Защита данных и конфиденциальность сотрудников в Монголии

1) Какие существуют законодательные акты в Монголии, регулирующие защиту персональных данных сотрудников, и как они соотносятся с международными стандартами?

В Монголии защиту персональных данных сотрудников регулируют следующие законодательные акты:

1. Закон о защите персональных данных (2021): Закон регулирует отношения, связанные со сбором, обработкой, использованием и обеспечением безопасности персональных данных физическим, юридическим или неюридическим лицом. Кроме того, к данному закону применяются отношения, касающиеся сбора, обработки, использования и обеспечения безопасности данных с помощью аппаратного и программного обеспечения.

2. Трудовой кодекс: содержит конкретные положения, касающиеся неразглашения личной конфиденциальной информации работника, полученной в ходе трудовых отношений, требований и порядка получения, обработки, хранения и использования данных работника.

Соотношение с международными стандартами:

Закон Монголии о защите персональных данных соответствует международным стандартам, установленным, в первую очередь, Общим регламентом Европейского союза по защите данных (GDPR), а также Руководящими принципами ОЭСР (OECD).

2) Какие типы персональных данных обычно защищаются трудовым законодательством?

Закон о труде не определяет типы защищаемых персональных данных сотрудников. Закон о защите персональных данных, напротив, определяет персональные данные и конфиденциальную информацию, которые должны быть защищены следующим образом:

1. Персональные данные означают конфиденциальные персональные данные и другую информацию, включая фамилию, имя, дату рождения, место рождения, адрес проживания, местонахождение, регистрационный номер гражданина, имущество, образование, членство, электронные идентификаторы, и другой информации, которая может прямо или косвенно идентифицировать или потенциально идентифицировать лицо.

2. Конфиденциальная информация означает информацию о расе, этническом происхождении, религии, убеждениях, здоровье, письме, генетических и биометрических данных, частной подписи, уголовных данных, сексуальной ориентации и гендерной принадлежности, выражении и половых отношениях.

3) Как обеспечить соблюдение законодательства о защите персональных данных при передаче персональных данных сотрудников третьим лицам (например, подрядчикам, партнерам)?

При передаче персональных данных сотрудников третьим лицам (например, подрядчикам, партнерам) необходимо соблюдать следующие требования:

В соответствии с Законом о защите персональных данных:

• 8.2.6 Работодатель должен сообщить, будут ли данные переданы третьим лицам, определить получателей, предоставить список информации, подлежащей передаче, и получить согласие работника;
• Работник должен дать письменное согласие контролеру данных, которое должно быть в бумажной или электронной форме;
• 10.2 и 10.3 Работодатель может использовать биометрические данные, кроме непересекающихся физиологических данных (отпечатков пальцев), с согласия работников для облегчения идентификации и проверки сотрудников в рамках внутреннего трудового распорядка. Однако работодателю запрещается обрабатывать, изменять или передавать эти данные другим лицам;
• Передача данных иностранным физическим, юридическим лицам или международным организациям запрещена, за исключением случаев, предусмотренных законами и международными договорами, участником которых является Монголия, или с согласия работника.

4) В каком виде получается согласие на обработку персональных данных сотрудников?

В соответствии со статьями 8.1 и 8.3 Закона о защите персональных данных, работодатель должен получить письменное согласие субъекта данных на обработку, сбор и использование данных, за исключением случаев, предусмотренных законом. Письменное согласие должно быть в бумажной или электронной форме.

5) Какие персональные данные сотрудников не могут запрашиваться и обрабатываться со стороны работодателя?

В соответствии со статьей 44.3 Трудового кодекса получение, обработка и хранение данных, относящихся к личной тайне работника или его членству в политической партии, общественной организации или профсоюзе, запрещены, если иное не установлено законом.

6) Каковы последствия нарушения законодательства о защите персональных данных сотрудников?

Любое нарушение Закона о защите персональных данных влечет за собой наказание в соответствии с Законом о нарушениях. Если нарушение влечет за собой уголовную ответственность, оно будет рассматриваться в соответствии с Уголовным кодексом.

Авторы: Болормаа Володя, Хулан Ганболд