Недавно для осуществления правового анализа прислали договор аренды между двумя юридическими лицами, два раздела которого были посвящены вопросу защиты персональных данных. Суть сводилась к следующему: обе стороны гарантируют, что какие-либо персональные данные о любых физических лицах, которые будут переданы ими друг другу в процессе выполнения договора, были или будут получены, а также находятся в пользовании на законных основаниях; лица, чьи персональные данные находятся в пользовании, к данным которых может быть получен доступ, а также лица, которые подписывают договор, уведомлены о возможности обработки их персональных данных, знают о целях и основаниях такой обработки и о том, кто будет ее осуществлять, а также дают свое согласие на это.

Отметить два момента

Первый. Наконец-то наступило время, когда не только банки, финансовые учреждения, компании в сферах IT, е-commerce, медиа, авиа, туризма и медицины вспоминают о защите персональных данных. Откровенно говоря, отечественный путь к этому был длинным, и наверное, если бы не нашумевшие EU-US Privacy Shield, GDPR (General Data Protection Regulation), CCPA (California Consumer Privacy Act), ужесточившиеся требования к комплаенсу в сфере защиты данных, а также несколько громких международных скандалов, которые повлекли за собой весьма внушительные денежные санкции (по сравнению с прямыми санкциями, предусмотренными национальным законодательством), большая часть бизнеса возвращалась бы к вопросу о защите персональных данных лишь в отдельных случаях. Здесь, пожалуй, стоит сделать оговорку относительно особенностей менталитета, ведь мало кто в Украине задумывается о том, что каждый имеет право на уважение к своей частной жизни (согласно статье 8 Конвенции о защите прав человека и основоположных свобод (Конвенция) и Конституции Украины право на приватность гарантировано каждому человеку, и, как следствие, защита персональных данных — это одна из сфер такой гарантии).

Второй. Среди основных норм международных актов в сфере защиты персональных данных фигурируют положения о том, что субъект данных должен в максимально точной, простой и доступной форме быть уведомлен о следующем: какое согласие он должен предоставить, какие его данные собирают, кто конкретно это делает и зачем все это нужно. Пункты анализируемого документа мне стали понятны после того, как я их перечитала и разделила каждое предложение на отдельные строчки. То есть шаги в светлое правовое будущее делаются, работать есть над чем, но, к сожалению, в центре внимания все так же остается желание просто что-то сделать, просто вписать все подряд, подписать всего побольше и таким образом себя защитить. Но так компании делают только хуже, ведь становится понятно, что как минимум конкретные цели, для которых будут использоваться данные, не обозначены, а принцип минимизации данных вовсе забыт.

В чем разница?

О различиях между перечисленными выше нормативными документами написаны сотни статей, и в целом круг лиц, предмет регулирования и территория применения более или менее понятны, но вопросы все же остаются. Очень коротко о территориальной сфере: GDPR распространяется на обработку персональных данных контролером или оператором, который зарегистрирован на территории ЕС, а также тем, который зарегистрирован вне ЕС, но обрабатывает данные лиц, находящихся на территории ЕС. CCPA распространяется на компании, которые ведут деятельность с целью получения дохода в Калифорнии. На EU-US Privacy Shield и Законе Украины «О Защите персональных данных» (Закон) не останавливаемся. Кстати, в связи с тем, что вопросы все же есть, востребованными в бизнес-сегменте стали сотрудники (чаще всего команда из программиста, юриста и специалиста в сфере менеджмента), в обязанности которых входит налаживание и контроль процессов относительно защиты персональных данных.

Пусть о защите персональных данных думают все, только не мы? Думать необходимо всем и вести свою деятельность в соответствии с законом, не собирая множество бумаг и не прописывая сложные предложения, например, в том же трудовом договоре. Понятно, что существует много возможностей ощутить на себе действие указанных актов, но в то же время в каждой конкретной ситуации стоит анализировать, какие именно действия подпадают под регулирование законодательства о персональных данных.

