Susirūpinta darbuotojo asmens duomenų saugumu: kokie pasikeitimai laukia?

Darbdaviams dairytis po kandidatų į darbą socialinius tinklus – nelegalu, išaiškino ES pareigūnai. Už tokią praktiką bendrovėms gali tekti skaudžiai sumokėti. Kol kas bauda už darbuotojų privatumo pažeidimus siekia 1.150 Eur. Tačiau kitų metų gegužę įsigalios darbdaviams nerimą keliantis ES Bendrasis duomenų apsaugos reglamentas, kuris už asmens duomenų pažeidimus numato sankcijas iki 20 mln. Eur, arba iki 4% metinės apyvartos.

Darbuotojų ir kandidatų įsidarbinti socialinių tinklų profilių stebėjimas – tik išskirtiniais atvejais

ES Duomenų apsaugos direktyvos 29 straipsnio darbo grupė (toliau – ir Darbo grupė) paskelbė gaires, kuriomis išaiškino, kaip taikyti senas taisykles naujų technologijų amžiuje. Daugiausia dėmesio sulaukęs išaiškinimas – negalima tikrinti kandidato socialinių tinklų profilių. Šiuose gali būti privačios informacijos, kuri nėra susijusi su asmenų darbo funkcijomis.

Kita vertus, ES teisė nedraudžia kai kuriais atvejais tikrinti socialinių tinklų, teigia Lietuvos teisininkai, pavyzdžiui, kai kandidatui keliami reikalavimai susiję su nepriekaištingu elgesiu ar panašiai, tačiau bet kokiu atveju siūloma pradžioje įvertinti, ar profilis yra darbinės (pavyzdžiui, LinkedIn paskyra), ar privačios (pavyzdžiui, Facebook paskyra) paskirties. Tokiu atveju kandidatai turi būti tinkamai informuojami apie tokio tikrinimo galimybę, pavyzdžiui, pateikiant informaciją darbo skelbime.

Minėtose gairėse pateikiamas pavyzdys, kad jeigu darbuotoją saisto nekonkuravimo įsipareigojimai, darbdavio atliekamas „LinkedIn“ paskyros stebėjimas, siekiant patikrinti, ar darbuotojas nekonkuravimo įsipareigojimų nepažeidžia, gali būti pateisinamas, tačiau teisininkai pažymi, kad reiktų atsižvelgti ir į socialinio tinklo bei jame skelbiamos informacijos pobūdį, be to, net ir tokiu atveju asmuo turėtų būti kokia nors aiškia forma iš anksto informuotas apie tai, kad jo konkretaus socialinio tinklo profilis bus peržiūrimas. Svarbu ir tai, kad darbdavys neturi teisės reikalauti kandidato „susidraugauti“ su juo socialiniame tinkle.

Teisininkai įspėja, kad jau šiuo metu visi darbdaviai turėtų pateikti kandidatams informaciją apie jų asmens duomenų tvarkymą, taip pat gauti sutikimą dėl kandidatūros duomenų saugojimo pasibaigus atrankai, jei asmuo nebuvo įdarbintas, o jo duomenis norima, pavyzdžiui, pasilikti archyvuose, kviesti į kitas laisvas pozicijas. Be teisėto pagrindo asmens duomenys neturėtų būti tvarkomi, nepaisant to, kad prieš tai jie buvo paskelbti viešai, pavyzdžiui, socialiniuose tinkluose.

Tiesa, naujoje tvarkoje yra ir spragų: mat bus sunku sukontroliuoti, ar darbdavys tikrino kandidato socialinius tinklus, ar ne. Tačiau teisininkai tikina, kad vis dėlto yra netiesioginių būdų užfiksuoti pažeidimą, pavyzdžiui, darbdavys pateikia kandidatui klausimų, susijusių su privačia informacija, kurios kandidatas nebuvo atskleidęs darbdaviui, bet buvo paskelbęs socialiniuose tinkluose. Taip pat gali būti, kad socialinių tinklų tikrinimo faktas bus užfiksuotas kandidato atrankos bylose, pavyzdžiui, išsaugotos socialinių tinklų paskyrų nuotraukos.

O kaip užtikrinti darbuotojų privatumą dirbant nuotoliniu būdu?

Darbas iš namų sukelia grėsmę darbdaviui, nes verčia suteikti nuotolinę prieigą prie vidinės darbdavio infrastruktūros. Tačiau tai Darbo grupės nuomone negali būti pagrindu pritaikyti neproporcingas priemones ir įprastai nesudarytų sąlygų vykdyti tokių darbuotojų sekimą. Panašus principas yra numatytas ir naujojo Darbo kodekso 52 straipsnio 6 dalyje, kuri numato, kad darbdavio nustatyta nuotolinio darbo įgyvendinimo tvarka neturi pažeisti darbuotojo asmens duomenų apsaugos ir jo teisės į privatų gyvenimą.

Vis labiau plinta sistemų, leidžiančių darbdaviams sekti darbuotojų lankymąsi darbe bei buvimo vietą pagal patekimo į konkrečias patalpas stebėsenos duomenis, naudojimas. Tokių sistemų naudojimas gali būti tinkamas tada, jei darbdavys turi teisėtą interesą taip apsaugoti bendrovės turtą ir informaciją nuo neteisėtos prieigos. Tačiau tokia stebėsena negalėtų būti pateisinama tada, jei šie duomenys taip pat naudojami kitiems tikslams, tokiems kaip darbuotojų našumo vertinimas.

