GDPR: как работать с персональными данными ваших работников, фрилансеров и европейских сотрудников контрагентов

в 13:38, , рубрики: employees, gdpr, Законодательство в IT, персональные данные, работники

GDPR: как работать с персональными данными ваших работников, фрилансеров и европейских сотрудников контрагентов - 1

Статья представляет собой краткую выжимку и мою интерпретацию положений Регламента GDPR (“Регламент”) в связке с Заключением (Opinion) 2/2017 об обработке данных в трудовых отношениях (on data processing at work) от 08.06.2017. Адресуется компаниям, у которых есть полноценные офисы либо дистанционные работники и/или фрилансеры в странах Евросоюза, а также контрагенты (партнеры) с европейскими сотрудниками, данные которых вы можете получать в процессе работы над совместными проектами.

Разбираем вопросы обработки персональных данных при найме (рекрутинге) работников, заключении договоров с фрилансерами или бизнес-партнерами; мониторинге сотрудников на рабочем месте и дистанционно, в том числе через автоматические системы снятия данных.

Заключение принято ранее даты вступления в силу Регламента и основано на Директиве 95/46/EC от 24.10.2005. Тем не менее, оно учитывает положения GDPR.

Для удобства и там, где это не противоречит контексту, работников, фрилансеров и сотрудников контрагентов будем обобщённо именовать «Сотрудник».

Убедитесь, что у вас есть основания для обработки данных сотрудников

Обработка персональных данных сотрудников обычно проводится, как минимум, на одном из следующих оснований:

  • личное согласие;
  • необходимость выполнения предписаний закона (как правило, трудового законодательства или AML/CFT при проведении платежей);
  • необходимость исполнения уже заключенного договора или необходимость заключения договора, по запросу самого владельца персональных данных;
  • наличие законного интереса у вашей компании в такой обработке.

Обработку на основании предписаний закона оставим за рамками статьи. Также не будем касаться личного согласия. Как уже отмечалось в предыдущей статье Согласие на обработку данных по GDPR: подробный разбор, обработка персональных данных работников на основании их личного согласия является сложным вариантом. Всегда сохраняется риск, что согласие где-то будет оформлено неправильно и его признают несвободным, а вашу компанию – нарушающей правила GDPR.

В отношениях с сотрудниками обработку персональных данных надежнее основывать на заключаемых договорах. Если все вопросы обработки технически сложно или нецелесообразно фиксировать в договорах, то потребуется ответственно подойти к обоснованию законного интереса вашей компании в такой обработке.

Рассмотрим, какие условия и как нужно сформулировать в трудовых или коммерческих договорах, чтобы они позволяли обрабатывать вам персональных данные в соответствии с GDPR. (Учитывая, что обработка на основании законного интереса, как и обработка на основании договора, тоже нуждается в документировании и совпадает с последней по многим параметрам, отдельно рассматривать ее не будем).

Приведем полностью формулировку статьи 6(1)(b) Регламента (перевод с анг.): «обработка необходима для исполнения договора, стороной которого является владелец данных, или для принятия мер по запросу владельца персональных данных до заключения договора».

Из данной формулировки следует ряд обязательных элементов.

Необходимость данных в рамках договора

Согласно пункту 44 Преамбулы Регламента, обработка является законной, если необходима в контексте договора или намерения его заключить. Значит, смотрим на контекст самого договора. Заключение 2/2017 рекомендует в таких случаях применять тест пропорциональности (proportionality test), чтобы оценить, нужна ли обработка для достижения законной цели (в частности, для исполнения или заключения договора), а также какие меры нужно предпринять, чтобы свести вмешательство в частную жизнь до минимума.

Регламент не расшифровывает, что включает в себя «тест пропорциональности». Заключение 2/2017 содержит только оговорку, что такой тест может стать частью процедуры DPIA. В самой процедуре DPIA пропорциональность обработки описывается через множество критериев, которым должна следовать компания-контролер. На мой взгляд, самые важные, это:

  • адекватность обрабатываемых данных целям обработки;
  • сами цели обработки должны быть конкретными (specific) и ясно выраженными (explicit).

Следовательно, тест пропорциональности подразумевает не только необходимость прописать в самом договоре обязанность предоставлять какие-то персональные данные для обработки, или информировать владельца данных о такой обязанности до заключения договора. Сами договорные обязательства работника, на основании которых собираются данные, должны прямо вытекать из характера его будущей работы или особенностей проекта, в котором он будет задействован. Договорные обязательства должны предусматривать обработку только минимально необходимых персональных данных с привязкой к конкретной цели обработки, сформулированной предельно ясно и понятно.

