Согласно Указу Мэра Москвы № 68-УМ от 08 июня 2020 года с 9 июня начиналось поэтапное снятие ограничений, связанных с распространением короновирусной инфекции, в том числе возвращение к работе большого количества организаций.
Так, с 16 июня 2020 года возобновить работу смогли организации и индивидуальные предприниматели, осуществляющие операции с недвижимым имуществом, деятельность в области аренды, лизинга, права, бухгалтерского учета и т.д.
В настоящем информационном письме рассматриваются дополнительные обязанности для работодателей, связанные с обработкой персональных данных работников.
С 12 мая 2020 г. Указ Мэра Москвы № 55-УМ от 07 мая 2020 г. («Указ Мэра») возложил на работодателей ряд новых обязанностей, которые подразумевают расширение объема обрабатываемых персональных данных.
Согласно Указу Мэра работодатели, среди прочего, обязаны обеспечить:
исследование на предмет наличия COVID-19 не менее 10% работников, находящихся на территории работодателя (с 1 июня и далее - каждые 15 дней);
забор крови работников для исследования на «антитела» COVID-19;
обеспечить измерение температуры работников каждые 4 часа.
Сведения о здоровье человека относятся российским законодательством к специальной категории персональных данных, что возлагает на работодателей ряд дополнительных требований.
Исполнение возложенных на работодателя обязанностей по сбору персональных данных о здоровье работников должно осуществляться в соответствии с действующим законодательством. Это означает, что работодателю следует предпринять следующий комплекс мер:
Прежде всего, необходимо обеспечивать надлежащие правовые основания для обработки персональных данных работников. Согласно трудовому законодательству данные о состоянии здоровья работников могут обрабатываться в объеме, необходимом для оценки возможности выполнения ими своих трудовых обязанностей. При этом Закон о персональных данных, по общему правилу, требует получения письменного согласия для обоснования обработки таких данных.
Документы, регламентирующие обработку персональных данных, должны отражать все категории персональных данных, которые фактически обрабатываются работодателем.
Иными словами, если для соблюдения эпидемиологических требований работодатель начал обрабатывать специальные категории персональных данных, которые ранее не были предусмотрены внутренними политиками, требуется уточнить политики и довести их до сведения работников.
Компании, осуществляющие обработку персональных данных, обязаны направить уведомление в Роскомнадзор, где в том числе указать категории персональных данных, которые требуется обрабатывать.
В связи с обработкой новых категорий данных, требуется проверить соответствие ранее поданного уведомления и, в случае необходимости, внести изменения, отражающие новые процессы.
При обработке специальных категорий персональных данных важно соблюдать иные требования, предъявляемые законодательством к обработке таких данных (в том числе незамедлительное прекращение обработки, если устранены причины, вследствие которых она осуществлялась).
Европейский совет по защите данных («Совет») опубликовал разъяснения об обработке персональных данных в связи с распространением COVID-19. При определении правовых оснований обработки Совет ссылается на осуществление обработки для общественно значимых целей в сфере здравоохранения, защиту жизненно важных интересов и выполнение возложенных законом обязанностей.
Однако компании, на которые одновременно распространяются требования российского и европейского законодательства, должны дополнительно убедиться, что наличие правового основания для обработки персональных данных работников согласно европейскому законодательству будет также соответствовать положениям российского законодательства.
В связи с наличием риска «второй волны» распространения коронавирусной инфекции и восстановления режима самоизоляции в документах, регламентирующих обработку персональных данных в организации, требуется предусмотреть возможность обработки специальных категорий персональных данных. Применение программ социального мониторинга также может напрямую повлиять на возможность работников присутствовать на рабочем месте, а также на процессы обработки данных работодателями, которые должны быть учтены во внутренней документации компаний.
Таким образом, несмотря на тенденцию к постепенному снятию режима ограничений, в настоящий момент обработка персональных данных работников осуществляется в расширенном объеме. В этой связи от работодателей требуется дополнительное внимание к вопросам соблюдения законодательства о персональных данных в этот период.
Надеемся, предоставленная информация окажется для вас полезной. Если вы или кто-то из ваших коллег хотели бы получать наши информационные письма по почте, пожалуйста, заполните форму «Подписаться на рассылки» внизу страницы.
Практика: Защита данных и кибербезопасность
Примечание: Обращаем ваше внимание на то, что вся информация была взята из открытых источников. Автор данного письма не несет ответственность за последствия, возникшие в результате принятия решений на основе данной информации.
Надеемся, предоставленная информация окажется для Вас полезной.