В Латвии, как и в других государствах-членах ЕС, обработка персональных данных физических лиц регулируется Общим регламентом по защите данных 2016/679 от 25 мая 2018 года (GDPR), далее в тексте – Регламент.
Персональные данные – любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу («субъекту данных»); идентифицируемое физическое лицо – это лицо, которое можно прямо или косвенно идентифицировать, в частности, ссылаясь на идентификатор, такой как имя, идентификационный номер, данные о местоположении, онлайновый идентификатор, либо на один или несколько факторов, характерных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица.
Согласно Регламенту, обработка персональных данных должна осуществляться законно, справедливо и прозрачно, должна быть конкретная и ясная цель обработки данных, данные должны собираться только в том объеме, который необходим для достижения цели.
Также Регламент устанавливает шесть правовых оснований для обработки персональных данных, а именно:
Персональные данные – любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу («субъекту данных»); идентифицируемое физическое лицо – это лицо, которое можно прямо или косвенно идентифицировать, в частности, ссылаясь на идентификатор, такой как имя, идентификационный номер, данные о местоположении, онлайновый идентификатор, либо на один или несколько факторов, характерных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица.
Согласно Регламенту, обработка персональных данных должна осуществляться законно, справедливо и прозрачно, должна быть конкретная и ясная цель обработки данных, данные должны собираться только в том объеме, который необходим для достижения цели.
Также Регламент устанавливает шесть правовых оснований для обработки персональных данных, а именно:
- свободно выраженное согласие субъекта данных,
- исполнение договора,
- реализация нормативного акта,
- защита жизненно важных интересов субъекта данных,
- защита общественных интересов,
- защита законных интересов контролера (лица, осуществляющего обработку данных).
При заключении трудового договора с работником применяется правовое основание, то есть, обработка персональных данных необходима для заключения или обеспечения исполнения договора (подпункт Б пункта 1 статьи 6 Регламента).
Обработка персональных данных работника
Для заключения трудового договора работодателю необходимо получить минимальное количество персональных данных претендента согласно пункту 1 части второй статьи 40 Трудового закона:
Эти данные в трудовом договоре должны быть указаны обязательно!
Кроме того, трудовой договор может содержать оговорку о заработной плате, поэтому для выполнения работодателем своих обязательств по договору путем перечисления заработной платы потребуется информация о банковском счете, а также оговорку о подачи уведомления о расторжении договора по электронной почте, поэтому в договоре будет необходимо вписать адрес электронной почты работника.
- имя, фамилия;
- персональный код;
- адрес места жительства.
Эти данные в трудовом договоре должны быть указаны обязательно!
Кроме того, трудовой договор может содержать оговорку о заработной плате, поэтому для выполнения работодателем своих обязательств по договору путем перечисления заработной платы потребуется информация о банковском счете, а также оговорку о подачи уведомления о расторжении договора по электронной почте, поэтому в договоре будет необходимо вписать адрес электронной почты работника.
Государственная инспекция данных заверяет, что для идентификации работника и внесения необходимых данных в трудовой договор не требуется копирование и хранение удостоверяющих личность документов.
Претенденту необходимо предъявить документ, удостоверяющий личность, а специалисту по персоналу – списать персональные данные, необходимые для заключения трудового договора и подачи данных о работнике в СГД, а именно: имя, фамилию и персональный код.
Отправка копий удостоверяющих документов по э-почте
Как информирует Государственная инспекция данных, отправка по электронной почте удостоверяющих личность документов перед заключением трудового договора не только является обработкой персональных данных без законных на то оснований, но и создаёт риск попадания копий документов в руки третьих лиц и мошенников, ведь электронная почта не является полностью защищённым каналом передачи информации. Злоумышленники могут перехватить письмо, взломать аккаунт отправителя или получателя, либо документы могут быть случайно отправлены не тому адресату из-за человеческой ошибки.
