iLAW
Susipažinkime artimiau.
Klientams | LT | EN | RU

Darbuotojų asmens duomenų tvarkymo ypatumai naujojo Darbo kodekso kontekste

2017-07-19

Darbuotojų asmens duomenų tvarkymas dėl besikeičiančio teisinio reguliavimo tampa vis aktualesne teisės sritimi. Toks tvarkymas neretai apima ne vien asmens duomenų tvarkymą vadinamojo vidaus administravimo ar darbuotojų atrankos tikslais, bet ir vienokias arba kitokias darbuotojų stebėsenos darbo vietoje priemones, tačiau žemiau apžvelgiamos aktualijos reikšmingos viso su darbo santykiais susijusio asmens duomenų tvarkymo kontekste.

Naujasis Darbo kodeksas ir darbuotojų asmens duomenų apsauga    

Naujojo Darbo kodekso 27 straipsnis, reglamentuojantis darbuotojo asmens duomenų ir jo teisės į privatų gyvenimą apsaugą, iš esmės atkartoja iš LR asmens duomenų teisinės apsaugos įstatymo kildinamus ir bendruosius asmens duomenų tvarkymo principus atitinkančius įpareigojimus netvarkyti perteklinių darbuotojų asmens duomenų ir neperduoti jų tretiesiems asmenims, išskyrus įstatymuose nustatytus atvejus.

Darbdaviui įgyvendinant nuosavybės ar valdymo teises į darbo vietoje naudojamas informacines ir komunikacines technologijas, negali būti pažeidžiamas darbuotojo asmeninio susižinojimo slaptumas. Vaizdo stebėjimas ir garso įrašymas darbo vietoje gali būti vykdomas, kai dėl darbo specifikos būtina užtikrinti asmenų, turto ar visuomenės saugumą ir kitais atvejais, kai kiti būdai ar priemonės yra nepakankami ir (arba) netinkami siekiant išvardytų tikslų. Toks teisėtas vaizdo stebėjimo bei garso įrašymo darbo vietoje pagrindas ir anksčiau buvo išvedamas iš Asmens duomenų teisinės apsaugos įstatymo, tačiau Kodekse tiesiogiai ir konkrečiai uždraudžiami atvejai, kai vykdant vaizdo stebėjimą tiesiogiai siekiama kontroliuoti darbo kokybę ir mastą.

Minėtas straipsnis numato du naujus vidinius dokumentus, susijusius su darbuotojų asmens duomenų tvarkymu - informacinių ir komunikacinių technologijų naudojimo bei darbuotojų stebėsenos ir kontrolės darbo vietoje tvarką (toliau – Tvarka) bei darbuotojų asmens duomenų saugojimo politiką ir jos įgyvendinimo priemones (toliau – Politika). Tvarką pasitvirtinti ir su ja supažindinti darbuotojus privalo visos bendrovės, tuo tarpu Politiką priimti ir paskelbti tik darbdaviai, kurių vidutinis darbuotojų skaičius yra daugiau kaip penkiasdešimt.

Naujasis Darbo kodeksas nenumato, kas konkrečiai turėtų būti numatyta Tvarkoje ar Politikoje. Nepaisant to, iš konteksto galima spręsti, kad Politika turėtų apimti bendresnius su darbuotojų asmens duomenų tvarkymu susijusius klausimus, tarp jų ir įprastinį asmens duomenų tvarkymą vidaus administravimo tikslais, už asmens duomenų tvarkymą atsakingų darbuotojų mokymą ir kt. Tuo tarpu Tvarkoje turėtų būti aptariama, kaip darbuotojai privalo naudotis darbdavio perduotomis informacinių ir komunikacinių technologijų priemonėmis, ar suteikiama teisė jomis naudotis ne darbo tikslais, išsamiai išdėstomos naudojamos stebėsenos priemonės ir šių pagrindu surinktos informacijos naudojimo tikslai, tvarka, terminai, darbuotojų kaip duomenų subjektų teisės, susijusios su tokiu duomenų tvarkymu bei pateikiama kita privaloma pateikti informacija.

