Заключение 2/2017 об обработке данных в рабочее время

WP29 opinion on data processing at work

Перевод на русский язык с английского языка выполнила А. Вербанович. Общая редакция: Сергей Воронкевич CIPP/E, CIPM, MBA. © Перевод на русский ООО "Дата Прайваси Офис".

Opinion 2/2017 on data processing at work Adopted on 8 June 2017: Opinion 2/2017 on data processing at work

1. Краткое описание

1. Executive summary

Настоящее Заключение дополняет предыдущие публикации Рабочей группы по статье 29 («WP29») Заключение 8/2001 об обработке персональных данных в контексте занятости (WP48) [1] и Рабочий документ 2002 года о наблюдении за электронными сообщениями на рабочем месте (WP55) [2]. С момента публикации этих документов были разработаны новые технологие, позволяющие более систематично обрабатывать персональные данные сотрудников на рабочем месте, что создает значительные проблемы с точки зрения приватности и защиты данных.

This Opinion complements the previous Article 29 Working Party (“WP29”) publications Opinion 8/2001 on the processing of personal data in the employment context (WP48) [1], and the 2002 Working Document on the surveillance of electronic communications in the workplace(WP55) [2]. Since the publication of these documents, a number of new technologies have been adopted that enable more systematic processing of employees’ personal data at work, creating significant challenges to privacy and data protection.

_{[1] WP29, Заключение 08/2001 об обработке персональных данных в контексте занятости, WP 48, 13 сентября 2001 года, url: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2001/wp48_en.pdf}

_{[1] WP29, Opinion 08/2001 on the processing of personal data in the employment context , WP 48, 13 September 2001, url: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2001/wp48_en.pdf}

_{[2] WP29, Рабочий документ по наблюдению за электронными сообщениями на рабочем месте, WP 55, 29 мая 2002 года, url: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2002/wp55_en.pdf}

_{[2] WP29, Working document on the surveillance of electronic communications in the workplace, WP 55, 29 May 2002, url: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2002/wp55_en.pdf}

В этом заключении дается новая оценка баланса между легитимными интересами работодателей и разумными ожиданиями работников в отношении приватности путем описания рисков, связанных с новыми технологиями, и проведения соразмерной оценки ряда сценариев, в которых они могли бы быть использованы.

This Opinion makes a new assessment of the balance between legitimate interests of employers and the reasonable privacy expectations of employees by outlining the risks posed by new technologies and undertaking a proportionality assessment of a number of scenarios in which they could be deployed.

Хотя это заключение в первую очередь касается Директивы о защите данных, в нем рассматриваются дополнительные обязательства, возлагаемые на работодателей Общим регламентом о защите данных. В нем также подтверждается позиция и выводы Заключения 8/2001 и Рабочего документа WP55, а именно, что при обработке персональных данных работников:

Whilst primarily concerned with the Data Protection Directive, the Opinion looks toward the additional obligations placed on employers by the General Data Protection Regulation. It also restates the position and conclusions of Opinion 8/2001 and the WP55 Working Document, namely that when processing employees’ personal data:

• работодатели должны всегда помнить об основополагающих принципах защиты данных, независимо от используемой технологии;

• employers should always bear in mind the fundamental data protection principles, irrespective of the technology used;

• содержание электронных сообщений, направляемых из помещений предприятия, пользуется такой же защитой основных прав, как и аналоговые сообщения;

• the contents of electronic communications made from business premises enjoy the same fundamental rights protections as analogue communications;

• согласие в редких случаях служит правовым основанием для обработки данных на рабочем месте, и работники должны иметь право дать отказ от обработки без негативных последствий;

• consent is highly unlikely to be a legal basis for data processing at work, unless employees can refuse without adverse consequence;

• иногда можно ссылаться на исполнение договора и легитимные интересы при условии, что обработка данных строго необходима для законной цели и соответствует принципам соразмерности и субсидиарности;

• performance of a contract and legitimate interests can sometimes be invoked, provided the processing is strictly necessary for a legitimate purpose and complies with the principles of proportionality and subsidiarity;

• сотрудники должны получать достоверную информацию о происходящем мониторинге;

• employees should receive effective information about the monitoring that takes place;

• и любая международная передача данных о сотрудниках должна осуществляться только в том случае, если обеспечен надлежащий уровень защиты.

• and any international transfer of employee data should take place only where an adequate level of protection is ensured.

2. Введение

2. Introduction

Быстрое внедрение новых информационных технологий на рабочем месте, с точки зрения инфраструктуры, приложений и смарт-устройств, позволяет осуществлять новые виды систематической и потенциально инвазивной обработки данных на рабочем месте. Например:

The rapid adoption of new information technologies in the workplace, in terms of infrastructure, applications and smart devices, allows for new types of systematic and potentially invasive data processing at work. For example:

• технологии, позволяющие обрабатывать данные на рабочем месте, в настоящее время могут быть реализованы за доли той стоимости, которая существовала несколько лет назад, в то время как возможности обработки персональных данных с помощью этих технологий увеличились в геометрической прогрессии;

• technologies enabling data processing at work can now be implemented at a fraction of the costs of several years ago whilst the capacity for the processing of personal data by these technologies has increased exponentially;

• новые формы обработки, такие как обработка персональных данных об использовании онлайн-услуг и/или данных о местоположении со смарт-устройства, гораздо менее заметны для сотрудников, чем другие, более традиционные виды наблюдения, такие как скрытые камеры видеонаблюдения. В связи с этим возникают вопросы о степени осведомленности сотрудников об этих технологиях, поскольку работодатели могут незаконно осуществлять эту обработку без предварительного уведомления сотрудников;

• new forms of processing, such as those concerning personal data on the use of online services and/or location data from a smart device, are much less visible to employees than other more traditional types such as overt CCTV cameras. This raises questions about the extent to which employees are aware of these technologies, since employers might unlawfully implement these processing without prior notice to the employees;

• границы между домом и работой становятся все более размытыми. Например, когда сотрудники работают удаленно (например, из дома), или во время командировки для бизнеса, мониторинг деятельности вне физической рабочей среды может иметь место и потенциально может включать в себя мониторинг человека в приватном контексте.

• and the boundaries between home and work have become increasingly blurred. For example, when employees work remotely (e.g. from home), or whilst they are travelling for business, monitoring of activities outside of the physical working environment can take place and can potentially include monitoring of the individual in a private context.

Поэтому, несмотря на то, что использование таких технологий может помочь в выявлении или предотвращении потери интеллектуальной и материальной собственности компании, повышении производительности труда сотрудников и защите персональных данных, за которые несет ответственность контролер данных, они также создают значительные проблемы в области конфиденциальности и защиты данных. В результате, требуется новая оценка, касающаяся баланса между легитимным интересом работодателя в защите своего бизнеса и обоснованным ожиданием конфиденциальности субъектов данных: сотрудников.

Therefore, whilst the use of such technologies can be helpful in detecting or preventing the loss of intellectual and material company property, improving the productivity of employees and protecting the personal data for which the data controller is responsible, they also create significant privacy and data protection challenges. As a result, a new assessment is required concerning the balance between the legitimate interest of the employer to protect its business and the reasonable expectation of privacy of the data subjects: the employees.

Хотя в этом Заключении основное внимание будет уделено новым информационным технологиям путем оценки девяти различных сценариев, в которых они могут быть реализованы, в нем также вкратце будут рассмотрены более традиционные методы обработки данных на рабочих местах, где риски усиливаются в результате технологических изменений.

Whilst this Opinion will focus on new information technologies by assessing nine different scenarios in which they can feature, it will also briefly reflect on more traditional methods of data processing at work where the risks are amplified as a result of technological change.

В настоящем Заключении используется термин «работник», однако WP29 не намерена ограничивать сферу применения этого термина только лицами, заключившими трудовой договор, признанный таковым в соответствии с применимым трудовым законодательством. За последние десятилетия все более широкое распространение получили новые бизнес-модели, обслуживаемые различными видами трудовых отношений, и в частности занятость на внештатной основе (freelance basis). Это Заключение призвано охватить все ситуации, в которых существуют трудовые отношения, независимо от того, основываются ли эти отношения на трудовом договоре.

Where the word “employee” is used in this Opinion, WP29 does not intend to restrict the scope of this term merely to persons with an employment contract recognized as such under applicable labour laws. Over the past decades, new business models served by different types of labour relationships, and in particular employment on a freelance basis, have become more commonplace. This Opinion is intended to cover all situations where there is an employment relationship, regardless of whether this relationship is based on an employment contract.

Важно отметить, что работники редко могут свободно давать согласие, отказ или отзывать согласие, учитывая зависимость, возникающую в результате отношений между работодателем и работником. За исключением исключительных ситуаций, работодателям придется полагаться на иное юридическое основание, чем согласие, например, на необходимость обработки данных с учетом их легитимных интересов. Однако сам по себе легитимный интерес недостаточен для того, чтобы преобладать над правами и свободами работников.

It is important to state that employees are seldom in a position to freely give, refuse or revoke consent, given the dependency that results from the employer/employee relationship. Unless in exceptional situations, employers will have to rely on another legal ground than consent— such as the necessity to process the data for their legitimate interest. However, a legitimate interest in itself is not sufficient to override the rights and freedoms of employees.

Независимо от правового основания такой обработки, до ее начала должна быть проведена проверка на соразмерность, с тем чтобы рассмотреть вопрос о том, необходима ли такая обработка для достижения законной цели, а также меры, которые должны быть приняты для обеспечения того, чтобы нарушения прав на неприкосновенность частной жизни и тайну сообщений были сведены к минимуму. Это может стать частью Оценки воздействия на защиту данных (DPIA).

Regardless of the legal basis for such processing, a proportionality test should be undertaken prior to its commencement to consider whether the processing is necessary to achieve a legitimate purpose, as well as the measures that have to be taken to ensure that infringements of the rights to private life and secrecy of communications are limited to a minimum. This can form part of a Data Protection Impact Assessment (DPIA).

3.1 Директива 95/46/EC - Директива по защите данных ("ДПД")

3.1 Directive 95/46/EC—Data Protection Directive (“DPD”)

В своем Заключении 08/2001 WP29 ранее подчеркивала, что при обработке персональных данных в контексте занятости работодатели учитывают основополагающие принципы защиты данных, закрепленные в ДПД. Развитие новых технологий и новых методов обработки в этом контексте не изменило эту позицию. Действительно, можно сказать, что технологическое развитие сделало эту задачу еще более актуальной для работодателей. В этом контексте работодатели должны:

In Opinion 08/2001, WP29 previously outlined that employers take into account the fundamental data protection principles of the DPD when processing personal data in the employment context. The development of new technologies and new methods of processing in this context have not altered this situation—in fact, it can be said that such developments have made it more important for employers to do so. In this context, employers should:

• обеспечить, чтобы данные обрабатывались для определенных и законных целей, которые являются пропорциональными и необходимыми;

• ensure that data is processed for specified and legitimate purposes that are proportionate and necessary;

• учитывать принцип ограничения целью, гарантируя при этом, что данные являются адекватными, актуальными и не чрезмерными для законной цели;

• take into account the principle of purpose limitation, while making sure that the data are adequate, relevant and not excessive for the legitimate purpose;

• применять принципы соразмерности и субсидиарности независимо от применимого правового основания;

• apply the principles of proportionality and subsidiarity regardless of the applicable legal ground;

• соблюдать принцип прозрачности по отношению к сотрудникам в вопросах использования и целей технологий мониторинга;

• be transparent with employees about the use and purposes of monitoring technologies;

• обеспечить осуществление прав субъекта данных, в том числе прав доступа и, в случае необходимости, исправления, удаления или блокирования персональных данных;

• enable the exercise of data subject rights, including the rights of access and, as appropriate, the rectification, erasure or blocking of personal data;

• хранить точные данные и не хранить их дольше, чем это необходимо;

• keep the data accurate, and not retain them any longer than necessary;

• принимать все необходимые меры для защиты данных от несанкционированного доступа и обеспечения того, чтобы персонал был в достаточной степени осведомлен об обязательствах по защите данных.

• and take all necessary measures to protect the data against unauthorised access and ensure that staff are sufficiently aware of data protection obligations.

Не повторяя ранее высказанных рекомендаций, WP29 отмечает три принципа, а именно: правовые основания, прозрачность и автоматизированное принятие решений.

Without repeating the earlier advice given, WP29 wishes to highlight three principles, namely: legal grounds, transparency, and automated decisions.

3.1.1 ПРАВОВЫЕ ОСНОВАНИЯ (СТАТЬЯ 7)

3.1.1 LEGAL GROUNDS (ARTICLE 7)

При обработке персональных данных в контексте занятости, по крайней мере, один из критериев, изложенных в ст. 7 должен быть удовлетворен. Если виды обрабатываемых персональных данных относятся к особым категориям (как установлено в ст. 8), то обработка запрещена, за исключением случаев, когда применяется исключение [7], [8]. Даже если работодатель может полагаться на одно из этих исключений, для того, чтобы обработка была легитимной, требуется правовое основание из статьи 7.

When processing personal data in the employment context, at least one of the criteria set out in Art. 7 has to be satisfied. If the types of personal data processed involve the special categories (as elaborated in Art. 8), the processing is prohibited unless an exception applies [7],[8]. Even if the employer can rely on one of those exceptions, a legal ground from Art. 7 is still required for the processing to be legitimate.

