Новости

3 дополнения к требованиям по обработке персональных данных во время пандемии

Автор: Наталия Комаровская 

Многие компании в Нидерландах и других странах задаются вопросами о конфиденциальности данных. Можно ли измерять температуру сотрудников? Нужно ли оповещать сотрудников о том, что у кого-то из них подтвердился диагноз на ковид? Как обезопасить рабочую документацию и данные клиентов при удаленной работе? Читайте в этой статье. 

Следует сразу отметить, что никаких послаблений и изменений, вызванных эпидемией, как в национальном, так и общеевропейском регламенте по защите данных не предусмотрено. Служба защиты персональных данных Нидерландов (коротко — АР) внесла уточнения и дополнения к существующему регламенту, которые мы рассмотрим ниже. 

Соблюдение требований регламента никто не отменял. В обстановке кризиса AP стремится дать организациям возможность сосредоточиться на борьбе с коронавирусом и потому предоставляет больше времени для ответа на запросы AP.

1. Можно ли измерять температуру тела сотрудников

Первым делом все компании начали измерять температуру тела сотрудников либо клиентов при посещении офисов и других объектов. Допустимо ли это? 

В России, например, согласно сайту стопкоронавирус.рф работодатели обязаны измерять температуру сотрудникам на рабочих местах и не допускать в рабочие помещения лиц с любыми признаками респираторной инфекции. Точно так же обстоят дела в Украине, Беларуси и Казахстане. 

Осторожно, в Нидерландах таких требований нет.

Температура тела считается персональными данными, если ее можно привязать к конкретному человеку. Нидерландский регламент по защите данных AVG допускает измерение температуры тела, если вы только считываете температуру сотрудника или посетителя, но нигде ее не записываете. При этом необходимо соблюдать три условия:

  • Вы не можете вносить показания термометрии в файл (например, в таблицу Excel) вместе с именем человека, которому проводили измерения.

  • Измерение не может выполняться автоматически, например, с помощью тепловизора.

  • Данные измерений не могут иметь автоматические последствия (например, сотруднику с повышенной температурой не откроется турникет, не сработает пропуск или загорится красная лампочка). 

Если вы применяете на практике что-то из перечисленного выше, вы нарушаете регламент AVG. Иными словами, вы можете измерять температуру тела сотрудников или посетителей в случае получения согласия и без каких-либо последствий для них (то есть в случае повышенной температуры нельзя отказать в допуске в помещение). К тому же, не все пациенты с подтвержденным диагнозом ковид имеют повышенную температуру тела, что делает эти меры довольно бессмысленными и рискованными, поэтому безопаснее этого не делать.

2. Можно ли собирать и передавать медицинские данные сотрудников

Данные о здоровье — это особые личные данные. Как правило, обработка специальных персональных данных запрещена, за исключением случаев, предусмотренных законом.

Первоначальная рекомендация AP в связи с коронавирусом гласит, что работодателям не разрешается делать какие-либо выводы о здоровье отдельных сотрудников и не разрешается отслеживать, где бывают ваши сотрудники, с кем они общаются, куда ездили в отпуск и т.д. Однако вы можете попросить сотрудников внимательно следить за своим здоровьем. Например, вы можете попросить их самостоятельно проверять температуру в рабочее время (но как они поступят с этой информацией — решать им, см. предыдущий пункт).

AP допускает, что вы можете отправить сотрудника с явными симптомами простуды или респираторной инфекции домой, что в обычное время не разрешалось.

Если ваш сотрудник берет больничный, вы не можете спрашивать о характере и причине его болезни. Если же сотрудник сам сообщил вам эту информацию, нет ничего страшного в том, что вы ее услышали, однако нельзя ее записывать и хранить.