Rekomendacijos darbdaviui dėl asmens duomenų tvarkymo darbe

2017 m. birželio 8 d. Direktyvos 95/46/EB 29 straipsnio darbo grupė asmenų apsaugai tvarkant asmens duomenis (toliau – Darbo grupė) paskelbė nuomonę 2/2017 dėl duomenų tvarkymo darbe, kuria išplėtojo ir papildė dar 2001 metais paskelbtą ankstesnę nuomonę dėl asmens duomenų tvarkymo darbo santykių kontekste bei 2002 metų darbinį dokumentą dėl elektroninės komunikacijos stebėjimo darbo vietoje. Šios darbo grupės išaiškinimais savo praktikoje remiasi valstybinės asmens duomenų priežiūros institucijos ir atitinkamai turi tiesioginę praktinę reikšmę. Darbo grupė daugiausiai dėmesio skyrė galimiems darbuotojų asmens duomenų tvarkymo scenarijams, galintiems kilti dėl technologijų, naujai atsiradusių ar reikšmingai pažengusių į priekį nuo minėtų prieš daugiau nei 15 metų išleistų nuomonių parengimo. Žemiau trumpai aptariami aktualiausi iš jų.

Darbdaviai neretai įdarbinimo proceso metu peržiūri kandidatų socialinės žiniasklaidos profilius ir juose pateiktą informaciją. Darbo grupės nuomone, tai, kad tokie profiliai yra viešai prieinami, nesudaro pagrindo be pakankamo pagrindo juos peržiūrinėti. Darbo grupė nurodo iš anksto informuoti kandidatą apie planuojamus veiksmus, įvertinti, ar profilis yra darbinės (pavyzdžiui, LinkedIn paskyra), ar privačios (pavyzdžiui, Facebook paskyra) paskirties. Be to, kandidatų asmens duomenys tokiu būtu turėtų būti tvarkomi tiek, kiek tokia informacija yra susijusi su darbo vieta, į kurią pretenduoja kandidatas. Juo labiau nėra teisinio pagrindo reikalauti potencialų darbdavį „pridėti prie draugų“ ar kitaip suteikti prieigą prie paskyrų turinio.

Darbo grupė taip pat kritiškai vertina ir darbdavių atliekamą socialinės žiniasklaidos paskyrų peržiūrą, kurios metu analizuojama esamų darbuotojų pateikiama informacija. Net ir oficialūs bendrovės atstovai turėtų išsaugoti teisę turėti visiškai asmeninius neviešus profilius. Visgi, socialinės žiniasklaidos profilių stebėsena Darbo grupės nuomone tam tikra apimtimi galėtų būti vykdoma tada, kai, pavyzdžiui, automatinėmis priemonėmis stebimi tinkamai apie tai informuotų buvusių darbuotojų, su kuriais sudaryti nekonkuravimo susitarimai, LinkedIn profiliai tam, kad būtų įsitikinta, kad šių susitarimų yra laikomasi.

Informacijos ir ryšių technologijų (toliau – IRT) stebėsenos priemonės reikšmingai tobulėja ir gali apimti ne vien el. laiškų ir/ar interneto naršymo istorijos, o visų naudojamų darbuotojų IRT priemonių stebėseną. Darbo grupės teigimu, tvarkymas nepaisant naudojamų stebėsenos priemonių pajėgumų turi atitikti tam tikras sąlygas. Pirma, darbdaviai, naudojantys tokias priemones turi įvertinti naudojamų priemonių proporcingumą ir ar turėtų būti imamasi papildomų veiksmų suvaldyti ar sumažinti tokio tvarkymo apimtį bei poveikį (rekomenduotina įgyvendinti poveikio duomenų apsaugai vertinimo procedūrą). Antra, darbdaviai turi įgyvendinti ir paskelbti tinkamo naudojimo politikas kartu su privatumo politikomis, pabrėždami priimtinus IRT naudojimo būdus ir išsamiai aprašydami vykdomą asmens duomenų tvarkymą. Visgi, kaip ir pabrėžia Darbo grupė, prevencijai (pavyzdžiui, nepageidaujamų svetainių ir programinės įrangos blokavimui) turėtų būti bet kuriuo atveju teikiama pirmenybė prieš stebėseną.

IRT naudojimo stebėsena už darbo vietos ribų taip pat yra tapusi pakankamai rimta problema. Darbas iš namų sukelia grėsmę darbdaviui, nes verčia suteikti nuotolinę prieigą prie vidinės darbdavio infrastruktūros. Tačiau tai Darbo grupės nuomone negali būti pagrindu pritaikyti neproporcingas priemones ir įprastai nesudarytų sąlygų vykdyti tokių darbuotojų sekimą. Panašus principas yra numatytas ir naujojo Darbo kodekso 52 straipsnio 6 dalyje, kuri numato, kad darbdavio nustatyta nuotolinio darbo įgyvendinimo tvarka neturi pažeisti darbuotojo asmens duomenų apsaugos ir jo teisės į privatų gyvenimą.