_{[7] Как указано в части 8 Заключения 08/2001; например, ст. 8(2)(b) предусматривает исключение для целей выполнения обязательств и конкретных прав контролера в области трудового законодательства в той мере, в какой это разрешено национальным законодательством, предусматривающим достаточные гарантии}

_{[7] As stated in part 8 of Opinion 08/2001; for example, Art. 8(2)(b) provides an exception for the purposes of carrying out the obligations and specific rights of the controller in the field of employment law in so far as it is authorised by national law providing for adequate safeguards}

_{[8] Следует отметить, что в некоторых странах существуют специальные меры, которые работодатели должны соблюдать в целях защиты частной жизни работников. Португалия является одним из примеров стран, где такие специальные меры существуют, и аналогичные меры могут применяться и в некоторых других государствах-членах. Поэтому выводы, содержащиеся в разделе 5.6, а также примеры, приведенные в разделах 5.1 и 5.7.1 настоящего Заключения, недействительны в Португалии по этим причинам.}

_{[8] It should be noted that in some countries, there are special measures in place that employers must abide by to protect employees’ private lives. Portugal is one example of countries where such special measures exist and similar measures may apply in some other Member States too. The conclusions in section 5.6 as well as the examples presented in sections 5.1 and 5.7.1 of this Opinion are therefore not valid in Portugal for these reasons.}

Таким образом, работодатели должны учитывать следующее:

In summary, employers must therefore take note of the following:

• в большинстве случаев обработка данных в контексте занятости на рабочем месте не может и не должна основываться на согласии работников (ст. 7 (а)) в связи с характером отношений между работодателем и работником;

• for the majority of such data processing at work, the legal basis cannot and should not be the consent of the employees (Art 7(a)) due to the nature of the relationship between employer and employee;

• обработка может быть необходима для исполнения договора (ст. 7(b)) в случаях, когда работодатель должен обрабатывать персональные данные работника для выполнения любых таких обязательств;

• processing may be necessary for the performance of a contract (Art 7(b)) in cases where the employer has to process personal data of the employee to meet any such obligations;

• весьма распространено, что трудовое законодательство может налагать правовые обязательства (ст. 7(с)), которые требуют обработки персональных данных ; в таких случаях работник должен быть четко и полностью информирован о такой обработке (если только не применяется исключение);

• it is quite common that employment law may impose legal obligations (Art. 7(c)) that necessitate the processing of personal data ; in such cases the employee must be clearly and fully informed of such processing (unless an exception applies);

• если работодатель намерен полагаться на легитимный интерес (ст. 7 (f)), цель обработки должна быть легитимной; выбранный метод или конкретная технология должны быть необходимы, соразмерны и реализованы наименее инвазивным способом, а также должны быть созданы условия, позволяющие работодателю продемонстрировать, что были приняты надлежащие меры для обеспечения баланса с основными правами и свободами работников [9];

• should an employer seek to rely on legitimate interest (Art. 7(f)) the purpose of the processing must be legitimate; the chosen method or specific technology must be necessary, proportionate and implemented in the least intrusive manner possible along with the ability to enable the employer to demonstrate that appropriate measures have been put in place to ensure a balance with the fundamental rights and freedoms of employees [9];

• операции по обработке должны также соответствовать требованиям прозрачности (ст. 10 и 11), а сотрудники должны быть четко и полностью информированы об обработке их персональных данных [10], включая наличие любого контроля; и

• the processing operations must also comply with the transparency requirements (Art. 10 and 11), and employees should be clearly and fully informed of the processing of their personal data [10], including the existence of any monitoring; and

• должны быть приняты соответствующие технические и организационные меры для обеспечения безопасности обработки (ст. 17).

• appropriate technical and organisational measures should be adopted to ensure security of the processing (Art. 17).

_{[9] WP29, Заключение 06/2014 о концепции легитимных интересов контролера данных в соответствии со статьей 7 Директивы 95/46/EC, WP 217, принято 9 апреля 2014 г., url: http://ec.europa.eu/justice/data-protection/article29/documentation/opinion-recommendation/files/2014/wp217_en.pdf.}

_{[9] WP29, Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC , WP 217, adopted 9 April 2014, url: http://ec.europa.eu/justice/data-protection/article29/documentation/opinion-recommendation/files/2014/wp217_en.pdf.}

_{[10] В соответствии со ст. 11(2) ДПД, контроллер освобождается от обязанности предоставлять информацию для субъекта данных в случаях, когда запись или сбор данных прямо предусмотрены законом.}

_{[10] Pursuant to Art. 11(2) of the DPD, the controller is exempted from the obligation to provide information to the data subject in cases where the recording or collection of data is expressly laid down by law.}

Наиболее релевантные критерии в соответствии со ст. 7 подробно описаны ниже.

The most relevant criteria under Art. 7 are detailed below.

Согласие (ст. 7(а))

Consent (Article 7(a))

Согласие, в соответствии с DPD, определяется как любое свободно выраженное, конкретное и информированное проявление воли субъекта данных, которым он подтверждает свое согласие на обработку персональных данных, относящихся к ним. Для того чтобы согласие было действительным, оно также должно быть отзываемым.

Consent, according to the DPD, is defined as any freely-given, specific and informed indication of a data subject’s wishes by which he or she signifies his or her agreement to personal data relating to them being processed. For consent to be valid, it must also be revocable.

Ранее WP29 в своем Заключении 8/2001 указывала, что в тех случаях, когда работодатель обрабатывает персональные данные своих работников, предположение о том, что обработка может быть разрешена с согласия работников, вводит в заблуждение. В тех случаях, когда работодатель требует согласия, и существует реальный или потенциальный вред, который возникает в связи с несогласием работника (что может быть весьма вероятным в контексте занятости, особенно если речь идет о работодателе, отслеживающем поведение работника во время выполнения им своих обязанностей), согласие не является действительным, так как оно не дается и не может даваться свободно. Таким образом, в большинстве случаев обработка данных работника не может и не должна основываться на согласии работника, поэтому необходимо иное правовое основание.

WP29 has previously outlined in Opinion 8/2001 that where an employer has to process personal data of his/her employees it is misleading to start with the supposition that the processing can be legitimised through the employees’ consent. In cases where an employer says they require consent and there is a real or potential relevant prejudice that arises from the employee not consenting (which can be highly probable in the employment context, especially when it concerns the employer tracking the behaviour of the employee over time), then the consent is not valid since it is not and cannot be freely given. Thus, for the majority of the cases of employees’ data processing, the legal basis of that processing cannot and should not be the consent of the employees, so a different legal basis is required.

Кроме того, даже в тех случаях, когда можно сказать, что согласие представляет собой действительное правовое основание такой обработки (т.е. если, несомненно, можно сделать вывод о том, что согласие дано свободно), оно должно быть конкретным и осознанным указанием на волю работника. Настройки по умолчанию на устройствах и/или установка программного обеспечения, облегчающего электронную обработку персональных данных, не могут быть квалифицированы как согласие, данное работником, поскольку согласие требует активного волеизъявления. Отсутствие действий (т.е. не изменение настроек по умолчанию), как правило, не может рассматриваться как конкретное согласие на такую обработку [11].

Moreover, even in cases where consent could be said to constitute a valid legal basis of such a processing (i.e. if it can be undoubtedly concluded that the consent is freely given), it needs to be a specific and informed indication of the employee’s wishes. Default settings on devices and/or the installation of software that facilitate the electronic personal data processing cannot qualify as consent given from employees, since consent requires an active expression of will. A lack of action (i.e, not changing the default settings) may generally not be considered as a specific consent to allow such processing [11].

_{[11] См. также WP29, Заключение 15/2011 об определении согласия, WP187, 13 июля 2011 года, url: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2011/wp187_en.pdf, стр. 24.}

_{[11] See also WP29, Opinion 15/2011 on the definition of consent , WP187, 13 July 2011, url: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2011/wp187_en.pdf, page 24.}

Исполнение договора (статья 7(b))

Performance of a contract (Article 7(b))

Трудовые отношения часто основываются на трудовом договоре между работодателем и работником. При выполнении обязательств по этому договору, таких как оплата труда работника, работодатель обязан обрабатывать некоторые персональные данные.

Employment relationships are often based on a contract of employment between the employer and the employee. When meeting obligations under this contract, such as paying the employee, the employer is required to process some personal data.

Правовые обязательства (статья 7(c))

Legal obligations (Article 7(c))

Довольно часто трудовое законодательство налагает на работодателя юридические обязательства, которые требуют обработки персональных данных (например, для целей исчисления налогов и начисления заработной платы). Очевидно, что в таких случаях такой закон представляет собой правовое основание для обработки данных.

It is quite common that employment law imposes legal obligations on the employer, which necessitate the processing of personal data (e.g. for the purpose of tax calculation and salary administration). Clearly, in such cases, such a law constitutes the legal basis for the data processing.

Легитимный интерес (статья 7(f))

Legitimate interest (Article 7(f))

Если работодатель намерен ссылаться на правовое обоснование статьи 7 (f) ДПД, цель обработки должна быть правомерной, а выбранный метод или конкретная технология, с помощью которой проводится обработка, должны быть необходимы для удовлетворения легитимных интересов работодателя. Обработка должна быть также соразмерна потребностям деятельности организации, т.е. цели, для достижения которую она преследует. Обработка данных на рабочем месте должна осуществляться способом, предполагающим наименьшее вмешательство в личную жизнь, и быть нацелена на конкретную область риска. Кроме того, полагаясь на ст. 7(f), работник сохраняет за собой право на возражение против обработки на веских обоснованных основаниях по ст. 14.

If an employer wishes to rely upon the legal ground of Art. 7(f) of the DPD, the purpose of the processing must be legitimate, and the chosen method or specific technology with which the processing is to be undertaken must be necessary for the legitimate interest of the employer. The processing must also be proportionate to the business needs, i.e. the purpose, it is meant to address. Data processing at work should be carried out in the least intrusive manner possible and be targeted to the specific area of risk. Additionally, if relying on Art. 7(f), the employee retains the right to object to the processing on compelling legitimate grounds under Art. 14.

При ссылке на cт. 7(f) в качестве правового основания для обработки, необходимо наличие конкретных смягчающих мер для обеспечения надлежащего баланса между легитимными интересами работодателя и основными правами и свободами работников [12]. Такие меры, в зависимости от формы мониторинга, должны включать ограничения на мониторинг, с тем чтобы гарантировать, что неприкосновенность личной жизни работника не нарушается. Такими ограничениями могут быть:

In order to rely on Art. 7(f) as the legal ground for processing it is essential that specific mitigating measures are present to ensure a proper balance between the legitimate interest of the employer and the fundamental rights and freedoms of the employees [12]. Such measures, depending on the form of monitoring, should include limitations on monitoring so as to guarantee that the employee’s privacy is not violated. Such limitations could be:

_{[12] Пример баланса, который необходимо соблюсти, см. в деле Köpke v Germany, [2010] ECHR 1725, (URL: http://www.bailii.org/eu/cases/ECHR/2010/1725.html), в котором работник был уволен в результате операции скрытого видеонаблюдения, предпринятой работодателем и частным детективным агентством. Хотя в данном случае суд пришел к выводу о том, что национальные органы власти установили справедливый баланс между законными интересами работодателя (в защите его имущественных прав), правом работника на уважение частной жизни и государственными интересами в отправлении правосудия, он также отметил, что в результате развития технологий различным интересам в будущем может быть придан иной вес.}

_{[12] For an example of the balance that needs to be struck, see the case of Köpke v Germany, [2010] ECHR 1725, (URL: http://www.bailii.org/eu/cases/ECHR/2010/1725.html), in which an employee was dismissed as a result of a covert video surveillance operation undertaken by the employer and a private detective agency. Whilst in this instance the Court concluded that the domestic authorities had struck a fair balance between the employer’s legitimate interest (in the protection of its property rights), the employee’s right to respect for private life, and the public interest in the administration of justice, it also observed that the various interests concerned could be given a different weight in future as a result of technological development.}

• географические (например, мониторинг только в определенных местах; мониторинг таких зон, как места отправления религиозных обрядов, санитарные зоны, комнаты отдыха, должен быть запрещен),

• geographical (e.g. monitoring only in specific places; monitoring sensitive areas such as religious places and for example sanitary zones and break rooms should be prohibited),

• ориентированные на данные (например, не следует осуществлять мониторинг личных электронных файлов и коммуникации), и

• data-oriented (e.g. personal electronic files and communication should not be monitored), and

• временные (например, выборка вместо постоянного мониторинга).

• time-related (e.g. sampling instead of continuous monitoring).

3.1.2 ПРОЗРАЧНОСТЬ (СТ. 10 И 11)

3.1.2 TRANSPARENCY (ARTICLES 10 AND 11)

Требования ст. 10 и 11 о прозрачности применяются к обработке данных в контексте занятости; сотрудники должны быть проинформированы о существовании любого мониторинга, целях, для которых обрабатываются персональные данные, а также любая другая информация, необходимая для обеспечения справедливой обработки данных.

The transparency requirements of Articles 10 and 11 apply to data processing at work; employees must be informed of the existence of any monitoring, the purposes for which personal data are to be processed and any other information necessary to guarantee fair processing.

С развитием новых технологий необходимость прозрачности становится все более очевидной, так как они позволяют тайно собирать и в дальнейшем обрабатывать огромные объемы персональных данных.

With new technologies, the need for transparency becomes more evident since they enable the collection and further processing of possibly huge amounts of personal data in a covert way.

3.1.3 АВТОМАТИЗИРОВАННОЕ ПРИНЯТИЕ РЕШЕНИЙ (СТ. 15)

3.1.3 AUTOMATED DECISIONS (ARTICLE 15)

Ст. 15 ДПД также предоставляет субъектам данных право не быть подвергнутыми решению, основанному исключительно на автоматизированной обработке, если это решение влечет за собой правовые последствия или аналогичным образом существенно влияет на субъектов данных, и которое основано исключительно на автоматизированной обработке данных, предназначенных для оценки некоторых личных аспектов, например, выполнения работы, за исключением случаев, когда решение необходимо для заключения или выполнения договора, разрешенного законодательством Союза или государства-члена, или основано на явно выраженном согласии субъекта данных.

Art. 15 of the DPD also grants data subjects the right not to be subject to a decision based solely on automated processing, where that decision produces legal effects or similarly significantly affects them and which is based solely on automated processing of data intended to evaluate certain personal aspects, such as performance at work, unless the decision is necessary for entering into or performance of a contract, authorised by Union or Member State law, or is based on the explicit consent of the data subject.

3.2 Регламент 2016/679—Общий регламент о защите данных (“GDPR”)

3.2 Regulation 2016/679—General Data Protection Regulation (“GDPR”)

GDPR включает в себя и повышает требования ДПД. Он также вводит новые обязательства для всех контролеров данных, включая работодателей.

The GDPR includes and enhances the requirements in the DPD. It also introduces new obligations for all data controllers, including employers.