Darbo grupė taip pat pasisakė ir dėl darbuotojų naudojamų transporto priemonių stebėsenos. Nors darbdavys ir gali turėti teisėtą interesą vykdyti tokį stebėjimą, turi būti tinkamai įvertinamas tokio stebėjimo proporcingumas, o duomenys nenaudojami neteisėtam tolesniam tvarkymui, pavyzdžiui, darbuotojų sekimui ir vertinimui. Darbo grupė rekomenduoja informaciją apie sekimą pateikti aiškiai kiekvienoje transporto priemonėje, vairuotojui matomoje vietoje.

Numatomas griežtesnis asmens duomenų apsaugos reglamentavimas

Lietuvoje darbuotojo asmens duomenų ir jo teisės į privatų gyvenimą apsaugą reglamentuoja LR asmens duomenų teisinės apsaugos įstatymas bei liepos 1 d. įsigaliojuio Darbo kodekso 27 straipsnis.

Pagal minėtą straipsnį, darbdaviui įgyvendinant nuosavybės ar valdymo teises į darbo vietoje naudojamas informacines ir komunikacines technologijas, negali būti pažeidžiamas darbuotojo asmeninio susižinojimo slaptumas. Vaizdo stebėjimas ir garso įrašymas darbo vietoje gali būti vykdomas, kai dėl darbo specifikos būtina užtikrinti asmenų, turto ar visuomenės saugumą ir kitais atvejais, kai kiti būdai ar priemonės yra nepakankami ir (arba) netinkami siekiant išvardytų tikslų. Minėtas straipsnis numato du naujus vidinius dokumentus, susijusius su darbuotojų asmens duomenų tvarkymu – informacinių ir komunikacinių technologijų naudojimo bei darbuotojų stebėsenos ir kontrolės darbo vietoje tvarką (toliau – Tvarka) bei darbuotojų asmens duomenų saugojimo politiką ir jos įgyvendinimo priemones (toliau – Politika). Tvarką pasitvirtinti ir su ja supažindinti darbuotojus privalo visos bendrovės, tuo tarpu Politiką priimti ir paskelbti tik darbdaviai, kurių vidutinis darbuotojų skaičius yra daugiau kaip penkiasdešimt.

Naujasis Darbo kodeksas nenumato, kas konkrečiai turėtų būti numatyta Tvarkoje ar Politikoje. Nepaisant to, iš konteksto galima spręsti, kad Politika turėtų apimti bendresnius su darbuotojų asmens duomenų tvarkymu susijusius klausimus, tarp jų ir įprastinį asmens duomenų tvarkymą vidaus administravimo tikslais, už asmens duomenų tvarkymą atsakingų darbuotojų mokymą ir kt. Tuo tarpu Tvarkoje turėtų būti aptariama, kaip darbuotojai privalo naudotis darbdavio perduotomis informacinių ir komunikacinių technologijų priemonėmis, ar suteikiama teisė jomis naudotis ne darbo tikslais, išsamiai išdėstomos naudojamos stebėsenos priemonės ir šių pagrindu surinktos informacijos naudojimo tikslai, tvarka, terminai, darbuotojų kaip duomenų subjektų teisės, susijusios su tokiu duomenų tvarkymu bei pateikiama kita privaloma pateikti informacija.

Be išliksiančių ir galimai nesikeisiančių aukščiau išdėstytų naujojo Darbo kodekso nuostatų, šiuo klausimu aktualus yra ir 2017 m. gegužės 15 dieną paskelbtas naujos LR asmens duomenų teisinės apsaugos įstatymo redakcijos projektas. Nors projektas beveik neabejotinai dar bus koreguojamas, tačiau jo 5 straipsnis leidžia spręsti apie greičiausiai laukiančius asmens duomenų tvarkymo su darbo santykiais susijusiame kontekste ypatumus.

Pirmoje straipsnio dalyje numatytas Darbo grupės nuomone atitinkantis įpareigojimas tik tuos kandidato, pretenduojančio eiti pareigas arba dirbti darbus, asmens duomenis, kurie susiję su šio asmens kvalifikacija, profesiniais gebėjimais ir dalykinėmis savybėmis, išskyrus įstatymuose nurodytus atvejus.

Antroji straipsnio dalis sugriežtina esamą reguliavimą ir apskritai uždraudžia tvarkyti kandidato ypatingus asmens duomenis bei asmens duomenis apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas arba susijusias saugumo priemones, išskyrus tuos atvejus, kai šie asmens duomenys būtini patikrinti, ar asmuo atitinka įstatymuose nustatytus reikalavimus pareigoms eiti arba darbams dirbti. Tokia nuostata, jei nepakitusi išliks galutiniame įstatymo projekte, gali jautriai paliesti darbdavius, kurie, priimdami darbuotojus į pareigas, kuriose jiems patikima didelės vertės turto priežiūra, siekia sužinoti apie kandidatų teistumą.

Trečioji straipsnio dalis nustato anksčiau nereglamentuotą teisę rinkti prieš tai informuoto kandidato duomenis iš buvusio darbdavio, o su kandidato sutikimu – ir iš esamo darbdavio.

Šiuo metu galiojanti įstatymo redakcija apsiriboja tik vaizdo stebėjimo darbo vietoje reglamentavimu. Tuo tarpu aukščiau išdėstytos projekto nuostatos išsamiau apibrėžia su darbo santykiais susijusį duomenų tvarkymą ir nustato konkrečias su įdarbinimo procesu susijusias teises bei draudimus

Parengta pagal vz.lt ir teisininko Valentino Knyvos informaciją