Работодатели повсеместно начали пользоваться глобальной системой позиционирования (GPS) в целях контроля и наблюдения за транспортными средствами или оборудованием, переданными в пользование работникам. В данной статье – об ограничениях, связанных с правом работника на частную жизнь, которые возникают, если работодатель использует в своем оборудовании слежение по GPS, а также об актуальной европейской судебной практике.
Работодатели все чаще используют геолокационные приборы GPS, чтобы анализировать расход топлива транспортных средств, пробег, время в пути, время на стоянке, простой, статистику использования и др. Однако в европейской судебной практике закрепились более строгие правила и требования относительно обработки персональных данных в связи со слежением по GPS. Существуют также отдельные ограничения, о которых следует знать каждому работодателю, использующему данные приборы для нужд своего предприятия.
Ограничения
Работодателям необходимо принять во внимание, что установленные в транспортных средствах работников устройства GPS нельзя использовать в следующих случаях:
-
для надзора за соблюдением ограничений скорости;
-
для постоянного контроля работника;
-
геолокационные устройства нельзя использовать в транспортных средствах:
-
в связи со свободой работника на организацию передвижения;
-
o чтобы контролировать перемещение представителей работника или представителей профсоюза;
-
вне рабочего времени, если работник имеет право пользоваться транспортным средством для личных нужд;
-
для учета рабочего времени, если с данной целью используются другие устройства.
В решении от 19 марта 2019 года суд Германии признал, что неограниченное слежение за транспортными средствами работников недопустимо.
В обстоятельствах, на которых основано решение, истец управлял предприятием по уборке зданий и установил GPS на транспортные средства предприятия, используемые его смотрителями и уборщиками для хозяйственных и личных нужд. Предприятие записывало номерные знаки транспортных средств, а также сохраняло начальную и конечную точки маршрута, пройденного каждым работником, включая время и состояние зажигания. Работники не могли ни включить, ни выключить GPS.
Суд признал, что постоянная регистрация данных о положении работников вне рабочего времени недопустима. В этом случае отслеживание нельзя было обосновать и согласием субъекта данных на выполняемую обработку данных. Предприятие не имело права вести слежение по GPS вне рабочего времени и в том случае, если бы установило в качестве правомерного основания для обработки данных законные интересы предприятия.
Такое решение дает повод как надзорным учреждениям, так и Государственной инспекции данных проверять допустимость подобного использования GPS, помимо прочего оценивая, есть ли у предприятия, ведущего слежение по GPS, юридическое основание для конкретной обработки данных и правильно ли предприятие его определило в ходе обработки вышеуказанных персональных данных.
Обязанности работодателя
Обязанность информировать
Работодатель обязан информировать своих работников о том, что такое устройство GPS установлено. Это можно делать разными способами, но самый распространенный – разработать внутренние правила, в которых разъясняется конкретное юридическое основание для обработки данных, ее цель и другие предусмотренные статьями 13 и 14 Общего регламента по защите данных (далее в тексте – ОРЗД) обязанности работодателя как администратора по отношению к информированию субъекта данных.
Юридическое основание обработки данных
Работодатель определяет юридическое основание для обработки данных, которая осуществляется с помощью устройства для слежения по GPS. Юридическим основанием являются законные интересы предприятия.
1 В этом случае предприятие тестирует равновесие интересов, чтобы обнаружить, являются ли интересы или основные права и свободы субъекта данных, нуждающегося в защите персональных данных, важнее интересов предприятия.
Временным решением для правомерной обработки данных может быть получение согласия субъекта данных.
2 Однако получение согласия субъекта данных не является самым надежным юридическим основанием, позволяющим обрабатывать данные, поскольку согласие можно отозвать в любой момент. Необходимо учитывать, что согласие субъекта данных не может являться основанием для правомерной обработки данных, если субъекту данных не предоставлено право от нее отказаться.
Соответствующие меры безопасности
Работодатель обязан внедрить соответствующие технические решения и осуществлять организационные мероприятия, чтобы обеспечить безопасную обработку данных. Они могут предусматривать такие мероприятия, как определение соответствующего права доступа для лиц, которые могут иметь доступ к собранным данным GPS, соблюдение принципа минимизации данных, а именно, обрабатывать полученные с помощью GPS данные в максимально короткий срок, используя минимальный объем персональных данных. Государственная инспекция данных рекомендует хранить содержащую персональные данные информацию GPS не более трех месяцев. Доступ к такой информации могут иметь только работодатель и работники, связанные с оказанием соответствующих услуг.
Данные GPS не всегда являются персональными данными
Работодатель оценивает, являются ли имеющиеся в его распоряжении данные GPS персональными данными. Необходимо учитывать, что не все геолокационные данные являются персональными данными, поскольку это зависит и от контекста, и от случая использования полученных данных. Одна и та же собранная совокупность данных GPS может быть нейтральной по конфиденциальности, если эти данные используются для отслеживания в рамках оптимизации услуг логистики и с их помощью не идентифицируется конкретное физическое лицо.
Наши рекомендации
Во избежание риска нарушения защиты данных предприятиям, которые обрабатывают данные о местонахождении своих работников или третьих лиц (например, субподрядчиков), перед использованием любых систем слежения по GPS необходимо оценить, не ограничивают ли установленные устройства GPS право субъекта данных на защиту частной жизни, а также предпринять другие меры со стороны администратора, следующие из требований ОРЗД.
В то же время стоит отметить, что Регламент об электронной конфиденциальности (пока не принятый) решает вопрос сбора данных о местонахождении, отдельно подчеркивая, что сбор GPS-данных может «подвергать конфиденциальность высокому риску». Это означает, что для такой обработки данных предприятиям потребуется провести оценку влияния на права и свободы субъектов данных согласно статье 35 ОРЗД.
______________________________________________
1 Подпункт (f) части первой статьи 6 ОРЗД
2 Подпункт (а) части первой статьи 6 ОРЗД
