Продолжаю разбирать европейское законодательство и рекомендации надзорных органов по вопросам контроля сотрудников на рабочем месте (workng life).
Я уже опубликовал несколько заметок по теме:
- Европейские ценности: Privacy in Working Life - https://80na20.blogspot.com/2019/06/privacy-in-working-life.html
- Европейские ценности: Мониторинг сотрудников и DPI - http://80na20.blogspot.com/2019/07/dpia.html
- Европейские рекомендации по privacy при использовании систем видеонаблюдения - http://80na20.blogspot.com/2019/08/privacy.html
А сегодня их тезисно дополню еще и с учетом разъяснений от финского надзорного органа:
Web-фильтрация
- Запрещено мониторить посещения сайтов сети Интернет, но можно блокировать отдельные сайты / категории сайтов.
DLP
- Любая переписка сотрудников, в том числе с использованием сервиса корпоративной электронной почты, считается конфиденциальной.
- Организация может принять правила и внедрить средства автоматизированной блокировки (без предоставления возможности чтения сообщений), но для этого необходимо произвести оценку баланса интересов (работник и работодатель) и уведомить работников. При этом следует четко обозначить цель такого контроля и обосновать необходимость.
- В ряде случаев (например, при болезни сотрудника и оправданной рабочей необходимости) допускается поиск сообщений по теме/отправителю/получателю и/или просмотр отдельных сообщений почты. Открытие (просмотр) почтовых сообщений допускается только в присутствии свидетелей. По факту поиска и/или открытия сообщений создается отчет с указанием причины, цели, участников и перечня лиц, которые были уведомлены о содержании переписки. Этот отчет должен быть подписан участниками и направлен сотруднику без задержки. После прекращения трудовых отношений сотрудник может потребовать закрытия своего почтового ящика, а дальнейшее его использование возможно только по соглашению с сотрудником.
- Соответственно, использование DLP систем, в которых не реализован принцип «четырех глаз» (four eyes principle) для разграничения доступа к событиям и инцидентам, считается нелегитимным.
CCTV
- Перед использованием камер наблюдения необходимо произвести оценку баланса интересов (работник и работодатель).
- Рекомендуется отказываться от видеонаблюдения при наличии других способов достижения цели.
- Цели мониторинга должны быть документированы для каждой камеры.
- Сотрудники должны быть уведомлены о мониторинге и его целях, при этом цель «для обеспечения безопасности» считается не достаточно конкретной. Рекомендуется сократить до минимума время хранения данных, для хранения более 72 часов уже должны быть веские основания.
Ну, и, в общем, напомню:
- Перед любым мониторингом сотрудников стоит провести DPIA "Data protection impact assessment". Оценка соразмерность (а можем ли мы обойтись другим мерами?) должна быть частью DPIA..
- Сотрудники должны получать полную информацию о мониторинге.
- Правовым основанием для мониторинга данных стоит использовать «легитимный интерес» (а для CCTV это может быть и «общественный интерес»), а вот «согласие» использовать не рекомендуется (мы же помним, что сотрудники могут его отозвать в любой момент).