Jau ne vienerius metus veikiantis Europos Sąjungos (ES) Bendrasis duomenų apsaugos reglamentas (BDAR) ne tik įtvirtino milijonines baudas už asmens duomenų pažeidimus, tačiau, specialistų vertinimu, atnešė ir realią naudą asmenų privatumo teisių stiprinimo srityje bei prisidėjo prie reguliavimo skaidrumo ir patikimumo visoje ES teritorijoje. Deja, dalis verslo vis dar laikosi pozicijos, kad pakanka formalios dokumentacijos parengimo, o investicijos į duomenų apsaugą nėra būtinos verslo išlaidos. Atitinkamai, pastebima, kad daugumai įmonių iki šiol kyla klausimų dėl BDAR taikymo, o kai kurios jau sulaukė ir BDAR priežiūros institucijų dėmesio.
Asociatyvi „Pixabay“ nuotr.
Renkami įvairiausi duomenys
Pirmiausia, reikia prisiminti, kad BDAR taikomas visoms įmonėms ir valdžios institucijoms, jei jos renka, naudoja ir saugo bet kokius savo klientų ir (ar) partnerių (jų atstovų, jei klientai ir partneriai yra juridiniai asmenys), darbuotojų, svetainės lankytojų, reklamos adresatų asmens duomenis, vaizdo stebėjimo ir panašius duomenis. Visi šie asmens duomenys turi būti tvarkomi skaidriu būdu, tuo tikslu, kuriam buvo surinkti, ir saugomi ne ilgiau, nei tai yra būtina. Ypatingą dėmesį reikia skirti specialių kategorijų asmens duomenų – genetinių ir biometrinių, atskleidžiančių rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus, narystę profesinėse sąjungose, apie asmens sveikatą, lytinį gyvenimą ir orientaciją – tvarkymui, kuris leidžiamas tik išimtiniais atvejais.
Jei verslo tvarkomi asmens duomenys yra netyčia arba neteisėtai sunaikinami, prarandami, be leidimo atskleidžiami, persiunčiami, saugomi arba kitaip tvarkomi be asmens leidimo, tokie atvejai yra laikomi saugumo pažeidimais. Kalbant pavyzdžiais, tai gali būti ir per klaidą iš žmogiškųjų išteklių sistemos ištrinti darbuotojų duomenys, prarastas darbuotojo kompiuteris, kuriame saugomi klientų asmens duomenys, elektroninio laiško su kliento duomenimis išsiuntimas su jais susipažinti teisės neturintiems asmenims ir kitos panašios situacijos. Įvykus tokiam saugumo pažeidimui, įmonė privalo jį įforminti dokumentais, nedelsdama per 72 valandas apie pažeidimą pranešti priežiūros institucijai, o tam tikrais atvejais informuoti ir asmenis, kurių duomenys nukentėjo.
Nors pagrindiniai BDAR įtvirtinti principai aiškūs, neretai kyla praktiniai tokių principų įgyvendinimo klausimai. Nemaža jų dalis yra susijusi su darbo santykių metu surenkamais ir saugomais asmens duomenimis.
Į kandidatų feisbuką galima tik žvilgčioti
Dažniausiai įmonės daugiausiai dėmesio skiria savo klientų ir esamų darbuotojų duomenų apsaugai, tačiau labai atsakingai reikia elgtis ir su kandidatų į darbo vietą duomenimis, nes jų duomenų apsaugai galioja tie patys reikalavimai.
Visų pirma, galioja bendras darbo teisės principas, kad apie kandidatą galima rinkti tik tokią informaciją, kuri reikalinga įvertinti asmens tinkamumą užimti būsimas pareigas. Tai reiškia, kad darbdaviai gali rinkti tik tokius duomenis kaip kandidato vardas, pavardė, kontaktai, išsilavinimas, darbo patirtis, kvalifikacija, gebėjimai ir panašiai. Duomenys apie kandidato sveikatos būklę arba kredito istoriją gali būti renkami ir tvarkomi tik tuomet, jei tai pagrįstai ir tiesiogiai susiję su būsimomis pareigomis, o duomenys apie asmens (ne)teistumą – tik jeigu teisės aktuose aiškiai įtvirtintas reikalavimas darbdaviui tokius duomenis rinkti ir patikrinti. Be to, reikia nepamiršti, kad į buvusius kandidato darbdavius galima kreiptis tik iš anksto apie tai informavus kandidatą, o į esamą – tik su kandidato sutikimu.
