Ar tinkamai tvarkote darbuotojų asmens duomenis?

audito sprendimai
2022-06-23

Darbuotojų asmens duomenis tvarko kiekviena įmonė ir visai nesvarbu kokioje sferoje vykdo veiklą – gamyboje, paslaugų teikime, elektroninėje prekyboje ar kt. Nors veiklos sektorius gali sąlygoti tam tikrus skirtumus tvarkant asmens duomenis, tačiau darbuotojų asmens duomenų tvarkymui visais atvejais taikomos tokios pat taisyklės, todėl suklusti turėtų kiekvienas verslas, net jei įmonės klientai ne fiziniais asmenimis („Mums asmens duomenų apsauga neaktuali, nes mūsų klientai ne fiziniai asmenys“ – tai matyt dažniausias mitas su kuriuo susiduriame...). Tuo tarpu darbuotojų asmens duomenų apsaugai turi būti skiriamas tikrai ypatingas dėmesys, nes darbuotojų asmens duomenys laikomi jautriais duomenimis, o darbuotojas silpnesniąja darbo santykių šalimi, todėl tam tikri dalykai, kurie gali būti taikomi įprastais atvejais, negali būti taikomi darbuotojų atžvilgiu.

Tad šiame straipsnyje sužinosite svarbiausius dalykus, kuriuos privalo taikyti kiekviena įmonė (kartu pasitikrinsite ar neperžengėte raudonos linijos), nes šių svarbiausių reikalavimų nesilaikymas tikrai gali atkreipti Valstybinės duomenų apsaugos inspekcijos dėmesį ar tapti darbuotojo skundo priežastimi.

1. Reikalingų įmonės vidaus tvarkų turėjimas

Visų pirma įmonė turėtų pasitikrinti ar Asmens duomenų tvarkymo taisyklėse yra skirta dalis darbuotojų asmens duomenų tvarkymui (tai gali būti ir atskira tvarka, svarbu, kad būtų). Šioje dalyje turėtų būti numatyta, kokius darbuotojų asmens duomenis įmonė tvarko, kokiu tikslu ir kokias pagrindais, kiek laiko jie yra saugomi ir t.t.. Jei įmonė vykdo darbuotojų informacinių technologijų stebėseną ar vaizdo stebėseną, visa informacija kaip tai yra vykdoma (kokiu tikslu ir pagrindu, kiek laiko duomenys saugomi, kokie tiksliai duomenys renkami, darbuotojų teisės ir t. t.) turi būti atitinkamai numatyti: (i) Informacinių ir komunikacinių technologijų naudojimo bei darbuotojų stebėsenos ir kontrolės darbo vietoje tvarkoje ir (ii) Vaizdo stebėjimo tvarkoje. Šios dvi tvarkos prieš jas patvirtinant vadovui turėtų būti suderintos su Darbo taryba (jei sudaryta).    

2. Darbuotojų informavimas ir sutikimas (kada jį galime taikyti)

Toliau darbuotojai turi būti tinkamai informuojami apie jų asmens duomenų tvarkymą. Šiuo atveju išskirtini trys informavimo aspektai: (i) informavimas priimant darbuotoją į darbą, (ii) informavimas, kai jau darbuotojas dirba įmonėje, (iii) informavimas ar sutikimas – kada kokį taikyti.

Pirmu atveju darbuotojas, sudarydamas darbo sutartį, kartu pasirašytinai yra informuojamas ir apie jo asmens duomenų tvarkymą, supažindinamas su visomis įmonės tvarkomis, kurios liečia jo asmens duomenis. Pačiame informaciniame pranešime pateikiama pagrindinė informacija (apie duomenų valdytoją, apie tai kokie asmens duomenys tvarkomi, nurodomos darbuotojo teisės), taip pat informuojama kur galima susipažinti su visomis įmonės tvarkomis apie darbuotojų asmens duomenų tvarkymą bei suteikiam galimybė su jomis susipažinti.

Antras atvejis svarbus tada, kai įmonė imasi papildomo asmens duomenų tvarkymo, t. y. keičia procesus, dėl ko išsiplečia/pakinta ir darbuotojo tvarkomų duomenų kiekis. Visais šiais atvejais turi būti papildomai informuojami ir jau esami darbuotojai (nesvarbu, kad įsidarbinant pasirašė dokumentus). Darbuotojų informavimas yra pagrindas įrodinėjant, kad įmonė tinkamai tvarkosi su pagrindiniu BDAR principu – skaidrumo principu.