Пример A: Разумно требовать от специалиста PR или менеджера по работе с клиентами предоставлять свое фото для размещения на сайте вашей компании. Это может быть обосновано особенностями работы данных сотрудников, когда внешность играет психологическую роль в продвижении интересов компании, росте продаж. Напротив, вряд ли нужно требовать и передавать клиентам (или размещать в публичном доступе) фото разработчиков, которые максимум участвуют митингах голосом, даже не включая веб-камеру, и большего от них никогда не требуется.

Думаю, будет непропорциональным сформулировать в договоре условие о контактных данных следующим образом:

Пример В: «Контактные данные работника: … email для направления предложения о работе, трудового контракта или информационных материалов /КОМПАНИИ/». Направление «информационных материалов» — явно лишняя цель для исполнения трудового договора, подразумевает и рассылку рекламы. Однако, если вы напишите немного по-другому: «уведомлений об изменении рабочего графика, информации о выходных днях и т.п.», это будет ясно выраженной, конкретной целью, и использование email будет адекватным ей.

(Очевидно, что просто указать «email» и затем использовать его для рассылки маркетинговых материалов, тоже недопустимо).

Пример С: Ваша компания работает в качестве агента и продвигает услуги тех же самых разработчиков на международных рынках. Так как размещение фото обусловлено особенностями работы с заказчиками, необходимостью оценки ими имиджа / психологического портрета разработчика перед принятием решения о найме, размещение фото может быть обоснованным.

(Только не забывайте предупредить разработчика об использовании фото до заключения договора с ним. Также рекомендуется, чтобы тем разработчикам, кто не согласится указать свое фото в профиле, вы все равно предоставили возможность пользоваться услугами вашей компании, хотя бы эффективность найма уменьшилась в связи с отсутствием фото).

Пример D: Ваш сотрудник (к примеру, системный администратор) работает с серверами, обслуживающими масштабные и высоконагруженные приложения, должен быть доступен 24 часа в сутки (если, конечно, вы еще соблюдаете и требования трудового законодательства о соответствующей оплате таким сотрудникам). Вы можете предусмотреть в договоре условие о звонках на его личный номер телефона в экстренных случаях. Напротив, если сотрудник в нерабочее время не нужен, лучше не используйте личный номер телефона (даже если он вам известен).

И пример из Заключения 2/2017: Компания по доставке не вправе рассылать покупателям фото курьеров (для проверки, что курьер действительно является таковым), так как для доставки посылок в передаче фото нет необходимости.

ВАЖНО! Тест пропорциональности рекомендуется применять не только при составлении договоров, но и обработке по любым иным основаниям; например, при получении согласия (статья 6(1)(a)) или для достижения законных интересов вашей компании (статья 6(1)(f) Регламента).

Какая бы необходимость в сборе персональных данных не возникала в вашей компании, всегда задавайте себе вопрос: а эти данные вам точно нужны? Даже если ваш сотрудник вроде и не возражает вам их предоставить. Помните, что ваш сотрудник изначально рассматривается с точки зрения GDPR уязвимой стороной трудовых отношений, а его согласие – априори несвободным. Поэтому, задача обеспечить минимальное вмешательство в частную жизнь (в том числе в рамках договоров с сотрудниками) лежит на вашей компании, а не на сотруднике.

Дополнительно рекомендую изучить требования регулирующего органа по защите персональных данных в государстве ведения вашего бизнеса. Например, на Кипре, популярном в последнее время месте релокации IT и финтех бизнеса из России и других стран СНГ, обязательно применение процедуры DPIA, если ведется систематический мониторинг активности работников, включая наблюдение за рабочими местами, интернет-активностью или используется GPS на транспортных средствах работников.

Владелец данных должен быть стороной договора

Казалось бы, здесь все очевидно. Однако, есть один тонкий момент, на который мало кто обращает внимание. Это обработка персональных данных сотрудников ваших партнеров (клиентов, исполнителей, посредников и пр.), при которой возникает юридический разрыв.

