本文是对本文的简要介绍,我对GDPR法规(以下简称“法规”)的规定以及日期为2017年8月6日关于数据处理的
第2/2017号
意见的解释 。 它适用于在欧盟国家设有成熟办公室或远程工作者和/或自由职业者的公司,以及在欧洲有雇员的承包商(合作伙伴),您可以在进行联合项目的过程中获取其数据。
我们分析了在雇用(招募)员工时与自由职业者或业务合作伙伴达成协议的过程中处理个人数据的问题; 在工作场所和远程监控员工,包括通过自动数据采集系统。
该结论早于该法规生效之日得出,并且基于2005年10月24日的95/46 / EC指令。 但是,它考虑到了GDPR的规定。
为方便起见,并且在不与上下文冲突的情况下,员工,自由职业者和对手方员工统称为“员工”。
确保您有理由处理员工数据
通常至少基于以下原因之一来处理员工的个人数据:
- 个人同意;
- 需要遵守法律的要求(付款时通常是劳动法或反洗钱/反恐融资 );
- 根据个人数据所有者的要求,需要执行已经达成的协议或需要达成协议;
- 在这种处理中对您公司的合法权益的存在。
根据法律要求进行的处理将不属于本条的范围。 另外,我们不会触及个人同意。 正如上一篇文章中已经提到的,
同意处理GDPR上的数据:详细分析 ,基于员工的个人同意处理员工的个人数据是一个困难的选择。 始终存在以下风险:某个地方的同意会被错误地制定并被认为是不自由的,并且您的公司将违反GDPR规则。
在与员工的关系中,根据已达成的协议,个人数据的处理更加可靠。 如果所有处理问题在技术上都难以解决或无法通过合同解决,那么您将需要负责任地寻求公司在此类处理中的合法权益的正当性。
考虑什么条件以及如何制定劳动合同或商业合同,以便它们使您能够根据GDPR处理个人数据。 (鉴于基于合法利益的处理以及基于合同的处理也需要形成文件,并且在许多方面与后者保持一致,因此我们不会将其分开考虑)。
我们给出了该法规第6条第(1)款(b)的完整措词(英语翻译):“
在签定合同之前,有必要进行处理以执行数据所有者加入的合同,或应个人数据所有者的要求采取措施 ”。
该措词遵循许多强制性要素。
合同中对数据的需求
根据《规则》序言第44段,在合同或拟订立合同的背景下,如有必要,处理是合法的。 因此,我们看一下合同本身的背景。 结论2/2017建议在这种情况下使用比例测试,以评估是否有必要为了实现合法目标(尤其是履行或签订合同)进行处理,以及应采取什么措施来减少对隐私的干扰最小。
该法规没有破译“比例测试”的内容。 结论2/2017仅包含此类测试可能成为
DPIA程序一部分的
警告 。 在DPIA程序本身中,通过控制公司必须遵循的许多标准来描述处理的比例。 我认为最重要的是:
- 处理后的数据是否适合处理目的;
- 处理目标本身必须是明确的。
因此,相称性测试不仅意味着需要在合同中规定提供一些个人数据进行处理的义务,或者在签订合同之前将此类义务告知数据所有者的义务。 收集数据所依据
的雇员的
合同义务必须直接来自其未来工作的性质或他将参与的项目的特征。 合同义务应仅参照非常明确,明确规定的特定处理目标,规定仅处理必要的最少个人数据。
范例A :要求公关专家或客户服务经理提交您的照片,以便在公司网站上发布是合理的。 当外表在促进公司利益,销售增长方面起着心理作用时,这些员工的工作特征就可以证明这一点。 相反,几乎没有必要要求并通过语音将参加集会的开发人员的照片发送给客户(或在公共领域张贴),即使不包括网络摄像头也是如此,而且从不需要这些照片。我认为在合同中详细说明联系方式的条件不成比例:
示例B :“员工联系方式:...通过电子邮件发送工作机会,劳动合同或信息材料/公司/”。 “信息材料”的方向显然是履行雇佣合同的不必要目标,其中也包括广告的分发。 但是,如果您写一些不同的东西:“工作时间表变更通知,请假天数等信息”,这将是一个明确表达的特定目标,并且使用电子邮件就足够了。(显然,仅指定“电子邮件”然后使用它发送营销材料也是不可接受的)。
例C :您的公司担任代理,并在国际市场上推广同一开发商的服务。 由于照片的放置是由于与客户合作的特殊性,因此需要他们在决定雇用之前评估开发商的图像/心理肖像,因此可以合理地放置照片 。
(只是不要忘了在与开发者达成协议之前警告开发者有关照片的使用。此外,对于那些不同意在个人资料中注明其照片的开发者,建议您仍然提供使用公司服务的机会,即使由于缺乏而降低了招聘效率图片)。