Neretai pasitaiko situacijų, kai informacijos apie kandidatą bandoma ieškoti įvairiuose socialiniuose tinkluose, peržiūrint ir vertinant asmenų profilius. Galima suprasti ir verslo poreikį užtikrinti, kad įmonėje dirbtų darbuotojai, kurių socialinėje paskyroje nebūtų skleidžiamos idėjos, galinčios turėti neigiamos įtakos įmonės reputacijai, tačiau apie kandidatą galima fiksuoti ir tvarkyti tik tokią informaciją, kuri yra būtina užimamai pozicijai. Atitinkamai, specialistai laikosi pozicijos, kad būsimi darbdaviai, vertindami kandidatus, galėtų naudotis tik profesinėse paskyrose, pavyzdžiui, „LinkedIn“, esančiais duomenimis.
Ne mažiau svarbus ir neatrinktų kandidatų asmens duomenų tvarkymas. BDAR labai aiškiai įtvirtina reikalavimą duomenis saugoti terminuotai, t. y. tik tiek, kiek duomenų reikia konkrečiam tikslui pasiekti. Tad jei kandidatui nepasiseka atrankoje į darbo poziciją, jo gyvenimo aprašymas ar motyvacinis laiškas negali būti saugomas neterminuotą laiką. Pasibaigus atrankai, kandidato pateiktus ir atrankos duomenis galima saugoti tik tam tikrą konkretų laiką, pavyzdžiui, iki 1 metų, ir turint aiškų teisėtą tikslą, pavyzdžiui, siekiant kaupti kandidatų bazę. Apie tai kandidatas turi būti informuojamas iš anksto ir jam suteikiama teisė prieštarauti dėl tokio tolesnio jo duomenų naudojimo.
Darbuotojų duomenų tvarkymas stebėsenos ar kontrolės tikslais
Jau esant darbo santykiams, darbdaviui atsiranda daugiau teisėtų tikslų ir pagrindų rinkti ir saugoti asmens duomenis. Vystantis technologijoms, augant nuotolinio darbo poreikiui, neretai darbdaviai naudoja tokias priemones kaip darbuotojo vaizdo ar kompiuterio stebėjimą, įskaitant el. pašto stebėjimą, momentinių nuotraukų atlikimą, raktinių žodžių paiešką, naršymo istorijos saugojimą, GPS stebėjimą, darbo lankomumo stebėjimą, telefoninių pokalbių įrašymą ir kitas priemones. Visgi, reikia pabrėžti, kad darbdavys privalo turėti teisėtą pagrindą ir aiškų bei apibrėžtą tikslą stebėti darbuotojus, ir minėtas priemones naudoti tik tada, kai nėra kitų tinkamų priemonių, turinčių mažesnę įtaką darbuotojų privatumui. Tokiais atvejais darbdaviai dažniausiai remiasi savo, kaip verslo, teisėtu interesu, pavyzdžiui, užtikrinti IT sistemų saugumą, turto ar darbuotojų saugumą, klientų aptarnavimo kokybę.
