
С 25 мая 2018 года, после вступления в силу Общего регламента по защите данных (General Data Protection Regulation, GDPR 2016/679), многие компании ЕС обязаны принять на постоянное место работы нового сотрудника. Речь идет о таком должностном лице, которое будет заниматься направлением по защите данных, или же DPO (Data protection officer).
Важно понимать, что это - неотъемлемое требования для соблюдения всего механизма регулирования, так как именно это должностное лицо несет полную ответственность за обработку персональных данных и выполнение всех остальных принципов GDPR, включая записи о конфиденциальности, защите, использовании, проверки данных (ст. 37 - 39).
Подробней
Следуя открытой практике ЕС в 2019 году, можно утверждать, что для выполнения функций Должностного лица по защите данных назначались юристы, а так же студенты 4-го курса юридического факультета, которые имеют достаточные профессиональные качества и знания регулирования по защите данных для выполнения следующих задач:
Перечень:
- Информировать контролера и обработчика данных об их обязательствах касательно регламента по защите данных;
- Контролировать соблюдение норм и требований регламента;
- Быть представителем в органе надзора за соблюдением регламента;
- Быть консультантом при любых ситуациях, затрагивающих регламент.
Особенности юридического оформления такой должности диктуются рядом требований к организации его функций:
- Должность напрямую подчиняться высшему начальству Компании;
- Должность не может получать никаких инструкций к исполнению от других должностей связанных с обработкой данных, контролера или обработчика данных, в целях объективного контроля и организации труда;
- Должность может выполнять другие функции если они не противоречат основным должностным инструкциям и являются возможными в трудовом распорядке и бизнес процессе Компании.
Общее законодательство не ограничивает форму назначения такого сотрудника, в тоже время дает достаточно гибкую систему принятия такой должности для исполнения необходимых функций. Это может быть и трудовой договор, и договор аутсорсинга (аутстаффинга), или договор предоставления услуг с удаленным выполнением работ.
Дополнение
Обязательные требования к выполнению таких работ должны быть соблюдены в контакте:
А именно:
- Сотрудник не может работать больше 48 часов в день (EU's Working Time Directive (2003/88/EC);
- Сотрудник также сохраняет право гибкого графика рабочего дня (Brussels, 16/07/2002. Framework agreement on telework);
- Компания обязательно предоставляет перерыв не меньше в 20 минут, если сотрудник непрерывно работает 6 часов в день, который все еще считается рабочим временем
(Решение по делу Hughes v Corps of Commissionaires Management Ltd), в том числе, если сотрудник предоставляет трудовые услуги дистанционно от государства регистрации компании (решение по делу Russell v Transocean International Resources Ltd 2011)
- Компания предоставляет 4 недели оплачиваемого отпуска в год (Directive (2005/47/EC);
-
Компания обязана вести актуальный учет рабочего времени сотрудника, которые выполняют такую работу, и считать выполненную работу надлежащей, а все перерывы или отпуск такими, которые не предоставлены (Решение Crawford v Network Rail Infrastructure Limited);
-
Обязательный один выходной день каждые 7 рабочих дней вне зависимости от сложности работы (Maio Marques da Rosa v Varzimsol); предоставление выходных в период религиозных праздников еще дополнительные 48 часов отдыха в случае невозможности определения времени контроля других сотрудников (Working Time Directive (Directive 2003/88/EC of 4 November 2003)).
Вместе с тем, есть ряд требований к заключению контракта именно с DPO:
-
DPO должен быть независим от Компании, потому что он или она должны быть в состоянии сбалансировать интересы организации с интересами людей, чьи данные могут обрабатываться организацией. В этом отношении роль DPO в некоторой степени сопоставима с производственным советом, который представляет интересы работников;
-
DPO не может представлять интересы организации перед владельцами данных, точно так же как не может представлять интересы владельцев данных перед государственными органами власти;
-
DPO не может предоставлять интересы контролирующих государственных органов перед Компанией, но на него полагаются обязательства доведения до сведения изменений законодательства для Компании, а так же нарушений сотрудниками Компании в государственные органы.
Обеспечения норм GDPR
Для обеспечения норм GDPR следует принять во внимание, бизнес процессы, методы сбора и хранения информации, а так же методы регулирования работы сотрудников в компании для оценки положений регулирования работы сотрудника. Элементы, которые обязательно должны быть приняты во внимание Компании и отражены в контракте:
- Исключительность трудового распорядка, который бы соответствовал процессу работы компании (например, в случаи двух офисов в разных локаций с разными временными зонами следует нанять разных сотрудников);
- Исключительность данных для проверки и показателей данных (язык, форма проверки, методы хранения и технические инструменты обеспечения деятельности сотрудника должны быть указаны в контракте);
- Исключительность отчетного периода и формы такого отчета (отчет и голосования отчета не могут быть поданные во время нахождения сотрудником в отпуске, на долгосрочном больничном, а так же во время религиозных праздников);
- Исключительность методов фиксации работника и времени работы работника (в случаи разногласий по выполнению обязательств);
- Исключительность срок действия договора с основаниями для расторжения (расторжение в связи с исчезновениями оснований для заключения договора с вторым сотрудником на замену основного во время отпуска сотрудника, или долгосрочной болезни, беременности, или по истечению обязательств контроля отдельного взятого офиса, или данных отдельного взятого региона с четким языковым требованием);
- Исключительная оплата за отработанные трудовые часы.
В случаи невыполнения таких требований, у Компании сохранятся обязательства перед сотрудников в полном объеме если бы ним были проведены эти работы должным образом не зависимо от принятия таких услуг Компанией или одностороннего разрыва контракта (Negligence Duty vs Nulla negligence principle).
Анализируя выше изложенное, можно сделать вывод, что правовое регулирование оснований для разрыва Контракта с Data Protection Officer ограниченны не только законодательно, но и внимательностью Компании в организации труда своих сотрудников, и составлением дополнительных гибких оснований для защиты своих интересов, которые прямо не предусмотрены в General Data Protection Regulation, но которые соответствуют бизнес процессу Компании.
В то же время сам Контракт может стать абсолютно бессрочным и неразрывным, предоставляя сотруднику максимум свободы и безответственности, оставляя право разрыва контракта на основании только несправедливые условия договора за самим сотрудником, в случаи халатной невнимательности Компании в ходе его составления.