1. Conclusões 2/2017).

O que pode ser recomendado aqui?

Primeiro, (como se não parecesse familiar), para entender se você precisa desse monitoramento ou não. Em segundo lugar, indique claramente (com documentação) em que seu interesse legítimo consiste e, se possível, registre esse monitoramento nos acordos existentes.

Por exemplo, o trabalho de um programador em um projeto não pode ser estimado antecipadamente em termos do tempo necessário. O pagamento é formado pelo número de horas trabalhadas. Seu cliente insiste em monitorar a atividade de seu funcionário fazendo capturas de tela ou monitorando suas ações em um servidor em nuvem. A condição do cliente sobre capturas de tela ou controle no servidor deve ser fixada no contrato com o cliente (se o tempo de trabalho for estimado através de outros sistemas de contabilidade - da mesma forma). O funcionário que trabalha no projeto desse cliente também deve ser notificado com antecedência do monitoramento, e a possibilidade desse monitoramento deve ser explicitada no contrato com ele.

Monitoramento do horário de trabalho / presença no local de trabalho através do sistema de acesso

Este é um “truque” favorito de muitas empresas domésticas, de “pequenas a grandes”: coloque um ponto de verificação eletrônico e aplique multas por pequenos atrasos ou insira essas informações em um arquivo pessoal. Portanto, com sua equipe européia, isso quase sempre é inaceitável.

Exemplo da Conclusão 02/2017 : Você pode usar o sistema de contabilidade de acesso (data, hora, proprietário da chave de acesso) para controlar o acesso a locais particularmente sensíveis. Por exemplo, na sala do servidor, onde informações importantes são armazenadas. Mas é impossível usar os dados obtidos para avaliar a produtividade dos funcionários (tempo de presença / ausência no local de trabalho).

Monitorando a "atmosfera de felicidade" na empresa

A observação de expressões faciais de funcionários usando meios automáticos não é permitida para detectar desvios dos padrões motores predefinidos. Além do monitoramento, os dados de tal observação podem formar a base para o perfil de um funcionário e a tomada de decisões automáticas em relação a ele. Isso é desproporcional aos direitos e liberdades dos funcionários. Como regra geral, um empregador deve abster-se de usar essas tecnologias de reconhecimento facial. Embora certas exceções à regra geral possam ser permitidas.

(Suponho que sejam permitidas apreensões onde a produção prejudicial ocorre (eles permaneceram na Europa?) Ou para controlar a fadiga de motoristas e operadores, conforme descrito no artigo na Amazon, no link acima).

Breves conclusões e recomendações:

1. ( ) , . ( , )
2. , , ( ) . .
3. , . - ( , ), .
4. Desenvolver como modelo as cláusulas contratuais padrão de proteção de dados pessoais, que deverão ser assinadas após o recebimento de dados pessoais de funcionários europeus, se esses dados forem transferidos para um país terceiro sem um nível adequado de proteção.