示例D :您的员工(例如系统管理员)使用服务于大型和高负载应用程序的服务器,并且应每天24小时可用(当然,除非您还遵守有关此类员工的适当付款的劳动法规要求)。 您可以在合同中规定在紧急情况下拨打其个人电话号码的条件。 相反,如果下班后不需要员工,最好不要使用个人电话号码(即使您认识他)。结论2/201 7中的一个示例 :送货公司无权将快递员的照片发送给客户(以验证快递员确实是快递员),因为不需要转移照片来交付包裹。重要! 不仅在合同准备中,而且在任何其他原因的处理中,都建议进行比例测试。 例如,通过征得同意(第6条第(1)款(a)项)或实现公司的合法利益(本规则第6条第(1)款(f)项)。
无论您在公司中收集个人数据有什么需要,请始终问自己一个问题:您真的需要这些数据吗? 即使您的员工似乎不介意将其交给您。 请记住,从GDPR的角度出发,最初将您的雇员视为雇佣关系中的弱势方面,并且他的同意是先验的,并非自由。 因此,确保最小程度地干扰隐私(包括与员工签订的合同)的任务在于您的公司,而不是员工。
另外,我建议您研究监管机构在业务状态下保护个人数据的要求。 例如,在塞浦路斯(俄罗斯和其他独联体国家最近搬迁IT和金融科技业务的地方),如果对员工活动进行系统监控(包括监控工作,互联网活动或在工人车辆上使用GPS),则
必须应用DPIA程序。 。
数据所有者必须是合同的当事方
似乎一切在这里都是显而易见的。 但是,有一个微妙的地方很少有人注意。 这是对
合作伙伴 (客户,承包商,中介机构等)
员工的个人数据的处理,其中存在法律上的空白。
您的公司与合作伙伴的员工没有合同。 甚至最经常同意处理数据也无法解决。 是的,这些人是您合伙人的雇员(尽管他们可能是自由职业者,甚至是第三方提供的人员)。 可以断定,既然他们为他工作,那么根据与您的伴侣的合同,您已经同意将数据传输给您。 但是事实并非如此。
您不知道您的合作伙伴在GDPR框架内完成所有文档的程度如何。 是否从雇员那里收到同意,是否得到自由同意,或者是否与该雇员达成协议同意处理个人数据。 我非常怀疑您在这个问题上能否完全依靠您的伴侣。 同时,您的公司在收到其员工的数据后,至少成为处理者,即 代表控制者并代表控制者处理个人数据。 并且为了避免违反GDPR的责任,您的加工公司必须至少根据合作伙伴的法律指示行事。
只有在与您的合作伙伴达成协议的基础上,您的公司收到了明确指定的员工个人数据(例如,姓名和联系方式)并且仅将其用于明确说明的目的时,才会成为处理者; 例如,在进行项目时通过电话,电子邮件或即时通讯工具进行通信。 如果突然您决定向此类员工发送某种营销时事通讯或工作机会,那么自动员工将属于“控制器”类别,责任越来越大。 由于您自己已经开始确定处理个人数据的目标和方法。
在这种情况下,我建议您在与合作伙伴的任何合同中都包含单独的条款,以保证交易对方遵守其在营业场所可能适用于其员工或关联方的个人数据的所有规则,包括贵公司不承担任何索赔,在向您传输数据时可能与任何违反适用法律的行为有关的索赔,并保证为此类索赔和索赔中的损害提供独立赔偿。 关于弥偿和弥偿的经典条款,但仅与个人数据有关。
实际上,一旦您在合同中加入了关于减轻您责任的条款,您合伙人的律师很可能希望删除该条款。 如何成为
根据《规则》的规定进行个人数据的传输,您的伴侣将很难对此表示反对。
对于从合作伙伴(控制人)那里接收数据的加工公司,该条例(第28条第3款)对传输的数据包含了合同内容的强制性要求。 特别是,您需要指定哪些数据(类别),出于什么目的以及传输到公司的时间等等。 如果您的公司将个人数据进一步转移到新处理者,则有必要协调相同的义务。
如果该项目的联合工作涉及在没有
足够保护个人数据的情况下将欧盟以外的个人数据转移到第三国以及已签订的合同,则有必要制定并签署保护个人数据的标准合同条款(第46(1)(2)条)(c)。 即使合作伙伴不需要这样的文档,也最好有一个预先设计的模板,并在将数据传输给欧洲员工时坚持对其进行签名。 这将大大降低处理违反GDPR的个人数据的责任风险。
在此可以找到欧洲委员会根据指令95/46 / EC开发并批准的标准条件。 您还可以在那里找到控制器的标准条件。
应个人数据所有者的要求,在合同订立之前采取必要的措施
应该有一个明确的关系:事件是与数据所有者有关的,他本人在请求中允许其实现。
示例 :检查候选人的犯罪记录,如果他的职位涉及使用保密性更高的数据,并且未经验证,就不可能获得工作邀请。 同时,用人单位在工作说明中提前通知应聘者需要通过其传记中的某些犯罪事实的核实。 候选人通过发送简历或其他方式确认他同意这种支票 。
为了正确地提出来自候选人的合法请求以处理其数据,有必要向候选人提供有关未来处理的最大必要信息,包括对其结果进行决策的方法。 (有关更多信息,请参阅
过程:首先进行通知,然后再进行以下
处理 。
自由职业者:他们也是工人吗?