3.2.1 СПРОЕКТИРОВАННАЯ ЗАЩИТА ДАННЫХ

3.2.1 DATA PROTECTION BY DESIGN

Ст. 25 GDPR требует, чтобы контроллеры данных реализовывали спроектированную защиту данных и по умолчанию. Например, в тех случаях, когда работодатель выдает сотрудникам устройства, должны быть выбраны наиболее благоприятные для конфиденциальности решения, если речь идет о технологиях контроля. Необходимо также учитывать минимизацию данных.

Art. 25 of the GDPR requires data controllers to implement data protection by design and by default. As an example: where an employer issues devices to employees, the most privacy friendly solutions should be selected if tracking technologies are involved. Data minimisation must also be taken into account.

3.2.2 ОЦЕНКА ВОЗДЕЙСТВИЯ НА ЗАЩИТУ ДАННЫХ

3.2.2 DATA PROTECTION IMPACT ASSESSMENTS

В ст. 35 GDPR изложены требования, предъявляемые к контролеру данных для проведения оценки воздействия на защиту данных (DPIA), при которой, учитывая вид обработки, в частности, использование новых технологий, а также характер, объем, контекст и цели самой обработки, определяется, может ли обработка привести к большому риску для прав и свобод физических лиц. Примером может служить систематическая и обширная оценка личных аспектов на основе автоматизированной обработки, включая профилирование, а также автоматизированные обработки, на основе которых принимаются решения, имеющие правовые последствия в отношении физического лица или аналогичным образом оказывающие существенное влияние на физическое лицо.

Art. 35 of the GDPR outlines the requirements for a data controller to carry out a Data Protection Impact Assessment (DPIA) where a type of processing, in particular using new technologies, and taking into account the nature, scope, context and purposes of the processing itself, is likely to result in a high risk to the rights and freedoms of natural persons. An example is a case of systematic and extensive evaluation of personal aspects related to natural persons based on automated processing including profiling, and on which decisions are taken that produce legal effects concerning the natural person or similarly significantly affect the natural person.

Если DPIA указывает, что выявленные риски не могут быть в достаточной степени устранены контроллером, т.е. остаточные риски остаются высокими, то контроллер должен проконсультироваться с надзорным органом до начала обработки (статья 36(1)), как это разъясняется в Руководящих принципах WP29 по DPIA [13].

Where the DPIA indicates that the identified risks cannot be sufficiently addressed by the controller—i.e., that the residual risks remain high—then the controller must consult the supervisory authority prior to the commencement of the processing (Art. 36(1)) as clarified in the WP29 guidelines on DPIAs [13].

_{[13] WP29, Руководящие принципы оценки воздействия на защиту данных (DPIA) и определения того, может ли обработка данных привести к «высокому риску» для целей Регламента 2016/679 , WP 248, 04 апреля 2017 года, url: http://ec.europa.eu/newsroom/document.cfm?doc_id=44137, page 18.}

_{[13] WP29, Guidelines on data protection impact assessment (DPIA) and determining whether processing is likely to result in “high risk” for the purposes of Regulation 2016/679 , WP 248, 04 April 2017, url: http://ec.europa.eu/newsroom/document.cfm?doc_id=44137, page 18.}

3.2.2 “ОБРАБОТКА В КОНТЕКСТЕ ЗАНЯТОСТИ”

3.2.2 “PROCESSING IN THE CONTEXT OF EMPLOYMENT”

Ст. 88 GDPR устанавливает, что государства-члены могут законодательно или коллективными договорами предусматривать более конкретные нормы, обеспечивающие защиту прав и свобод в отношении обработки персональных данных работников в контексте занятости. В частности, эти правила могут быть предусмотрены для следующих целей:

Art. 88 of the GDPR states that Member States may, by law or collective agreements, provide for more specific rules to ensure the protection of the rights and freedoms in respect of the processing of employees’ personal data in the employment context. In particular, these rules may be provided for the purposes of:

• рекрутинг;

• recruitment;

• выполнение трудового договора (в том числе выполнение обязательств, предусмотренных законом или коллективным договором);

• performance of the employment contract (including discharge of obligations laid down by law or collective agreements);

• управление, планирование и организация труда;

• management, planning and organisation of work;

• обеспечение равенства;

• equality and diversity in the workplace;

• охрана труда;

• health and safety at work;

• охрана имущества работодателя или заказчика;

• protection of an employer’s or customer’s property;

• осуществление и реализация (в индивидуальном порядке) прав и льгот, связанных с трудовой деятельностью;

• exercise and enjoyment (on an individual basis) of rights and benefits related to employment;

• прекращение трудовых отношений

• termination of the employment relationship

В соответствии со ст. 88(2), любые такие правила должны предусматривать надлежащие и конкретные меры по защите человеческого достоинства, законных интересов и основных прав субъекта данных с уделением особого внимания:

In accordance with Art. 88(2), any such rules should include suitable and specific measures to safeguard the data subject’s human dignity, legitimate interests and fundamental rights, with particular regard to:

• прозрачности обработки;

• the transparency of processing;

• передаче персональных данных в рамках группы предприятий или группы предприятий, занимающихся совместной экономической деятельностью; и

• the transfer of personal data within a group of undertakings or group of enterprises engaged in a joint economic activity; and

• системе мониторинга на рабочем месте.

• monitoring systems at the workplace.

В настоящем Заключении Рабочая группа представила руководящие принципы законного использования новых технологий в ряде конкретных ситуаций с подробным изложением подходящих и конкретных мер по защите человеческого достоинства, законных интересов и основных прав работников.

In this Opinion, the Working Party has provided guidelines for the legitimate use of new technology in a number of specific situations, detailing suitable and specific measures to safeguard the human dignity, legitimate interest and fundamental rights of employees.

4. Риски

4. Risks

Современные технологии позволяют отслеживать работу сотрудников во времени, на рабочем месте и дома с помощью множества различных устройств, таких как смартфоны, настольные компьютеры, планшеты, автомобили и некоторые расходные материалы. Если нет ограничений на обработку, а она не прозрачна, существует высокий риск того, что легитимный интерес работодателей в повышении эффективности и защите активов компании превратится в неоправданный и излишний контроль.

Modern technologies enable employees to be tracked over time, across workplaces and their homes, through many different devices such as smartphones, desktops, tablets, vehicles and wearables. If there are no limits to the processing, and if it is not transparent, there is a high risk that the legitimate interest of employers in the improvement of efficiency and the protection of company assets turns into unjustifiable and intrusive monitoring.

Технологии мониторинга коммуникаций также могут оказывать сдерживающее воздействие на основные права сотрудников на вступление в организации, организацию рабочих собраний и конфиденциальное общение (включая право на поиск информации). Мониторинг коммуникаций и поведения заставит сотрудников подчиняться требованиям, чтобы предотвратить обнаружение того, что может быть воспринято как аномалии, аналогично тому, как интенсивное использование видеонаблюдения влияет на поведение граждан в общественных местах. Более того, из-за возможностей таких технологий сотрудники могут не знать, какие персональные данные обрабатываются и для каких целей, а также возможно, что они даже не знают о существовании самой технологии мониторинга.

Technologies that monitor communications can also have a chilling effect on the fundamental rights of employees to organise, set up workers’ meetings, and to communicate confidentially (including the right to seek information). Monitoring communications and behaviour will put pressure on employees to conform in order to prevent the detection of what might be perceived as anomalies, in a comparable way to the way in which the intensive use of CCTV has influenced citizens’ behaviour in public spaces. Moreover, owing to the capabilities of such technologies, employees may not be aware of what personal data are being processed and for which purposes, whilst it is also possible that they are not even aware of the existence of the monitoring technology itself.

Мониторинг с использованием ИТ также отличается от других, более наглядных инструментов наблюдения и мониторинга, таких как CCTV, тем, что может происходить скрытым образом. В отсутствие понятной и легкодоступной политики мониторинга на рабочем месте сотрудники могут не знать о существовании и последствиях проводимого мониторинга и, следовательно, не иметь возможности осуществлять свои права. Еще один риск связан с «чрезмерным сбором» данных в таких системах, например, в тех, которые собирают данные о местоположении WiFi.

Monitoring IT usage also differs from other, more visible observation and monitoring tools like CCTV in that it can take place in a covert way. In the absence of an easily understandable and readily accessible workplace monitoring policy, employees may not be aware of the existence and consequences of the monitoring that is taking place, and are therefore unable to exercise their rights. A further risk comes from the “over-collection” of data in such systems, e.g. those collecting WiFi location data.

Увеличение объема данных, генерируемых в рабочей среде, в сочетании с новыми методами анализа данных и их перекрестного сопоставления также может создать риски несовместимости дальнейшей обработки. Примеры незаконной дальнейшей обработки включают использование систем, которые законно установлены для защиты собственности, для последующего мониторинга работоспособности, производительности и клиентоориентированности сотрудников. Другие примеры включают использование данных, собранных с помощью системы видеонаблюдения, для регулярного мониторинга поведения и производительности сотрудников, или использование данных геолокационной системы (например, WiFi- или Bluetooth слежение) для постоянной проверки перемещений и поведения сотрудников.

The increase in the amount of data generated in the workplace environment, in combination with new techniques for data analysis and cross-matching, may also create risks of incompatible further processing. Examples of illegitimate further processing include using systems that are legitimately installed to protect properties to then monitor the availability, performance and customer-friendliness of employees. Others include using data collected via a CCTV system to regularly monitor the behaviour and performance of employees, or using data of a geolocation system (such as for example WiFi- or Bluetooth tracking) to constantly check an employee’s movements and behaviour.

В результате такое отслеживание может нарушить права сотрудников на неприкосновенность частной жизни, независимо от того, проводится ли такое отслеживание систематически или эпизодически. Риск не ограничивается анализом содержания сообщений. Таким образом, анализ метаданных о человеке может позволить осуществлять столь же инвазивный детальный мониторинг его жизни и моделей поведения.

As a result, such tracking may infringe upon the privacy rights of employees, regardless of whether the monitoring takes place systematically or occasionally. The risk is not limited to the analysis of the content of communications. Thus, the analysis of metadata about a person might allow for an equally privacy-invasive detailed monitoring of an individual’s life and behavioural patterns.

Широкое использование технологий мониторинга может также ограничивать готовность сотрудников (и каналов, по которым они могли бы) информировать работодателей о нарушениях или незаконных действиях начальства и/или других сотрудников, угрожающих нанести ущерб бизнесу (особенно данным клиентов) или рабочему месту. Анонимность часто необходима соответствующему сотруднику для принятия мер и сообщения о таких ситуациях. Мониторинг, нарушающий права сотрудников на неприкосновенность частной жизни, может препятствовать необходимой коммуникации с соответствующими должностными лицами. В таком случае установленные средства могут снизить эффективность внутреннего информирования.[14]

The extensive use of monitoring technologies may also limit employees’ willingness to (and channels by which they could) inform employers about irregularities or illegal actions of superiors and/or other employees threatening to damage the business (especially client data) or workplace. Anonymity is often necessary for a concerned employee to take action and report such situations. Monitoring that infringes upon the privacy rights of employees may hamper necessary communications to the appropriate officers. In such an instance, the established means for internal whistle-blowers may become ineffective.[14]

_{[14] См., например, WP29, Заключение 1/2006 о применении правил ЕС по защите данных к внутренним схемам информирования о нарушениях в области бухгалтерского учета, внутреннего контроля бухгалтерского учета, вопросов аудита, борьбы со взяточничеством, банковских и финансовых преступлений, WP 117, 1 февраля 2006 г., url: http://ec.europa.eu/justice/dataprotection/article-29/documentation/opinion-recommendation/files/2006/wp117_en.pdf.}

_{[14] See for example WP29, Opinion 1/2006 on the application of EU data protection rules to internal whistleblowing schemes in the fields of accounting, internal accounting controls, auditing matters, fight against bribery, banking and financial crime, WP 117, 1 February 2006, url: http://ec.europa.eu/justice/dataprotection/article-29/documentation/opinion-recommendation/files/2006/wp117_en.pdf.}

5. Сценарии

5. Scenarios

В данном разделе рассматривается ряд сценариев обработки данных в контексте занятости, при которых новые технологии и/или разработки существующих технологий имеют или могут иметь высокий риск для приватности сотрудников. Во всех таких случаях работодатели должны рассмотреть следующие вопросы:

This section addresses a number of data processing at work scenarios in which new technologies and/or developments of existing technologies have, or may have, the potential to result in high risks to the privacy of employees. In all such cases employers should consider whether:

• является ли обработка необходимой, и если да, то какие правовые основания применяются;

• the processing activity is necessary, and if so, the legal grounds that apply;

• является ли обработка персональных данных справедливой по отношению к сотрудникам;

• the proposed processing of personal data is fair to the employees;

• является ли обработка данных соразмерной поставленным задачам; и

• the processing activity is proportionate to the concerns raised; and

• является ли обработка прозрачной.

• the processing activity is transparent.

5.1 Обработка данных в процессе набора персонала

5.1 Processing operations during the recruitment process

Использование социальных сетей физическими лицами широко распространено, и относительно часто профили пользователей доступны для публичного просмотра в зависимости от настроек, выбранных владельцем аккаунта. В результате, работодатели могут полагать, что проверка социальных профилей потенциальных кандидатов может быть оправдана в процессе их найма. Это может также относиться к другой общедоступной информации о потенциальном работнике.

Use of social media by individuals is widespread and it is relatively common for user profiles to be publicly viewable depending on the settings chosen by the account holder. As a result, employers may believe that inspecting the social profiles of prospective candidates can be justified during their recruitment processes. This may also be the case for other publicly available information about the potential employee.

Однако работодатели не должны предполагать, что только потому, что профиль человека в социальных сетях общедоступен, им разрешается обрабатывать эти данные для своих собственных целей. Для такой обработки требуется правовое основание, например, легитимный интерес. В этом контексте работодатель должен уделять приоритетное внимание проверке профиля социальных сетей — принимать во внимание, связан ли профиль заявителя в социальных сетях с деловыми или личными целями, так как это может быть важным показателем правовой обоснованности проверки данных. Кроме того, работодатель имеет право собирать и обрабатывать персональные данные, касающиеся соискателей, только в той степени, в которой сбор этих данных необходим и имеет отношение к выполнению работы, на которую подается заявление о приеме на работу.

