Настоящее Заключение дополняет предыдущие публикации Рабочей группы по статье 29 (“WP29”) Заключение 8/2001 об обработке персональных данных в контексте занятости (WP48) [1] и Рабочий документ 2002 года о наблюдении за электронными сообщениями на рабочем месте (WP55) [2]. С момента публикации этих документов были разработаны новые технологие, позволяющие более систематично обрабатывать персональные данные сотрудников на рабочем месте, что создает значительные проблемы с точки зрения приватности и защиты данных.

_{[1] WP29, Заключение 08/2001 об обработке персональных данных в контексте занятости, WP 48, 13 сентября 2001 года, url: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2001/wp48_en.pdf}

_{[2] WP29, Рабочий документ по наблюдению за электронными сообщениями на рабочем месте, WP 55, 29 мая 2002 года, url: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2002/wp55_en.pdf}

В этом заключении дается новая оценка баланса между легитимными интересами работодателей и разумными ожиданиями работников в отношении приватности путем описания рисков, связанных с новыми технологиями, и проведения соразмерной оценки ряда сценариев, в которых они могли бы быть использованы.

Хотя это заключение в первую очередь касается Директивы о защите данных, в нем рассматриваются дополнительные обязательства, возлагаемые на работодателей Общим регламентом о защите данных. В нем также подтверждается позиция и выводы Заключения 8/2001 и Рабочего документа WP55, а именно, что при обработке персональных данных работников:

• работодатели должны всегда помнить об основополагающих принципах защиты данных, независимо от используемой технологии;

• содержание электронных сообщений, направляемых из помещений предприятия, пользуется такой же защитой основных прав, как и аналоговые сообщения;

• согласие в редких случаях служит правовым основанием для обработки данных на рабочем месте, и работники должны иметь право дать отказ от обработки без негативных последствий;

• иногда можно ссылаться на исполнение договора и легитимные интересы при условии, что обработка данных строго необходима для законной цели и соответствует принципам соразмерности и субсидиарности;

• сотрудники должны получать достоверную информацию о происходящем мониторинге;

• и любая международная передача данных о сотрудниках должна осуществляться только в том случае, если обеспечен надлежащий уровень защиты.

Быстрое внедрение новых информационных технологий на рабочем месте, с точки зрения инфраструктуры, приложений и смарт-устройств, позволяет осуществлять новые виды систематической и потенциально инвазивной обработки данных на рабочем месте. Например:

• технологии, позволяющие обрабатывать данные на рабочем месте, в настоящее время могут быть реализованы за доли той стоимости, которая существовала несколько лет назад, в то время как возможности обработки персональных данных с помощью этих технологий увеличились в геометрической прогрессии;

• новые формы обработки, такие как обработка персональных данных об использовании онлайн-услуг и/или данных о местоположении со смарт-устройства, гораздо менее заметны для сотрудников, чем другие, более традиционные виды наблюдения, такие как скрытые камеры видеонаблюдения. В связи с этим возникают вопросы о степени осведомленности сотрудников об этих технологиях, поскольку работодатели могут незаконно осуществлять эту обработку без предварительного уведомления сотрудников;

• границы между домом и работой становятся все более размытыми. Например, когда сотрудники работают удаленно (например, из дома), или во время командировки для бизнеса, мониторинг деятельности вне физической рабочей среды может иметь место и потенциально может включать в себя мониторинг человека в приватном контексте.

Поэтому, несмотря на то, что использование таких технологий может помочь в выявлении или предотвращении потери интеллектуальной и материальной собственности компании, повышении производительности труда сотрудников и защите персональных данных, за которые несет ответственность контролер данных, они также создают значительные проблемы в области конфиденциальности и защиты данных. В результате, требуется новая оценка, касающаяся баланса между легитимным интересом работодателя в защите своего бизнеса и обоснованным ожиданием конфиденциальности субъектов данных: сотрудников.

Хотя в этом Заключении основное внимание будет уделено новым информационным технологиям путем оценки девяти различных сценариев, в которых они могут быть реализованы, в нем также вкратце будут рассмотрены более традиционные методы обработки данных на рабочих местах, где риски усиливаются в результате технологических изменений.

В настоящем Заключении используется термин “работник”, однако WP29 не намерена ограничивать сферу применения этого термина только лицами, заключившими трудовой договор, признанный таковым в соответствии с применимым трудовым законодательством. За последние десятилетия все более широкое распространение получили новые бизнес-модели, обслуживаемые различными видами трудовых отношений, и в частности занятость на внештатной основе (freelance basis). Это Заключение призвано охватить все ситуации, в которых существуют трудовые отношения, независимо от того, основываются ли эти отношения на трудовом договоре.

Важно отметить, что работники редко могут свободно давать согласие, отказ или отзывать согласие, учитывая зависимость, возникающую в результате отношений между работодателем и работником. За исключением исключительных ситуаций, работодателям придется полагаться на иное юридическое основание, чем согласие, например, на необходимость обработки данных с учетом их легитимных интересов. Однако сам по себе легитимный интерес недостаточен для того, чтобы преобладать над правами и свободами работников.

Независимо от правового основания такой обработки, до ее начала должна быть проведена проверка на соразмерность, с тем чтобы рассмотреть вопрос о том, необходима ли такая обработка для достижения законной цели, а также меры, которые должны быть приняты для обеспечения того, чтобы нарушения прав на неприкосновенность частной жизни и тайну сообщений были сведены к минимуму. Это может стать частью Оценки воздействия на защиту данных (DPIA).

В своем Заключении 08/2001 WP29 ранее подчеркивала, что при обработке персональных данных в контексте занятости работодатели учитывают основополагающие принципы защиты данных, закрепленные в ДПД. Развитие новых технологий и новых методов обработки в этом контексте не изменило эту позицию. Действительно, можно сказать, что технологическое развитие сделало эту задачу еще более актуальной для работодателей. В этом контексте работодатели должны:

• обеспечить, чтобы данные обрабатывались для определенных и законных целей, которые являются пропорциональными и необходимыми;

• учитывать принцип ограничения целью, гарантируя при этом, что данные являются адекватными, актуальными и не чрезмерными для законной цели;

• применять принципы соразмерности и субсидиарности независимо от применимого правового основания;

• соблюдать принцип прозрачности по отношению к сотрудникам в вопросах использования и целей технологий мониторинга;

• обеспечить осуществление прав субъекта данных, в том числе прав доступа и, в случае необходимости, исправления, удаления или блокирования персональных данных;

• хранить точные данные и не хранить их дольше, чем это необходимо;

• принимать все необходимые меры для защиты данных от несанкционированного доступа и обеспечения того, чтобы персонал был в достаточной степени осведомлен об обязательствах по защите данных.

Не повторяя ранее высказанных рекомендаций, WP29 отмечает три принципа, а именно: правовые основания, прозрачность и автоматизированное принятие решений.

3.1.1 ПРАВОВЫЕ ОСНОВАНИЯ (СТАТЬЯ 7)

При обработке персональных данных в контексте занятости, по крайней мере, один из критериев, изложенных в ст. 7 должен быть удовлетворен. Если виды обрабатываемых персональных данных относятся к особым категориям (как установлено в ст. 8), то обработка запрещена, за исключением случаев, когда применяется исключение [7], [8]. Даже если работодатель может полагаться на одно из этих исключений, для того, чтобы обработка была легитимной, требуется правовое основание из статьи 7.

