Крупные международные компании часто проводят внутренние проверки, чтобы убедиться в том, что компания не подвержена рискам и работает как слажен­ный механизм. В последнее время распро­страненными стали внутрикорпоративные расследования относительно сотрудников, в том числе относительно соблюдения требований Foreign Corrupt Practices Act (FCPA). В контексте таких расследований всегда возникают вопросы соблюдения баланса между полнотой анализа инфор­мации и защитой персональных данных сотрудников. В данной статье мы попыта­емся кратко проанализировать возможные риски, связанные с этим, и инструменты управления такими рисками.

Украинское законодательство о защите персональных данных исходит из того, что любая обработка персональных данных возможна только после предоставления сотрудником согласия на нее. Поскольку законодательство не устанавливает форму такого согласия, компании применяют очень разные подходы к подготовке согла­сий. Как показывает практика, существуют несколько важных моментов, использо­вание которых может помочь компании предотвратить или минимизировать риски, связанные с обработкой персональных данных сотрудников.

 

Получение согласия

Согласно статье 2 Закона Украины «О защите персональных данных» (Закон), согласием субъекта персональных дан­ных является любое документированное, в частности письменное, добровольное волеизъявление о предоставлении разре­шения на обработку персональных дан­ных согласно сформулированной цели их обработки.

Эта формулировка достаточно широка и может включать различные виды докумен­тов: анкету, оговорку в договоре, приложе­ние к договору, специально разработанную компанией форму и т.д. Согласие также может предоставляться в виде электронного письма (обязательно подписанного сер­тифицированной электронной подписью субъекта персональных данных).

На Украине действуют Типовой поря­док обработки персональных данных (Порядок), которым предусмотрен деталь­ный порядок действий с персональными данными, а также примерное содержание согласия сотрудника. Несмотря на то что Порядок носит рекомендательный харак­тер, на практике при получении согла­сия сотрудника используют критерии Порядка, а именно — согласие должно включать:

— исчерпывающий перечень персо­нальных данных, которые будут обраба­тываться;

— перечень третьих лиц, которым раз­решается передача персональных данных, цель такой передачи и ее основания;

— срок хранения персональных данных;

— условия, при которых сотрудник может отозвать свое согласие на обработку персональных данных.

Как правило, при трудоустройстве сотрудника компания формулирует перечень персональных данных, которые могут обра­батываться, а также другие пункты согласия сотрудника достаточно широко, но без учета возможного внутрикорпоративного рассле­дования. Поэтому часто при инициировании такого расследования работодатель должен получить новое, более широкое согласие сотрудника или принять риски, связанные с возможным нарушением законодательства о защите персональных данных. Более того, зачастую, когда сотрудникузнает, что против него ведется внутрикорпоративное рассле­дование, получение широкого согласия на обработку персональных данных становится почти невозможным.

В этой связи мы рекомендуем в момент трудоустройства сотрудника требовать у него максимально широкого согласия на обработку персональных данных, вклю­чающего такие данные, методы и цели обработки, которые позволят в будущем проводить внутрикорпоративные рассле­дования, опираясь наданное согласие.

 

Трансграничная передача

Этот вопрос актуален для междуна­родных компаний с офисами на Украине. Несмотря на то что сотрудники трудоуст­роены в украинском офисе, очень часто именно центральный офис за границей является владельцем/распорядителем пер­сональных данных. Более того, в случае внутрикорпоративных расследований, как правило, информацию анализируют вне территории Украины.

Согласно статье 29 Закона, основа­ниями для трансграничной передачи пер­сональных данных могут быть:

—  предоставление сотрудником одно­значного согласия на такую передачу;

—  необходимость заключения договора между работодателем и третьим лицом в пользу сотрудника;

—  необходимость защиты жизненно важных интересов сотрудника;

— необходимость защиты обществен­ного интереса.

Очевидно, что на практике компа­нии могут положиться только на первый пункт (однозначное согласие). Поэтому очень важно обеспечить согласие сотруд­ника, содержащее положение о согласии на передачу персональных данных за границу, в частности материнской ком­пании, ее аудиторам, юристам и другим консультантам, а также органам госу­дарственной власти, в том числе и в случае проведения расследования. Если существует возможность конкретизиро-

широкое согласие сотрудника

вать данный перечень, мы настоятельно рекомендуем сделать его максимально подробным.