However, employers should not assume that merely because an individual’s social media profile is publicly available they are then allowed to process those data for their own purposes. A legal ground is required for this processing, such as legitimate interest. In this context the employer should—prior to the inspection of a social media profile—take into account whether the social media profile of the applicant is related to business or private purposes, as this can be an important indication for the legal admissibility of the data inspection. In addition, employers are only allowed to collect and process personal data relating to job applicants to the extent that the collection of those data is necessary and relevant to the performance of the job which is being applied for

Данные, собранные в процессе рекрутинга, как правило, удаляются, как только становится ясно, что предложение о трудоустройстве не будет сделано или не будет принято соответствующим лицом. [15] Кроме того, до начала процесса найма на работу соответствующее лицо должно быть надлежащим образом проинформировано о любой такой обработке.

Data collected during the recruitment process should generally be deleted as soon as it becomes clear that an offer of employment will not be made or is not accepted by the individual concerned. [15] The individual must also be correctly informed of any such processing before they engage with the recruitment process.

_{[15] См. также Совет Европы, Рекомендация CM/Rec(2015)5 Комитета министров государствам-членам об обработке персональных данных в контексте занятости , параграф 13.2 (1 апреля 2015 г., url: https://search.coe.int/cm/Pages/result_details.aspx?ObjectID=09000016805c3f7a). В тех случаях, когда работодатель желает сохранить данные с целью дальнейшего трудоустройства, субъект данных должен быть соответствующим образом проинформирован и ему должна быть предоставлена возможность возразить против такой дальнейшей обработки, и в этом случае он должен быть удален (Id.)}

_{[15] See also Council of Europe, Recommendation CM/Rec(2015)5 of the Committee of Ministers to Member States on the processing of personal data in the context of employment , paragraph 13.2 (1 April 2015, url: https://search.coe.int/cm/Pages/result_details.aspx?ObjectID=09000016805c3f7a). In cases where the employer wishes to retain the data with a view to a further job opportunity, the data subject should be informed accordingly and be given the possibility to object to such further processing, in which case it should be deleted (Id.)}

5.2 Обработки, связанные с проверкой при приеме на работу

5.2 Processing operations resulting from in-employment screening

Благодаря наличию профилей в социальных сетях и развитию новых аналитических технологий работодатели имеют (или могут получить) технические возможности для постоянного отбора сотрудников путем сбора информации об их друзьях, мнениях, убеждениях, интересах, привычках, местонахождении, отношении и поведении, таким образом, собирая данные, в том числе конфиденциальные, относящиеся к личной и семейной жизни сотрудника.

Through the existence of profiles on social media, and the development of new analytical technologies, employers have (or can obtain) the technical capability of permanently screening employees by collecting information regarding their friends, opinions, beliefs, interests, habits, whereabouts, attitudes and behaviours therefore capturing data, including sensitive data, relating to the employee’s private and family life.

Скрининг профилей работников в социальных сетях при приеме на работу не должен проводиться на обобщенной основе.

In-employment screening of employees’ social media profiles should not take place on a generalised basis.

Более того, работодатели должны воздерживаться от требования, чтобы работник или соискатель работы предоставлял доступ к информации, которой он делится с другими через социальные сети.

Moreover, employers should refrain from requiring an employee or a job applicant access to information that he or she shares with others through social networking.

Пример Работодатель следит за профилями в LinkedIn бывших работников, которые вовлечены в период действия положений о неконкуренции. Целью такого мониторинга является контроль за соблюдением таких положений. Мониторинг ограничивается этими бывшими работниками. До тех пор пока работодатель может доказать, что такой контроль необходим для защиты его легитимных интересов, что нет других, менее инвазивных средств и что бывшие работники были должным образом проинформированы о масштабах регулярного наблюдения за их публичными сообщениями, работодатель может полагаться на правовое основание статьи 7 (f) ДПД.

Example An employer monitors the LinkedIn profiles of former employees that are involved during the duration of non-compete clauses. The purpose of this monitoring is to monitor compliance with such clauses. The monitoring is limited to these former employees. As long as the employer can prove that such monitoring is necessary to protect his legitimate interests, that there are no other, less invasive means available, and that the former employees have been adequately informed about the extent of the regular observation of their public communications, the employer may be able to rely on the legal basis of Article 7(f) of the DPD.

Кроме того, работники не должны быть обязаны использовать профиль в социальных сетях, предоставляемый их работодателем. Даже если это специально предусмотрено в свете их задач (например, представитель организации), они должны сохранить возможность использования «нерабочего» непубличного профиля, который они могут использовать вместо «официального» профиля работодателя, и это должно быть оговорено в условиях трудового договора.

Additionally, employees should not be required to utilise a social media profile that is provided by their employer. Even when this is specifically foreseen in light of their tasks (e.g. spokesperson for an organisation), they must retain the option of a “non-work” non-public profile that they can use instead of the “official” employer-related profile, and this should be specified in the terms and conditions of the employment contract.

5.3 Обработки, связанные с мониторингом использования ИКТ на рабочем месте

5.3 Processing operations resulting from monitoring ICT usage at the workplace

Традиционно мониторинг электронных коммуникаций на рабочем месте (например, телефон, просмотр интернет-сайтов, электронная почта, обмен мгновенными сообщениями, VOIP и т.д.) считался основной угрозой приватности сотрудников. В своем Рабочем документе (2001 г.) по наблюдению за электронными коммуникациями на рабочем месте WP29 сделала ряд выводов относительно мониторинга использования электронной почты и интернета. Хотя эти выводы сохраняют свою актуальность, необходимо учитывать технологические достижения, которые позволили использовать более новые, потенциально более интрузивные и распространенные способы мониторинга. К таким разработкам относятся, в частности:

Traditionally, the monitoring of electronic communications in the workplace (eg, phone, internet browsing, email, instant messaging, VOIP, etc.) was considered the main threat to employees’ privacy. In its 2001 Working Document on the surveillance of electronic communications in the workplace, WP29 made a number of conclusions in relation to the monitoring of email and internet usage. While those conclusions remain valid, there is a need to take into account technological developments that have enabled newer, potentially more intrusive and pervasive ways of monitoring. Such developments include, amongst others:

• Средства предотвращения потери данных (Data Loss Prevention — DLP), которые отслеживают исходящие соединения с целью обнаружения потенциальных нарушений данных;

• Data Loss Prevention (DLP) tools, which monitor outgoing communications for the purpose of detecting potential data breaches;

• Брандмауэры следующего поколения (NGFW) и системы Unified Threat Management (UTM), которые могут предоставлять различные технологии мониторинга, включая глубокую проверку пакетов, перехват TLS, фильтрацию веб-сайтов, фильтрацию контента, отчетность по устройствам, информацию о пользователях и (как описано выше) предотвращение потери данных. Такие технологии также могут быть развернуты самостоятельно, в зависимости от работодателя;

• Next-Generation Firewalls (NGFWs) and Unified Threat Management (UTM) systems, which can provide a variety of monitoring technologies including deep packet inspection, TLS interception, website filtering, content filtering, on-appliance reporting, user identity information and (as described above) data loss prevention. Such technologies may also be deployed individually, depending on the employer;

• приложения безопасности и меры, включающие регистрацию доступа сотрудников к системам работодателя;

• security applications and measures that involve logging employee access to the employer’s systems;

• технология «eDiscovery», под которой понимается любой процесс, в ходе которого производится поиск электронных данных с целью их использования в качестве доказательств;

• eDiscovery technology, which refers to any process in which electronic data is searched with the aim of its use as evidence;

• отслеживание использования приложений и устройств с помощью невидимого программного обеспечения либо на рабочем столе, либо в «облаке»;

• tracking of application and device usage via unseen software, either on the desktop or in the cloud;

• использование на рабочем месте офисных приложений, предоставляемых в качестве «облачного» сервиса, который теоретически позволяет очень детально регистрировать деятельность сотрудников;

• the use in the workplace of office applications provided as a cloud service, which in theory allow for very detailed logging of the activities of employees;

• мониторинг персональных устройств (например, ПК, мобильных телефонов, планшетов), которые сотрудники поставляют для своей работы в соответствии с определенной политикой использования, например, Bring-YourOwn-Device (BYOD), а также технологии управления мобильными устройствами (MDM), которая позволяет распространять приложения, данные и настройки конфигурации, а также обновления для мобильных устройств; а также

• monitoring of personal devices (e.g., PCs, mobile phones, tablets), that employees supply for their work in accordance with a specific use policy, such as Bring-YourOwn-Device (BYOD), as well as Mobile Device Management (MDM) technology which enables the distribution of applications, data and configuration settings, and patches for mobile devices; and

• использование пригодных для ношения устройств (например, медицинских и фитнес-устройств).

• the use of wearable devices (e.g., health and fitness devices).

Возможно, что работодатель внедрит решение для мониторинга «все-в-одном», например, набор пакетов безопасности, которые позволяют отслеживать все использование ИКТ на рабочем месте, а не только электронную почту и/или мониторинг веб-сайтов, как это было раньше. Выводы, принятые в WP55, будут применимы к любой системе, позволяющей осуществлять такой мониторинг[16].

It is possible that an employer will implement an “all-in-one” monitoring solution, such as a suite of security packages which enable them to monitor all ICT usage in the workplace as opposed to just email and/or website monitoring as was once the case. The conclusions adopted in WP55 would apply for any system that enables such monitoring to take place.[16]

_{[16] См. также Copland v United Kingdom, (2007) 45 EHRR 37, 25 BHRC 216, 2 ALR Int’l 785, [2007] ECHR 253 (url: http://www.bailii.org/eu/cases/ECHR/2007/253. html), в котором Суд заявил, что электронные сообщения, отправляемые из помещений компании, и информация, полученная в результате мониторинга использования Интернета, могут быть частью частной жизни сотрудника и его переписки, и что сбор и хранение этой информации без ведома сотрудника будет равносильно вмешательству в права сотрудника, хотя Суд не постановил, что такой мониторинг никогда не будет необходим в демократическом обществе.}.

_{[16] See also Copland v United Kingdom, (2007) 45 EHRR 37, 25 BHRC 216, 2 ALR Int’l 785, [2007] ECHR 253 (url: http://www.bailii.org/eu/cases/ECHR/2007/253.html), in which the Court stated that emails sent from business premises and information derived from the monitoring of internet use could be a part of an employee’s private life and correspondence, and that the collection and storage of that information without the knowledge of the employee would amount to an interference with the employee’s rights, although the Court did not rule that such monitoring would never be necessary in a democratic society.}

Пример

Example

Работодатель намерен развернуть устройство TLS-проверки для расшифровки и проверки защищенного трафика с целью обнаружения любых вредоносных объектов. Устройство также способно записывать и анализировать всю онлайн-деятельность сотрудника в сети организации.

An employer intends to deploy a TLS inspection appliance to decrypt and inspect secure traffic, with the purpose of detecting anything malicious. The appliance is also able to record and analyse the entirety of an employee’s online activity on the organisation’s network.

Для защиты онлайн-потоков данных с персональными данными от перехвата все чаще используются зашифрованные протоколы связи. Однако это также может вызвать проблемы, поскольку шифрование делает невозможным мониторинг входящих и исходящих данных. Оборудование для TLS-проверки расшифровывает поток данных, анализирует содержимое в целях безопасности, а затем заново шифрует его.

Use of encrypted communications protocols is increasingly being implemented to protect online data flows involving personal data against interception. However, this can also present issues, as the encryption makes it impossible to monitor incoming and outgoing data. TLS inspection equipment decrypts the data stream, analyses the content for security purposes and then re-encrypts the stream afterwards.

В данном примере работодатель полагается на легитимные интересы — необходимость защиты сети, а также персональных данных сотрудников и клиентов, содержащихся в этой сети, от несанкционированного доступа или утечки данных. Однако мониторинг каждой онлайн-деятельности сотрудников является несоразмерным реагированием и вмешательством в право на неприкосновенность коммуникаций. Работодатель должен в первую очередь рассмотреть другие, менее инвазивные, средства защиты конфиденциальности данных клиентов и безопасности сети.

In this example, the employer relies upon legitimate interests—the necessity to protect the network, and the personal data of employees and customers held within that network, against unauthorised access or data leakage. However, monitoring every online activity of the employees is a disproportionate response and an interference with the right to secrecy of communications. The employer should first investigate other, less invasive, means to protect the confidentiality of customer data and the security of the network.

В той степени, в которой перехват TLS-трафика может быть квалифицирован как строго необходимый, устройство должно быть настроено таким образом, чтобы предотвратить постоянное протоколирование деятельности сотрудников, например, путем блокирования подозрительного входящего или исходящего трафика и перенаправления пользователя на информационный портал, где он может запросить просмотр такого автоматизированного решения. Если все же будет сочтено необходимым вести журнал, устройство можно настроить таким образом, что оно не будет хранить журнальные данные, если только устройство не сигнализирует о возникновении инцидента, с минимизацией собранной информации.

To the extent that some interception of TLS traffic can be qualified as strictly necessary, the appliance should be configured in a way to prevent permanent logging of employee activity, for example by blocking suspicious incoming or outgoing traffic and redirecting the user to an information portal where he or she may ask for review of such an automated decision. If some general logging would nonetheless be deemed strictly necessary, the appliance may also be configured not to store log data unless the appliance signals the occurrence of an incident, with a minimization of the information collected.

В качестве хорошей практики работодатель может предложить альтернативный неконтролируемый доступ для сотрудников. Это можно было бы сделать, предложив свободный WiFi, или автономные устройства или терминалы (с соответствующими гарантиями конфиденциальности коммуникаций), где сотрудники могли бы осуществлять свое законное право на использование рабочих мест для некоторого личного пользования [17]. Кроме того, работодатели должны учитывать определенные виды трафика, перехват которых ставит под угрозу надлежащий баланс между их легитимными интересами и приватностью сотрудников (например, использование частной веб-почты, посещение веб-сайтов онлайн-банкинга и здравоохранения), с целью надлежащей настройки устройства таким образом, чтобы оно не осуществляло перехват сообщений в обстоятельствах, не соответствующих требованиям соразмерности. Информация о типе сообщений, которые отслеживает устройство, должна быть предоставлена сотрудникам.