_{[7] Как указано в части 8 Заключения 08/2001; например, ст. 8(2)(b) предусматривает исключение для целей выполнения обязательств и конкретных прав контролера в области трудового законодательства в той мере, в какой это разрешено национальным законодательством, предусматривающим достаточные гарантии}

_{[8] Следует отметить, что в некоторых странах существуют специальные меры, которые работодатели должны соблюдать в целях защиты частной жизни работников. Португалия является одним из примеров стран, где такие специальные меры существуют, и аналогичные меры могут применяться и в некоторых других государствах-членах. Поэтому выводы, содержащиеся в разделе 5.6, а также примеры, приведенные в разделах 5.1 и 5.7.1 настоящего Заключения, недействительны в Португалии по этим причинам.}

Таким образом, работодатели должны учитывать следующее:

• в большинстве случаев обработка данных в контексте занятости на рабочем месте не может и не должна основываться на согласии работников (ст. 7 (а)) в связи с характером отношений между работодателем и работником;

• обработка может быть необходима для исполнения договора (ст. 7(b)) в случаях, когда работодатель должен обрабатывать персональные данные работника для выполнения любых таких обязательств;

• весьма распространено, что трудовое законодательство может налагать правовые обязательства (ст. 7(с)), которые требуют обработки персональных данных ; в таких случаях работник должен быть четко и полностью информирован о такой обработке (если только не применяется исключение);

• если работодатель намерен полагаться на легитимный интерес (ст. 7 (f)), цель обработки должна быть легитимной; выбранный метод или конкретная технология должны быть необходимы, соразмерны и реализованы наименее инвазивным способом, а также должны быть созданы условия, позволяющие работодателю продемонстрировать, что были приняты надлежащие меры для обеспечения баланса с основными правами и свободами работников [9];

• операции по обработке должны также соответствовать требованиям прозрачности (ст. 10 и 11), а сотрудники должны быть четко и полностью информированы об обработке их персональных данных [10], включая наличие любого контроля; и

• должны быть приняты соответствующие технические и организационные меры для обеспечения безопасности обработки (ст. 17).

_{[9] WP29, Заключение 06/2014 о концепции легитимных интересов контролера данных в соответствии со статьей 7 Директивы 95/46/EC, WP 217, принято 9 апреля 2014 г., url: http://ec.europa.eu/justice/data-protection/article29/documentation/opinion-recommendation/files/2014/wp217_en.pdf.}

_{[10] В соответствии со ст. 11(2) ДПД, контроллер освобождается от обязанности предоставлять информацию для субъекта данных в случаях, когда запись или сбор данных прямо предусмотрены законом.}

Наиболее релевантные критерии в соответствии со ст. 7 подробно описаны ниже.

Согласие (ст. 7(а))

Согласие, в соответствии с DPD, определяется как любое свободно выраженное, конкретное и информированное проявление воли субъекта данных, которым он подтверждает свое согласие на обработку персональных данных, относящихся к ним. Для того чтобы согласие было действительным, оно также должно быть отзываемым.

Ранее WP29 в своем Заключении 8/2001 указывала, что в тех случаях, когда работодатель обрабатывает персональные данные своих работников, предположение о том, что обработка может быть разрешена с согласия работников, вводит в заблуждение. В тех случаях, когда работодатель требует согласия, и существует реальный или потенциальный вред, который возникает в связи с несогласием работника (что может быть весьма вероятным в контексте занятости, особенно если речь идет о работодателе, отслеживающем поведение работника во время выполнения им своих обязанностей), согласие не является действительным, так как оно не дается и не может даваться свободно. Таким образом, в большинстве случаев обработка данных работника не может и не должна основываться на согласии работника, поэтому необходимо иное правовое основание.

Кроме того, даже в тех случаях, когда можно сказать, что согласие представляет собой действительное правовое основание такой обработки (т.е. если, несомненно, можно сделать вывод о том, что согласие дано свободно), оно должно быть конкретным и осознанным указанием на волю работника. Настройки по умолчанию на устройствах и/или установка программного обеспечения, облегчающего электронную обработку персональных данных, не могут быть квалифицированы как согласие, данное работником, поскольку согласие требует активного волеизъявления. Отсутствие действий (т.е. не изменение настроек по умолчанию), как правило, не может рассматриваться как конкретное согласие на такую обработку [11].

_{[11] См. также WP29, Заключение 15/2011 об определении согласия, WP187, 13 июля 2011 года, url: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2011/wp187_en.pdf, стр. 24.}

Исполнение договора (статья 7(b))

Трудовые отношения часто основываются на трудовом договоре между работодателем и работником. При выполнении обязательств по этому договору, таких как оплата труда работника, работодатель обязан обрабатывать некоторые персональные данные.

Правовые обязательства (статья 7(c))

Довольно часто трудовое законодательство налагает на работодателя юридические обязательства, которые требуют обработки персональных данных (например, для целей исчисления налогов и начисления заработной платы). Очевидно, что в таких случаях такой закон представляет собой правовое основание для обработки данных.

Легитимный интерес (статья 7(f))

Если работодатель намерен ссылаться на правовое обоснование статьи 7 (f) ДПД, цель обработки должна быть правомерной, а выбранный метод или конкретная технология, с помощью которой проводится обработка, должны быть необходимы для удовлетворения легитимных интересов работодателя. Обработка должна быть также соразмерна потребностям деятельности организации, т.е. цели, для достижения которую она преследует. Обработка данных на рабочем месте должна осуществляться способом, предполагающим наименьшее вмешательство в личную жизнь, и быть нацелена на конкретную область риска. Кроме того, полагаясь на ст. 7(f), работник сохраняет за собой право на возражение против обработки на веских обоснованных основаниях по ст. 14.

При ссылке на cт. 7(f) в качестве правового основания для обработки, необходимо наличие конкретных смягчающих мер для обеспечения надлежащего баланса между легитимными интересами работодателя и основными правами и свободами работников [12]. Такие меры, в зависимости от формы мониторинга, должны включать ограничения на мониторинг, с тем чтобы гарантировать, что неприкосновенность личной жизни работника не нарушается. Такими ограничениями могут быть:

_{[12] Пример баланса, который необходимо соблюсти, см. в деле Köpke v Germany, [2010] ECHR 1725, (URL: http://www.bailii.org/eu/cases/ECHR/2010/1725.html), в котором работник был уволен в результате операции скрытого видеонаблюдения, предпринятой работодателем и частным детективным агентством. Хотя в данном случае суд пришел к выводу о том, что национальные органы власти установили справедливый баланс между законными интересами работодателя (в защите его имущественных прав), правом работника на уважение частной жизни и государственными интересами в отправлении правосудия, он также отметил, что в результате развития технологий различным интересам в будущем может быть придан иной вес.}

• географические (например, мониторинг только в определенных местах; мониторинг таких зон, как места отправления религиозных обрядов, санитарные зоны, комнаты отдыха, должен быть запрещен),

• ориентированные на данные (например, не следует осуществлять мониторинг личных электронных файлов и коммуникации), и

• временные (например, выборка вместо постоянного мониторинга).

3.1.2 ПРОЗРАЧНОСТЬ (СТ. 10 И 11)

Требования ст. 10 и 11 о прозрачности применяются к обработке данных в контексте занятости; сотрудники должны быть проинформированы о существовании любого мониторинга, целях, для которых обрабатываются персональные данные, а также любая другая информация, необходимая для обеспечения справедливой обработки данных.

С развитием новых технологий необходимость прозрачности становится все более очевидной, так как они позволяют тайно собирать и в дальнейшем обрабатывать огромные объемы персональных данных.

3.1.3 АВТОМАТИЗИРОВАННОЕ ПРИНЯТИЕ РЕШЕНИЙ (СТ. 15)

Ст. 15 ДПД также предоставляет субъектам данных право не быть подвергнутыми решению, основанному исключительно на автоматизированной обработке, если это решение влечет за собой правовые последствия или аналогичным образом существенно влияет на субъектов данных, и которое основано исключительно на автоматизированной обработке данных, предназначенных для оценки некоторых личных аспектов, например, выполнения работы, за исключением случаев, когда решение необходимо для заключения или выполнения договора, разрешенного законодательством Союза или государства-члена, или основано на явно выраженном согласии субъекта данных.

GDPR включает в себя и повышает требования ДПД. Он также вводит новые обязательства для всех контролеров данных, включая работодателей.

3.2.1 СПРОЕКТИРОВАННАЯ ЗАЩИТА ДАННЫХ

Ст. 25 GDPR требует, чтобы контроллеры данных реализовывали спроектированную защиту данных и по умолчанию. Например, в тех случаях, когда работодатель выдает сотрудникам устройства, должны быть выбраны наиболее благоприятные для конфиденциальности решения, если речь идет о технологиях контроля. Необходимо также учитывать минимизацию данных.