В соответствии с Законом трансгра­ничная передача персональных данных разрешается только в те страны, кото­рые, согласно своему законодательству или международным договорам с Украи­ной, обеспечивают надлежащий уровень защиты персональных данных. Такими странами являются:

—  страны — участницы Европейского экономического пространства;

—  страны — подписанты Конвенции Совета Европы о защите лиц в связи с авто­матизированной обработкой персональных данных;

—  страны, включенные в соответст­вующий перечень Кабинета Министров Украины (такой перечень пока не был разработан).

В перечне вышеуказанных стран отсутствуют в том числе США, и пере­дача персональных данных сотрудника из украинского офиса в штаб-квартиру в США запрещена. Временное разрешение ситуации предложила Государственная служба Украины по вопросам защиты персональных данных (Служба) в письме № 10/2306-13 от 3 сентября 2013 года, в котором указано, что надлежащий уровень защиты персональных данных сотрудника может быть обеспечен путем заключения договора о защите персональных данных между украинским и американским офи­сами. Форма такого договора была разра­ботана Американской торговой палатой и одобрена Службой.

Однако, учитывая то, что положения Закона остались без изменений, а также то, что этот модельный договор был раз­работан с учетом договора Safe Harbour между США, ЕС и Швейцарией, который был отменен осенью 2015 года, нет уве­ренности в том, насколько наличие такого договора устраняет риски, связанные с передачей персональных данных в США. В то же время использование модельного договора достаточно распространено на практике.

 

Риски и их устранение

В рамках внутрикорпоративных рас­следований типичными проблемами при обработке персональных данных могут стать анализ корреспонденции сотрудника (почтовой и электронной), анализ теле­фонных звонков и т.д. Корреспонденция и телефонные звонки сотрудников могут содержать данные о лицах, не связанных трудовыми отношениями с компанией, что может рассматриваться как вмешательство в частную жизнь. Это может негативно сказаться на репутации компании, а также повлечь за собой гражданскую, админист­ративную и уголовную ответственность. Риски наложения штрафов и привлече­ния к ответственности должностных лиц существуют, но, как показывает практика, санкции, предусмотренные законодатель­ством, применяются редко.

Для проведения анализа корреспон­денции сотрудника без вмешательства в частную жизнь третьих лиц рекомен­дуем применять специальные технологии шифрования информации — это поможет осуществить расследование без нарушения прав третьих лиц.

Например, лицо, уполномоченное в компании на обработку персональных данных, присваивает каждому сотруднику индивидуальный код. В случае необходи­мости проведения внутрикорпоративного расследования работодатель (или кон­сультант, который проводит расследова­ние), имея доступ к корпоративной почте и телефонам сотрудников, запрашивает необходимую информацию по интересую­щим его критериям. Получая такую инфор­мацию, работодатель (или консультант) видит только коды сотрудников, таким образом, он не может идентифицировать стороны корреспонденции и не нарушает их права.

Только после фильтрования инфор­мации, усмотрев основания для начала расследования, работодатель (или кон­сультант) определяет необходимые коды и запрашивает отдельное согласие на обра­ботку персональных данных. Таким обра­зом, работодатель максимально защищает права других сотрудников и третьих лиц, а также имеет возможность получить мак­симально объективные результаты поиска, который осуществлялся без привязки к конкретному сотруднику.

 

В заключение

С точки зрения защиты персональных данных, ключевым аспектом в рамках внутрикорпоративного расследования является соблюдение процедуры получе­ния согласия сотрудника на обработку и передачу (при необходимости) персональ­ных данных, а также избежание нарушения прав третьих лиц.

Важно отметить, что проект Трудового кодекса Украины, который уже принят в первом чтении, должен детально регули­ровать вопросы применения технических средств для контроля за выполнением сотрудниками своих обязанностей, в том числе получения доступа к корпоративной почте, аудио- и видеонаблюдению, но во всех случаях — с обязательным уведомле­нием сотрудника.

ЗАРЕМБА Юрий — юрист ЮФ AVELLUM, г. Киев,

ГУМЕНЧУК Андрей — юрист ЮФ AVELLUM, г. Киев