As a good practice, the employer could offer alternative unmonitored access for employees. This could be done by offering free WiFi, or stand-alone devices or terminals (with appropriate safeguards to ensure confidentiality of the communications) where employees can exercise their legitimate right to use work facilities for some private usage17 . Moreover, employers should consider certain types of traffic whose interception endangers the proper balance between their legitimate interests and employee’s privacy—such as the use of private webmail, visits to online banking and health websites—with the aim to appropriately configure the appliance so as not to proceed with interception of communications in circumstances that are not compliant with proportionality. Information on the type of communications that the appliance is monitoring should be specified to the employees.

Должна быть разработана политика, касающаяся того, когда и кем может быть получен доступ к подозрительным лог-данным, которая должна быть легко и постоянно доступна для всех сотрудников, чтобы также указывать им на приемлемое и неприемлемое использование сети и оборудования. Это позволяет сотрудникам адаптировать свое поведение таким образом, чтобы не подвергаться мониторингу, когда они на законных основаниях используют ИТ-оборудование в личных целях. Согласно передовой практике, такая политика должна оцениваться, по крайней мере, ежегодно, чтобы определить, приносит ли выбранное решение для мониторинга ожидаемые результаты, и существуют ли другие, менее инвазивные инструменты или средства, доступные для достижения тех же целей.

A policy concerning the purposes for when, and by whom, suspicious log data can be accessed should be developed and made easily and permanently accessible for all employees, in order to also guide them about acceptable and unacceptable use of the network and facilities. This allows employees to adapt their behaviour to prevent being monitored when they legitimately use IT work facilities for private use. As good practice, such a policy should be evaluated, at least annually, to assess whether the chosen monitoring solution delivers the intended results, and whether there are other, less invasive tools or means available to achieve the same purposes.

_{[17] См. Halford v. United Kingdom, [1997] ECHR 32, (url: http://www.bailii.org/eu/cases/ECHR/1997/32.html), в котором Суд заявил, что «телефонные звонки, сделанные из служебных помещений, а также из дома, могут охватываться понятиями «частная жизнь» и «корреспонденция» по смыслу пункта 1 статьи 8 [Конвенции]»; и Barbulescu v. Romania , [2016] ЕСПЧ 61, (url: http://www.bailii.org/eu/cases/ECHR/2016/61.html), относительно использования профессионального аккаунта службы мгновенных сообщений для личной переписки, в котором Суд заявил, что контроль за этим аккаунтом со стороны работодателя является ограниченным и соразмерным; особое мнение судьи Пинто де Альберкерке, который утверждал, что необходимо соблюдать осторожный баланс.}

_{[17] See Halford v. United Kingdom, [1997] ECHR 32, (url: http://www.bailii.org/eu/cases/ECHR/1997/32.html), in which the Court stated that “telephone calls made from business premises as well as from the home may be covered by the notions of ‘private life’ and ‘correspondence’ within the meaning of Article 8 paragraph 1 [of the Convention]”; and Barbulescu v. Romania , [2016] ECHR 61, (url: http://www.bailii.org/eu/cases/ECHR/2016/61.html), concerning the use of a professional instant messenger account for personal correspondence, in which the Court stated that monitoring of the account by the employer was limited and proportionate; the dissenting opinion of Judge Pinto de Alberquerque which argued for a careful balance to be struck.}

Независимо от соответствующей технологии или возможностей, которыми она обладает, правовое основание Статьи 7(f) доступно только в том случае, если обработка удовлетворяет определенным условиям. Во-первых, работодатели, использующие эти продукты и приложения, должны учитывать соразмерность применяемых ими мер, а также вопрос о том, могут ли быть приняты какие-либо дополнительные меры для смягчения или сокращения масштабов и воздействия обработки данных. В соответствии с передовой практикой, это рассмотрение можно проводить с помощью DPIA до внедрения любой технологии мониторинга. Во-вторых, работодатели должны внедрять и сообщать о приемлемой политике использования наряду с политикой приватности, указывая на допустимое использование сети и оборудования организации и строго детализируя происходящую обработку.

Irrespective of the technology concerned or the capabilities it possesses, the legal basis of Article 7(f) is only available if the processing meets certain conditions. Firstly, employers utilising these products and applications must consider the proportionality of the measures they are implementing, and whether any additional actions can be taken to mitigate or reduce the scale and impact of the data processing. As an example of good practice, this consideration could be undertaken via a DPIA prior to the introduction of any monitoring technology. Secondly, employers must implement and communicate acceptable use policies alongside privacy policies, outlining the permissible use of the organisation’s network and equipment, and strictly detailing the processing taking place.

В некоторых странах для разработки такой политики по закону требуется одобрение Совета трудящихся или аналогичного представительства работников. На практике такая политика часто разрабатывается обслуживающим персоналом ИТ. Поскольку их основное внимание будет сосредоточено главным образом на безопасности, а не на законном ожидании неприкосновенности частной жизни сотрудников, WP29 рекомендует, чтобы во всех случаях репрезентативная выборка сотрудников участвовала в оценке необходимости мониторинга, а также логичности и доступности политики.

In some countries the creation of such a policy would legally require approval of a Workers’ Council or similar representation of employees. In practice, such policies are often drafted by IT maintenance staff. Since their main focus will mostly be on security, and not on the legitimate expectation of privacy of employees, WP29 recommends that in all cases a representative sample of employees is involved in assessing the necessity of the monitoring, as well as the logic and accessibility of the policy.

Пример Работодатель использует механизм предотвращения потери данных (DLP) для автоматического контроля исходящих сообщений электронной почты с целью предотвращения несанкционированной передачи данных, являющихся собственностью компании (например, персональных данных клиента), независимо от того, является ли такое действие непреднамеренным или нет. После того, как электронное письмо рассматривается как потенциальный источник нарушения данных, проводится дальнейшее расследование. Опять же, работодатель полагается на необходимость защиты своих легитимных интересов для защиты персональных данных клиентов, а также своих активов от несанкционированного доступа или утечки данных. Однако такой инструмент DLP может быть связан с необязательной обработкой персональных данных. Например, «ложноположительное» предупреждение может привести к несанкционированному доступу к законным электронным письмам, которые были отправлены сотрудниками (это могут быть, например, личные электронные письма). Поэтому необходимость использования инструмента DLP и его внедрение должны быть полностью обоснованы, чтобы обеспечить правильный баланс между его законными интересами и фундаментальным правом на защиту персональных данных сотрудников. Для того чтобы на легитимные интересы работодателя можно было положиться, необходимо принять определенные меры по снижению рисков. Например, правила, по которым система характеризует электронное письмо как потенциальное нарушение данных, должны быть полностью прозрачны для пользователей, а в случаях, когда инструмент распознает электронное письмо, которое должно быть отправлено, как потенциальное нарушение данных, предупреждающее сообщение должно информировать отправителя электронного письма до его передачи по электронной почте, чтобы дать возможность отправителю отменить эту передачу.

Example An employer deploys a Data Loss Prevention tool to monitor the outgoing e-mails automatically, for the purpose of preventing unauthorised transmission of proprietary data (e.g. customer’s personal data), independently from whether such an action is unintentional or not. Once an e-mail is being considered as the potential source of a data breach, further investigation is performed. Again, the employer relies upon the necessity for his legitimate interest to protect the personal data of customers as well as his assets against unauthorised access or data leakage. However, such a DLP tool may involve unnecessary processing of personal data —for example, a “false positive” alert might result in unauthorized access of legitimate e-mails that have been sent by employees (which may be, for instance, personal e-mails). Therefore, the necessity of the DLP tool and its deployment should be fully justified so as to strike the proper balance between his legitimate interests and the fundamental right to the protection of employees’ personal data. In order for the legitimate interests of the employer to be relied upon, certain measures should be taken to mitigate the risks. For example, the rules that the system follows to characterize an e-mail as potential data breach should be fully transparent to the users, and in cases that the tool recognises an e-mail that is to be sent as a possible data breach, a warning message should inform the sender of the e-mail prior to the email transmission, so as to give the sender the option to cancel this transmission.

В некоторых случаях мониторинг сотрудников возможен не столько из-за внедрения конкретных технологий, сколько просто потому, что от сотрудников ожидается использование онлайн-приложений, предоставленных работодателем, которые обрабатывают персональные данные. Примером может служить использование офисных приложений на базе «облака» (например, редакторов документов, календарей, социальных сетей). Необходимо обеспечить, чтобы сотрудники могли выделять определенные личные пространства, доступ к которым работодатель может получить только в исключительных обстоятельствах. Это, например, относится к календарям, которые часто используются также для личных встреч. Если работник обозначает встречу как «личную» или отмечает это в самом назначении, работодателю (и другим работникам) не следует разрешать просматривать содержание встречи.

In some cases, the monitoring of employees is possible not so much because of the deployment of specific technologies, but simply because employees are expected to use online applications made available by the employer which process personal data. The use of cloud-based office applications (e.g. document editors, calendars, social networking) is an example of this. It should be ensured that employees can designate certain private spaces to which the employer may not gain access unless under exceptional circumstances. This, for example, is relevant for calendars, which are often also used for private appointments. If the employee sets an appointment to “Private” or notes this in appointment itself, employers (and other employees) should not be allowed to review the contents of the appointment.

Требование о субсидиарности в этом контексте иногда означает, что мониторинг может вообще не осуществляться. Например, в этом случае запрещенное использование коммуникационных услуг может быть предотвращено путем блокирования определенных веб-сайтов. Если можно заблокировать веб-сайты, вместо того чтобы постоянно следить за всеми сообщениями, то для соблюдения этого требования субсидиарности следует выбирать блокирование.

The requirement of subsidiarity in this context sometimes means that no monitoring may take place at all. For example, this is the case where the prohibited use of communications services can be prevented by blocking certain websites. If it is possible to block websites, instead of continuously monitoring all communications, blocking should be chosen in order to comply with this requirement of subsidiarity.

В более общем плане профилактика должна иметь гораздо больший вес, чем обнаружение — интересам работодателя лучше служит предотвращение неправомерного использования Интернета с помощью технических средств, чем путем расходования ресурсов на обнаружение неправомерного использования.

More generally, prevention should be given much more weight than detection—the interests of the employer are better served by preventing internet misuse through technical means than by expending resources in detecting misuse.

5.4 Операции по обработке, возникающие в результате мониторинга использования ИКТ за пределами рабочего места

5.4 Processing operations resulting from monitoring ICT usage outside the workplace

Использование ИКТ вне рабочего места стало более распространенным в связи с распространением удаленной работы и политик «использования собственных устройств». Возможности таких технологий могут представлять риск для частной жизни работников, поскольку во многих случаях существующие на рабочем месте системы мониторинга эффективно распространяются на домашнюю сферу работников при использовании такого оборудования.

ICT usage outside the workplace has become more common with the growth of homeworking, remote working and “bring your own device” policies. The capabilities of such technologies can pose a risk to the private life of employees, as in many cases the monitoring systems existing in the workplace are effectively extended into the employees’ domestic sphere when they use such equipment. .

5.4.1 МОНИТОРИНГ В КОНТЕКСТЕ РАБОТЫ ИЗ ДОМА И УДАЛЕННОЙ РАБОТЫ

5.4.1 MONITORING OF HOME AND REMOTE WORKING

Работодатели все чаще предлагают работникам возможность работать дистанционно, например, из дома и/или во время их пребывания в командировке. Действительно, это является центральным фактором уменьшения различий между рабочим местом и домом. В целом это подразумевает, что работодатель выдает работникам информационно-коммуникационное оборудование или программное обеспечение, которое после установки в их доме/на их собственных устройствах позволяет им иметь тот же уровень доступа к сети, системам и ресурсам работодателя, который они имели бы, если бы они находились на рабочем месте, в зависимости от реализации.

It has become more common for employers to offer employees the option to work remotely, e.g., from home and/or whilst in transit. Indeed, this is a central factor behind the reduced distinction between the workplace and the home. In general this involves the employer issuing ICT equipment or software to the employees which, once installed in their home/on their own devices, enables them to have the same level of access to the employer’s network, systems and resources that they would have if they were in the workplace, depending on the implementation.

Удаленная работа может быть позитивным изменением, но в то же время представляет собой область дополнительного риска для работодателя. Например, работники, имеющие удаленный доступ к инфраструктуре работодателя, не связаны мерами физической безопасности, которые могут быть приняты на территории работодателя. Говоря простым языком: без применения соответствующих технических мер риск несанкционированного доступа увеличивается и может привести к потере или уничтожению информации, в том числе персональных данных сотрудников или клиентов, которые могут находиться у работодателя.

Whilst remote working can be a positive development, it also presents an area of additional risk for an employer. For example, employees that have remote access to the employer’s infrastructure are not bound by the physical security measures that may be in place at the employer’s premises. To put it plainly: without the implementation of appropriate technical measures the risk of unauthorised access increases and may result in the loss or destruction of information, including personal data of employees or customers, which the employer may hold.

Для снижения риска в этой области работодатели могут подумать, что существует обоснование для развертывания программных пакетов (как локальных, так и «облачных»), которые могут, например, регистрировать нажатия клавиш и движения мыши, захват экрана (случайным образом или через заданные промежутки времени), регистрацию используемых приложений (и того, как долго они использовались), а также, на совместимых устройствах, включение веб-камер и сбор их видеозаписей. Такие технологии широко доступны, в том числе и у третьих сторон, таких как провайдеры облачных услуг.

In order to mitigate this area of risk employers may think there is a justification for deploying software packages (either on-premise or in the cloud) that have the capabilities of, for example, logging keystrokes and mouse movements, screen capturing (either randomly or at set intervals), logging of applications used (and how long they were used for), and, upon compatible devices, enabling webcams and collecting the footage thereof. Such technologies are widely available including from third parties such as cloud providers.

Однако обработка, связанная с такими технологиями, несоразмерна, и работодатель не сможет ссылаться на легитимный интерес в качестве правового основания, например, для записи нажатий клавиш и движений мыши работника.

However, the processing involved in such technologies are disproportionate and the employer is very unlikely to have a legal ground under legitimate interest, e.g. for recording an employee’s keystrokes and mouse movements.