3.2.2 ОЦЕНКА ВОЗДЕЙСТВИЯ НА ЗАЩИТУ ДАННЫХ

В ст. 35 GDPR изложены требования, предъявляемые к контролеру данных для проведения оценки воздействия на защиту данных (DPIA), при которой, учитывая вид обработки, в частности, использование новых технологий, а также характер, объем, контекст и цели самой обработки, определяется, может ли обработка привести к большому риску для прав и свобод физических лиц. Примером может служить систематическая и обширная оценка личных аспектов на основе автоматизированной обработки, включая профилирование, а также автоматизированные обработки, на основе которых принимаются решения, имеющие правовые последствия в отношении физического лица или аналогичным образом оказывающие существенное влияние на физическое лицо.

Если DPIA указывает, что выявленные риски не могут быть в достаточной степени устранены контроллером, т.е. остаточные риски остаются высокими, то контроллер должен проконсультироваться с надзорным органом до начала обработки (статья 36(1)), как это разъясняется в Руководящих принципах WP29 по DPIA [13].

_{[13] WP29, Руководящие принципы оценки воздействия на защиту данных (DPIA) и определения того, может ли обработка данных привести к “высокому риску” для целей Регламента 2016/679 , WP 248, 04 апреля 2017 года, url: http://ec.europa.eu/newsroom/document.cfm?doc_id=44137, page 18.}

3.2.2 “ОБРАБОТКА В КОНТЕКСТЕ ЗАНЯТОСТИ”

Ст. 88 GDPR устанавливает, что государства-члены могут законодательно или коллективными договорами предусматривать более конкретные нормы, обеспечивающие защиту прав и свобод в отношении обработки персональных данных работников в контексте занятости. В частности, эти правила могут быть предусмотрены для следующих целей:

• рекрутинг;

• выполнение трудового договора (в том числе выполнение обязательств, предусмотренных законом или коллективным договором);

• управление, планирование и организация труда;

• обеспечение равенства;

• охрана труда;

• охрана имущества работодателя или заказчика;

• осуществление и реализация (в индивидуальном порядке) прав и льгот, связанных с трудовой деятельностью;

• прекращение трудовых отношений

В соответствии со ст. 88(2), любые такие правила должны предусматривать надлежащие и конкретные меры по защите человеческого достоинства, законных интересов и основных прав субъекта данных с уделением особого внимания:

• прозрачности обработки;

• передаче персональных данных в рамках группы предприятий или группы предприятий, занимающихся совместной экономической деятельностью; и

• системе мониторинга на рабочем месте.

В настоящем Заключении Рабочая группа представила руководящие принципы законного использования новых технологий в ряде конкретных ситуаций с подробным изложением подходящих и конкретных мер по защите человеческого достоинства, законных интересов и основных прав работников.

Современные технологии позволяют отслеживать работу сотрудников во времени, на рабочем месте и дома с помощью множества различных устройств, таких как смартфоны, настольные компьютеры, планшеты, автомобили и некоторые расходные материалы. Если нет ограничений на обработку, а она не прозрачна, существует высокий риск того, что легитимный интерес работодателей в повышении эффективности и защите активов компании превратится в неоправданный и излишний контроль.

Технологии мониторинга коммуникаций также могут оказывать сдерживающее воздействие на основные права сотрудников на вступление в организации, организацию рабочих собраний и конфиденциальное общение (включая право на поиск информации). Мониторинг коммуникаций и поведения заставит сотрудников подчиняться требованиям, чтобы предотвратить обнаружение того, что может быть воспринято как аномалии, аналогично тому, как интенсивное использование видеонаблюдения влияет на поведение граждан в общественных местах. Более того, из-за возможностей таких технологий сотрудники могут не знать, какие персональные данные обрабатываются и для каких целей, а также возможно, что они даже не знают о существовании самой технологии мониторинга.

Мониторинг с использованием ИТ также отличается от других, более наглядных инструментов наблюдения и мониторинга, таких как CCTV, тем, что может происходить скрытым образом. В отсутствие понятной и легкодоступной политики мониторинга на рабочем месте сотрудники могут не знать о существовании и последствиях проводимого мониторинга и, следовательно, не иметь возможности осуществлять свои права. Еще один риск связан с “чрезмерным сбором” данных в таких системах, например, в тех, которые собирают данные о местоположении WiFi.

Увеличение объема данных, генерируемых в рабочей среде, в сочетании с новыми методами анализа данных и их перекрестного сопоставления также может создать риски несовместимости дальнейшей обработки. Примеры незаконной дальнейшей обработки включают использование систем, которые законно установлены для защиты собственности, для последующего мониторинга работоспособности, производительности и клиентоориентированности сотрудников. Другие примеры включают использование данных, собранных с помощью системы видеонаблюдения, для регулярного мониторинга поведения и производительности сотрудников, или использование данных геолокационной системы (например, WiFi- или Bluetooth слежение) для постоянной проверки перемещений и поведения сотрудников.

В результате такое отслеживание может нарушить права сотрудников на неприкосновенность частной жизни, независимо от того, проводится ли такое отслеживание систематически или эпизодически. Риск не ограничивается анализом содержания сообщений. Таким образом, анализ метаданных о человеке может позволить осуществлять столь же инвазивный детальный мониторинг его жизни и моделей поведения.

Широкое использование технологий мониторинга может также ограничивать готовность сотрудников (и каналов, по которым они могли бы) информировать работодателей о нарушениях или незаконных действиях начальства и/или других сотрудников, угрожающих нанести ущерб бизнесу (особенно данным клиентов) или рабочему месту. Анонимность часто необходима соответствующему сотруднику для принятия мер и сообщения о таких ситуациях. Мониторинг, нарушающий права сотрудников на неприкосновенность частной жизни, может препятствовать необходимой коммуникации с соответствующими должностными лицами. В таком случае установленные средства могут снизить эффективность внутреннего информирования.[14]

_{[14] См., например, WP29, Заключение 1/2006 о применении правил ЕС по защите данных к внутренним схемам информирования о нарушениях в области бухгалтерского учета, внутреннего контроля бухгалтерского учета, вопросов аудита, борьбы со взяточничеством, банковских и финансовых преступлений, WP 117, 1 февраля 2006 г., url: http://ec.europa.eu/justice/dataprotection/article-29/documentation/opinion-recommendation/files/2006/wp117_en.pdf.}

В данном разделе рассматривается ряд сценариев обработки данных в контексте занятости, при которых новые технологии и/или разработки существующих технологий имеют или могут иметь высокий риск для приватности сотрудников. Во всех таких случаях работодатели должны рассмотреть следующие вопросы:

• является ли обработка необходимой, и если да, то какие правовые основания применяются;

• является ли обработка персональных данных справедливой по отношению к сотрудникам;

• является ли обработка данных соразмерной поставленным задачам; и

• является ли обработка прозрачной.

Использование социальных сетей физическими лицами широко распространено, и относительно часто профили пользователей доступны для публичного просмотра в зависимости от настроек, выбранных владельцем аккаунта. В результате, работодатели могут полагать, что проверка социальных профилей потенциальных кандидатов может быть оправдана в процессе их найма. Это может также относиться к другой общедоступной информации о потенциальном работнике.

Однако работодатели не должны предполагать, что только потому, что профиль человека в социальных сетях общедоступен, им разрешается обрабатывать эти данные для своих собственных целей. Для такой обработки требуется правовое основание, например, легитимный интерес. В этом контексте работодатель должен уделять приоритетное внимание проверке профиля социальных сетей – принимать во внимание, связан ли профиль заявителя в социальных сетях с деловыми или личными целями, так как это может быть важным показателем правовой обоснованности проверки данных. Кроме того, работодатель имеет право собирать и обрабатывать персональные данные, касающиеся соискателей, только в той степени, в которой сбор этих данных необходим и имеет отношение к выполнению работы, на которую подается заявление о приеме на работу.