Ir trečia. Informavimas ar sutikimas? Labai svarbu suprasti, kad sutikimo imti iš darbuotojų praktiškai jokiais atvejais negalima. Pagrindinis sutikimo požymis yra tas, kad jis turi būti duodamas laisva valia, tuo tarpu darbuotojas yra laikomas silpnesniąja darbo santykių šalimi, atitinkamai ir sutikimas negali būti laikomas duotu laisva valia. Todėl informaciniai pranešimai, kuriuose darbuotojai pasirašo po įrašu „Sutinku“, „Esu informuotas ir sutinku“ nėra tinkamas, turėtų būti: „Esu informuotas“. Taip pat informacinio pranešimo antraštė turėtų būti: „Informavimas apie darbuotojo asmens duomenų tvarkymą“ (o ne „Sutikimas dėl asmens duomenų tvarkymo“).

Visgi tam tikrais išskirtiniais atvejais darbuotojų informavimas nėra tinkamas ir turi būti gaunamas sutikimas, t. y. sutikimas turi būti gaunamas dėl darbuotojo atvaizdo naudojimo, gimimo datos skelbimo, viešo sveikinimo su gimtadieniu. Tokiais atvejai sutikimas turi atitikti visus reikalavimus, t. y. darbuotojui turi būti aišku dėl ko duodamas sutikimas, kiek laiko bus tvarkomi jo duomenys ir kokie duomenys bus tvarkomi, nurodyta darbuotojo teisė bet kada atšaukti sutikimą, taip pat labai svarbu, kad sutikimas būtų gaunamas kiekvienam aukščiau nurodytam atvejui atskirai (pvz., darbuotojas turi turėti galimybę sutikti su sveikinimais gimtadienio proga, bet nesutikti, kad būtų naudojamas jo atvaizdas).

3. Atvejai, kai duomenų tvarkymui reikia pasiruošti rimčiau

Įmonė, informuodama darbuotoją apie jo asmens duomenų tvarkymą (o ne gaudama sutikimą), prisiima ir atsakomybę, kad turi kitą pagrindą (ne sutikimo) asmens duomenų tvarkymui. Daugelis duomenų tvarkymo atvejų yra grindžiami teisines prievoles ar sutarties vykdymo pagrindais, tačiau yra atvejų, kai įmonė asmens duomenis tvarko dėl to, kad tokio tvarkymo reikia pačiai įmonei – tokiais atvejai asmens duomenų tvarkymas yra grindžiamas teisėto intereso pagrindu (BDAR 6 str., 1 d. f) p.). Asmens duomenis tvarkant teisėto intereso pagrindu reikia labai gerai įsivertinti bei pasigrįsti asmens duomenų tvarkymo teisėtumą bei pasiruošti atitinkamus namų darbus dar prieš pradedant tvarkyti tokius asmens duomenis.

Kaip dažniausiai sutinkamus atvejus, grindžiamus teisėto intereso pagrindu, galima išskirti šiuos: (i) darbuotojų stebėjimas vaizdo kameromis darbo vietoje, (ii) informacinių technologijų stebėsena stebėsenos ar kontrolės tikslais (nesvarbu ar sistemingai stebima, ar tik tada, kai norima ištirti tam tikrą incidentą), (iii) lokacijos stebėjimas. Tam kad įmonė galėtų įsivertinti, jog gali remtis teisėto intereso pagrindu, visų pirma ji turi atlikti Teisėto intereso vertinimą (balanso testą), kuris leis nustatyti ar įmonės interesas tvarkyti asmens duomenis yra svarbesnis už darbuotojų teisę į privatumą. Tik gavus teigiamą išvadą galima remtis teisėto intereso (BDAR 6 str., 1 d. f) p.) pagrindu asmens duomenų tvarkymui.

Ne mažiau svarbu, kad visi aukščiau nurodyti atvejai, t. y. (i) darbuotojų stebėjimas vaizdo kameromis darbo vietoje (ii) informacinių technologijų stebėsena stebėsenos ar kontrolės tikslais (nesvarbu ar sistemingai stebima, ar tik tada, kai norima ištirti tam tikrą incidentą), (iii) lokacijos stebėjimas, patenka į Valstybinės duomenų apsaugos inspekcijos 2019 m. kovo 14 d. įsakymu patvirtą Duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašą[1] ir visais šiais atvejai prieš pradedant tvarkyti asmens duomenis (t. y. vykdyti vaizdo stebėjimą, informacinių technologijų stebėjimą, lokacijos stebėjimą), turi būti atliktas Poveikio duomenų apsaugai vertinimas, t. y. įvertintas tokio tvarkymo būtinumas, proporcingumas, nauda, įvertintos rizikos ir pritaikytos papildomos techninės ir organizacinės priemonės tokiai rizikai sumažinti. Taip pat įgyvendintas duomenų minimizavimo principas, t. y. užtikrinama, kad bus renkami tik būtini duomenys ir jie saugomi tik tiek laiko, kiek yra būtina (tai ypač aktualu vaizdo stebėjimo atveju, kai ypatingo  saugojimo termino pagrindimo nereikalauja tik vaizdo įrašų saugojimas ne ilgiau nei 72 val., tuo tarpu ilgesniam saugojam reikia turėti svarų pagrindą).

