Одним из принципов обработки персональных данных, введенных Законом Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон), выступает принцип законности. Данный принцип подразумевает возможность осуществления обработки персональных данных только при наличии правового основания: согласия или одного из исключений, приведенных в ст. 6 или 8 Закона, когда согласие не требуется.
Рассмотрим некоторые вопросы выбора основания обработки персональных данных работников учреждения.
Размещение информации о работниках на сайте учреждения
ВОПРОС. Требуется ли получение согласия на обработку персональных данных работников при размещении на сайте учреждения их фотографий вместе с фамилиями, именами и другой информацией?
ОТВЕТ. Это зависит от обстоятельств, которые необходимо оценить нанимателю.
Размещение на сайте учреждения фотографий работников с указанием их фамилии, имени, должности, квалификационной характеристики и прочих данных относится к распространению персональных данных.
На практике распространение персональных данных нередко путают с их предоставлением. Сравнение этих двух понятий, закрепленных в ст. 1 Закона, приведено в таблице.
Справочно: распространение и предоставление являются действиями с персональными данными, которые относятся к обработке персональных данных.
Таблица
Сравнение предоставления и распространения персональных данных
Распространение персональных данных (как и любое действие с персональными данными) без согласия субъекта персональных данных (работника учреждения) возможно только в случаях, предусмотренных законодательством.
Распространение персональных данных без согласия может осуществляться:
1) для выполнения требований законодательства.
Например, на сайте государственного органа должны размещаться сведения о руководителе и его заместителях (должность, фамилия, собственное имя, отчество (при наличии), номер служебного телефона) в соответствии со ст. 22-1 Закона Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации»;
2) в процессе трудовой (служебной) деятельности субъекта персональных данных.
Согласно абз. 5 подп. 2.3 п. 2 Рекомендаций Национального центра защиты персональных данных Республики Беларусь об обработке персональных данных в связи с трудовой (служебной) деятельностью от 18.01.2022 (далее — Рекомендации НЦЗПД) размещение фотографии работника на сайте организации в рамках трудовых отношений может быть обусловлено потребностью рационально организовать труд работников, в должностные обязанности которых включено взаимодействие с внешним контуром организации (сотрудники HR-отдела, менеджеры по работе с клиентами и пр.).
Справочно: с Рекомендациями НЦЗПД можно ознакомиться по короткой ссылке bit.ly/3uTuXvW.
Обращаем внимание, что в приведенных случаях правовым основанием обработки является абз. 8 ст. 6 или абз. 3 п. 2 ст. 8 Закона, и получение согласия не требуется.
Таким образом, для того чтобы определить, нужно ли получать согласие работника на размещение информации о нем на сайте учреждения, наниматель в каждом конкретном случае самостоятельно оценивает:
- наличие применимых требований законодательства;
- степень публичности работника, которая требуется ему в силу порученных трудовых обязанностей.
Справочно: в ситуации, когда получать согласие работника не требуется, при ознакомлении работника с поручаемой работой важно заранее проинформировать его о возможности размещения его фотографии на сайте учреждения в информационных целях в рамках трудовых отношений, что обусловлено абз. 8 ст. 6 Закона. Информирование работника может быть осуществлено, например, путем его ознакомления с политикой учреждения в отношении обработки персональных данных, в которой четко указаны перечень распространяемых персональных данных, цель такой обработки и правовое основание.
Организация поездки для работников учреждения
ВОПРОС. Требуется ли получение согласия на обработку персональных данных при сборе профсоюзом сведений о работниках учреждения в целях подготовки корпоративной поездки (бронирование гостиницы, транспорта и т. п.)?
ОТВЕТ. Да, требуется.
В такой ситуации основанием для обработки персональных данных может быть договор с субъектом персональных данных (абз. 15 ст. 6 Закона), или согласие работника — члена профсоюза (п. 3 ст. 4 Закона), или заявление такого работника (абз. 16 ст. 6 Закона).
Оператором признается юридическое лицо Республики Беларусь, самостоятельно или совместно с иными лицами организующее и (или) осуществляющее обработку персональных данных.
Справочно: оператор — государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в т. ч. индивидуальный предприниматель, самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных (абз. 8 ст. 1 Закона).
Исходя из ст. 1 и 2 Закона Республики Беларусь от 22.04.1992 № 1605-XII «О профессиональных союзах», профсоюз — это добровольная общественная организация, объединяющая граждан для защиты трудовых, социально-экономических прав и интересов. При этом профсоюз и его организационные структуры в соответствии с законодательством и их уставами являются юридическими лицами.
Таким образом, профсоюз как юридическое лицо является самостоятельным (отдельным) оператором, который, как и все иные операторы, должен соблюдать требования Закона, в т. ч. получать согласие субъекта персональных данных (если случаи обработки без согласия неприменимы) и предпринимать меры по защите персональных данных, предусмотренные ст. 16 и 17 Закона.
Обработка личной информации, не связанной с трудовой деятельностью
ВОПРОС. Требуется ли получение согласия на обработку личной информации работника, не связанной с исполнением трудовых обязанностей?
ОТВЕТ. Да, требуется.
Согласно подп. 2.6 п. 2 Рекомендаций НЦЗПД обработка персональных данных работника, не связанных с исполнением трудовых обязанностей, не может обосновываться трудовой (служебной) деятельностью, т. е. такие персональные данные не могут обрабатываться без согласия работника на основании абз. 8 ст. 6 и абз. 3 п. 2 ст. 8 Закона.
К личной информации работников относятся (за исключением случаев, когда предоставление нижеперечисленной информации связано с осуществлением трудовой (служебной) деятельности) в т. ч.:
- личный адрес электронной почты;
- аккаунты в социальных сетях;
- религиозные взгляды;
- участие в общественной деятельности;
- сведения о родственниках и др.
Таким образом, для обработки личной информации работника, не связанной с исполнением трудовых обязанностей, требуется получение согласия работника.
Справочно: согласие не всегда обязательно, если обработка не связана с трудовой (служебной) деятельностью. Необходимо рассмотреть возможность применения иных оснований обработки без согласия субъекта персональных данных, предусмотренных ст. 6 и 8 Закона.