Pereiti prie turinio

Sutikimas dėl asmens duomenų panaudojimo – ką aktualu žinoti darbuotojų ir darbdavių atstovams?

Dalintis:

Kaip žinia, šių metų m. gegužės 25 d. įsigaliojo naujasis duomenų apsaugos reglamentas (BDAR), kuris nustato griežtesnius reikalavimus asmens duomenų tvarkymui.

Vienas iš kelių dažniausiai naudojamų pagrindų, kuriems esant leidžiama tvarkyti asmens duomenis įsigaliojus BDAR yra, ir greičiausiai išliks, duomenų subjekto sutikimas, kad jo asmens duomenys būtų tvarkomi. O tai yra aktualu ir profesinėms sąjungoms, ir darbdaviams.

Tad šiame straipsnyje bus aptariami svarbiausi su duomenų subjekto duotu sutikimu tvarkyti jo asmens duomenis susiję klausimai.

Sutikimui, kad jis būtų laikomas tinkamai gautu, keliami šie kriterijai:

Sutikimas turi būti duotas laisva valia. Tai reiškia, kad duomenų subjektui turi būti suteikiamas realus šansas pasirinkti, ar duoti sutikimą tvarkyti duomenis, ar ne. Atsisakymas duoti sutikimą asmens duomenų tvarkymui negali turėti neigiamos įtakos duomenų subjektui (tiesa, jei duomenų tvarkymas būtinas tam tikroms paslaugoms suteikti, galima atsisakyti teikti paslaugas). BDAR nustato, kad jei duomenų subjektas neturi realaus pasirinkimo, dėl tam tikrų priežasčių jaučiasi priverstas duoti sutikimą arba nesutikimas sukels neigiamas pasekmes, bus laikoma, kad toks sutikimas yra negaliojantis. Vertinant ar sutikimas duotas laisva valia, yra vertinama ir duomenų valdytojo bei duomenų subjekto padėtis, todėl, pvz.: sutikimas beveik visais atvejais nebus laikomas tinkamu pagrindu tvarkyti darbuotojų asmens duomenis;

Sutikimas turi būti konkrečiai duomenų tvarkymo operacijai, ar kelioms operacijoms. Duomenų subjektui turi būti pateikta aiški ir suprantama informacija, kokioms duomenų tvarkymo operacijoms sutikimas yra duodamas. Pažymėtina, kad jeigu prašoma sutikimo kelioms duomenų tvarkymo operacijoms, duomenų subjektas turi turėti teisę neduoti sutikimo vienai ar kelioms iš prašomų duomenų tvarkymo operacijų. Taip pat, pažymėtina tai, kad jei asmens duomenų subjektas yra davęs sutikimą konkrečiai duomenų tvarkymo operacijai (kuri gali būti ir tęstinio pobūdžio), o duomenų valdytojas siekia pradėti tvarkyti asmens duomenis kitam (nors ir labai panašiam ar susijusiam) tikslui, būtina gauti naują duomenų subjekto sutikimą tam naujam tikslui;

Duomenų subjektas turi būti informuotas. Tai reiškia, kad prieš gaunant duomenų subjekto sutikimą, jam turi būti pateikta BDAR 13 straipsnio 1 ir 2 dalyje nurodyta informacija, t.y. duomenų valdytojo tapatybė; duomenų tvarkymo tikslas, kuriam siekiama gauti sutikimą; kokie duomenys bus kaupiami ir tvarkomi; galimybė atšaukti sutikimą; ar bus automatizuotas sprendimų priėmimas, įskaitant profiliavimą ir kitą su tuo susijusią informaciją; apie ketinimą asmens duomenis perduoti trečiajai valstybei ar tarptautinei organizacijai bei susijusia informaciją ir kt.

Nedviprasmiškas duomenų subjekto išreikšto noro požymis arba veiksmas, kuriuo duomenų subjektas išreiškia sutikimą duomenų tvarkymui. Sutikimui duoti duomenų subjektas turi išreikšti savo valią ir tai padaryti atlikdamas kokį nors veiksmą. Atsižvelgiant į tai, atvejai, kai asmuo užsiregistravęs svetainėje ir jo paskyros profilyje automatiškai būna pažymėta varnelė, kad asmuo sutinka su tam tikromis duomenų tvarkymo operacijomis, nebūtų laikomi tinkamu sutikimu.

Taigi, vertinant ar duomenų valdytojo gautas sutikimas yra gautas tinkamu būdu, turi būti atsižvelgta į visus šiuos sutikimo kriterijus. Todėl būtų naudinga dar prieš įsigaliojant BDAR patikrinti savo sutikimo formas, kuriomis yra prašoma duomenų subjekto sutikimo duomenų tvarkymo operacijoms.

