Крупные международные компании часто проводят внутренние проверки, чтобы убедиться в том, что компания не подвержена рискам и работает как слаженный механизм. В последнее время распространенными стали внутрикорпоративные расследования относительно сотрудников, в том числе относительно соблюдения требований Foreign Corrupt Practices Act (FCPA). В контексте таких расследований всегда возникают вопросы соблюдения баланса между полнотой анализа информации и защитой персональных данных сотрудников. В данной статье мы попытаемся кратко проанализировать возможные риски, связанные с этим, и инструменты управления такими рисками.
Украинское законодательство о защите персональных данных исходит из того, что любая обработка персональных данных возможна только после предоставления сотрудником согласия на нее. Поскольку законодательство не устанавливает форму такого согласия, компании применяют очень разные подходы к подготовке согласий. Как показывает практика, существуют несколько важных моментов, использование которых может помочь компании предотвратить или минимизировать риски, связанные с обработкой персональных данных сотрудников.
Получение согласия
Согласно статье 2 Закона Украины «О защите персональных данных» (Закон), согласием субъекта персональных данных является любое документированное, в частности письменное, добровольное волеизъявление о предоставлении разрешения на обработку персональных данных согласно сформулированной цели их обработки.
Эта формулировка достаточно широка и может включать различные виды документов: анкету, оговорку в договоре, приложение к договору, специально разработанную компанией форму и т.д. Согласие также может предоставляться в виде электронного письма (обязательно подписанного сертифицированной электронной подписью субъекта персональных данных).
На Украине действуют Типовой порядок обработки персональных данных (Порядок), которым предусмотрен детальный порядок действий с персональными данными, а также примерное содержание согласия сотрудника. Несмотря на то что Порядок носит рекомендательный характер, на практике при получении согласия сотрудника используют критерии Порядка, а именно — согласие должно включать:
— исчерпывающий перечень персональных данных, которые будут обрабатываться;
— перечень третьих лиц, которым разрешается передача персональных данных, цель такой передачи и ее основания;
— срок хранения персональных данных;
— условия, при которых сотрудник может отозвать свое согласие на обработку персональных данных.
Как правило, при трудоустройстве сотрудника компания формулирует перечень персональных данных, которые могут обрабатываться, а также другие пункты согласия сотрудника достаточно широко, но без учета возможного внутрикорпоративного расследования. Поэтому часто при инициировании такого расследования работодатель должен получить новое, более широкое согласие сотрудника или принять риски, связанные с возможным нарушением законодательства о защите персональных данных. Более того, зачастую, когда сотрудникузнает, что против него ведется внутрикорпоративное расследование, получение широкого согласия на обработку персональных данных становится почти невозможным.
В этой связи мы рекомендуем в момент трудоустройства сотрудника требовать у него максимально широкого согласия на обработку персональных данных, включающего такие данные, методы и цели обработки, которые позволят в будущем проводить внутрикорпоративные расследования, опираясь наданное согласие.
Трансграничная передача
Этот вопрос актуален для международных компаний с офисами на Украине. Несмотря на то что сотрудники трудоустроены в украинском офисе, очень часто именно центральный офис за границей является владельцем/распорядителем персональных данных. Более того, в случае внутрикорпоративных расследований, как правило, информацию анализируют вне территории Украины.
Согласно статье 29 Закона, основаниями для трансграничной передачи персональных данных могут быть:
— предоставление сотрудником однозначного согласия на такую передачу;
— необходимость заключения договора между работодателем и третьим лицом в пользу сотрудника;
— необходимость защиты жизненно важных интересов сотрудника;
— необходимость защиты общественного интереса.
Очевидно, что на практике компании могут положиться только на первый пункт (однозначное согласие). Поэтому очень важно обеспечить согласие сотрудника, содержащее положение о согласии на передачу персональных данных за границу, в частности материнской компании, ее аудиторам, юристам и другим консультантам, а также органам государственной власти, в том числе и в случае проведения расследования. Если существует возможность конкретизиро-
широкое согласие сотрудника
вать данный перечень, мы настоятельно рекомендуем сделать его максимально подробным.
