10.11.2020

Darbuotojų duomenų tvarkymas. Ar nieko nepamiršome?

Ko gero nebeliko nei vieno, kuris negirdėjo bent vieno iš šių junginių – „asmens duomenys“, „duomenų apsaugos reglamentas“, „BDAR“, „GDPR“, „teisė būti pamirštam“ ir dar daug panašių. Per visą laikotarpį nuo Europos Sąjungos bendrojo duomenų apsaugos reglamento (toliau – BDAR) įsigaliojimo, priežiūros institucija ir duomenų apsaugos ekspertai įdėjo nemažai pastangų, siekiant paversti duomenų apsaugos aspektus neatsiejama kasdienio darbo dalimi. Nuolat dirbama ties tinkama dokumentacija, darbuotojų mokymais ir instrukcijomis kaip elgtis su klientų, pacientų, interesantų ir kitų subjektų asmens duomenimis, kuriais kiekvieną dieną „operuojama“. Reguliariai visuomenei primenama ir pagrūmojama „būkite dėmesingi, Jūs turite savo teises“. Socialinė medija nenustoja skambėjusi apie duomenų perdavimo į JAV problemas, vis matome sušmėžuojant garsius pavadinimus  Google, Schrems, Privacy Shield. Bet ar nieko nepamiršome?

Iš pirmo žvilgsnio atrodytų neliko bent vienu aspektu nepaliestų skirtingų asmens duomenų apsaugos temų, jos nagrinėjamos nuolat ir detaliai. Vis dėlto itin retai kalbame apie darbuotojus. Jeigu tiksliau, apie darbuotojų asmens duomenų tvarkymą.

Darbuotojai yra labai ypatinga asmenų grupė duomenų apsaugos kontekste dėl vienos labai paprastos priežasties – jėgų disbalansas dėl pavaldumo ryšio. Jeigu mes galime vertinti, kad įprastai duomenų valdytojas turėtų prisitaikyti siekdamas išlaikyti savo klientus, interesantus, lankytojus ar kt., tai šiuo atveju duomenų valdytojas, kaip darbdavys, yra „situacijos šeimininkas“ dėka pavaldumo ryšio ir neretai savo padėtimi naudojasi.

Aktualiausios problemos kalbant apie darbuotojų asmens duomenų tvarkymą yra dvi – tvarkomų duomenų pertekliškumas ir sutikimu pagrįstas duomenų tvarkymas. Nors nuolat kalbama apie duomenų apsaugos principus ir pagrindus, kaip apie vienus bazinių dalykų siekiant užtikrinti tinkamą atitiktį organizacijoje, neretai tai ir tampa pagrindine pažeidimų priežastimi.

Iš vienos pusės atrodo, jog nėra tokios duomenų subjektų kategorijos, kurios duomenų tvarkymo atitiktį užtikrinti yra lengviau nei darbuotojų. Juk darbdavio pareigos aiškiai įtvirtintos įstatymuose, kurių laikantis nekyla jokių neigiamų pasekmių. Tačiau praktika rodo, kad medalis turi ir antrą pusę, pasinaudodami savo teisine padėtimi darbdaviai neretai siekia asmeninių tikslų įgyvendinimo rinkdami jiems reikiamus duomenis, kas stipriai prasilenkia su teisėtu duomenų tvarkymu. Vienas geriausių pavyzdžių – naujausi įvykiai.

Šių metų (2020 m.) spalio pradžioje Vokietijos priežiūros institucija skyrė 35 mln. eurų baudą prekybos tinklui H&M. Priežastis? Perteklinis darbuotojų asmens duomenų tvarkymas ir tokiu būdu vykdomas darbuotojų stebėjimas. Tyrimo metu nustatyta, kad nuo 2014 metų bendrovė dokumentavo duomenis peržengiančius jų darbuotojų privataus gyvenimo ribas. Tarp tvarkomų duomenų galima rasti duomenis apie šeimos problemas, atostogų patirtį ar net specialiųjų kategorijų duomenis, tokius kaip: religiniai įsitikinimai, diagnozės, ligų simptomai. Duomenų rinkimo aplinkybės dar įdomesnės. Vadovai organizavo susitikimus su darbuotojais jiems grįžus iš atostogų ar nedarbingumo ir saugojo šių susitikimų užrašus skaitmeniniu formatu. Nepaisant šio reguliaraus darbuotojų stebėjimo, siekiant įvertinti juos per asmeninę prizmę, 2019 metais neužtikrinus tinkamo duomenų saugumo lygio visi saugomi duomenis keletui valandų tapo prieinami visos bendrovės mastu. Įdomumo dėlei verta paminėti, kad tyrimui gautų įrašų dydis buvo 60 GB talpos. Nuo BDAR įsigaliojimo (2018 m.), tai kol kas viena didžiausių baudų, kurios buvo skirtos duomenų valdytojams už duomenų tvarkymo pažeidimus.

