Беларусская организация создавала сотрудникам рабочие аккаунты в Slack, Discord и Google, используя их личные адреса электронной почты. Личные учетные записи при этом применялись для выполнения служебных задач — в Центре защиты персональных данных объяснили, почему это не лучшее решение.
Руководство организации посчитало, что раз работник однажды предоставил свой e-mail, значит, он автоматически согласился на его использование работодателем. Такой подход трактовали как «конклюдентные действия» — якобы сам факт передачи адреса электронной почты уже выражает согласие.
Между тем законодательство о персональных данных требует, чтобы согласие было добровольным, однозначным и информированным. Нельзя считать его полученным по умолчанию: сотрудник должен четко понимать, зачем и как будут использоваться его данные, и подтвердить это в понятной письменной или электронной форме.
В итоге организации пришлось прекратить обработку более 4000 записей с персональными данными работников.
Отметим, в Беларуси не редкость утечка личных данных клиентов и сотрудников компаний. При этом сами организации могут и не знать о случившемся.