Ключевым моментом является решение проблемы риска, связанного с работой на дому и в дистанционном режиме, пропорциональным, не чрезмерным образом, каким бы ни был предложенный вариант и какой бы ни была предложенная технология, особенно если границы между использованием в рамках работы и личным использованием являются подвижными.

The key is addressing the risk posed by home and remote working in a proportionate, non excessive manner, in whatever way the option is offered and by whatever technology is proposed, particularly if the boundaries between business and private use are fluid.

5.4.2 ИСПОЛЬЗОВАНИЕ СОБСТВЕННЫХ УСТРОЙСТВ (BYOD)

5.4.2 BRING YOUR OWN DEVICE (BYOD)

В связи с ростом популярности, особенностей и возможностей потребительских электронных устройств, работодатели могут столкнуться с требованиями работников использовать собственные устройства на рабочем месте для выполнения своей работы. Это явление известно как политика «принести собственное устройство» или BYOD.

Due to the rise in popularity, features and capability of consumer electronic devices, employers may face demands from employees to use their own devices in the workplace to carry out their jobs. This is known as “bring your own device” or BYOD.

Эффективное внедрение BYOD может привести к ряду преимуществ для сотрудников, включая повышение удовлетворенности работой сотрудников, общее улучшение мотивации, повышение эффективности работы и гибкости. Однако, по определению, некоторое использование устройства сотрудника будет носить личный характер, и, скорее всего, это будет происходить в определенное время суток (например, по вечерам и выходным). Поэтому существует явная вероятность того, что использование работниками собственных устройств приведет к тому, что работодатели будут обрабатывать не только корпоративную информацию о таких работниках и, возможно, о любых членах семьи, которые также пользуются данными устройствами.

Implementing BYOD effectively can lead to a number of benefits for employees, including improved employee job satisfaction, overall morale increase, increased job efficiency and increased flexibility. However, by definition, some use of an employee’s device will be personal in nature, and this is more likely to be the case at certain times of the day (e.g., evenings and weekends). It is therefore a distinct possibility that employees’ use of their own devices will lead to employers processing non-corporate information about those employees, and possibly any family members who also use the devices in question.

В контексте занятости, риски в отношении приватности «приносимых с собой устройств» обычно связаны с технологиями мониторинга, которые собирают такие идентификаторы, как MAC-адреса, или в случаях, когда работодатель получает доступ к устройству сотрудника под предлогом выполнения проверки безопасности, т.е. на наличие вредоносного программного обеспечения. Что касается последнего, существует ряд коммерческих решений, которые позволяют сканировать личные устройства, однако их использование потенциально может получить доступ ко всем данным на этом устройстве, и, следовательно, с ними необходимо внимательно обращаться. Например, те разделы устройства, которые предположительно используются только в личных целях (например, папка, в которой хранятся фотографии, сделанные с помощью устройства), не могут быть доступны в принципе.

In the employment context, BYOD privacy risks are commonly associated with monitoring technologies that collect identifiers such as MAC addresses, or in instances where an employer accesses an employee’s device under the justification of performing a security scan, i.e. for malware. In respect of the latter, a number of commercial solutions exist that allow for the scanning of private devices, however their usage could potentially access all data on that device and therefore they must be carefully managed. For example, those sections of a device which are presumed to be only used for private purposes (e.g. the folder storing photos taken with the device) may in principle not be accessed.

Мониторинг местонахождения и трафика таких устройств может считаться легитимным интересом для защиты персональных данных, за которые несет ответственность работодатель как контролер данных; однако это может быть незаконным, если речь идет о личном устройстве работника, если такой мониторинг также фиксирует данные, относящиеся к личной и семейной жизни работника. В целях предотвращения мониторинга частной информации должны быть приняты соответствующие меры для разграничения частного и рабочего использования устройства.

Monitoring the location and traffic of such devices may be considered to serve a legitimate interest to protect the personal data that the employer is responsible for as the data controller; however this may be unlawful where an employee’s personal device is concerned, if such monitoring also captures data relating to the employee’s private and family life. In order to prevent monitoring of private information appropriate measures must be in place to distinguish between private and business use of the device.

Работодатели также должны внедрять методы, с помощью которых их собственные данные на устройстве надежно передаются между этим устройством и их сетью. Может случиться так, что устройство будет настроено на маршрутизацию всего трафика через VPN обратно в корпоративную сеть, чтобы обеспечить определенный уровень безопасности; однако, если такая мера используется, работодатель должен также учитывать, что программное обеспечение, установленное для целей мониторинга, представляет собой риск для конфиденциальности в периоды личного пользования работником. Могут использоваться устройства, обеспечивающие дополнительную защиту, такие как «песочница» данных (хранение данных, содержащихся в конкретном приложении).

Employers should also implement methods by which their own data on the device is securely transferred between that device and their network. It may be the case that the device is therefore configured to route all traffic through a VPN back into the corporate network, so as to offer a certain level of security; however, if such a measure is used, the employer should also consider that software installed for the purposes of monitoring pose a privacy risk during periods of personal usage by the employee. Devices that offer additional protections such as “sandboxing” data (keeping data contained within a specific app) could be used.

И наоборот, работодатель должен также рассмотреть вопрос о запрете использования конкретных рабочих устройств для личного пользования, если нет возможности предотвратить мониторинг личного пользования, например, если устройство обеспечивает удаленный доступ к персональным данным, для которых работодатель является контролером данных.

Conversely, the employer must also consider the prohibition of the use of specific work devices for private use if there is no way to prevent private use being monitored—for example if the device offers remote access to personal data for which the employer is the data controller.

5.4.3 УПРАВЛЕНИЕ МОБИЛЬНЫМИ УСТРОЙСТВАМИ (MDM)

5.4.3 MOBILE DEVICE MANAGEMENT (MDM)

Управление мобильными устройствами позволяет работодателям удаленно определять местонахождение устройств, развертывать определенные конфигурации и/или приложения и удалять данные по требованию. Работодатель может управлять этой функциональностью самостоятельно или использовать для этого третью сторону. Сервисы MDM также позволяют работодателям регистрировать или отслеживать устройство в режиме реального времени, даже если о его краже не сообщается.

Mobile device management enables employers to locate devices remotely, deploy specific configurations and/or applications, and delete data on demand. An employer may operate this functionality himself, or use a third party to do so. MDM services also enable employers to record or track the device in real-time even if it is not reported stolen.

Необходимо провести DPIA до развертывания любой такой технологии, если она является новой в процессе или новой для контроллера данных. Если результат DPIA заключается в том, что технология MDM необходима в конкретных обстоятельствах, то все же должна быть проведена оценка того, соответствует ли полученная в результате обработка данных принципам пропорциональности и субсидиарности. Работодатели должны обеспечить, чтобы данные, собранные в рамках этой возможности удаленного местоположения, обрабатывались с определенной целью и не являлись и не могли являться частью более широкой программы, позволяющей осуществлять постоянный мониторинг сотрудников. Даже для конкретных целей функции отслеживания должны быть смягчены. Системы отслеживания могут быть спроектированы таким образом, чтобы регистрировать данные о местонахождении без их представления работодателю (в таких обстоятельствах данные о местонахождении должны становиться доступными только в тех случаях, когда об устройстве будет сообщено или оно будет утеряно).

A DPIA should be performed prior to the deployment of any such technology where it is new, or new to the data controller. If the outcome of the DPIA is that the MDM technology is necessary in specific circumstances, an assessment should still be made as to whether the resulting data processing complies with the principles of proportionality and subsidiarity. Employers must ensure that the data collected as part of this remote location capability is processed for a specified purpose and does not, and could not, form part of a wider programme enabling ongoing monitoring of employees. Even for specified purposes, the tracking features should be mitigated. Tracking systems can be designed to register the location data without presenting it to the employer—in such circumstances, the location data should become available only in circumstances where the device would be reported or lost.

Сотрудники, чьи устройства зарегистрированы в сервисах MDM, также должны быть полностью информированы о том, что происходит отслеживание, и какие последствия это имеет для них.

Employees whose devices are enrolled in MDM services must also be fully informed as to what tracking is taking place, and what consequences this has for them.

5.4.4 УСТРОЙСТВА, ПРЕДНАЗНАЧЕННЫЕ ДЛЯ НОШЕНИЯ

5.4.4 WEARABLE DEVICES

Работодатели все чаще поддаются склонности предоставлять своим сотрудникам носимые устройства для отслеживания и мониторинга их здоровья и деятельности в пределах, а иногда и за пределами рабочего места. Однако такая обработка данных связана с обработкой данных о здоровье, и поэтому запрещена на основании статьи 8 ДПД.

Employers are increasingly tempted to provide wearable devices to their employees in order to track and monitor their health and activity within and sometimes even outside of the workplace. However, this data processing involves the processing of health data, and is therefore prohibited based on Article 8 of the DPD.

Учитывая неравные отношения между работодателями и работниками, т.е. финансовую зависимость работника от работодателя, а также чувствительный характер данных о состоянии здоровья, весьма маловероятно, что юридически действительное явно выраженное согласие может быть дано на отслеживание или мониторинг таких данных, поскольку работники, по сути, не «свободны» давать такое согласие. Даже если работодатель использует для сбора данных об охране здоровья третью сторону, которая будет предоставлять работодателю лишь агрегированную информацию об общем состоянии здоровья, их обработка все равно будет незаконной.

Given the unequal relationship between employers and employees—i.e., the employee has a financial dependence on the employer—and the sensitive nature of the health data, it is highly unlikely that legally valid explicit consent can be given for the tracking or monitoring of such data as employees are essentially not ‘free’ to give such consent in the first place. Even if the employer uses a third party to collect the health data, which would only provide aggregated information about general health developments to the employer, the processing would still be unlawful.

Кроме того, как указано в Заключении 5/2014 о методах анонимизации[18], с технической точки зрения очень сложно обеспечить полную анонимизацию данных. Даже в среде с более чем тысячей сотрудников, при наличии других данных о сотрудниках, работодатель все равно сможет выделить отдельных сотрудников с особыми медицинскими показаниями, такими как высокое кровяное давление или ожирение.

Also, as described in Opinion 5/2014 on Anonymisation Techniques[18], it is technically very difficult to ensure complete anonymisation of the data. Even in an environment with over a thousand employees, given the availability of other data about the employees the employer would still be able to single out individual employees with particular health indications such as high blood pressure or obesity.

_{[18] WP29, Заключение 5/2014 о методах анонимизации, WP 216, 10 апреля 2014 года, url: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2014/wp216_en.pdf}

_{[18] WP29, Opinion 5/2014 on anonymization techniques, WP 216, 10 April 2014, url: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2014/wp216_en.pdf}

Пример:

Example:

Организация предлагает своим сотрудникам устройства фитнес-мониторинга в качестве общего подарка. Приборы подсчитывают количество шагов, выполняемых сотрудниками, и регистрируют их сердцебиение и образ действий во время сна.

An organisation offers fitness monitoring devices to its employees as a general gift. The devices count the number of steps employees take, and register their heartbeats and sleeping patterns over time.

Полученные в результате этого данные о состоянии здоровья должны быть доступны только сотруднику, а не работодателю. Любые данные, передаваемые между работником (в качестве субъекта данных) и устройством/поставщиком услуг (в качестве контролера данных), относятся к компетенции этих сторон.

The resulting health data should only be accessible to the employee and not the employer. Any data transferred between the employee (as data subject) and the device/service provider (as data controller) is a matter for those parties.

Поскольку данные о здоровье могут также обрабатываться коммерческой стороной, которая изготовила эти устройства или предлагает услуги работодателям, при выборе устройства или услуги работодатель должен оценить политику конфиденциальности производителя и/или поставщика услуг, с тем чтобы она не приводила к незаконной обработке данных о здоровье работников.

As the health data could also be processed by the commercial party that has manufactured the devices or offers a service to employers, when choosing the device or service the employer should evaluate the privacy policy of the manufacturer and/or service provider, to ensure that it does not result in unlawful processing of health data on employees.

5.5 Операции по обработке, относящиеся ко времени и посещаемости

5.5 Processing operations relating to time and attendance

Системы, позволяющие работодателям контролировать, кто может входить в их помещения и/или определенные зоны на их территории, также могут позволить отслеживать деятельность работников. Несмотря на то, что такие системы существуют уже несколько лет, все шире внедряются новые технологии, предназначенные для отслеживания времени и посещаемости работников, в том числе те, которые обрабатывают биометрические данные, а также другие, такие как отслеживание мобильных устройств.

Systems that enable employers to control who can enter their premises, and/or certain areas within their premises, can also allow the tracking of employees’ activities. Although such systems have existed for a number of years, new technologies intended to track employees’ time and attendance are being more widely deployed, including those that process of biometric data as well as others such as mobile device tracking.

Несмотря на то, что такие системы могут являться важным компонентом системы контроля работодателя, они также представляют собой риск, сопряженный с предоставлением инвазивного уровня знаний и контроля в отношении деятельности работника во время его нахождения на рабочем месте.

Whilst such systems can form an important component of an employer’s audit trail, they also pose the risk of providing an invasive level of knowledge and control regarding the activities of the employee whilst in the workplace.

Пример:

Example:

Работодатель содержит серверную комнату, в которой в цифровом виде хранятся данные, относящиеся к бизнесу, персональные данные, относящиеся к сотрудникам, и персональные данные, относящиеся к клиентам. В целях соблюдения правовых обязательств по защите данных от несанкционированного доступа работодатель установил систему контроля доступа, которая фиксирует вход и выход сотрудников, имеющих соответствующее разрешение на вход в помещение. В случае пропажи какого-либо предмета оборудования, а также в случае несанкционированного доступа, утери или кражи каких-либо данных, данные, хранящиеся у работодателя, позволяют определить, кто имел доступ в помещение в это время.

An employer maintains a server room in which business-sensitive data, personal data relating to employees and personal data relating to customers is stored in digital form. In order to comply with legal obligations to secure the data against unauthorised access, the employer has installed an access control system that records the entrance and exit of employees who have appropriate permission to enter the room. Should any item of equipment go missing, or if any data is subject to unauthorised access, loss or theft, the records maintained by the employer allow them to determine who had access to the room at that time.