У вашей компании нет никакого договора с сотрудниками ваших партнеров. И даже согласие на обработку данных чаще всего не получится запросить. Да, такие люди являются работниками вашего партнера (хотя могут быть фрилансерами и даже персоналом, предоставленным третьими лицами). И логично предположить, что раз они у него работают, то рамках договора с вашим партнером уже согласились передавать свои данные вам. Но это не так.

Вы не знаете, насколько качественно ваш партнер оформил все документы в рамках GDPR. Получено ли от его сотрудника согласие и дано ли оно свободно, или была ли оговорена обработка персональных данных в договоре с таким сотрудником. Я очень сомневаюсь, что вы можете полностью положиться на вашего партнера в этом вопросе. Между тем, получив данные его сотрудников, ваша компания как минимум становится обработчиком (processor), т.е. обрабатывающей персональные данные от имени и по поручению контролера (controller). И чтобы избежать ответственности за нарушение GDPR, ваша компания-обработчик должна как минимум действовать на основании законных инструкций вашего партнера.

Обработчиком ваша компания будет только в том случае, если она на основании договора с вашим партнёром получает четко оговоренные персональные данные его сотрудников (например, ФИО и контакты) и использует их только для четко оговоренных целей; например, общение по телефону, электронной почте или мессенджерам в ходе работы над проектом. Если же вдруг вы решите еще отправить таким сотрудникам какую-то маркетинговую рассылку или предложение о работе, то автоматические попадете в категорию «контролер», с повышенной ответственностью. Так как уже сами начнете определять цели и способы обработки персональных данных.

В таких ситуациях я бы рекомендовал включать в любой договор с вашими партнерами отдельный пункт о том, что контрагент гарантирует соблюдение им всех правил работы с персональными данными его сотрудников или связанных лиц, которые могут быть применимы к нему по месту ведения бизнеса, в том числе освобождает вашу компанию от любых претензий, исков, которые могут быть связаны с любыми нарушениями применимого закона при передаче вам данных, и гарантирует самостоятельное возмещение ущерба по таким искам и претензиям. Классический пункт об освобождении от ответственности и возмещения ущерба (indemnity), но только в отношении персональных данных.

На практике, как только вы включите в договор пункт об освобождении вас от ответственности, юристы вашего партнера, скорее всего, захотят его вычеркнуть. Как быть?

Оформляйте передачу персональных данных в соответствии с положениями Регламента, и вашему партнеру будет сложно не согласиться с этим.

Для компаний-обработчиков, получающих данные от своих партнеров (контролеров), Регламент (статья 28(3)) содержит обязательные требования к содержанию договора в части передаваемых данных. В частности, нужно указать, какие данные (категории), для каких целей и на какой срок передаются вашей компании, и многое другое. Если же персональные данные передаются вашей компанией дальше, новому обработчику, с ним необходимо согласовать идентичные обязательства.

Если совместная работа по проекту предполагает передачу персональных данных за пределы Евросоюза, в третьи страны без адекватного уровня защиты персональных данных, вместе с заключаемым договором необходимо составить и подписать Стандартные договорные условия защиты персональных данных (Standard contractual clauses)(статья 46(1)(2)(с) Регламента). Даже если партнер не требует такого документа, при передаче данных европейских сотрудников лучше иметь заранее разработанный шаблон и самим настоять на его подписании. Это позволит значительно уменьшить риск ответственности за обработку персональных данных в нарушение GDPR.

Стандартные условия, разработанные и одобренные Еврокомиссией на основании Директивы 95/46/EC для обработчиков (processors) можно найти здесь. Там же можно найти стандартные условия для контролеров (controllers).

Принятие мер, необходимых до заключения договора, по запросу владельца персональных данных

Здесь должна прослеживаться чёткая взаимосвязь: мероприятия проводятся в отношении самого владельца данных, и он сам дает разрешение на их проведение в запросе.

Пример: Проверка криминальной истории кандидата, если его должность предполагает работу с данными повышенной секретности и без проверки нельзя получить приглашение на работу. При этом работодатель заранее в описании вакансии информирует кандидата о необходимости пройти проверку каких-то криминальных фактов в его биографии. И кандидат, направляя свое резюме или иным способом подтверждает, что согласен с такой проверкой.

Для того, чтобы правильно сформировать от кандидата легитимный запрос на обработку его данных, нужно до начала обработки предоставить кандидату максимум необходимой информации о будущей обработке, включая методы принятия решений по ее результатам. (Подробнее см. Соблюдаем процедуру: вначале информирование, затем – обработка ниже.

Фрилансеры: они тоже работники?