На стадии оформления документов работодателю нужен лишь ваше имя и фамилия и персональный код.
На стадии оформления документов работодателю нужен лишь ваше имя и фамилия и персональный код.
Работодателю нужен номер паспорта?
В зависимости от специфики трудовых отношений могут возникнуть ситуации, когда работодателю действительно необходимы предоставленные паспортные данные, например, если работодатель направляет работника в рабочую поездку или командировку в третьи страны и необходимо подать заявление на получение визы, что осуществляется непосредственно работодателем.
В любой ситуации работник должен обратиться к своему работодателю с просьбой обосновать и объяснить, с какой целью уму необходимы данные, объем которых превышает минимальный необходимый объем для исполнения трудового договора, где и для каких целей они будут использоваться.
В любой ситуации работник должен обратиться к своему работодателю с просьбой обосновать и объяснить, с какой целью уму необходимы данные, объем которых превышает минимальный необходимый объем для исполнения трудового договора, где и для каких целей они будут использоваться.
Информирование о факте беременности
Информация о беременности в понимании Регулы может рассматриваться как обработка персональных данных, связанных со здоровьем, которые относятся к категории персональных данных особой категории. Соответственно обработка такой информации допустима только с согласия работницы.
Передача таких данных третьим лицам без согласия недопустима, исключением может быть крайняя необходимость разглашение этих данных для обеспечения безопасных для работницы условий труда. В данном случае стороны трудовых отношений могут договориться о том, может ли работодатель разглашать информацию о беременности внутри коллектива, или же работница сама сообщит об этом факте своим коллегам.
Передача таких данных третьим лицам без согласия недопустима, исключением может быть крайняя необходимость разглашение этих данных для обеспечения безопасных для работницы условий труда. В данном случае стороны трудовых отношений могут договориться о том, может ли работодатель разглашать информацию о беременности внутри коллектива, или же работница сама сообщит об этом факте своим коллегам.
Обработка данных после прекращения трудовых отношений
Работник уволен пол года назад, а его персональные данные всё ещё в общем доступе на вэб-сайте работодателя. Клиенты, в свою очередь, продолжают посылать письма на рабочий адрес э-почты, в котором указаны имя и фамилия работника. Как долго работодатель может обрабатывать такие данные?
Работодатель на основании своих законных интересов имеет право поддерживать активным адрес электронной почты бывшего работника в течение определённого периода времени с целью обеспечения непрерывной связи с клиентами и доступа к информации, необходимой для деятельности компании. Однако работодатель обязан чётко определить срок действия адреса э-почты работника и прописать эту информацию во внутренних нормативных актах, а так же ознакомить с этими положениями всех сотрудников.
Касательно персональных данных, публикуемых на сайте работодателя, следует учесть, что с прекращением трудовых отношений у работодателя больше не имеется законного основания обрабатывать данные, путем их публикации на вэб-сайте, поэтому работодателю следует незамедлительно их удалить.
Работодатель на основании своих законных интересов имеет право поддерживать активным адрес электронной почты бывшего работника в течение определённого периода времени с целью обеспечения непрерывной связи с клиентами и доступа к информации, необходимой для деятельности компании. Однако работодатель обязан чётко определить срок действия адреса э-почты работника и прописать эту информацию во внутренних нормативных актах, а так же ознакомить с этими положениями всех сотрудников.
Касательно персональных данных, публикуемых на сайте работодателя, следует учесть, что с прекращением трудовых отношений у работодателя больше не имеется законного основания обрабатывать данные, путем их публикации на вэб-сайте, поэтому работодателю следует незамедлительно их удалить.
Работодатель продолжает обрабатывать данные. Что делать?
Если по прекращению трудовых отношений работодатель продолжает обрабатывать персональные данные без законного на то основания, работник вправе запросить объяснение и прекращение обработки данных. Если работодатель не реагирует на запросы, работник вправе подать жалобу в Государственную инспекцию данных.