Данные, собранные в процессе рекрутинга, как правило, удаляются, как только становится ясно, что предложение о трудоустройстве не будет сделано или не будет принято соответствующим лицом. [15] Кроме того, до начала процесса найма на работу соответствующее лицо должно быть надлежащим образом проинформировано о любой такой обработке.

_{[15] См. также Совет Европы, Рекомендация CM/Rec(2015)5 Комитета министров государствам-членам об обработке персональных данных в контексте занятости , параграф 13.2 (1 апреля 2015 г., url: https://search.coe.int/cm/Pages/result_details.aspx?ObjectID=09000016805c3f7a). В тех случаях, когда работодатель желает сохранить данные с целью дальнейшего трудоустройства, субъект данных должен быть соответствующим образом проинформирован и ему должна быть предоставлена возможность возразить против такой дальнейшей обработки, и в этом случае он должен быть удален (Id.)}

Благодаря наличию профилей в социальных сетях и развитию новых аналитических технологий работодатели имеют (или могут получить) технические возможности для постоянного отбора сотрудников путем сбора информации об их друзьях, мнениях, убеждениях, интересах, привычках, местонахождении, отношении и поведении, таким образом, собирая данные, в том числе конфиденциальные, относящиеся к личной и семейной жизни сотрудника.

Скрининг профилей работников в социальных сетях при приеме на работу не должен проводиться на обобщенной основе.

Более того, работодатели должны воздерживаться от требования, чтобы работник или соискатель работы предоставлял доступ к информации, которой он делится с другими через социальные сети.

Пример Работодатель следит за профилями в LinkedIn бывших работников, которые вовлечены в период действия положений о неконкуренции. Целью такого мониторинга является контроль за соблюдением таких положений. Мониторинг ограничивается этими бывшими работниками. До тех пор пока работодатель может доказать, что такой контроль необходим для защиты его легитимных интересов, что нет других, менее инвазивных средств и что бывшие работники были должным образом проинформированы о масштабах регулярного наблюдения за их публичными сообщениями, работодатель может полагаться на правовое основание статьи 7 (f) ДПД.

Кроме того, работники не должны быть обязаны использовать профиль в социальных сетях, предоставляемый их работодателем. Даже если это специально предусмотрено в свете их задач (например, представитель организации), они должны сохранить возможность использования “нерабочего” непубличного профиля, который они могут использовать вместо “официального” профиля работодателя, и это должно быть оговорено в условиях трудового договора.

Традиционно мониторинг электронных коммуникаций на рабочем месте (например, телефон, просмотр интернет-сайтов, электронная почта, обмен мгновенными сообщениями, VOIP и т.д.) считался основной угрозой приватности сотрудников. В своем Рабочем документе (2001 г.) по наблюдению за электронными коммуникациями на рабочем месте WP29 сделала ряд выводов относительно мониторинга использования электронной почты и интернета. Хотя эти выводы сохраняют свою актуальность, необходимо учитывать технологические достижения, которые позволили использовать более новые, потенциально более интрузивные и распространенные способы мониторинга. К таким разработкам относятся, в частности:

• Средства предотвращения потери данных (Data Loss Prevention – DLP), которые отслеживают исходящие соединения с целью обнаружения потенциальных нарушений данных;

• Брандмауэры следующего поколения (NGFW) и системы Unified Threat Management (UTM), которые могут предоставлять различные технологии мониторинга, включая глубокую проверку пакетов, перехват TLS, фильтрацию веб-сайтов, фильтрацию контента, отчетность по устройствам, информацию о пользователях и (как описано выше) предотвращение потери данных. Такие технологии также могут быть развернуты самостоятельно, в зависимости от работодателя;

• приложения безопасности и меры, включающие регистрацию доступа сотрудников к системам работодателя;

• технология “eDiscovery”, под которой понимается любой процесс, в ходе которого производится поиск электронных данных с целью их использования в качестве доказательств;

• отслеживание использования приложений и устройств с помощью невидимого программного обеспечения либо на рабочем столе, либо в “облаке”;

• использование на рабочем месте офисных приложений, предоставляемых в качестве “облачного” сервиса, который теоретически позволяет очень детально регистрировать деятельность сотрудников;

• мониторинг персональных устройств (например, ПК, мобильных телефонов, планшетов), которые сотрудники поставляют для своей работы в соответствии с определенной политикой использования, например, Bring-YourOwn-Device (BYOD), а также технологии управления мобильными устройствами (MDM), которая позволяет распространять приложения, данные и настройки конфигурации, а также обновления для мобильных устройств; а также

• использование пригодных для ношения устройств (например, медицинских и фитнес-устройств).

Возможно, что работодатель внедрит решение для мониторинга “все-в-одном”, например, набор пакетов безопасности, которые позволяют отслеживать все использование ИКТ на рабочем месте, а не только электронную почту и/или мониторинг веб-сайтов, как это было раньше. Выводы, принятые в WP55, будут применимы к любой системе, позволяющей осуществлять такой мониторинг[16].

_{[16] См. также Copland v United Kingdom, (2007) 45 EHRR 37, 25 BHRC 216, 2 ALR Int’l 785, [2007] ECHR 253 (url: http://www.bailii.org/eu/cases/ECHR/2007/253. html), в котором Суд заявил, что электронные сообщения, отправляемые из помещений компании, и информация, полученная в результате мониторинга использования Интернета, могут быть частью частной жизни сотрудника и его переписки, и что сбор и хранение этой информации без ведома сотрудника будет равносильно вмешательству в права сотрудника, хотя Суд не постановил, что такой мониторинг никогда не будет необходим в демократическом обществе.}.

Пример

Работодатель намерен развернуть устройство TLS-проверки для расшифровки и проверки защищенного трафика с целью обнаружения любых вредоносных объектов. Устройство также способно записывать и анализировать всю онлайн-деятельность сотрудника в сети организации.

Для защиты онлайн-потоков данных с персональными данными от перехвата все чаще используются зашифрованные протоколы связи. Однако это также может вызвать проблемы, поскольку шифрование делает невозможным мониторинг входящих и исходящих данных. Оборудование для TLS-проверки расшифровывает поток данных, анализирует содержимое в целях безопасности, а затем заново шифрует его.

В данном примере работодатель полагается на легитимные интересы – необходимость защиты сети, а также персональных данных сотрудников и клиентов, содержащихся в этой сети, от несанкционированного доступа или утечки данных. Однако мониторинг каждой онлайн-деятельности сотрудников является несоразмерным реагированием и вмешательством в право на неприкосновенность коммуникаций. Работодатель должен в первую очередь рассмотреть другие, менее инвазивные, средства защиты конфиденциальности данных клиентов и безопасности сети.

В той степени, в которой перехват TLS-трафика может быть квалифицирован как строго необходимый, устройство должно быть настроено таким образом, чтобы предотвратить постоянное протоколирование деятельности сотрудников, например, путем блокирования подозрительного входящего или исходящего трафика и перенаправления пользователя на информационный портал, где он может запросить просмотр такого автоматизированного решения. Если все же будет сочтено необходимым вести журнал, устройство можно настроить таким образом, что оно не будет хранить журнальные данные, если только устройство не сигнализирует о возникновении инцидента, с минимизацией собранной информации.

В качестве хорошей практики работодатель может предложить альтернативный неконтролируемый доступ для сотрудников. Это можно было бы сделать, предложив свободный WiFi, или автономные устройства или терминалы (с соответствующими гарантиями конфиденциальности коммуникаций), где сотрудники могли бы осуществлять свое законное право на использование рабочих мест для некоторого личного пользования [17]. Кроме того, работодатели должны учитывать определенные виды трафика, перехват которых ставит под угрозу надлежащий баланс между их легитимными интересами и приватностью сотрудников (например, использование частной веб-почты, посещение веб-сайтов онлайн-банкинга и здравоохранения), с целью надлежащей настройки устройства таким образом, чтобы оно не осуществляло перехват сообщений в обстоятельствах, не соответствующих требованиям соразмерности. Информация о типе сообщений, которые отслеживает устройство, должна быть предоставлена сотрудникам.

