Duomenų apsaugos mitai darbo santykiuose

Šiuo metu dėl naujo ES Bendrojo duomenų apsaugos reglamento (toliau – BDAR) įsigaliojimo viešojoje erdvėje sklando daug gandų, kai kurie iš jų tiesiogiai prieštarauja pačio BDAR reikalavimams ir kelia pavojų padaryti pažeidimų asmens duomenų srityje vien bandant įgyvendinti BDAR reikalavimus.

Žinotini trys esminiai BDAR principai:

  1. BDAR tikslas jokiu būdu nėra bet kokia kaina riboti asmens duomenų naudojimą – BDAR reikalauja viso labo nerinkti perteklinių duomenų „dėl visa ko“ ir skaidriai juos naudoti, t.y. asmeniui suprantamu būdu atskleisti, kokie duomenys ir kokiais tikslais renkami bei naudojami.
  2. Asmens sutikimas duomenų tvarkymui jokiu būdu nėra būdas įteisinti duomenų naudojimą,  priešingai – asmens duomenys sutikimo pagrindu gali būti tvarkomi tik išskirtiniais atvejais, tik kai nėra kitų BDAR pagrindų ir tik laikantis bendrųjų principų, t.y. asmens sutikimas jokiu būdu neįteisina asmens duomenų rinkimo „dėl visa ko“. Be to, sutikimas turi būti realus – asmuo turi turėti realią galimybę nesutikti ir bet kada panorėjęs persigalvoti dėl sutikimo, nepatirdamas dėl to jokių neigiamų pasekmių.
  3. Kertinė sąvoka BDAR yra „pademonstruoti“ (angl. demonstrate), t.y. esminis naujas reikalavimas yra įmonės gebėjimas pateikti įrodymus, kad duomenys tvarkomi teisėtais pagrindais, deramai informavus duomenų subjektus ir užtikrinant duomenų saugumą. Turint omenyje, kad pagrindiniu demonstracijos žiūrovu bus Valstybinė duomenų apsaugos inspekcija, tai reiškia darbdavio pareigą dokumentuoti asmens duomenų tvarkymą.

Kalbant apie darbuotojų duomenų tvarkymą darbo santykių kontekste, šie principai reiškia, kad įgyvendinant BDAR reikalavimus jokie pakeitimai darbo teisės dokumentuose nėra būtini, nors BDAR dokumentacija tam tikrose situacijose ir gali būti dalimi darbo teisės dokumentų, pvz., įtraukiant kai kurias BDAR nuostatas į darbo tvarkos taisykles ar pan. Bendros rekomendacijos įgyvendinant BDAR darbo santykių aspektu būtų tokios:

NEREIKIA/NEGALIMA:

  1. Keisti darbo sutarčių, į jas įtraukiant kokias nors BDAR sąlygas, o ypač kokius nors darbuotojo sutikimus.
  2. Reikalauti iš darbuotojų kokių nors sutikimų, susijusių su BDAR, išskyrus sutikimą viešinti nuotraukas, mobilaus telefono numerį arba kandidato į siūlomą darbo vietą sutikimą saugoti jo CV ir siųsti darbo pasiūlymus.

REIKIA:

  1. Dokumentuoti asmens duomenų tvarkymą, taikomą be kita ko ir darbuotojams, tačiau nepamirštant, kad ši dokumentacija dažnu atveju skirta ne tik darbuotojams, t.y. turės būti atskleidžiama ir tretiesiems asmenims. Reikėtų vengti BDAR nuostatų darbo tvarkos taisyklėse ir kituose tretiesiems asmenims neskirtuose dokumentuose.
  2. Inventorizuoti saugomus darbuotojų duomenis ir įsitikinti, kad nėra saugomi jokiais tikslais nenaudojami duomenys, o taip pat duomenys apie sveikatą ar teistumą didesne apimtimi nei tai leidžia įstatymai.

Inventorizuoti darbo vietose taikomas stebėjimo priemones ir įsitikinti, ar jos pačios ir jų taikymo mastas yra proporcingas siekiamiems tikslams, taip pat, tinkamai dokumentuoti jų naudojimą.