Tik atlikus aukščiau nurodytus namų darbus bus galima vykdyti darbuotojų darbo vietos stebėseną, informacinių technologijų stebėseną, lokacijos stebėseną. Šie atvejai tik pavyzdiniai ir pasitaikantys dažniausiai, tačiau pati įmonė turėtų įsivertinti ar netvarko darbuotojų asmens duomenų kitais, darbuotojų privatumą ribojančiais, būdais. Labai svarbu į tokį asmens duomenų tvarkymą nepažiūrėti „pro pirštus“, nes būtent tokie nebūtini, tik įmonės interesams naudingi darbuotojų asmens duomenų tvarkymo veiksmai dažniausiai sulaukia tiek darbuotojų skundų, tiek Valstybinės duomenų apsaugos inspekcijos dėmesio.

4. Ne tik „popieriuje“, bet ir faktiškai

Atitikties duomenų apsaugos reikalavimams įmonė nepasieks, jei tik pasiruoš dokumentus, tačiau praktiškai jų neįgyvendins, arba įgyvendinsim iš dalies. Be visos būtinos dokumentacijos turėtų būti užtikrinama, kad įmonėje yra taikomos atitinkamos IT saugomu priemonės ir darbuotojų asmens duomenys tikrai yra saugūs. Keli pavyzdžiai užtikrinantys saugumą – (i) jei duomenys perduodami į išorę (pvz., buhalterines paslaugas teikiančiai įmonei), su tokia įmone yra pasirašyta asmens duomenų tvarkymo sutartis, (ii) nėra renkama daugiau duomenų nei reikia ir numatyta įmonės tvarkose, (iii) prie darbuotojų asmens duomenų gali prieiti tik atsakingi, atitinkamus įgaliojimus turintys asmenys, (iv) pasibaigus darbo sutarčiai yra saugomi tik tie duomenys, kurie yra būtini įgyvendinant teisės aktų reikalavimus ir dar labiau apribojamas ratas asmenų, kuriems suteikiama prieiga prie šių asmens duomenų, o pasibaigus ir šiam terminui, asmens duomenys yra ištrinami ir t. t.

Pabaigai. Esminiai klausimai, kuriuos turėtų sau užduoti kiekviena įmonė ir taip įsivertinti ar tinkamai tvarko darbuotojų asmens duomenis:

  1. Ar įmonė netvarko itin jautrių darbuotojų asmens duomenų (vaizdo stebėjimo, informacinių technologijų stebėjimo ir t. t.)? Jei taip, ar yra atlikta Poveikio duomenų apsaugai vertinimai? Balanso testas?
  2. Ar įmonėje yra tinkamai parengtos ir patvirtintos tvarkos dėl darbuotojų asmens duomenų tvarkymo? Ar jos periodiškai peržiūrimos?
  3. Ar darbuotojai yra tinkamai informuojami apie jų asmens duomenų tvarkymą?
  4. Ar tam tikrais atvejais įmonė renka iš darbuotojų sutikimus? Jei taip, ar tie atvejai patenka į išimtinius atvejus? Ar įmonė nenaudoja darbuotojo atvaizdo, neskelbia viešai gimimo datos, nesveikina su gimtadieniu be darbuotojo sutikimo?
  5. Ar įmonė faktiškai yra įsigyvendinusi organizacines ir technines priemones, kad būtų užtikrinta atitiktis BDAR reikalavimams? Ar atitiktis nėra tik „popierinė“?

Įsivertinus šiuos punktus pagal straipsnyje pateiktą informaciją tikrai galėsite būti ramesni, kad darbuotojų asmens duomenis tvarkote tinkamai – „pasibeldus“ Valstybinei duomenų apsaugos inspekcijai galėsite įrodyti savo atitiktį BDAR reikalavimams, bei kartu kursite patikimo darbdavio įvaizdį, darbuotojui žinant, kad rūpinatės jo privatumu.

Straipsnį paruošė Birutė Kusaitė, advokatė, sertifikuota asmens duomenų apsaugos ekspertė (CIPP/E), Advokatų kontora Šarka, Jankauskas ir partneriai. 

 

[1] https://vdai.lrv.lt/lt/naujienos/veiklos-del-kuriu-tures-buti-atliekamas-poveikio-duomenu-apsaugai-vertinimas

Daugiau patarimų