在第2/2017号结论中,在工人下,建议与劳资关系的人不仅考虑根据雇佣合同工作的人,还考虑自由职业者。 这里有一个困难。
此外,就GDPR而言,与自由职业者的“劳资关系”意味着什么? 结论2/2017没有提供此问题的答案。 我认为,我们需要研究条例中提到的任何雇员的背景。 当雇主不能拒绝提供其数据而不会失去工作或失去工作的风险或其他负面后果时,这就是雇主的先天劣势。 如果您遵循这种逻辑,那么在您的公司将成为其唯一订单来源的情况下,自由职业者可以等同于雇员。 如果您公司的订单(和付款)所占份额很小,并且自由职业者可以选择是否与您合作以及在什么条件下合作,那么他就拥有更大的自由来决定其个人数据。 在这种情况下,他可以被视为独立企业家,而不是雇员。
无论如何,您都应该等待应用GDPR的实践发展或在所谓的 欧洲联盟的“软法”:结论和建议以及国家立法。
我们遵循以下过程:首先-通知,然后-处理
在处理之前必须通知数据所有者。 这是《规则》第13条的一般要求。 在每种情况下(在合同框架内或在合同订立之前进行处理)以及没有合同的情况下,但是如果您的公司具有合法权益,则数据所有者应获得必要的最少信息。
对于员工而言,最好在安排职位空缺候选人的同时,同时提供此类信息。 如果与自由职业者签订了商业合同,则您需要在订立合同之前告知您,或者在极端情况下,还应在签订合同时告知。 与《规则》第13条中列出的其他信息一起,有必要指出,未来雇员的职责中是否包括提供个人数据,以及如果拒绝提供则可能产生的后果。
不要忘记沟通的形式应该尽可能简单和可访问。 请勿在可能会丢失的主合同文本中包含此信息。 以单独文件的形式进行标注比较好。 建议此类文件
的日期应在签订主合同
之日
之前 。
关于hh.ru的抒情离题我无意中引起了人们对俄罗斯hh.ru的关注,而俄罗斯hh.ru经常会出现欧洲空缺的情况。 而且,据我了解,已经在欧盟的候选人可以做出回应。 hh.ru , , . (, - ?). , : . , -, GDPR: , , .. . -, , ( , ), . , hh, – .
这些是根据合同处理个人数据的一般要求,与需要根据数据所有者的要求或在合法利益的情况下订立合同有关。接下来,我们简要考虑在招聘员工,监视工作场所和远程员工时以及监视工作场所的工作时间和/或花费的时间时对个人数据的处理。招聘(雇用)员工时的数据处理
招聘人员喜欢在社交网络上查看候选人的个人资料。有些人甚至在个人资料或简历中要求引用它们。从公司的社交网络收集数据时,您需要确定这些配置文件是供个人使用还是用于商业目的。这里的关键是使用。请注意,即使公开的个人资料与您的公司或项目中的未来职能没有直接关系,即使公开介绍的个人资料也不能用于招聘,评估应聘者。例子 : , . - , , . . , , .