Vis labiau plinta sistemų, leidžiančių darbdaviams sekti darbuotojų lankymąsi darbe bei buvimo vietą pagal patekimo į konkrečias patalpas stebėsenos duomenis, naudojimas. Tokių sistemų naudojimas gali būti tinkamas tada, jei darbdavys turi teisėtą interesą taip apsaugoti bendrovės turtą ir informaciją nuo neteisėtos prieigos. Tačiau tokia stebėsena negalėtų būti pateisinama tada, jei šie duomenys taip pat naudojami kitiems tikslams, tokiems kaip darbuotojų našumo vertinimas.

Darbo grupė taip pat pasisakė ir dėl darbuotojų naudojamų transporto priemonių stebėsenos. Nors darbdavys ir gali turėti teisėtą interesą vykdyti tokį stebėjimą, turi būti tinkamai įvertinamas tokio stebėjimo proporcingumas, o duomenys nenaudojami neteisėtam tolesniam tvarkymui, pavyzdžiui, darbuotojų sekimui ir vertinimui. Darbo grupė rekomenduoja informaciją apie sekimą pateikti aiškiai kiekvienoje transporto priemonėje, vairuotojui matomoje vietoje.

Pokyčiai įsigaliojus Bendrajam duomenų apsaugos reglamentui

2016 m. balandžio 14 d. Europos Parlamento ir Tarybos Reglamentas dėl asmenų apsaugos tvarkant asmens duomenis ir laisvo tokių duomenų judėjimo (Bendrasis duomenų apsaugos reglamentas, toliau - Reglamentas), kuris bus tiesiogiai taikomas visose Europos Sąjungos valstybėse narėse nuo 2018 m. gegužės 25 dienos, asmens duomenų tvarkymui darbo santykių kontekste nenumato jokių specifinių taisyklių, tačiau ES valstybėms narėms leidžia nacionalinėje teisėje ar kolektyvinėse sutartyse numatyti specialias taisykles, kuriomis būtų reglamentuojamas darbuotojų asmens duomenų tvarkymas šiame kontekste.

Be išliksiančių ir galimai nesikeisiančių aukščiau išdėstytų naujojo Darbo kodekso nuostatų, šiuo klausimu aktualus yra ir 2017 m. gegužės 15 dieną paskelbtas naujos LR asmens duomenų teisinės apsaugos įstatymo redakcijos projektas. Nors projektas beveik neabejotinai dar bus koreguojamas, tačiau jo 5 straipsnis leidžia spręsti apie greičiausiai laukiančius asmens duomenų tvarkymo su darbo santykiais susijusiame kontekste ypatumus.

Pirmoje straipsnio dalyje numatytas Darbo grupės nuomone atitinkantis įpareigojimas tik tuos kandidato, pretenduojančio eiti pareigas arba dirbti darbus, asmens duomenis, kurie susiję su šio asmens kvalifikacija, profesiniais gebėjimais ir dalykinėmis savybėmis, išskyrus įstatymuose nurodytus atvejus.

Antroji straipsnio dalis sugriežtina esamą reguliavimą ir apskritai uždraudžia tvarkyti kandidato ypatingus asmens duomenis bei asmens duomenis apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas arba susijusias saugumo priemones, išskyrus tuos atvejus, kai šie asmens duomenys būtini patikrinti, ar asmuo atitinka įstatymuose nustatytus reikalavimus pareigoms eiti arba darbams dirbti. Tokia nuostata, jei nepakitusi išliks galutiniame įstatymo projekte, gali jautriai paliesti darbdavius, kurie, priimdami darbuotojus į pareigas, kuriose jiems patikima didelės vertės turto priežiūra, siekia sužinoti apie kandidatų teistumą.

Trečioji straipsnio dalis nustato anksčiau nereglamentuotą teisę rinkti prieš tai informuoto kandidato duomenis iš buvusio darbdavio, o su kandidato sutikimu – ir iš esamo darbdavio.

Šiuo metu galiojanti įstatymo redakcija apsiriboja tik vaizdo stebėjimo darbo vietoje reglamentavimu. Tuo tarpu aukščiau išdėstytos projekto nuostatos išsamiau apibrėžia su darbo santykiais susijusį duomenų tvarkymą ir nustato konkrečias su įdarbinimo procesu susijusias teises bei draudimus.

 

Šaltinis: „Darbuotojų asmens duomenų tvarkymo ypatumai naujojo Darbo kodekso kontekste“, 2017 m. liepos 19 d., vz.lt 

Autorius advokatų profesinės bendrijos „iLAW“ teisininkas Valentinas Knyva 

 

Daugiau informacijos suteiks:

Asmens duomenu apsauga.Teisininkas Valentinas Knyva ILAW 

WE ENJOY CREATING VALUE