GDPR: как работать с персональными данными ваших работников, фрилансеров и европейских сотрудников контрагентов - 2
В Заключении 2/2017 под работниками рекомендуется рассматривать не только тех, кто работает по трудовому договору, но и фрилансеров, если отношения с ними носят характер трудовых. Здесь есть сложность.

Что означает «трудовые отношения» с фрилансерами, причем, именно в плане GDPR? Заключение 2/2017 не дает ответа на этот вопрос. Думаю, что нужно смотреть на контекст, в каком любые работники упоминаются в Регламенте. Это их априори невыгодное положение перед работодателем, когда они не могут отказать предоставить свои данные без риска не получить или потерять работу, или других негативных последствий. Если следовать такой логике, то фрилансер может быть приравнен к работнику в ситуациях, когда ваша компания будет для него единственным источником заказов. Если же доля заказов (и оплаты) со стороны вашей компании невелика и фрилансер может выбрать, сотрудничать ли с вами и на каких условиях, то у него появляется больше свободы принимать решения относительно своих персональных данных. И в этом случае его можно рассматривать как независимого предпринимателя, а не работника.

В любом случае, следует подождать развития практики применения GDPR или раскрытия данного вопроса в т.н. «мягком праве» (soft laws) Евросоюза: заключениях и рекомендациях, а также в национальном законодательстве.

Соблюдаем процедуру: вначале – информирование, затем – обработка

Владелец данных должен быть проинформирован до начала обработки. Это общее требование статьи 13 Регламента. В каждом отдельном случае (обработка в рамках договора или до его заключения), а также без договора, но при наличии законного интереса у вашей компании, владелец данных должен получить необходимый минимум информации.

В случае с сотрудниками такое информирование лучше производить одновременно с размещением требований к кандидату на вакансию. Если же заключается коммерческий договор с фрилансером – проинформировать нужно до заключения договора, или, в крайнем случае, одновременно с его подписанием. Вместе с иной информацией, перечисленной в статье 13 Регламента, обязательно нужно указать, включено ли предоставление персональных данных в обязанности будущего сотрудника и какие последствия могут быть, если он откажется их предоставить.

Не забывайте, что форма информирования должна быть как можно более простой и доступной. Не включайте эту информацию в текст основного договора, где она может затеряться. Лучше оформляйте в виде отдельного документа. Желательно, чтобы такой документ был датирован до даты подписания основного договора.

Лирическое отступление про hh.ru

Случайно обратил внимание на российский hh.ru, который часто размещает часто европейские вакансии. И, как я понимаю, на них могут откликаться, в том числе, кандидаты, уже находящиеся на территории ЕС. На сайте hh.ru я не нашел, каким способом можно отозвать резюме, ранее направленное в адрес конкретной компании. (Может, где-то еще есть?). Как я понимаю, здесь возможен только общий способ: в настройках видимости ограничить доступ к резюме. Но такая реализация, во-первых, противоречит принципам GDPR: отзыв согласия должен быть также прост, как и отправка, т.е. кликом на одну кнопку. А во-вторых, это никак не обязывает компанию, уже получившую и сохранившую данные (к примеру, в виде распечатки), их уничтожить. Думаю, сервису бы доработать соглашение с работодателями об уничтожении данных по автоматическому запросу кандидатов через сайт hh, а еще лучше – сделать отдельные процедуры обработки персональных данных для кандидатов из Евросоюза.

Это были общие требования к обработке персональных данных на основании заключенного договора, в связи с необходимостью заключения договора по запросу владельца данных или при наличии законного интереса. Далее кратко рассмотрим обработку персональных данных при рекрутинге сотрудников, мониторинг сотрудников на рабочем месте и в удаленном режиме, а также мониторинг времени присутствия на рабочем месте и/или затраченного времени.

Обработка данных при рекрутинге (найме) сотрудников

Рекрутеры любят просматривать профили кандидатов в соцсетях. Некоторые даже просят указать ссылки на них в анкетах или в резюме. При сборе данных из социальных сетей вашей компании необходимо выяснить, предназначены ли данные профили для личного использования или использования в бизнес-целях. Ключевое здесь – использование. Знайте, что даже открытые для публичного просмотра профили нельзя использовать в целях рекрутинга, оценки кандидата при приеме на работу, если это прямо не связано с будущей функцией кандидата в вашей компании или на проекте.