Должна быть разработана политика, касающаяся того, когда и кем может быть получен доступ к подозрительным лог-данным, которая должна быть легко и постоянно доступна для всех сотрудников, чтобы также указывать им на приемлемое и неприемлемое использование сети и оборудования. Это позволяет сотрудникам адаптировать свое поведение таким образом, чтобы не подвергаться мониторингу, когда они на законных основаниях используют ИТ-оборудование в личных целях. Согласно передовой практике, такая политика должна оцениваться, по крайней мере, ежегодно, чтобы определить, приносит ли выбранное решение для мониторинга ожидаемые результаты, и существуют ли другие, менее инвазивные инструменты или средства, доступные для достижения тех же целей.

_{[17] См. Halford v. United Kingdom, [1997] ECHR 32, (url: http://www.bailii.org/eu/cases/ECHR/1997/32.html), в котором Суд заявил, что “телефонные звонки, сделанные из служебных помещений, а также из дома, могут охватываться понятиями “частная жизнь” и “корреспонденция” по смыслу пункта 1 статьи 8 [Конвенции]”; и Barbulescu v. Romania , [2016] ЕСПЧ 61, (url: http://www.bailii.org/eu/cases/ECHR/2016/61.html), относительно использования профессионального аккаунта службы мгновенных сообщений для личной переписки, в котором Суд заявил, что контроль за этим аккаунтом со стороны работодателя является ограниченным и соразмерным; особое мнение судьи Пинто де Альберкерке, который утверждал, что необходимо соблюдать осторожный баланс.}

Независимо от соответствующей технологии или возможностей, которыми она обладает, правовое основание Статьи 7(f) доступно только в том случае, если обработка удовлетворяет определенным условиям. Во-первых, работодатели, использующие эти продукты и приложения, должны учитывать соразмерность применяемых ими мер, а также вопрос о том, могут ли быть приняты какие-либо дополнительные меры для смягчения или сокращения масштабов и воздействия обработки данных. В соответствии с передовой практикой, это рассмотрение можно проводить с помощью DPIA до внедрения любой технологии мониторинга. Во-вторых, работодатели должны внедрять и сообщать о приемлемой политике использования наряду с политикой приватности, указывая на допустимое использование сети и оборудования организации и строго детализируя происходящую обработку.

В некоторых странах для разработки такой политики по закону требуется одобрение Совета трудящихся или аналогичного представительства работников. На практике такая политика часто разрабатывается обслуживающим персоналом ИТ. Поскольку их основное внимание будет сосредоточено главным образом на безопасности, а не на законном ожидании неприкосновенности частной жизни сотрудников, WP29 рекомендует, чтобы во всех случаях репрезентативная выборка сотрудников участвовала в оценке необходимости мониторинга, а также логичности и доступности политики.

Пример Работодатель использует механизм предотвращения потери данных (DLP) для автоматического контроля исходящих сообщений электронной почты с целью предотвращения несанкционированной передачи данных, являющихся собственностью компании (например, персональных данных клиента), независимо от того, является ли такое действие непреднамеренным или нет. После того, как электронное письмо рассматривается как потенциальный источник нарушения данных, проводится дальнейшее расследование. Опять же, работодатель полагается на необходимость защиты своих легитимных интересов для защиты персональных данных клиентов, а также своих активов от несанкционированного доступа или утечки данных. Однако такой инструмент DLP может быть связан с необязательной обработкой персональных данных. Например, “ложноположительное” предупреждение может привести к несанкционированному доступу к законным электронным письмам, которые были отправлены сотрудниками (это могут быть, например, личные электронные письма). Поэтому необходимость использования инструмента DLP и его внедрение должны быть полностью обоснованы, чтобы обеспечить правильный баланс между его законными интересами и фундаментальным правом на защиту персональных данных сотрудников. Для того чтобы на легитимные интересы работодателя можно было положиться, необходимо принять определенные меры по снижению рисков. Например, правила, по которым система характеризует электронное письмо как потенциальное нарушение данных, должны быть полностью прозрачны для пользователей, а в случаях, когда инструмент распознает электронное письмо, которое должно быть отправлено, как потенциальное нарушение данных, предупреждающее сообщение должно информировать отправителя электронного письма до его передачи по электронной почте, чтобы дать возможность отправителю отменить эту передачу.

В некоторых случаях мониторинг сотрудников возможен не столько из-за внедрения конкретных технологий, сколько просто потому, что от сотрудников ожидается использование онлайн-приложений, предоставленных работодателем, которые обрабатывают персональные данные. Примером может служить использование офисных приложений на базе “облака” (например, редакторов документов, календарей, социальных сетей). Необходимо обеспечить, чтобы сотрудники могли выделять определенные личные пространства, доступ к которым работодатель может получить только в исключительных обстоятельствах. Это, например, относится к календарям, которые часто используются также для личных встреч. Если работник обозначает встречу как “личную” или отмечает это в самом назначении, работодателю (и другим работникам) не следует разрешать просматривать содержание встречи.

Требование о субсидиарности в этом контексте иногда означает, что мониторинг может вообще не осуществляться. Например, в этом случае запрещенное использование коммуникационных услуг может быть предотвращено путем блокирования определенных веб-сайтов. Если можно заблокировать веб-сайты, вместо того чтобы постоянно следить за всеми сообщениями, то для соблюдения этого требования субсидиарности следует выбирать блокирование.

В более общем плане профилактика должна иметь гораздо больший вес, чем обнаружение – интересам работодателя лучше служит предотвращение неправомерного использования Интернета с помощью технических средств, чем путем расходования ресурсов на обнаружение неправомерного использования.

Использование ИКТ вне рабочего места стало более распространенным в связи с распространением удаленной работы и политик “использования собственных устройств”. Возможности таких технологий могут представлять риск для частной жизни работников, поскольку во многих случаях существующие на рабочем месте системы мониторинга эффективно распространяются на домашнюю сферу работников при использовании такого оборудования.

5.4.1 МОНИТОРИНГ В КОНТЕКСТЕ РАБОТЫ ИЗ ДОМА И УДАЛЕННОЙ РАБОТЫ

Работодатели все чаще предлагают работникам возможность работать дистанционно, например, из дома и/или во время их пребывания в командировке. Действительно, это является центральным фактором уменьшения различий между рабочим местом и домом. В целом это подразумевает, что работодатель выдает работникам информационно-коммуникационное оборудование или программное обеспечение, которое после установки в их доме/на их собственных устройствах позволяет им иметь тот же уровень доступа к сети, системам и ресурсам работодателя, который они имели бы, если бы они находились на рабочем месте, в зависимости от реализации.

Удаленная работа может быть позитивным изменением, но в то же время представляет собой область дополнительного риска для работодателя. Например, работники, имеющие удаленный доступ к инфраструктуре работодателя, не связаны мерами физической безопасности, которые могут быть приняты на территории работодателя. Говоря простым языком: без применения соответствующих технических мер риск несанкционированного доступа увеличивается и может привести к потере или уничтожению информации, в том числе персональных данных сотрудников или клиентов, которые могут находиться у работодателя.

Для снижения риска в этой области работодатели могут подумать, что существует обоснование для развертывания программных пакетов (как локальных, так и “облачных”), которые могут, например, регистрировать нажатия клавиш и движения мыши, захват экрана (случайным образом или через заданные промежутки времени), регистрацию используемых приложений (и того, как долго они использовались), а также, на совместимых устройствах, включение веб-камер и сбор их видеозаписей. Такие технологии широко доступны, в том числе и у третьих сторон, таких как провайдеры облачных услуг.

Однако обработка, связанная с такими технологиями, несоразмерна, и работодатель не сможет ссылаться на легитимный интерес в качестве правового основания, например, для записи нажатий клавиш и движений мыши работника.

Ключевым моментом является решение проблемы риска, связанного с работой на дому и в дистанционном режиме, пропорциональным, не чрезмерным образом, каким бы ни был предложенный вариант и какой бы ни была предложенная технология, особенно если границы между использованием в рамках работы и личным использованием являются подвижными.

