Доверие - это хорошо, контроль - лучше, у некоторых работодателей эта идея глубоко укоренилась. Во многих отчетах о деятельности, проводимых надзорными органами по защите данных, бывают случаи, когда работодатель слишком глубоко проникал в частную жизнь сотрудников, будь то посредством тайного видеонаблюдения, несанкционированного определения местонахождения сотрудников или чтения цифровой корреспонденции. Как показывают недавние решения, используются даже клавиатурные шпионы, которые регистрируют нажатия клавиш на компьютере (Хаммский региональный трудовой суд, 16 Sa 1711/15).
С другой стороны, исследования по информационной безопасности неоднократно утверждают, что внутри преступники представляют высокий риск. Компании должны защищать себя от этого риска посредством инсайдерских атак. Таким образом, должна быть возможность обнаружить нарушение сотрудниками. Данные сотрудника могут не быть табу для работодателя по другим, очень простым причинам, данные сотрудника необходимы, например, чтобы иметь возможность правильно выполнять расчет заработной платы и выплату страховых взносов.
Поэтому работодатели имеют законный интерес в хранении и использовании определенных (!) Личных данных своих сотрудников, но полная прозрачность сотрудников путем регистрации всей их деятельности в компании запрещена. Действующий Федеральный закон о защите данных (BDSG) гласит в § 32:
Личные данные работника могут быть собраны, обработаны или использованы для целей трудовых отношений, если это необходимо для принятия решения об установлении трудовых отношений или после того, как трудовые отношения были установлены для их реализации или прекращения.
Это включает, например, обработку данных заявителя и расчет заработной платы. Защита данных также обеспечивает защиту от рисков со стороны внутренних исполнителей, но делает это в этом отношении:
Личные данные работника могут быть собраны, обработаны или использованы для выявления уголовных преступлений, только если фактические данные свидетельствуют о том, что работник совершил уголовное преступление, сбор, обработка или использование необходимы для обнаружения и того, что заслуживает защиты Заинтересованность работника в исключении сбора, обработки или использования не перевешивает, в частности тип и масштабы в связи с случаем не являются несоразмерными.
Поэтому беспричинное наблюдение без конкретной, документированной ссылки, в смысле общего подозрения в отношении работников, запрещено. Так что с «Доверие это хорошо, а контроль лучше» не так просто.
Общее положение о защите данных (GDPR): акцент на согласие
Новый Федеральный закон о защите данных (BDSG-new), который, в частности, оживит вступительные положения Общего регламента о защите данных (GDPR), также содержит положения о защите данных работников. Существует большое сходство между действующим и новым BDSG. Недавно упоминается, что персональные данные работников могут также обрабатываться для целей трудовых отношений, если это необходимо для реализации или выполнения прав и обязанностей интересов работников, вытекающих из закона, коллективного договора или соглашения с компанией.
BDSG-new уделяет особое внимание предмету согласия. Как известно, (информированное) согласие является одной из центральных основ законности обработки персональных данных. Однако эксперты по защите данных годами указывали на то, что добровольное трудоустройство часто рассматривается иначе, чем в других случаях согласия.
В трудовых отношениях заинтересованное лицо может испытывать чувство зависимости от работодателя или, возможно, давление с согласия, так что, по словам сотрудников службы защиты данных, нельзя принять полностью добровольное согласие. BDSG-new или обоснование закона видят добровольность, если заинтересованное лицо может получить преимущества через согласие (например, частное использование информационных технологий компании) или если работодатели и работники преследуют одинаковые интересы в соответствующем вопросе, то есть не только работодатель или в основном выиграл.
Типичные проблемные области, такие как частное использование ИТ на рабочем месте
Как это принято во многих законах, BDSG или BDSG-new не касаются особых случаев трудоустройства, таких как использование Интернета на рабочем месте. Компании будут получать руководящие указания и указания от надзорных органов, а в будущем - от Европейского комитета по защите данных, в задачи которого входит, среди прочего, публикация руководств, рекомендаций и передовых методов защиты данных. Например, органы по надзору за защитой данных могут предоставить рекомендации по частному использованию электронной почты и Интернета на работе. Соответствующие публикации также могут быть найдены на допустимой области регистрации.
Принципы защиты данных также для работодателей
Основным критерием является то, что работодатель может собирать и обрабатывать только те персональные данные, которые действительно необходимы работодателю. Принципы защиты данных, упомянутые в Общем регламенте о защите данных, также применяются к работодателям:
- Законность, добросовестность, прозрачность
- Целевое
- Минимизация данных (экономия данных)
- точность
- Ограничение памяти
- Честность и конфиденциальность
- Подотчетность (проверка допустимости обработки, особенно письменное согласие)
Эта статья впервые появилась на нашем партнерском портале Security Insider.