Учитывая, что обработка данных необходима и перевешивает право работников на личную жизнь, она может являться легитимным интересом в соответствии со ст. 7 (f), если работники были надлежащим образом проинформированы об операции по обработке. Однако постоянный контроль частоты и точного времени входа и выхода сотрудников не может быть оправдан, если эти данные используются также и для других целей, например, для оценки работы сотрудников.

Given that the processing is necessary and does not outweigh the right to private life of the employees, it can be in the legitimate interest under Art. 7(f), if the employees have been adequately informed about the processing operation. However, the continuous monitoring of the frequency and exact entrance and exit times of the employees cannot be justified if these data are also used for another purpose, such as employee performance evaluation.

5.6 Операции по обработке с использованием видеонаблюдения

5.6 Processing operations using video monitoring systems

Видеонаблюдение по-прежнему представляет собой такие же проблемы для неприкосновенности личной жизни сотрудников, как и раньше: возможность постоянно фиксировать поведение работника [19]. Наиболее важными изменениями, связанными с применением этой технологии в контексте занятости, являются возможность легкого удаленного доступа к собранным данным (например, с помощью смартфона); уменьшение размеров камер (наряду с увеличением их возможностей, например, высокой четкости); а также обработка, которая может быть выполнена с помощью новых видеоаналитиков.

Video monitoring and surveillance continues to present similar issues for employee privacy as before: the capability to continuously capture the behaviour of the worker.19 The most relevant changes relating to the application of this technology in the employment context are the capability to access the collected data remotely (e.g. via a smartphone) easily; the reduction in the cameras’ sizes (along with an increase in their capabilities, e.g. high definition); and the processing that can be performed by new video analytics.

_{[19] См. вышеописанное дело Köpke v Germany ; кроме того, следует отметить, что в некоторых юрисдикциях установка таких систем, как система видеонаблюдения, в целях доказательства противоправного поведения была признана допустимой; см. дело Bershka , решенное Конституционным судом Испании}

_{[19] See the above referenced case of Köpke v Germany ; additionally, it should also be noted that in some jurisdictions the installation of systems such as CCTV for the purpose of proving unlawful conduct has been ruled permissible; see the case of Bershka in the Constitutional Court of Spain.}

Благодаря возможностям, предоставляемым видеоаналитикой, работодатель может контролировать мимику работника с помощью автоматических средств, выявлять отклонения от заданных шаблонов движения (например, в производственном контексте) и многое другое. Это было бы несоразмерно правам и свободам работников и, следовательно, в целом незаконно. Обработка, вероятно, также будет связана с профилированием и, возможно, автоматизированным принятием решений. Поэтому работодатели должны воздерживаться от использования технологий распознавания лиц. Из этого правила могут быть некоторые крайние исключения, однако такие сценарии не могут быть использованы для ссылки на общее узаконивание использования таких технологий [20].

With the capabilities given by video analytics, it is possible for an employer to monitor the worker’s facial expressions by automated means, to identify deviations from predefined movement patterns (e.g. factory context), and more. This would be disproportionate to the rights and freedoms of employees, and therefore, generally unlawful. The processing is also likely to involve profiling, and possibly, automated decision-making. Therefore, employers should refrain from the use of facial recognition technologies. There may be some fringe exceptions to this rule, but such scenarios cannot be used to invoke a general legitimation of the use of such technology [20].

_{[20] Кроме того, в соответствии с GDPR, обработка биометрических данных для целей идентификации должна основываться на исключении, предусмотренном ст. 9(2)}

_{[20] Moreover, under the GDPR, processing of biometric data for identification purposes must be based on an exception provided by Art. 9(2)}

5.7 Операции по обработке, связанные с транспортными средствами, используемыми сотрудниками

5.7 Processing operations involving vehicles used by employees

Технологии, позволяющие работодателям контролировать транспортные средства, получили широкое распространение, особенно среди организаций, деятельность которых связана с транспортом или которые располагают значительным количеством транспортных средств.

Technologies that enable employers to monitor their vehicles have become widely adopted, particularly among organisations whose activities involve transport or have significant vehicle fleets.

Любой работодатель, использующий телематику транспортного средства, будет собирать данные как о транспортном средстве, так и об отдельном работнике, использующем это транспортное средство. Эти данные могут включать в себя не только местоположение транспортного средства (и, следовательно, работника), собранные базовыми системами GPS слежения, но и, в зависимости от технологии, массу другой информации, в том числе о поведении вождения. Некоторые технологии могут также обеспечивать непрерывный мониторинг как транспортного средства, так и водителя (например, регистраторы данных о событиях).

Any employer using vehicle telematics will be collecting data about both the vehicle and the individual employee using that vehicle. This data can include not just the location of the vehicle (and, hence, the employee) collected by basic GPS tracking systems, but, depending on the technology, a wealth of other information including driving behaviour. Certain technologies can also enable continuous monitoring both of the vehicle and the driver (eg, event data recorders).

Работодатель может быть обязан установить технологию слежения в автомобилях, чтобы продемонстрировать соблюдение других юридических обязательств, например, для обеспечения безопасности сотрудников, которые управляют этими автомобилями. Работодатель может также иметь легитимный интерес в том, чтобы иметь возможность найти транспортные средства в любое время. Даже если работодатели будут иметь легитимный интерес в достижении этих целей, сначала следует оценить, является ли обработка для этих целей необходимой и соответствует ли фактическая реализация принципам пропорциональности и субсидиарности. Там, где разрешено личное использование профессионального транспортного средства, наиболее важной мерой, которую работодатель может принять для обеспечения соблюдения этих принципов, является предложение об отказе: работник в принципе должен иметь возможность временно отключить отслеживание местонахождения, когда особые обстоятельства оправдывают такое отключение, например, посещение врача. Таким образом, работник может по собственной инициативе защитить определенные данные о местонахождении как частные. Работодатель должен следить за тем, чтобы собранные данные не использовались для незаконной дальнейшей обработки, например, для отслеживания и оценки работников.

An employer might be obliged to install tracking technology in vehicles to demonstrate compliance with other legal obligations, e.g. to ensure the safety of employees who drive those vehicles. The employer may also have a legitimate interest in being able to locate the vehicles at any time. Even if employers would have a legitimate interest to achieve these purposes, it should first be assessed whether the processing for these purposes is necessary, and whether the actual implementation complies with the principles of proportionality and subsidiarity. Where private use of a professional vehicle is allowed, the most important measure an employer can take to ensure compliance with these principles is the offering of an opt-out: the employee in principle should have the option to temporarily turn off location tracking when special circumstances justify this turning off, such as a visit to a doctor. This way, the employee can on its own initiative protect certain location data as private. The employer must ensure that the collected data are not used for illegitimate further processing, such as the tracking and evaluation of employees.

Работодатель также должен четко проинформировать сотрудников о том, что в автомобиле компании установлено устройство слежения, и что их передвижения регистрируются во время использования этого автомобиля (и, в зависимости от технологии, их поведение во время вождения также может быть зафиксировано). Предпочтительно, чтобы такая информация отображалась на видном месте в каждом автомобиле, в поле зрения водителя.

The employer must also clearly inform the employees that a tracking device has been installed in a company vehicle that they are driving, and that their movements are being recorded whilst they are using that vehicle (and that, depending on the technology involved, their driving behaviour may also be recorded). Preferably such information should be displayed prominently in every car, within eyesight of the driver.

Возможно, что сотрудники могут использовать служебные автомобили в нерабочее время, например, для личного пользования, в зависимости от конкретной политики, регулирующей использование этих автомобилей. Учитывая чувствительность данных о местонахождении, маловероятно, что существует правовое основание для мониторинга местонахождения транспортных средств сотрудников в нерабочее время. Однако при наличии такой необходимости следует рассмотреть вопрос об имплементации, которая была бы соразмерна рискам. Например, это может означать, что для предотвращения угона автомобиля его местонахождение не регистрируется в нерабочее время, если только транспортное средство не покидает широко определенный круг (регион или даже страну). Кроме того, местонахождение будет отображаться только в виде «разбитого стекла» — работодатель будет активировать «видимость» местонахождения, получив доступ к данным, уже сохраненным системой, только тогда, когда транспортное средство покинет заранее определенный регион.

It is possible that employees may use company vehicles outside working hours, e.g. for personal use, depending on the specific policies governing the use of those vehicles. Given the sensitivity of location data, it is unlikely that there is a legal basis for monitoring the locations of employees’ vehicles outside agreed working hours. However, should such a necessity exist, an implementation that would be proportionate to the risks should be considered. For example, this could mean that, in order to prevent car theft, the location of the car is not registered outside working hours, unless the vehicle leaves a widely defined circle (region or even country). In addition, the location would only be shown in a “break the-glass” way—the employer would only activate the “visibility” of the location, accessing the data already stored by the system, when the vehicle leaves a predefined region.

Как указано в WP29 Заключении 13/2011 об использовании геолокации на смартфонах [21]:

As stated in the WP29 Opinion 13/2011 on Geolocation services on smart mobile devices [21]:

_{[21] WP29, Заключение 13/2011 об использовании геолокации на смартфонах , WP 185, 16 мая 2011 г., url: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2011/wp185_en.pdf}

_{[21] WP29, Opinion 13/2011 on Geolocation services on smart mobile devices , WP 185, 16 May 2011, url: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2011/wp185_en.pdf}

Устройства слежения за транспортными средствами не являются устройствами слежения персонала. Их функция состоит в том, чтобы отслеживать или контролировать местоположение транспортных средств, в которых они установлены. Работодатели не должны рассматривать их как устройства для отслеживания или мониторинга поведения или местонахождения водителей или другого персонала, например, путем отправки предупреждений относительно скорости транспортного средства.

“Vehicle tracking devices are not staff tracking devices. Their function is to track or monitor the location of the vehicles in which they are installed. Employers should not regard them as devices to track or monitor the behaviour or the whereabouts of drivers or other staff, for example by sending alerts in relation to speed of vehicle.”

Кроме того, как указано в WP29 Заключении 5/2005 об использовании данных о местоположении в целях предоставления услуг с добавленной стоимостью [22]:

Further, as stated in the WP29 Opinion 5/2005 on the use of location data with a view to providing value-added services [22]:

_{[22] WP29, Заключение 5/2005 об использовании данных о местоположении с целью предоставления дополнительных услуг , WP 115, 25 ноября 2005 г., url: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2005/wp115_en.pdf}

_{[22] WP29, Opinion 5/2005 on the use of location data with a view to providing value-added services , WP 115, 25 November 2005, url: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2005/wp115_en.pdf}

Обработка данных о местоположении может быть оправдана, если она осуществляется в рамках мониторинга транспортировки людей или товаров или улучшения распределения ресурсов для оказания услуг в разрозненных местах (например, планирование операций в режиме реального времени), или если преследуется цель обеспечения безопасности в отношении самого работника или товаров или транспортных средств, находящихся в его ведении. И наоборот, Рабочая группа считает чрезмерной обработку данных в тех случаях, когда сотрудники могут свободно организовывать свои поездки по своему усмотрению или когда это делается исключительно с целью контроля за работой сотрудника, когда это может быть отслежено другими способами.

“Processing location data can be justified where it is done as part of monitoring the transport of people or goods or improving the distribution of resources for services in scattered locations (e.g. planning operations in real time), or where a security objective is being pursued in relation to the employee himself or to the goods or vehicles in his charge. Conversely, the Working Party considers data processing to be excessive where employees are free to organise their travel arrangements as they wish or where it is done for the sole purpose of monitoring an employee’s work where this can be monitored by other means.”

5.7.1 РЕГИСТРАТОРЫ ДАННЫХ О СОБЫТИЯХ

5.7.1 EVENT DATA RECORDERS

Регистраторы данных о событиях предоставляют работодателю техническую возможность обработки значительного объема персональных данных о сотрудниках, которые управляют транспортными средствами компании. Такие устройства все чаще устанавливаются в автомобили с целью записи видео, возможно, в том числе и звука, в случае аварии. Эти системы способны записывать в определенное время, например, в ответ на внезапное торможение, резкое изменение направления движения или ДТП, при этом сохраняются моменты, непосредственно предшествующие происшествию, но при этом они могут быть настроены на непрерывный мониторинг. Эта информация может быть впоследствии использована для наблюдения и обзора поведения человека при управлении автомобилем с целью его корректировки. Кроме того, многие из этих систем включают GPS для отслеживания местоположения транспортного средства в режиме реального времени. Другие сведения, связанные с вождением (например, скорость транспортного средства), также могут быть сохранены для дальнейшей обработки.

Event data recorders provide an employer with the technical capability of processing a significant amount of personal data about the employees that drive company vehicles. Such devices are increasingly being placed into vehicles with the goal to record video, possibly including sound, in case of an accident. These systems are able to record at certain times, e.g. in response to sudden braking, abrupt directional change or accidents, where the moments immediately preceding the incident are stored, but they can also be set to monitor continuously. This information can be used subsequently to observe and review an individual’s driving behaviour with the aim of improving it. Moreover, many of these systems include GPS to track the location of the vehicle in real-time and other details corresponding to the driving (such as the vehicle speed) can be also stored for further processing.

Эти устройства стали особенно распространены среди организаций, чья деятельность связана с транспортом или имеет значительное количество транспортных средств. Однако размещение регистраторов данных о событиях может быть правомерным только в том случае, если существует необходимость обработки последующих персональных данных о сотруднике с законной целью, а обработка данных осуществляется в соответствии с принципами соразмерности и субсидиарности.

These devices have become particularly prevalent among organisations whose activities involve transport or have significant vehicle fleets. However, the deployment of event data recorders can only be lawful if there is a necessity to process the ensuing personal data about the employee for a legitimate purpose, and the processing complies with the principles of proportionality and subsidiarity.