5.4.2 ИСПОЛЬЗОВАНИЕ СОБСТВЕННЫХ УСТРОЙСТВ (BYOD)

В связи с ростом популярности, особенностей и возможностей потребительских электронных устройств, работодатели могут столкнуться с требованиями работников использовать собственные устройства на рабочем месте для выполнения своей работы. Это явление известно как политика “принести собственное устройство” или BYOD.

Эффективное внедрение BYOD может привести к ряду преимуществ для сотрудников, включая повышение удовлетворенности работой сотрудников, общее улучшение мотивации, повышение эффективности работы и гибкости. Однако, по определению, некоторое использование устройства сотрудника будет носить личный характер, и, скорее всего, это будет происходить в определенное время суток (например, по вечерам и выходным). Поэтому существует явная вероятность того, что использование работниками собственных устройств приведет к тому, что работодатели будут обрабатывать не только корпоративную информацию о таких работниках и, возможно, о любых членах семьи, которые также пользуются данными устройствами.

В контексте занятости, риски в отношении приватности “приносимых с собой устройств” обычно связаны с технологиями мониторинга, которые собирают такие идентификаторы, как MAC-адреса, или в случаях, когда работодатель получает доступ к устройству сотрудника под предлогом выполнения проверки безопасности, т.е. на наличие вредоносного программного обеспечения. Что касается последнего, существует ряд коммерческих решений, которые позволяют сканировать личные устройства, однако их использование потенциально может получить доступ ко всем данным на этом устройстве, и, следовательно, с ними необходимо внимательно обращаться. Например, те разделы устройства, которые предположительно используются только в личных целях (например, папка, в которой хранятся фотографии, сделанные с помощью устройства), не могут быть доступны в принципе.

Мониторинг местонахождения и трафика таких устройств может считаться легитимным интересом для защиты персональных данных, за которые несет ответственность работодатель как контролер данных; однако это может быть незаконным, если речь идет о личном устройстве работника, если такой мониторинг также фиксирует данные, относящиеся к личной и семейной жизни работника. В целях предотвращения мониторинга частной информации должны быть приняты соответствующие меры для разграничения частного и рабочего использования устройства.

Работодатели также должны внедрять методы, с помощью которых их собственные данные на устройстве надежно передаются между этим устройством и их сетью. Может случиться так, что устройство будет настроено на маршрутизацию всего трафика через VPN обратно в корпоративную сеть, чтобы обеспечить определенный уровень безопасности; однако, если такая мера используется, работодатель должен также учитывать, что программное обеспечение, установленное для целей мониторинга, представляет собой риск для конфиденциальности в периоды личного пользования работником. Могут использоваться устройства, обеспечивающие дополнительную защиту, такие как “песочница” данных (хранение данных, содержащихся в конкретном приложении).

И наоборот, работодатель должен также рассмотреть вопрос о запрете использования конкретных рабочих устройств для личного пользования, если нет возможности предотвратить мониторинг личного пользования, например, если устройство обеспечивает удаленный доступ к персональным данным, для которых работодатель является контролером данных.

5.4.3 УПРАВЛЕНИЕ МОБИЛЬНЫМИ УСТРОЙСТВАМИ (MDM)

Управление мобильными устройствами позволяет работодателям удаленно определять местонахождение устройств, развертывать определенные конфигурации и/или приложения и удалять данные по требованию. Работодатель может управлять этой функциональностью самостоятельно или использовать для этого третью сторону. Сервисы MDM также позволяют работодателям регистрировать или отслеживать устройство в режиме реального времени, даже если о его краже не сообщается.

Необходимо провести DPIA до развертывания любой такой технологии, если она является новой в процессе или новой для контроллера данных. Если результат DPIA заключается в том, что технология MDM необходима в конкретных обстоятельствах, то все же должна быть проведена оценка того, соответствует ли полученная в результате обработка данных принципам пропорциональности и субсидиарности. Работодатели должны обеспечить, чтобы данные, собранные в рамках этой возможности удаленного местоположения, обрабатывались с определенной целью и не являлись и не могли являться частью более широкой программы, позволяющей осуществлять постоянный мониторинг сотрудников. Даже для конкретных целей функции отслеживания должны быть смягчены. Системы отслеживания могут быть спроектированы таким образом, чтобы регистрировать данные о местонахождении без их представления работодателю (в таких обстоятельствах данные о местонахождении должны становиться доступными только в тех случаях, когда об устройстве будет сообщено или оно будет утеряно).

Сотрудники, чьи устройства зарегистрированы в сервисах MDM, также должны быть полностью информированы о том, что происходит отслеживание, и какие последствия это имеет для них.

5.4.4 УСТРОЙСТВА, ПРЕДНАЗНАЧЕННЫЕ ДЛЯ НОШЕНИЯ

Работодатели все чаще поддаются склонности предоставлять своим сотрудникам носимые устройства для отслеживания и мониторинга их здоровья и деятельности в пределах, а иногда и за пределами рабочего места. Однако такая обработка данных связана с обработкой данных о здоровье, и поэтому запрещена на основании статьи 8 ДПД.

Учитывая неравные отношения между работодателями и работниками, т.е. финансовую зависимость работника от работодателя, а также чувствительный характер данных о состоянии здоровья, весьма маловероятно, что юридически действительное явно выраженное согласие может быть дано на отслеживание или мониторинг таких данных, поскольку работники, по сути, не “свободны” давать такое согласие. Даже если работодатель использует для сбора данных об охране здоровья третью сторону, которая будет предоставлять работодателю лишь агрегированную информацию об общем состоянии здоровья, их обработка все равно будет незаконной.

Кроме того, как указано в Заключении 5/2014 о методах анонимизации[18], с технической точки зрения очень сложно обеспечить полную анонимизацию данных. Даже в среде с более чем тысячей сотрудников, при наличии других данных о сотрудниках, работодатель все равно сможет выделить отдельных сотрудников с особыми медицинскими показаниями, такими как высокое кровяное давление или ожирение.

_{[18] WP29, Заключение 5/2014 о методах анонимизации, WP 216, 10 апреля 2014 года, url: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2014/wp216_en.pdf}

Пример:

Организация предлагает своим сотрудникам устройства фитнес-мониторинга в качестве общего подарка. Приборы подсчитывают количество шагов, выполняемых сотрудниками, и регистрируют их сердцебиение и образ действий во время сна.

Полученные в результате этого данные о состоянии здоровья должны быть доступны только сотруднику, а не работодателю. Любые данные, передаваемые между работником (в качестве субъекта данных) и устройством/поставщиком услуг (в качестве контролера данных), относятся к компетенции этих сторон.

Поскольку данные о здоровье могут также обрабатываться коммерческой стороной, которая изготовила эти устройства или предлагает услуги работодателям, при выборе устройства или услуги работодатель должен оценить политику конфиденциальности производителя и/или поставщика услуг, с тем чтобы она не приводила к незаконной обработке данных о здоровье работников.

Системы, позволяющие работодателям контролировать, кто может входить в их помещения и/или определенные зоны на их территории, также могут позволить отслеживать деятельность работников. Несмотря на то, что такие системы существуют уже несколько лет, все шире внедряются новые технологии, предназначенные для отслеживания времени и посещаемости работников, в том числе те, которые обрабатывают биометрические данные, а также другие, такие как отслеживание мобильных устройств.

Несмотря на то, что такие системы могут являться важным компонентом системы контроля работодателя, они также представляют собой риск, сопряженный с предоставлением инвазивного уровня знаний и контроля в отношении деятельности работника во время его нахождения на рабочем месте.

Пример:

Работодатель содержит серверную комнату, в которой в цифровом виде хранятся данные, относящиеся к бизнесу, персональные данные, относящиеся к сотрудникам, и персональные данные, относящиеся к клиентам. В целях соблюдения правовых обязательств по защите данных от несанкционированного доступа работодатель установил систему контроля доступа, которая фиксирует вход и выход сотрудников, имеющих соответствующее разрешение на вход в помещение. В случае пропажи какого-либо предмета оборудования, а также в случае несанкционированного доступа, утери или кражи каких-либо данных, данные, хранящиеся у работодателя, позволяют определить, кто имел доступ в помещение в это время.