 

Sutikimo prašymo forma

BDAR nustato gerokai didesnį kiekį informacijos, kuris turi būti pateiktas duomenų subjektui, prieš jam suteikiant sutikimą, kad sutikimas būtų laikomas duotu teisėtai. Vadovaujantis BDAR 13 str. 1 ir 2 d. duomenų subjektui turi būti pateikta sekanti informacija:

 • Duomenų valdytojo ir, jeigu taikoma, duomenų valdytojo atstovo tapatybė ir kontaktiniai duomenys;
 • Jeigu taikoma, duomenų apsaugos pareigūno kontaktiniai duomenys;
 • Duomenų tvarkymo tikslai, dėl kurių ketinama tvarkyti asmens duomenis bei duomenų tvarkymo teisinis pagrindas;
 • Kai duomenų tvarkymas atliekamas remiantis teisėtais duomenų valdytojo ar trečiojo asmens interesais, nurodyti teisėtus duomenų valdytojo ar trečiosios šalies interesus;
 • Jei yra, asmens duomenų gavėjus arba asmens duomenų gavėjų kategorijas;
 • Kai taikoma, informacija apie duomenų valdytojo ketinimą asmens duomenis perduoti į trečiąją valstybę arba tarptautinei organizacijai, taip pat, Europos Komisijos sprendimo dėl tinkamumo buvimą ar nebuvimą arba tinkamas ar pritaikytas apsaugos priemones ir būdus, kaip gauti jų kopiją arba kur suteikiama galimybė su jais susipažinti;
 • Asmens duomenų saugojimo laikotarpį, arba, jei to laikotarpio neįmanoma nustatyti, kriterijus, taikomus laikotarpiui nustatyti;
 • Teisė prašyti, kad duomenų valdytojas leistų susipažinti su duomenų subjekto asmens duomenimis ir juos ištaisytų arba ištrintų, arba apribotų duomenų tvarkymą, arba teisę nesutikti, kad duomenys būtų tvarkomi, taip pat, teisė į duomenų perkeliamumą;
 • Teisė bet kuriuo metu atšaukti sutikimą, nedarant poveikio sutikimu grindžiamo duomenų tvarkymo iki sutikimo atšaukimo teisėtumui;
 • Teisė pateikti skundą priežiūros institucijai;
 • Tai, ar asmens duomenų pateikimas yra teisės aktais arba sutartyje numatytas reikalavimas, ar reikalavimas, kurį būtina įvykdyti norint sudaryti sutartį, taip pat tai, ar duomenų subjektas privalo pateikti asmens duomenis, ir informaciją apie galimas tokių duomenų nepateikimo pasekmes;
 • Tai, kad esama automatizuoto sprendimų priėmimo, įskaitant profiliavimą, ir, bent tais atvejais, prasmingą informaciją apie loginį jo pagrindimą, taip pat tokio duomenų tvarkymo reikšmę ir numatomas pasekmes duomenų subjektui.

Natūralu, kad ne visais atvejais visa tokia informaciją bus įmanoma pateikti dėl objektyvių priežasčių, pvz.: asmens duomenys nebus perduodami į trečiąsias valstybes ar tarptautinėms organizacijoms, todėl tokios informacijos nereikia nurodyti. Tačiau, akivaizdu, kad sąrašas yra platus. Maža to, reglamentas nurodo, kad visa ši informacija turi būti pateikta „glausta, skaidria, suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba“.

Verta pažymėti, kad į šiuos reikalavimus nederėtų numoti ranka, kadangi BDAR 83 straipsnio 5 dalies A punktas numato, kad už pagrindinių duomenų tvarkymo principų, įskaitant sutikimo sąlygų, pažeidimą gali būti skiriama bauda iki 20 milijonų eurų.

 

Ar darbdavys gali reikalauti, kad darbuotojas duotų sutikimą naudoti savo asmens duomenis?

Darbdavio ir darbuotojo santykių atveju paprastai laikoma, kad yra padėties disbalansas, nes darbdavys turi daugiau galios nei darbuotojas. Sutikimas turi būti duotas laisva valia, todėl, atsižvelgiant į padėties disbalansą, darbdavys daugeliu atvejų negali pasikliauti jūsų sutikimu naudoti jūsų duomenis.

Tam tikrais atvejais darbuotojo duomenų tvarkymas, paremtas jo sutikimu, yra teisėtas, ypač jeigu tai daroma darbuotojo interesų labui. Pavyzdžiui, jeigu įmonė darbuotojui ar jo šeimos nariams suteikia kokių nors privilegijų (pvz., taiko nuolaidą įmonės teikiamoms paslaugoms), darbuotojo asmens duomenų tvarkymas yra leidžiamas ir teisėtas, gavus sutikimą, pagrįstą iš anksto gauta informacija.

 

Kada darbuotojo sutikimas negalioja?

Tarkime, Jūsų darbdavys mano, kad reikia padidinti darbo našumą. Tuo tikslu jis reikalauja įrengti vaizdo stebėjimo kameras koridoriuose ir prie įėjimo į tualetus. Jis prašo Jūsų sutikimo, kad galėtų stebėti Jūsų judėjimą ir laiką, kurį praleidžiate ne darbo vietoje. Net jeigu Jūs duotumėte savo sutikimą, jis būtų laikomas negaliojančiu ir juo remdamasis Jūsų darbdavys negalėtų įrengti vaizdo stebėjimo kamerų.

 

Daugiau informacijos apie sutikimo teisėtumą ir jo galiojimą galima rasti šiuose BDAR straipsniuose:

7 ir 88 straipsniai bei 43 konstatuojamoji dalis;

29 straipsnio darbo grupės gairės dėl sutikimo pagal Reglamentą (ES) 2016/679 (WP 259);

29 straipsnio darbo grupės nuomonė 2/2017 dėl duomenų tvarkymo darbe (WP 249).

 

Pagal Advokatų kontoros „Jurkonis ir partneriai“ ir europa.eu informaciją parengė Jūratė Jasiūnienė