Пример: Кандидат принимается на позицию менеджера по связям с общественностью или первого лица компании, которая предполагает формирование общественного имиджа компании. В этом случае может быть оправдано изучение каких-либо политических предпочтений кандидата, отсутствия его связи с радикальными течениями или неоднозначных публичных высказываний, что может причинить ущерб компании. Или же кандидат принимается на должность менеджера по развитию бизнеса. Поэтому, может быть оправданным для работодателя перед заключением трудового договора убедиться, что у кандидата имеется наработанная сеть деловых контактов.

Обработка данных в процессе работы и после прекращения договора

Социальные сети

Общий мониторинг данных бывших сотрудников из профилей в социальных сетях обычно не допустим. (Такой мониторинг может проводиться, чтобы выяснить, не нарушил ли бывший сотрудник условие о запрете в течение какого-то времени переходить на работу к конкурентам). Однако, если работодатель докажет, что эти сведения нельзя получить иначе, чем через просмотр профилей, сбор данных из социальных сетей может быть признан допустимым. Здесь также должно быть соблюдено условие о необходимости заранее проинформировать работника о проводимом мониторинге.

Очевидно, что информировать о мониторинге лучше до прекращения договора (а в идеале – до его заключения). В противном случае высока вероятность, что сотрудник, получив уведомление, просто удалит все компрометирующие его сведения и контакты.

Не допускается принуждать работников использовать в социальных сетях только профиль, связанный с работодателем. Даже если такая обязанность предусмотрена особенностями их работы (например, представитель PR-службы, пресс-секретарь, менеджер по работе с клиентами и т.п.). В любом случае у таких сотрудников должна сохраняться возможность использования личного, непубличного профиля.

Установка средств (систем, приложений) электронной обработки данных на рабочие компьютеры сети

Речь идет о любых системах и приложениях, в том или ином виде собирающих персональных данные и передающие их работодателю или третьим лицам. Установка требует информированного согласия работника. Даже самостоятельные действия сотрудника по активации приложения на своей рабочей машине или предоставление доступа для удаленной установки системы с настройками по умолчанию не будут считаться выражением согласия на установку. Так как согласие должно быть дано собственными активными действиями пользователя, только установка с изменением дефолтных настроек может быть приравнена к информированному и свободному выражению воли сотрудника на установку.

При мониторинге сотрудников или данных их устройств (включая личных, подключаемых к корпоративной сети или WiFi) у работодателя должна быть разработанная, легко и постоянно доступная и понятная каждому сотруднику Политика мониторинга рабочего места. Чтобы каждый четко понимал, что и как собирается, и в каких целях будет использовано.

ВАЖНО! Нельзя придерживаться подхода, который любят многие российские «кадровики»: при приеме на работу дать прочитать стопку инструкций страниц на сто-двести, а затем попросить все запомнить и забыть убрать навсегда. Типа, ознакомились. Политика должна быть легко доступна для ознакомления в любое время.

Политика мониторинга, как и любая иная политика по обработке персональных данных (о конфиденциальности) должна регулярно пересматриваться. Необходима переоценка, насколько мониторинг является необходимым для удовлетворения законных интересов компании. Поэтому, я бы рекомендовал тем, кто хотел бы снять возможные претензии в случае конфликта или проверок, но не готов выделять на это много ресурсов:

  • делайте минимум раз в год протоколы / приказы с поручениями провести инвентаризацию всей вашей системы сбора и обработки персональных данных;
  • по результатам инвентаризации вносите хотя-бы минимальные изменения в Политику (например, сокращайте срок хранения отдельных категорий данных);

Вместо постоянной слежки за сотрудниками, старайтесь предотвратить нежелательное поведение. Если блокирование каких-либо ресурсов/сайтов позволяет достичь вашу цель, – лучше блокировать доступ сотрудников к ним, нежели постоянно мониторить. Это общий принцип взаимодействия между работодателем и сотрудником, которого рекомендует придерживаться Заключение 2/2017.

Пример A из Заключения 2/2017: Блокирование подряд всех имейлов, которые могут потенциально представлять угрозу утечки данных компании-работодателя, требует обязательного информирования об этом работника (каждый раз до отправки письма), с возможностью отказаться от отправки. Иначе существует риск превышения необходимого вмешательства в частную жизнь и произвольного доступа к личной переписке работника.