Учитывая, что обработка данных необходима и перевешивает право работников на личную жизнь, она может являться легитимным интересом в соответствии со ст. 7 (f), если работники были надлежащим образом проинформированы об операции по обработке. Однако постоянный контроль частоты и точного времени входа и выхода сотрудников не может быть оправдан, если эти данные используются также и для других целей, например, для оценки работы сотрудников.

Видеонаблюдение по-прежнему представляет собой такие же проблемы для неприкосновенности личной жизни сотрудников, как и раньше: возможность постоянно фиксировать поведение работника [19]. Наиболее важными изменениями, связанными с применением этой технологии в контексте занятости, являются возможность легкого удаленного доступа к собранным данным (например, с помощью смартфона); уменьшение размеров камер (наряду с увеличением их возможностей, например, высокой четкости); а также обработка, которая может быть выполнена с помощью новых видеоаналитиков.

_{[19] См. вышеописанное дело Köpke v Germany ; кроме того, следует отметить, что в некоторых юрисдикциях установка таких систем, как система видеонаблюдения, в целях доказательства противоправного поведения была признана допустимой; см. дело Bershka , решенное Конституционным судом Испании}

Благодаря возможностям, предоставляемым видеоаналитикой, работодатель может контролировать мимику работника с помощью автоматических средств, выявлять отклонения от заданных шаблонов движения (например, в производственном контексте) и многое другое. Это было бы несоразмерно правам и свободам работников и, следовательно, в целом незаконно. Обработка, вероятно, также будет связана с профилированием и, возможно, автоматизированным принятием решений. Поэтому работодатели должны воздерживаться от использования технологий распознавания лиц. Из этого правила могут быть некоторые крайние исключения, однако такие сценарии не могут быть использованы для ссылки на общее узаконивание использования таких технологий [20].

_{[20] Кроме того, в соответствии с GDPR, обработка биометрических данных для целей идентификации должна основываться на исключении, предусмотренном ст. 9(2)}

Технологии, позволяющие работодателям контролировать транспортные средства, получили широкое распространение, особенно среди организаций, деятельность которых связана с транспортом или которые располагают значительным количеством транспортных средств.

Любой работодатель, использующий телематику транспортного средства, будет собирать данные как о транспортном средстве, так и об отдельном работнике, использующем это транспортное средство. Эти данные могут включать в себя не только местоположение транспортного средства (и, следовательно, работника), собранные базовыми системами GPS слежения, но и, в зависимости от технологии, массу другой информации, в том числе о поведении вождения. Некоторые технологии могут также обеспечивать непрерывный мониторинг как транспортного средства, так и водителя (например, регистраторы данных о событиях).

Работодатель может быть обязан установить технологию слежения в автомобилях, чтобы продемонстрировать соблюдение других юридических обязательств, например, для обеспечения безопасности сотрудников, которые управляют этими автомобилями. Работодатель может также иметь легитимный интерес в том, чтобы иметь возможность найти транспортные средства в любое время. Даже если работодатели будут иметь легитимный интерес в достижении этих целей, сначала следует оценить, является ли обработка для этих целей необходимой и соответствует ли фактическая реализация принципам пропорциональности и субсидиарности. Там, где разрешено личное использование профессионального транспортного средства, наиболее важной мерой, которую работодатель может принять для обеспечения соблюдения этих принципов, является предложение об отказе: работник в принципе должен иметь возможность временно отключить отслеживание местонахождения, когда особые обстоятельства оправдывают такое отключение, например, посещение врача. Таким образом, работник может по собственной инициативе защитить определенные данные о местонахождении как частные. Работодатель должен следить за тем, чтобы собранные данные не использовались для незаконной дальнейшей обработки, например, для отслеживания и оценки работников.

Работодатель также должен четко проинформировать сотрудников о том, что в автомобиле компании установлено устройство слежения, и что их передвижения регистрируются во время использования этого автомобиля (и, в зависимости от технологии, их поведение во время вождения также может быть зафиксировано). Предпочтительно, чтобы такая информация отображалась на видном месте в каждом автомобиле, в поле зрения водителя.

Возможно, что сотрудники могут использовать служебные автомобили в нерабочее время, например, для личного пользования, в зависимости от конкретной политики, регулирующей использование этих автомобилей. Учитывая чувствительность данных о местонахождении, маловероятно, что существует правовое основание для мониторинга местонахождения транспортных средств сотрудников в нерабочее время. Однако при наличии такой необходимости следует рассмотреть вопрос об имплементации, которая была бы соразмерна рискам. Например, это может означать, что для предотвращения угона автомобиля его местонахождение не регистрируется в нерабочее время, если только транспортное средство не покидает широко определенный круг (регион или даже страну). Кроме того, местонахождение будет отображаться только в виде “разбитого стекла” – работодатель будет активировать “видимость” местонахождения, получив доступ к данным, уже сохраненным системой, только тогда, когда транспортное средство покинет заранее определенный регион.

Как указано в WP29 Заключении 13/2011 об использовании геолокации на смартфонах [21]:

_{[21] WP29, Заключение 13/2011 об использовании геолокации на смартфонах , WP 185, 16 мая 2011 г., url: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2011/wp185_en.pdf}

Устройства слежения за транспортными средствами не являются устройствами слежения персонала. Их функция состоит в том, чтобы отслеживать или контролировать местоположение транспортных средств, в которых они установлены. Работодатели не должны рассматривать их как устройства для отслеживания или мониторинга поведения или местонахождения водителей или другого персонала, например, путем отправки предупреждений относительно скорости транспортного средства.

Кроме того, как указано в WP29 Заключении 5/2005 об использовании данных о местоположении в целях предоставления услуг с добавленной стоимостью [22]:

_{[22] WP29, Заключение 5/2005 об использовании данных о местоположении с целью предоставления дополнительных услуг , WP 115, 25 ноября 2005 г., url: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2005/wp115_en.pdf}

Обработка данных о местоположении может быть оправдана, если она осуществляется в рамках мониторинга транспортировки людей или товаров или улучшения распределения ресурсов для оказания услуг в разрозненных местах (например, планирование операций в режиме реального времени), или если преследуется цель обеспечения безопасности в отношении самого работника или товаров или транспортных средств, находящихся в его ведении. И наоборот, Рабочая группа считает чрезмерной обработку данных в тех случаях, когда сотрудники могут свободно организовывать свои поездки по своему усмотрению или когда это делается исключительно с целью контроля за работой сотрудника, когда это может быть отслежено другими способами.

5.7.1 РЕГИСТРАТОРЫ ДАННЫХ О СОБЫТИЯХ

Регистраторы данных о событиях предоставляют работодателю техническую возможность обработки значительного объема персональных данных о сотрудниках, которые управляют транспортными средствами компании. Такие устройства все чаще устанавливаются в автомобили с целью записи видео, возможно, в том числе и звука, в случае аварии. Эти системы способны записывать в определенное время, например, в ответ на внезапное торможение, резкое изменение направления движения или ДТП, при этом сохраняются моменты, непосредственно предшествующие происшествию, но при этом они могут быть настроены на непрерывный мониторинг. Эта информация может быть впоследствии использована для наблюдения и обзора поведения человека при управлении автомобилем с целью его корректировки. Кроме того, многие из этих систем включают GPS для отслеживания местоположения транспортного средства в режиме реального времени. Другие сведения, связанные с вождением (например, скорость транспортного средства), также могут быть сохранены для дальнейшей обработки.

Эти устройства стали особенно распространены среди организаций, чья деятельность связана с транспортом или имеет значительное количество транспортных средств. Однако размещение регистраторов данных о событиях может быть правомерным только в том случае, если существует необходимость обработки последующих персональных данных о сотруднике с законной целью, а обработка данных осуществляется в соответствии с принципами соразмерности и субсидиарности.