通常不接受通过社交网络的个人资料对前雇员的数据进行常规监视。(可以进行此类监视,以找出前雇员是否在一段时间内没有违反禁止与竞争对手合作的条件)。但是,如果雇主证明只能通过查看个人资料来获取此信息,则可以认为从社交网络收集数据是允许的。在此,还应注意需要将正在进行的监控提前告知员工的条件。显然,最好在合同终止之前(最好在合同订立之前)告知有关监视的信息。否则,员工很可能在收到通知后,将删除所有危害他的信息和联系人。
不允许强迫员工仅在社交网络上使用与雇主关联的个人资料。即使这种义务是由他们的工作特征(例如,PR服务的代表,发言人,客户服务经理等)提供的。在任何情况下,此类员工都应保留使用个人非公开个人资料的能力。在网络工作计算机上安装电子数据处理工具(系统,应用程序)
我们正在谈论以一种或另一种形式收集个人数据并将其传输给雇主或第三方的任何系统和应用程序。安装需要得到员工的知情同意。即使员工采取独立行动激活其工作计算机上的应用程序或使用默认设置提供对远程安装系统的访问权限,也不会被视为同意安装。由于必须由用户自己的积极行动表示同意,因此只有在默认设置发生更改的安装中,才能等同于知情且自由地表达员工的安装意愿。在监视员工或其设备数据(包括连接到公司网络或WiFi的个人数据)时,雇主应制定工作场所监视策略,该策略应便于每个员工轻松,不断地访问和理解。这样,每个人都清楚地了解将要进行什么操作,如何进行以及将其用于什么目的。重要!您不能遵循许多俄罗斯“人员”所钟爱的方法:在招聘时,给他们一百或两百页的说明来阅读,然后要求他们记住所有内容,而忘记永远删除它。类型,结识。该策略应随时易于访问。
与其他任何个人数据处理(隐私)策略一样,应定期检查监视策略。为了满足公司的合法利益,有必要对监视进行重新评估。因此,我建议那些希望在发生冲突或检查时删除可能的索赔,但又不准备为此投入大量资源的人:- 每年至少执行一次带有说明的协议/订单,以对整个系统进行盘点,以收集和处理个人数据;
- 根据清单的结果,至少对策略进行最小的更改(例如,减少某些类别数据的保质期);
与其持续监控员工,不如防止不必要的行为。如果阻止任何资源/站点可以实现您的目标,则最好阻止员工访问它们,而不是对其进行持续监视。结论2/2017建议这是雇主与雇员之间交互的一般原则。结论2/2017中的示例A:连续阻止所有可能导致雇主公司泄漏数据的电子邮件的情况,要求员工(在每次发送信函之前)将此情况告知雇员,并可以选择拒绝发送。否则,就有可能超出对隐私和任意访问员工个人信件的必要干预。
结论2/2017的示例B : . , (, ).
2/2017 : , , , .«home-office»
使用可让您跟踪点击和鼠标移动,员工进行的其他类似操作以及截屏(有选择地和定期地),接收有关已下载应用程序及其下载时间的信息,从网络摄像头接收数据或获取有关方式的信息的技术,雇员(您好,邪恶的 居民传递给亚马逊,其他人!)传递,则被认为是不相称的。这种监督可能超出了雇主的合法利益(第5.4.1。结论2/2017)。在这里可以推荐什么?首先,(好像不太熟悉)了解您是否需要这种监视。其次,清楚地(带有文件)指出您的合法权益是什么,并在可能的情况下,在现有协议中记录这种监视。例如,程序员在项目上的工作无法根据所需的时间预先估算。付款是由工作小时数决定的。客户坚持通过截屏或监控他在云服务器上的行为来监控员工的活动。客户与服务器上的屏幕快照或控件有关的条件应在与客户的合同中确定(如果工作时间是通过其他会计系统估算的-类似)。还应在进行监视之前事先通知从事该客户项目的员工,并在与他的合同中阐明进行监视的可能性。通过访问系统监控工作时间/在工作场所的存在
从“小到大”,这是许多国内公司最喜欢的“窍门”:设置电子检查站并对微小的延迟收取罚款,或者将这些信息输入私人事务。因此,对于您的欧洲员工来说,这几乎总是不可接受的。结论02/2017中的示例:可以使用访问计费系统(日期,时间,访问密钥的所有者)来控制对特别敏感位置的访问。例如,在服务器室中,存储重要信息。但是,不可能使用获得的数据来评估员工的生产力(在工作场所的存在/不在的时间)。
监控公司的“幸福气氛”
不允许使用自动方式观察员工的面部表情,以检测与预定义运动模式的偏差。除了监视之外,这种观察的数据还可以构成对员工进行概要分析并自动做出有关该员工的决定的基础。这与雇员的权利和自由不成比例。通常,雇主应避免使用这种面部识别技术。尽管可以允许一般规则的某些例外。(我想在发生有害生产的地方允许缉获癫痫病(它们是否留在欧洲?),或控制驾驶员和操作员的疲劳,如上面链接上亚马逊文章所述。简要结论和建议:
- ( ) , . ( , )
- , , ( ) . .
- , . - ( , ), .
- 制定个人数据保护标准合同条款作为模板,如果将这些数据转移到没有足够保护水平的第三国,则需要在收到欧洲雇员的个人数据时签署这些条款。