Пример Транспортная компания оснащает все свои автомобили видеокамерой внутри салона, которая записывает звук и видео. Целью обработки этих данных является повышение водительских навыков сотрудников. Камеры настроены на сохранение записей всякий раз, когда происходят такие инциденты, как резкое торможение или резкое изменение направления движения. Компания исходит из того, что у нее есть законное основание для обработки в своих легитимных интересах в соответствии со статьей 7 (f) Директивы, для защиты безопасности своих сотрудников и безопасности других водителей. Однако легитимный интерес компании, состоящий в мониторинге водителей, не превалирует над правами этих водителей на защиту своих персональных данных. Постоянный мониторинг сотрудников с помощью таких камер представляет собой серьезное нарушение их права на неприкосновенность частной жизни. Существуют и другие методы (например, установка оборудования, предотвращающего использование мобильных телефонов), а также другие системы безопасности, такие как усовершенствованная система экстренного торможения или система предупреждения о сходе с полосы движения, которые могут использоваться для предотвращения дорожно-транспортных происшествий, что может быть более целесообразным. Кроме того, такое видео имеет высокую вероятность привести к обработке персональных данных третьих лиц (например, пешеходов), и для такой обработки легитимный интерес компании не является достаточным основанием.

Example A transport company equips all of its vehicles with a video camera inside the cabin which records sound and video. The purpose of processing these data is to improve the driving skills of the employees. The cameras are configured to retain recordings whenever incidents such as sudden braking or abrupt directional change take place. The company assumes it has a legal ground for the processing in its legitimate interest under Article 7(f) of the Directive, to protect the safety of its employees and other drivers’ safety. However, the legitimate interest of the company to monitor the drivers does not prevail over the rights of those drivers to the protection of their personal data. The continuous monitoring of employees with such cameras constitutes a serious interference with their right of privacy. There are other methods (e.g., the installation of equipment that prevents the use of mobile phones) as well as other safety systems like an advanced emergency braking system or a lane departure warning system that can be used for the prevention of vehicle accidents which may be more appropriate. Furthermore, such a video has a high probability of resulting in the processing of personal data of third parties (such as pedestrians) and, for such a processing, the legitimate interest of the company is not sufficient to justify the processing.

5.8 Операции по обработке, связанные с раскрытием данных о сотрудниках третьим лицам

5.8 Processing operations involving disclosure of employee data to third parties

Все чаще компании передают данные своих сотрудников своим клиентам с целью обеспечения надежного предоставления услуг. Эти данные могут быть довольно многочисленны и чрезмерны в зависимости от объема оказываемых услуг (например, может быть включена фотография сотрудника). Однако, учитывая дисбаланс сил, работники не могут дать добровольное согласие на обработку своих персональных данных работодателем, а если обработка данных не является пропорциональной, то у работодателя нет правового основания.

It has become increasingly common for companies to transmit their employees’ data to their customers for the purpose of ensuring reliable service provision. These data may be quite excessive depending on the scope of services provided (e.g. an employee’s photo may be included). However, employees are not in a position, given the imbalance of power, to give free consent to the processing of their personal data by their employer, and if the data processing is not proportional, the employer does not have a legal ground.

Пример: Компания по доставке посылает своим клиентам электронное письмо со ссылкой на имя и место доставки (сотрудника). Компания также намерена предоставить фотографию паспорта курьера. Компания предполагала, что у нее будет правовое основание для обработки в ее легитимных интересах (статья 7(f) Директивы), что позволит клиенту проверить, действительно ли курьер является тем человеком. Однако нет необходимости сообщать клиенту имя и фотографию курьера. Поскольку нет другого правового основания для такой обработки, компания-поставщик не имеет права предоставлять эти персональные данные клиентам.

Example: A delivery company sends its customers an e-mail with a link to the name and the location of the deliverer (employee). The company also intended to provide a passport photo of the deliverer. The company assumed it would have a legal ground for the processing in its legitimate interest (Article 7(f) of the Directive), allowing the customer to check if the deliverer is indeed the right person. However, it is not necessary to provide the name and the photo of the deliverer to the customers. Since there is no other legitimate ground for this processing, the delivery company is not allowed to provide these personal data to customers.

5.9 Операции по обработке, связанные с международной передачей данных о персонале и других сотрудниках

5.9 Processing operations involving international transfers of HR and other employee data

Работодатели все чаще используют «облачные» приложения и сервисы, например, предназначенные для работы с данными HR, а также онлайновые офисные приложения. Использование большинства из этих приложений приведет к международной передаче данных о сотрудниках. Как уже отмечалось в Заключении 08/2001, ст. 25 Директивы гласит, что передача персональных данных в третью страну за пределами ЕС может происходить только в том случае, если эта страна обеспечивает адекватный уровень защиты. Каким бы ни было правовое основание, передача должна соответствовать положениям Директивы.

Employers are increasingly using cloud-based applications and services, such as those designed for the handling of HR-data as well as online office applications. The use of most of these applications will result in the international transfer of data from and concerning employees. As previously outlined in Opinion 08/2001, Art. 25 of the Directive states that transfers of personal data to a third country outside the EU can take place only where that country ensures an adequate level of protection. Whatever the basis, the transfer should satisfy the provisions of the Directive.

Таким образом, следует обеспечить соблюдение положений, касающихся международной передачи данных. WP29 вновь излагает свою предыдущую позицию, согласно которой предпочтительнее полагаться на надлежащую (адекватную) защиту, а не на исключения, перечисленные в статье 29. Когда обработка основывается на согласии, оно должно быть конкретным, недвусмысленным и свободно предоставляться. Однако следует также обеспечить, чтобы данные, которыми обмениваются за пределами ЕС/ЕЭЗ, и последующий доступ к ним других субъектов в рамках группы, оставались ограниченными до минимума, необходимого для предусмотренных целей.

It should thus be ensured that these provisions concerning the international transfer of data are complied with. WP29 re-states its previous position that it is preferable to rely on adequate protection rather than the derogations listed in Art. 26 of the DPD; where consent is relied on it must be specific, unambiguous and freely-given. However, it should also be ensured that the data shared outside the EU/EEA, and subsequent access by other entities within the group, remains limited to the minimum necessary for the intended purposes.

6. Заключения и рекомендации

6. Conclusions and Recommendation

6.1 Основные права

6.1 Fundamental rights

Содержание вышеуказанных сообщений, а также данные о трафике, относящиеся к этим сообщениям, защищаются в рамках тех же основных прав, что и «аналоговые» сообщения.

The contents of communications above, as well as the traffic data relating to those communications, enjoy the same fundamental rights protections as “analogue” communications.

На электронные сообщения, направляемые из коммерческих помещений, могут распространяться понятия «частная жизнь» и «корреспонденция» по смыслу пункта 1 статьи 8 Европейской конвенции. На основании действующей Директивы о защите данных работодатели могут собирать данные только в законных целях, при этом их обработка осуществляется при соответствующих условиях (например, пропорционально и необходимо, в реальных и текущих интересах, законным, четко сформулированным и прозрачным образом), при наличии правового основания для обработки персональных данных, собранных из электронных сообщений или полученных с помощью электронных сообщений.

Electronic communications made from business premises may be covered by the notions of “private life” and “correspondence” within the meaning of Article 8 paragraph 1 of the European Convention. Based on the current Data Protection Directive employers may only collect the data for legitimate purposes, with the processing taking place under appropriate conditions (e.g., proportionate and necessary, for a real and present interest, in a lawful, articulated and transparent manner), with a legal basis for the processing of personal data collected from or generated through electronic communications.

Тот факт, что работодатель имеет право собственности на электронные средства, не исключает права работников на тайну их сообщений, связанных с ними данных о местонахождении и переписки. Отслеживание местонахождения работников с помощью собственных устройств или устройств, выпущенных компанией, должно быть ограничено теми случаями, когда это строго необходимо для достижения законных целей. Конечно же, в случае с Bring Your Own Device (политика «принесите свое собственное устройство») важно, чтобы сотрудникам была предоставлена возможность оградить свои личные сообщения от любого контроля, связанного с работой.

The fact that an employer has the ownership of the electronic means does not rule out the right of employees to secrecy of their communications, related location data and correspondence. The tracking of the location of employees through their self-owned or company issued devices should be limited to where it is strictly necessary for a legitimate purpose. Certainly, in the case of Bring Your Own Device it is important that employees are given the opportunity to shield their private communications from any work-related monitoring.

6.2 Согласие; легитимный интерес

6.2 Consent; legitimate interest

Работники почти никогда не могут свободно давать, отказывать или отзывать согласие, учитывая зависимость, возникающую в результате отношений между работодателем и работником. Учитывая дисбаланс сил, работники могут давать свободное согласие только в исключительных обстоятельствах, когда никакие последствия не связаны с принятием или отклонением предложения.

Employees are almost never in a position to freely give, refuse or revoke consent, given the dependency that results from the employer/employee relationship. Given the imbalance of power, employees can only give free consent in exceptional circumstances, when no consequences at all are connected to acceptance or rejection of an offer.

На легитимный интерес работодателей иногда можно ссылаться как на правовое основание, но только в том случае, если обработка строго необходима для законной цели, осуществляется в соответствии с принципами соразмерности и субсидиарности. Тест на соразмерность должен быть проведен до внедрения любого инструмента мониторинга для рассмотрения того, все ли данные необходимы, превалирует ли эта обработка над правом на неприкосновенность частной жизни, которыми обладают работники на рабочем месте, и какие меры должны быть приняты для обеспечения того, чтобы посягательства на право на неприкосновенность частной жизни и право на тайну сообщений ограничивались необходимым минимумом данных.

The legitimate interest of employers can sometimes be invoked as a legal ground, but only if the processing is strictly necessary for a legitimate purpose and the processing complies with the principles of proportionality and subsidiarity. A proportionality test should be conducted prior to the deployment of any monitoring tool to consider whether all data are necessary, whether this processing outweighs the general privacy rights that employees also have in the workplace and what measures must be taken to ensure that infringements on the right to private life and the right to secrecy of communications are limited to the minimum necessary.

6.3 Прозрачность

6.3 Transparency

Должна быть обеспечена эффективная коммуникация с сотрудниками относительно любого проводимого мониторинга, его целей и обстоятельств, а также возможностей для сотрудников по предотвращению сбора данных с помощью технологий мониторинга. Политика и правила, касающиеся законного мониторинга, должны быть четкими и легко доступными. Рабочая группа рекомендует привлекать репрезентативную выборку сотрудников к разработке и оценке таких правил и политики, поскольку в большинстве случаев мониторинг может затронуть частную жизнь сотрудников.

Effective communication should be provided to employees concerning any monitoring that takes place, the purposes for this monitoring and the circumstances, as well as possibilities for employees to prevent their data being captured by monitoring technologies. Policies and rules concerning legitimate monitoring must be clear and readily accessible. The Working Party recommends involving a representative sample of employees in the creation and evaluation of such rules and policies as most monitoring has the potential to infringe on the private lives of employees.

6.4 Пропорциональность и минимизация данных

6.4 Proportionality and data minimisation

Обработка данных на рабочем месте должна быть соразмерной реакцией на риски, с которыми сталкивается работодатель. Например, злоупотребление доступом в Интернет может быть обнаружено без анализа содержания сайта. Если злоупотребление может быть предотвращено (например, с помощью веб-фильтров), работодатель не имеет общего права на мониторинг.

Data processing at work must be a proportionate response to the risks faced by an employer. For example, internet misuse can be detected without the necessity of analysing website content. If misuse can be prevented (e.g., by using web filters) the employer has no general right to monitor.

Кроме того, общий запрет на общение по личным причинам является нецелесообразным, и для обеспечения соблюдения этого запрета может потребоваться непропорционально высокий уровень контроля. Предотвращению следует уделять гораздо больше внимания, чем выявлению. Интересам работодателя лучше служит предотвращение неправомерного использования Интернета с помощью технических средств, чем путем расходования ресурсов на выявление неправомерного использования.

Further, a blanket ban on communication for personal reasons is impractical and enforcement may require a level of monitoring that may be disproportionate. Prevention should be given much more weight than detection—the interests of the employer are better served by preventing internet misuse through technical means than by expending resources in detecting misuse.

Информация, регистрируемая в ходе текущего мониторинга, а также информация, показываемая работодателю, должны быть сведены к минимуму. Работники должны иметь возможность временно отключить отслеживание местонахождения, если это оправдано обстоятельствами. Решения, которые, например, позволяют отслеживать транспортные средства, могут быть разработаны таким образом, чтобы регистрировать данные о местоположении без представления их работодателю.

The information registered from the ongoing monitoring, as well as the information that is shown to the employer, should be minimized as much as possible. Employees should have the possibility to temporarily shut off location tracking, if justified by the circumstances. Solutions that for example track vehicles can be designed to register the position data without presenting it to the employer.

Работодатели должны учитывать принцип минимизации данных при принятии решений о внедрении новых технологий. Информация должна храниться в течение минимально необходимого времени с указанным сроком хранения. Когда информация больше не нужна, она должна быть удалена.

Employers must take the principle of data minimisation into account when deciding on the deployment of new technologies. The information should be stored for the minimum amount of time needed with a retention period specified. Whenever information is no longer needed it should be deleted.

6.5 Облачные сервисы, онлайн-приложения и международная передача

6.5 Cloud services, online applications and international transfers

В тех случаях, когда от сотрудников ожидается использование онлайновых приложений, обрабатывающих персональные данные (например, онлайновых офисных приложений), работодатели должны рассмотреть вопрос о предоставлении сотрудникам возможности выделять определенные личные пространства, к которым работодатель может не иметь доступа ни при каких обстоятельствах, например, личную почту или папку для документов.

Where employees are expected to use online applications which process personal data (such as online office applications), employers should consider enabling employees to designate certain private spaces to which the employer may not gain access under any circumstances, such as a private mail or document folder.

Использование большинства приложений в «облаке» приведет к международной передаче данных сотрудников. Следует обеспечить, чтобы персональные данные, передаваемые в третью страну за пределами ЕС, имели место только в том случае, если обеспечен адекватный уровень защиты, а также чтобы данные, совместно используемые за пределами ЕС/ЕЭЗ, и последующий доступ к ним других субъектов внутри группы оставался ограниченным до минимума, необходимого для предусмотренных целей.

The use of most applications in the cloud will result in the international transfer of employee data. It should be ensured that personal data transferred to a third country outside the EU takes place only where an adequate level of protection is ensured and that the data shared outside the EU/EEA and subsequent access by other entities within the group remains limited to the minimum necessary for the intended purposes.