Пример Транспортная компания оснащает все свои автомобили видеокамерой внутри салона, которая записывает звук и видео. Целью обработки этих данных является повышение водительских навыков сотрудников. Камеры настроены на сохранение записей всякий раз, когда происходят такие инциденты, как резкое торможение или резкое изменение направления движения. Компания исходит из того, что у нее есть законное основание для обработки в своих легитимных интересах в соответствии со статьей 7 (f) Директивы, для защиты безопасности своих сотрудников и безопасности других водителей. Однако легитимный интерес компании, состоящий в мониторинге водителей, не превалирует над правами этих водителей на защиту своих персональных данных. Постоянный мониторинг сотрудников с помощью таких камер представляет собой серьезное нарушение их права на неприкосновенность частной жизни. Существуют и другие методы (например, установка оборудования, предотвращающего использование мобильных телефонов), а также другие системы безопасности, такие как усовершенствованная система экстренного торможения или система предупреждения о сходе с полосы движения, которые могут использоваться для предотвращения дорожно-транспортных происшествий, что может быть более целесообразным. Кроме того, такое видео имеет высокую вероятность привести к обработке персональных данных третьих лиц (например, пешеходов), и для такой обработки легитимный интерес компании не является достаточным основанием.

Все чаще компании передают данные своих сотрудников своим клиентам с целью обеспечения надежного предоставления услуг. Эти данные могут быть довольно многочисленны и чрезмерны в зависимости от объема оказываемых услуг (например, может быть включена фотография сотрудника). Однако, учитывая дисбаланс сил, работники не могут дать добровольное согласие на обработку своих персональных данных работодателем, а если обработка данных не является пропорциональной, то у работодателя нет правового основания.

Пример: Компания по доставке посылает своим клиентам электронное письмо со ссылкой на имя и место доставки (сотрудника). Компания также намерена предоставить фотографию паспорта курьера. Компания предполагала, что у нее будет правовое основание для обработки в ее легитимных интересах (статья 7(f) Директивы), что позволит клиенту проверить, действительно ли курьер является тем человеком. Однако нет необходимости сообщать клиенту имя и фотографию курьера. Поскольку нет другого правового основания для такой обработки, компания-поставщик не имеет права предоставлять эти персональные данные клиентам.

Работодатели все чаще используют “облачные” приложения и сервисы, например, предназначенные для работы с данными HR, а также онлайновые офисные приложения. Использование большинства из этих приложений приведет к международной передаче данных о сотрудниках. Как уже отмечалось в Заключении 08/2001, ст. 25 Директивы гласит, что передача персональных данных в третью страну за пределами ЕС может происходить только в том случае, если эта страна обеспечивает адекватный уровень защиты. Каким бы ни было правовое основание, передача должна соответствовать положениям Директивы.

Таким образом, следует обеспечить соблюдение положений, касающихся международной передачи данных. WP29 вновь излагает свою предыдущую позицию, согласно которой предпочтительнее полагаться на надлежащую (адекватную) защиту, а не на исключения, перечисленные в статье 29. Когда обработка основывается на согласии, оно должно быть конкретным, недвусмысленным и свободно предоставляться. Однако следует также обеспечить, чтобы данные, которыми обмениваются за пределами ЕС/ЕЭЗ, и последующий доступ к ним других субъектов в рамках группы, оставались ограниченными до минимума, необходимого для предусмотренных целей.

6.1 Основные права

Содержание вышеуказанных сообщений, а также данные о трафике, относящиеся к этим сообщениям, защищаются в рамках тех же основных прав, что и “аналоговые” сообщения.

На электронные сообщения, направляемые из коммерческих помещений, могут распространяться понятия “частная жизнь” и “корреспонденция” по смыслу пункта 1 статьи 8 Европейской конвенции. На основании действующей Директивы о защите данных работодатели могут собирать данные только в законных целях, при этом их обработка осуществляется при соответствующих условиях (например, пропорционально и необходимо, в реальных и текущих интересах, законным, четко сформулированным и прозрачным образом), при наличии правового основания для обработки персональных данных, собранных из электронных сообщений или полученных с помощью электронных сообщений.

Тот факт, что работодатель имеет право собственности на электронные средства, не исключает права работников на тайну их сообщений, связанных с ними данных о местонахождении и переписки. Отслеживание местонахождения работников с помощью собственных устройств или устройств, выпущенных компанией, должно быть ограничено теми случаями, когда это строго необходимо для достижения законных целей. Конечно же, в случае с Bring Your Own Device (политика “принесите свое собственное устройство”) важно, чтобы сотрудникам была предоставлена возможность оградить свои личные сообщения от любого контроля, связанного с работой.

6.2 Согласие; легитимный интерес

Работники почти никогда не могут свободно давать, отказывать или отзывать согласие, учитывая зависимость, возникающую в результате отношений между работодателем и работником. Учитывая дисбаланс сил, работники могут давать свободное согласие только в исключительных обстоятельствах, когда никакие последствия не связаны с принятием или отклонением предложения.

На легитимный интерес работодателей иногда можно ссылаться как на правовое основание, но только в том случае, если обработка строго необходима для законной цели, осуществляется в соответствии с принципами соразмерности и субсидиарности. Тест на соразмерность должен быть проведен до внедрения любого инструмента мониторинга для рассмотрения того, все ли данные необходимы, превалирует ли эта обработка над правом на неприкосновенность частной жизни, которыми обладают работники на рабочем месте, и какие меры должны быть приняты для обеспечения того, чтобы посягательства на право на неприкосновенность частной жизни и право на тайну сообщений ограничивались необходимым минимумом данных.

6.3 Прозрачность

Должна быть обеспечена эффективная коммуникация с сотрудниками относительно любого проводимого мониторинга, его целей и обстоятельств, а также возможностей для сотрудников по предотвращению сбора данных с помощью технологий мониторинга. Политика и правила, касающиеся законного мониторинга, должны быть четкими и легко доступными. Рабочая группа рекомендует привлекать репрезентативную выборку сотрудников к разработке и оценке таких правил и политики, поскольку в большинстве случаев мониторинг может затронуть частную жизнь сотрудников.

6.4 Пропорциональность и минимизация данных

Обработка данных на рабочем месте должна быть соразмерной реакцией на риски, с которыми сталкивается работодатель. Например, злоупотребление доступом в Интернет может быть обнаружено без анализа содержания сайта. Если злоупотребление может быть предотвращено (например, с помощью веб-фильтров), работодатель не имеет общего права на мониторинг.

Кроме того, общий запрет на общение по личным причинам является нецелесообразным, и для обеспечения соблюдения этого запрета может потребоваться непропорционально высокий уровень контроля. Предотвращению следует уделять гораздо больше внимания, чем выявлению. Интересам работодателя лучше служит предотвращение неправомерного использования Интернета с помощью технических средств, чем путем расходования ресурсов на выявление неправомерного использования.

Информация, регистрируемая в ходе текущего мониторинга, а также информация, показываемая работодателю, должны быть сведены к минимуму. Работники должны иметь возможность временно отключить отслеживание местонахождения, если это оправдано обстоятельствами. Решения, которые, например, позволяют отслеживать транспортные средства, могут быть разработаны таким образом, чтобы регистрировать данные о местоположении без представления их работодателю.

Работодатели должны учитывать принцип минимизации данных при принятии решений о внедрении новых технологий. Информация должна храниться в течение минимально необходимого времени с указанным сроком хранения. Когда информация больше не нужна, она должна быть удалена.

6.5 Облачные сервисы, онлайн-приложения и международная передача

В тех случаях, когда от сотрудников ожидается использование онлайновых приложений, обрабатывающих персональные данные (например, онлайновых офисных приложений), работодатели должны рассмотреть вопрос о предоставлении сотрудникам возможности выделять определенные личные пространства, к которым работодатель может не иметь доступа ни при каких обстоятельствах, например, личную почту или папку для документов.

Использование большинства приложений в “облаке” приведет к международной передаче данных сотрудников. Следует обеспечить, чтобы персональные данные, передаваемые в третью страну за пределами ЕС, имели место только в том случае, если обеспечен адекватный уровень защиты, а также чтобы данные, совместно используемые за пределами ЕС/ЕЭЗ, и последующий доступ к ним других субъектов внутри группы оставался ограниченным до минимума, необходимого для предусмотренных целей.