Perteklinis duomenų tvarkymas nėra vienintelė problema. Ne mažiau reikšmingas yra darbuotojų duomenų tvarkymas sutikimo pagrindu. Vieni duomenų valdytojai nori „apsidrausti“ rinkdami sutikimus, tiems atvejams, kai jau turi teisėtą duomenų tvarkymo pagrindą. Kiti, visais atvejais, kuomet nėra teisėto pagrindo siekia „prisidengti“ sutikimu, sudarydami įvaizdį, kad viskas yra teisėta. Tačiau vis dar pamirštama, jog sutikimas visuomet yra itin komplikuotas asmens duomenų tvarkymo pagrindas, o darbuotojų atveju didžiąja dalimi gali tapti ir neteisėtu.

Sutikimas savo esme yra sudėtingas, nes privalu įgyvendinti papildomas sąlygas. Sutikimas turi būti naudojamas tik tuomet, kai nėra kitų BDAR pateikiamų pagrindų, kuriais galima būtų remtis. Remiantis sutikimu duomenų subjektui turi būti sudaryta teisė būti tinkamai informuotam ir turėti laisvą pasirinkimą. Nesutikimas, negali turėti jokių neigiamų pasekmių duomenų subjektui. Be to duomenų subjektas turi teisę bet kuriuo metu atšaukti duotą sutikimą. Darbo santykių kontekste šios sąlygos yra sunkiai įgyvendinamos arba praktiškai neįmanomos. 29 straipsnio darbo grupės nuomonėje Nr. 2/2017  dėl duomenų tvarkymo darbe pažymima, kad darbuotojas sutikimo davimo metu turi turėti aiškų supratimą, kad jam nekils jokios neigiamos pasekmės, kitu atveju nebelieka galimybės remtis laisva valia ir sutikimas taps negaliojančiu. Dėl susidariusio pavaldumo ryšio darbuotojas visuomet bijos pasekmių sau, todėl sutikimas negalės būti vertinamas, kaip savanoriškai duotas. Ryškus tam pavyzdys 2020 m. balandžio 2 d. Lietuvos vyriausiojo administracinio teismo byla, kurioje spręstas klausimas dėl biometrinių duomenų tvarkymo pagrindo teisėtumo trijose plačiai žinomose bendrovėse UAB „Birštono šaltinis“, AB „Eglės sanatorija“, UAB „Namita“. Nepaisant to, kad bendrovės teigė turinčios darbuotojų sutikimus ir suteikiančios galimybę darbuotojams pasirinkti, konstatuota, kad šis duomenų tvarkymas neturėjo teisinio pagrindo bei buvo nepagrįsta ir neproporcinga priemonė. Tuo tarpu darbuotojai siekdama išlaikyti darbo vietą nedrįso reikšti jokių prieštaravimų, drausmingai elgėsi pagal darbdavio nurodymus ir tai iliustruoja atvejus, kuomet sutikimas tampa negaliojančiu.

Taip pat tai, jog problemos šioje srityje yra realios iliustruoja ir ankstesnis 2019 m. Graikijos priežiūros institucijos sprendimas paskirti 150 tūkst. eurų baudą kompanijai PWC už tai, kad bendrovės darbuotojų buvo reikalaujama pateikti sutikimus dėl jų asmens duomenų tvarkymo darbo santykių administravimo tikslu. Šiuo atveju darbuotojams buvo sudarytas klaidingas įspūdis, jog visi jų asmens duomenys yra tvarkomi sutikimo pagrindu, nors tai buvo netiesa. Tai vienas geriausių pavyzdžių, kodėl noras „apsidrausti“ papildomu sutikimu gali sukelti itin daug problemų.

Svarbu suprasti, kad darbo santykiai negali būti tapatinami su visų kitų duomenų subjektų ryšiu su duomenų valdytoju. Darbuotojai, kaip ir pacientai ar vaikai, turi būti priskirtini prie jautrių duomenų subjektų kategorijos. Šiuo atveju privaloma įvertinti tvarkomų asmens duomenų apimtis, užtikrinti jų saugumą bei įgyvendinti kitus reikalavimus. Bet kuriam duomenų valdytojui stipriausia atrama turėtų būti duomenų apsaugos pareigūnas ar kitas už duomenų tvarkymą organizacijoje atsakingas asmuo, kuris privalo būti nešališkas ir objektyviai pateikti vertinimą visiems duomenų valdytojo iškeltiems asmens duomenų tvarkymo tikslams, visiems renkamiems  asmens duomenims ir įvertinti duomenų subjektų specifiškumą. Kurį laiką Priežiūros institucijos ištiesusios rankas siuntė pagalbą ir įspėjamuosius signalus visiems duomenų valdytojams. Šiandien duomenų valdytojas negali leisti sau paviršutiniškai vertinti savo veiksmų ypač darbuotojų atžvilgiu. Praėjus daugiau nei dvejiems metams nuo BDAR įsigaliojimo Priežiūros institucijų pozicija tampa vis griežtesnė ir klaidos gali kainuoti labai brangiai.