В сфере трудовых отношений

Например, если предприятие точно не соприкасается с GDPR, то подход к работе в направлении кадровой политики выработан. Так, в соответствии с национальным законодательством согласие на обработку персональных данных получать не нужно, если персональные данные сотрудников работодатель использует для исполнения своих обязанностей в сфере трудовых отношений. Также не нужно получать согласие, если работы выполняются на основании гражданско-правовых договоров, ведь в таком случае основанием для обработки персональных данных будет подписание и выполнение договора субъектом персональных данных. В то же время согласие необходимо при обработке персональных данных, касающихся расового или этнического происхождения, политических, религиозных или мировоззренческих убеждений, состояния здоровья и других данных, предусмотренных частью 1 статьи 7 Закона. Кроме того, если компания обрабатывает перечисленные в указанной статье данные, существует обязанность уведомить об этом Уполномоченного Верховной Рады Украины по правам человека (Уполномоченный). Но опять же, если компания работает с «чувствительными» данными, чтобы обеспечить права сотрудников или исполнить обязанности работодателя, уведомлять Уполномоченного не нужно. Вместе с тем не стоит забывать о таком документе, как обязательство о неразглашении персональных данных, который должен подписать сотрудник, имеющий дело с персональными данными других лиц. И конечно же, следует обратить внимание на положение о защите персональных данных, которым регламентируется, каким образом компания реализовывает нормы Закона. Среди распространенных случаев, когда украинские компании, напрямую не подпадающие под GDPR, обязаны соблюдать его требования (разумеется, в том числе и их кадровые службы), является сотрудничество с юридическим лицом, обязанным соблюдать GDPR, — в таком случае контрагент просто будет вынужден требовать того же от украинского партнера. Другие классические примеры — международные компании, а также те, у которых есть представительства в ЕС.

Судебная практика

Вот несколько примеров из практики Европейского суда по правам человека (ЕСПЧ) в контексте защиты персональных данных в сфере трудовых отношений. Решением Европейского суда по правам человека по делу «Суриков против Украины» (жалоба № 42788/06) Украина была признана виновной в нарушении права на уважение частной и семейной жизни и права на справедливый суд в связи с тем, что национальное законодательство позволяло работодателю хранить данные относительно здоровья заявителя (сотрудника) в течение длительного срока, а также разрешало обнародовать и использовать их с целью, которая не совпадала с первоначальной, что является непропорциональным вмешательством в право заявителя на уважение частной жизни. Другими примерами из практики ЕСПЧ являются хорошо известные кейсы «Барбулеску против Румынии» (жалоба № 61496/08) касательно решения частной компании об увольнении сотрудника после осуществления мониторинга его электронных сообщений (Суд посчитал, что имело место нарушение статьи 8 Конвенции); «Колланд против Соединенного Королевства» (жалоба № 62617/00). Суть дела: телефон, электронная почта заявительницы и использование ею интернета контролировались со стороны работодателя. Суд постановил, что в этом деле также была нарушена статья 8 Конвенции. Что касается видеонаблюдения на рабочем месте, ЕСПЧ определил, что видеонаблюдение за сотрудником на рабочем месте является значительным вмешательством в частную жизнь и может иметь место только в случае соответствия законодательству, наличия легитимной цели и при условии необходимости в демократическом обществе (из дела «Антонович и Миркович против Черногории» (жалоба № 70838/13). Поэтому, устанавливая видеонаблюдение за сотрудниками, убедитесь, что вы можете доказать, что это делается с разумной целью, вы надлежащим образом уведомили об этом персонал и внесли соответствующий пункт в правила внутреннего трудового распорядка.

С введением карантина и даже после его окончания, предполагаю, многое в повседневной жизни поменяется. Все чаще будут приниматься решения о переходе на дистанционную работу, при этом будут расти требования к комплаенсу и регулированию вопросов защиты персональных данных. Хотелось бы отметить, что независимо от того, каким нормативно-правовым актом регулируется деятельность компании в этом направлении, в основе лежит не стремление собрать множество бумаг в надежде уберечь себя от нарушений, а осознанный подход к регулированию вопроса защиты персональных данных.

ГРИЩЕНКО Ольга — адвокат практики корпоративного права и М&А АО MORIS GROUP, г. Киев