Šiuo metu dėl naujo ES Bendrojo duomenų apsaugos reglamento (toliau – BDAR) įsigaliojimo viešojoje erdvėje sklando daug gandų, kai kurie iš jų tiesiogiai prieštarauja pačio BDAR reikalavimams ir kelia pavojų padaryti pažeidimų asmens duomenų srityje vien bandant įgyvendinti BDAR reikalavimus.

Žinotini trys esminiai BDAR principai:

  1. BDAR tikslas jokiu būdu nėra bet kokia kaina riboti asmens duomenų naudojimą – BDAR reikalauja viso labo nerinkti perteklinių duomenų „dėl visa ko“ ir skaidriai juos naudoti, t.y. asmeniui suprantamu būdu atskleisti, kokie duomenys ir kokiais tikslais renkami bei naudojami.
  2. Asmens sutikimas duomenų tvarkymui jokiu būdu nėra būdas įteisinti duomenų naudojimą,  priešingai – asmens duomenys sutikimo pagrindu gali būti tvarkomi tik išskirtiniais atvejais, tik kai nėra kitų BDAR pagrindų ir tik laikantis bendrųjų principų, t.y. asmens sutikimas jokiu būdu neįteisina asmens duomenų rinkimo „dėl visa ko“. Be to, sutikimas turi būti realus – asmuo turi turėti realią galimybę nesutikti ir bet kada panorėjęs persigalvoti dėl sutikimo, nepatirdamas dėl to jokių neigiamų pasekmių.
  3. Kertinė sąvoka BDAR yra „pademonstruoti“ (angl. demonstrate), t.y. esminis naujas reikalavimas yra įmonės gebėjimas pateikti įrodymus, kad duomenys tvarkomi teisėtais pagrindais, deramai informavus duomenų subjektus ir užtikrinant duomenų saugumą. Turint omenyje, kad pagrindiniu demonstracijos žiūrovu bus Valstybinė duomenų apsaugos inspekcija, tai reiškia darbdavio pareigą dokumentuoti asmens duomenų tvarkymą.

Kalbant apie darbuotojų duomenų tvarkymą darbo santykių kontekste, šie principai reiškia, kad įgyvendinant BDAR reikalavimus jokie pakeitimai darbo teisės dokumentuose nėra būtini, nors BDAR dokumentacija tam tikrose situacijose ir gali būti dalimi darbo teisės dokumentų, pvz., įtraukiant kai kurias BDAR nuostatas į darbo tvarkos taisykles ar pan. Bendros rekomendacijos įgyvendinant BDAR darbo santykių aspektu būtų tokios:

NEREIKIA/NEGALIMA:

  1. Keisti darbo sutarčių, į jas įtraukiant kokias nors BDAR sąlygas, o ypač kokius nors darbuotojo sutikimus.
  2. Reikalauti iš darbuotojų kokių nors sutikimų, susijusių su BDAR, išskyrus sutikimą viešinti nuotraukas, mobilaus telefono numerį arba kandidato į siūlomą darbo vietą sutikimą saugoti jo CV ir siųsti darbo pasiūlymus.

REIKIA:

  1. Dokumentuoti asmens duomenų tvarkymą, taikomą be kita ko ir darbuotojams, tačiau nepamirštant, kad ši dokumentacija dažnu atveju skirta ne tik darbuotojams, t.y. turės būti atskleidžiama ir tretiesiems asmenims. Reikėtų vengti BDAR nuostatų darbo tvarkos taisyklėse ir kituose tretiesiems asmenims neskirtuose dokumentuose.
  2. Inventorizuoti saugomus darbuotojų duomenis ir įsitikinti, kad nėra saugomi jokiais tikslais nenaudojami duomenys, o taip pat duomenys apie sveikatą ar teistumą didesne apimtimi nei tai leidžia įstatymai.

Inventorizuoti darbo vietose taikomas stebėjimo priemones ir įsitikinti, ar jos pačios ir jų taikymo mastas yra proporcingas siekiamiems tikslams, taip pat, tinkamai dokumentuoti jų naudojimą.

Marius Dagys | partneris

Mob. tel: +37061549380 | El. paštas: marius.dagys@linden.lt

Tel.: +37052121506 | www.linden.lt