Norint pagrįsti galimybę remtis tokiu pagrindu, turi būti atliekamas darbuotojų privatumo ir darbdavio teisėto intereso proporcingumo testas. Kitaip sakant, kai darbdavys darbuotojų duomenų tvarkymui nori remtis teisėtu savo verslo interesu, šis turi būti viršesnis už darbuotojo teisę į privatumą, bet nepažeisti darbuotojo teisių ir laisvių. Pavyzdžiui, darbdavys nori filmuoti automobilių stovėjimo aikštelę ir patekimo į administracines patalpas teritoriją, kad užtikrintų savo turto ir darbuotojų saugumą nuo vagysčių ir incidentų. Tačiau tuo pačiu jis turi rinkti ir tokius darbuotojų duomenis kaip atvaizdas, automobilio numeris, kitos identifikacinės savybės. Norint atlikti tokį stebėjimą, darbdavys turi įvertinti, ar šis jo interesas apsaugoti turtą ir darbuotojus yra viršesnis už atskiro darbuotojo privatumą. Tokie proporcingumo testai dažniausiai dokumentuojami naudojant pavyzdines institucijų patvirtintas formas. Nors tokia dokumentacija neturi būti viešinama, tačiau ji privalo būti saugoma kartu su kita vidine dokumentacija, jei reikėtų įrodyti, kad toks vertinimas atliktas ir jis pagrindžia duomenų tvarkymo teisėtumą. Taip pat būtina paminėti, kad Valstybinė duomenų apsaugos inspekcija yra nurodžiusi, kad vykdant darbuotojų asmens duomenų tvarkymą stebėsenos ar kontrolės tikslais, yra būtina atlikti kitą privalomą vertinimą – poveikio duomenų apsaugai vertinimą.
Be to, nepriklausomai nuo duomenų tvarkymo pagrindo, darbuotojas visada privalo būti informuotas apie jo duomenų tvarkymą ir šių veiksmų tikslą bei pagrindą. Su stebėjimo tvarka darbuotojas turi būtų supažindintas pasirašytai arba kitu supažindinimo faktą patvirtinančiu būdu.
Gresia tos pačios milijoninės baudos
BDAR taisyklės galioja kalbant ir apie buvusių darbuotojų duomenų tvarkymą. Kaip minėta, darbdaviai turi apibrėžti konkrečius duomenų saugojimo terminus, kuriems suėjus, tokie duomenys ištrinami. Tam tikrais atvejais, teisės aktai numato minimalius ar maksimalius dokumentų ar duomenų saugojimo terminus, pavyzdžiui, įspėjimai dėl darbo sutarties nutraukimo turi būti saugomi bent 3 metus, o pačios darbo sutartys ir jų priedai – ne trumpiau nei 50 metų. Jei dokumento ar duomenų saugojimo terminas teisės aktuose nenumatytas, jie turi būti saugomi protingą laikotarpį, reikalingą apibrėžtiems tikslams pasiekti. Tad, pavyzdžiui, buvusio darbuotojo profilio nuotrauka, naudota internetinėje svetainėje, turėtų būti ištrinta nedelsiant.
Labai svarbu, kad nors gali atrodyti, jog aukščiau paminėti reikalavimai dėl darbuotojų ar kandidatų duomenų tvarkymo yra mažiau reikšmingi nei, tarkime, reikalavimai dėl klientų finansinių ar sveikatos duomenų tvarkymo, vis tik pažeidus šiuos reikalavimus darbdaviui gali tekti susidurti su nemenka atsakomybe. Už pačių svarbiausių BDAR nuostatų pažeidimus (pavyzdžiui, pagrindinių duomenų tvarkymo principų pažeidimus, įskaitant sutikimo gavimo pažeidimus, duomenų subjektų teisių pažeidimus ir panašiai), numatytos baudos iki 20 mln. eurų arba iki 4 proc. įmonės ankstesnių metų bendrosios pasaulinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė. Ir visiškai nesvarbu, ar kalbama tik apie kandidatą ar darbuotoją – galioja bendros BDAR numatytos nuobaudos pagal pažeidimo pobūdį.
Lietuvoje BDAR laikymąsi prižiūri Valstybinė duomenų apsaugos inspekcija, kurios sprendimai vien pernai turėjo įtakos dešimtims įmonių Lietuvoje. Skaičiuojama, kad organizacijoms teikti 2 įspėjimai, 8 rekomendacijos, paskirtos 26 administracinės baudos, surašyta 30 administracinių nusižengimų protokolų, pagal kuriuos daugiausiai baudų skirta dėl Elektroninių ryšių įstatymo pažeidimų. Taip pat teiktas 101 nurodymas ir 101 papeikimas. Taigi, į BDAR taisyklių laikymąsi žiūrima itin griežtai. Tad darbdaviams verta dar kartą pasikartoti pagrindines taisykles, kad vėliau nebūtų pakliūvama į priežiūros institucijų akiratį.
Komentuoja teisės firmos „Sorainen“ ekspertė Irma Kirklytė