3. Как обеспечить безопасность сотрудников, если у одного из них выявлен ковид, не нарушив AVG

В случае если у сотрудника подтвержденный случай ковида, дальнейшее информирование сотрудников осуществляется GGD (муниципальной службой здравоохранения) по согласованию с работодателем. В общих чертах сценарий следующий:

1. Сотрудник имеет жалобы на здоровье и записывается на тест на ковид.

2. В случае положительного результата данные передаются в GGD, которое проводит исследование на предмет контактов пациента, а сам пациент отправляется в карантин.

3. Если пациент посещал рабочее место, GGD связывается с работодателем и обсуждает дальнейшие действия.

Так что бегать в панике по офису и кричать “У Саши Иванова ковид” точно не стоит, просто следуйте указаниям GGD и Arbo Dienst (службы здоровья и безопасности на работе).

Что должен предпринять работодатель, если у его сотрудника выявлен ковид — мы напишем в следующих статьях, следите за обновлениями подписавшись на нашу рассылку.

4. Как обеспечить безопасность данных при удаленной работе

Огромное количество сотрудников с начала коронакризиса перешло на удаленную работу. Совместными усилиями работодатели и сотрудники должны обеспечить максимально возможную безопасность работы из дома, чтобы конфиденциальные данные оставались защищенными, не произошла утечки данных и не был нанесен личный или корпоративный ущерб.

Как правило, работа из дома снижает уровень безопасности, так как домашние сети недостаточно хорошо защищены от профессионального взлома, также всегда существует возможность утери данных (куда я положил эту флешку с базой данных моих клиентов?).

О чем следует позаботиться работодателю:

  • Безопасное цифровое хранилище данных — избегайте хранения конфиденциальных данных на флешках и бумажных носителях. Вместо этого обеспечьте сотрудников доступом в защищенное хранилище данных на сервере компании или в облаке.

  • Убедитесь, что ваши сотрудники пользуются безопасными приложениями для видеозвонков и чатов. Имейте в виду, что платные версии приложений имеют более высокий уровень защиты.

  • По возможности обеспечьте сотрудников корпоративными ноутбуками и мобильными телефонами.

  • Регулярно информируйте и напоминайте сотрудникам о соблюдении требований безопасности: периодическом обновлении паролей, фишинге, запрет на использование сторонних (особенно бесплатных) приложений в рабочих целях.

Безопасности данных во время удаленной работы мы посвятим одну из наших следующих статей.

В заключение

Безопасность данных во времена коронакризиса — сложная и неоднозначная тема. Владельцам компаний приходится искать баланс между общественным благом и конфиденциальностью личных данных, рискуя получить жалобу или штраф за несоблюдение регламента безопасности данных. Рекомендации АР регулярно обновляются, следить за ними нужно регулярно, что может представлять сложность для тех, кто не владеет голландским языком (информация на английском есть, но ее гораздо меньше и обновляется она не так быстро и регулярно). Ко всему прочему, существуют различные рекомендации и требования к сохранности данных в зависимости от сферы деятельности компании: отдельные рекомендации прописаны для медицинских учреждений, образовательных учреждений, хорека и так далее.

Команда INN Tax&Legal сориентирует вас по вопросам требований к безопасности данных на персональной консультации. 

А еще мы приглашаем вас 4 февраля 2021 года на бесплатный вебинар по вопросам нидерландского и европейского GDPR для предпринимателейзаписывайтесь для участия. Будет интересно, полезно и не скучно. По итогам вебинара все участники получат полезный чек-лист.

 Все участники вебинара получат полезный чек-лист, а также много интересной информации о защите персональных данных во время пандемии.

    Запишитесь на первичную консультацию





    Picture of Наталия Комаровская

    Наталия Комаровская


    Защита данных

    Статьи по теме


    GDPR штрафы
    Новости
    GDPR-штрафы 2020: статистика и кейсы
    cookie_file
    Бизнес-стратегии  ·  Новости
    Закон о защите персональных данных (часть 3)
    confidencialnie_dannie
    Бизнес-стратегии  ·  Новости
    Закон о защите персональных данных (AVG)