Пример B из Заключения 2/2017: При использовании облачных сервисов для загрузки или редактирования рабочей информации работнику нужно выделить приватное пространство. Например, календари могут использоваться для фиксирования рабочих и частных событий (встреч, например).

Пример С из Заключения 2/2017: Если для предотвращения рисков, связанных с удаленным доступом к базе данных работодателя, нельзя отказаться от постоянного мониторинга рабочего компьютера дистанционного сотрудника, рекомендуется совсем запретить использование рабочего компьютера в частных целях.

Мониторинг сотрудников в режиме «home-office» и дистанционных сотрудников

Использование технологий, позволяющих отслеживать клики и движения мышкой, иные подобные действия сотрудников, а также снятие скриншотов (как выборочно, так и в периодическом интервале), получение сведений о загруженных приложениях и времени их загрузки, получение данных с вебкамер или снятие показаний о пути, пройденном сотрудником (привет обители зла Амазону и остальным!), считается непропорциональным. Такой мониторинг, скорее всего, будет за пределами законных интересов работодателя (пункт 5.4.1. Заключения 2/2017).

Что здесь можно рекомендовать?

Во-первых, (как бы знакомо это уже не звучало), понять – нужен ли вам такой мониторинг или нет. Во-вторых, четко обозначить (с документированием), в чем состоит ваш законный интерес, и если возможно, зафиксировать такой мониторинг в действующих договорах.

К примеру, работа программиста по проекту не может быть заранее оценена с точки зрения необходимого времени. Оплата формируется по количеству отработанных часов. Ваш заказчик настаивает на мониторинге активности вашего работника через снятие скриншотов или отслеживает его действия на облачном сервере. Условие заказчика о скриншотах или о контроле на сервере следует зафиксировать в договоре с заказчиком (если рабочее время оценивается через любые иные системы учета — аналогично). Сотрудник, работающий по проекту данного заказчика, также должен быть заранее уведомлен о мониторинге, а в договоре с ним должна быть прописана возможность такого мониторинга.

Мониторинг рабочего времени/присутствия на рабочем месте через систему доступов

Это любимая “фишка” многих отечественных компаний, от «мала до велика»: поставить электронную проходную и взимать штрафы за минутные опоздания, либо заносить эти сведения в личное дело. Так вот, с вашими европейскими сотрудниками такое почти всегда недопустимо.

Пример из Заключения 02/2017: Можно использовать систему учета доступа (дата, время, владелец ключа доступа) для того, чтобы контролировать доступ в особо режимные места. Например, в серверную, где хранится важная информация. Но нельзя использовать полученные данные в целях оценки производительности сотрудников (время присутствия/отсутствия на рабочем месте).

Мониторинг «атмосферы счастья» в компании

Не допускается наблюдение за выражением лиц сотрудников с использованием автоматических средств, для выявления отклонений от заранее определённых двигательных паттернов. Дополнительно к мониторингу, данные такого наблюдения могут лечь в основу профилирования сотрудника и принятия в отношении него автоматических решений. Это является непропорциональным по отношению к правам и свободам сотрудников. По общему правилу, работодатель должен воздерживаться от использования таких технологий распознавания лиц. Хотя определенные изъятия из общего правила могут допускаться.

(Предполагаю, изъятия допустимы там, где имеют место вредные производства (они еще остались в Европе?) или для контроля усталости водителей и операторов, как описано в статье про Амазон, по ссылке выше).

Краткие выводы и рекомендации:

  1. Разработать в качестве отдельного документа (или как часть общей Политики по обработке персональных данных) политику по обработке персональных данных сотрудников, если в вашей компании имеет место мониторинг их данных в любой форме. Ознакомить с ней сотрудников и разместить в легком и свободном доступе (для сотрудников, конечно)
  2. Оформлять документы, подтверждающие, что вы регулярно (не реже одного раза в год) пересматриваете вашу политику. Рекомендуется вносить хотя бы минимальные изменения.
  3. Любые случаи обработки персональных данных документировать в договорах, заключаемых с сотрудниками. Если происходят какие-то изменения (начинают собираться дополнительные данные, изменяются условия обработки ранее полученных данных), не забывайте составлять с сотрудниками дополнительные соглашения.
  4. Разработать в качестве шаблона Стандартные договорные условия защиты персональных данных (Standard contractual clauses), которые нужно будет подписывать при получении персональных данных европейских сотрудников, если такие данные передаются в третью страну без адекватного уровня защиты.

Автор: Effesa

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js