В соответствии с Законом трансграничная передача персональных данных разрешается только в те страны, которые, согласно своему законодательству или международным договорам с Украиной, обеспечивают надлежащий уровень защиты персональных данных. Такими странами являются:
— страны — участницы Европейского экономического пространства;
— страны — подписанты Конвенции Совета Европы о защите лиц в связи с автоматизированной обработкой персональных данных;
— страны, включенные в соответствующий перечень Кабинета Министров Украины (такой перечень пока не был разработан).
В перечне вышеуказанных стран отсутствуют в том числе США, и передача персональных данных сотрудника из украинского офиса в штаб-квартиру в США запрещена. Временное разрешение ситуации предложила Государственная служба Украины по вопросам защиты персональных данных (Служба) в письме № 10/2306-13 от 3 сентября 2013 года, в котором указано, что надлежащий уровень защиты персональных данных сотрудника может быть обеспечен путем заключения договора о защите персональных данных между украинским и американским офисами. Форма такого договора была разработана Американской торговой палатой и одобрена Службой.
Однако, учитывая то, что положения Закона остались без изменений, а также то, что этот модельный договор был разработан с учетом договора Safe Harbour между США, ЕС и Швейцарией, который был отменен осенью 2015 года, нет уверенности в том, насколько наличие такого договора устраняет риски, связанные с передачей персональных данных в США. В то же время использование модельного договора достаточно распространено на практике.
Риски и их устранение
В рамках внутрикорпоративных расследований типичными проблемами при обработке персональных данных могут стать анализ корреспонденции сотрудника (почтовой и электронной), анализ телефонных звонков и т.д. Корреспонденция и телефонные звонки сотрудников могут содержать данные о лицах, не связанных трудовыми отношениями с компанией, что может рассматриваться как вмешательство в частную жизнь. Это может негативно сказаться на репутации компании, а также повлечь за собой гражданскую, административную и уголовную ответственность. Риски наложения штрафов и привлечения к ответственности должностных лиц существуют, но, как показывает практика, санкции, предусмотренные законодательством, применяются редко.
Для проведения анализа корреспонденции сотрудника без вмешательства в частную жизнь третьих лиц рекомендуем применять специальные технологии шифрования информации — это поможет осуществить расследование без нарушения прав третьих лиц.
Например, лицо, уполномоченное в компании на обработку персональных данных, присваивает каждому сотруднику индивидуальный код. В случае необходимости проведения внутрикорпоративного расследования работодатель (или консультант, который проводит расследование), имея доступ к корпоративной почте и телефонам сотрудников, запрашивает необходимую информацию по интересующим его критериям. Получая такую информацию, работодатель (или консультант) видит только коды сотрудников, таким образом, он не может идентифицировать стороны корреспонденции и не нарушает их права.
Только после фильтрования информации, усмотрев основания для начала расследования, работодатель (или консультант) определяет необходимые коды и запрашивает отдельное согласие на обработку персональных данных. Таким образом, работодатель максимально защищает права других сотрудников и третьих лиц, а также имеет возможность получить максимально объективные результаты поиска, который осуществлялся без привязки к конкретному сотруднику.
В заключение
С точки зрения защиты персональных данных, ключевым аспектом в рамках внутрикорпоративного расследования является соблюдение процедуры получения согласия сотрудника на обработку и передачу (при необходимости) персональных данных, а также избежание нарушения прав третьих лиц.
Важно отметить, что проект Трудового кодекса Украины, который уже принят в первом чтении, должен детально регулировать вопросы применения технических средств для контроля за выполнением сотрудниками своих обязанностей, в том числе получения доступа к корпоративной почте, аудио- и видеонаблюдению, но во всех случаях — с обязательным уведомлением сотрудника.
ЗАРЕМБА Юрий — юрист ЮФ AVELLUM, г. Киев,
ГУМЕНЧУК Андрей — юрист ЮФ AVELLUM, г. Киев
© Юридична практика, 1997-2024. Всі права захищені
Кількість адвокатських балів | Вартість |
---|---|
Відеокурс з адвокатської етики | 650 грн |
10 адвокатських балів (включаючи 2 бали за курс з адвокатської етики) | 2200 грн |
16 адвокатських балів (включаючи 2 бали за курс з адвокатської етики) | 3500 грн |
8 адвокатських балів (без адвокатської етики) | 1800 грн |
Щодо додаткової інформації
Email: [email protected]
Тел. +38 (050) 449-01-09
Пожалуйста, подождите…