Ko nepamiršti tvarkant personalo asmens duomenis

Privacy
Personal data protection
Human Resources
Employment
Darbdavį atstovaujantys vadovai bei personalo, organizacijų vystymo, human resources (HR) specialistai paprastai tvarko daugiausiai darbuotojų asmens duomenų. Dažniausiai šie žmonės rūpinasi ne tik įdarbinimo dokumentais, bet ir įmonės kultūra, talentų paieška, lyderystės skatinimu, darbuotojų mokymais ir efektyvumo didinimu, pataria vadovui šiais klausimais. Tad asmens duomenų tvarkoma vis daugiau, o tai padidina su tuo susijusias rizikas. Žemiau pateikiame koncentruotą informaciją apie kai kuriuos Bendrojo duomenų apsaugos reglamento (toliau – BDAR) reikalavimus, aktualius šiame kontekste.

1. Ne visada yra akivaizdu, kas yra asmens duomenys. Pagal BDAR 4 straipsnį, asmens duomenims priskiriama bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba ją galima nustatyti tiesiogiai arba netiesiogiai. Tai reiškia, kad tokie duomenų tipai kaip adresas, amžius, sveikatos duomenys, nuotraukos ir vaizdo medžiaga, kūno temperatūra, narystė profesinėse sąjungose, finansinė informacija yra asmens duomenys. Tačiau HR vadovams taip pat svarbu atsiminti, kad prie asmens duomenų yra priskiriami ir, pvz., veiklos valdymo, asmeninio efektyvumo gerinimo įrašai, informacija apie mokymus ir išsilavinimą, darbo patirtį, informacija apie gyvenimo būdą, hobius ir interesus, šeiminę padėtį, socialinių tinklų duomenys.

2. Tvarkomi ne tik dirbančiųjų duomenys. Darbdaviai renka ir naudoja asmens duomenis tiek apie esamus, tiek apie buvusius darbuotojus, o taip pat ir apie potencialius darbuotojus, praktikantus, stažuotojus. Todėl labai svarbu parengti duomenų tvarkymo veiksmų įrašų sąrašą, kuris leistų inventorizuoti duomenų tvarkymą ir apžvelgti, ką darote su atitinkamais asmens duomenimis. Įpareigojimas tai padaryti yra nurodytas BDAR 30 straipsnyje. Ši priemonė padeda tinkamai laikytis reglamento. Be to, žinosite ką atsakyti, jei gausite asmens užklausą, kokius jo duomenis tvarkote.

3. Ne visada suprantama, kas laikoma tvarkymu. Tvarkymo pavyzdžiai: asmens duomenų rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, ištrynimas. Pagal BDAR tvarkymo apibrėžimą viskas, ką jūs darote su asmens duomenimis, yra duomenų tvarkymas.

4. Venkite naudoti sutikimą kaip tvarkymo teisinį pagrindą. Siekiant tvarkyti asmens duomenis, privalu tam turėti tinkamą teisinį pagrindą. Dažniausiai darbo santykiuose tvarkymas remiasi būtinybe vykdyti darbo sutartį tarp darbdavio ir darbuotojo arba laikytis teisinės prievolės, arba dėl teisėtų darbdavio interesų. Taip pat neretai remiamasi į darbo sutartį įtrauktu darbuotojo sutikimu naudoti jo asmens duomenis. Tačiau svarbu žinoti, kad į darbo sutartį įtrauktas sutikimas negalios pagal duomenų apsaugos teisę.

Tikrą sutikimą, kaip reikalaujama pagal BDAR, yra sunku pasiekti, nes, kad būtų galiojantis, jis turi būti laisva valia duotas, konkretus, informuotas ir nedviprasmiškas darbuotojo norų nurodymas, reiškiantis sutikimą. Taigi sutikimo kaip duomenų tvarkymo pagrindo naudojimas turėtų apsiriboti tomis aplinkybėmis, kai darbuotojas turi tikrai laisvą pasirinkimą ir gali atšaukti savo sutikimą nepatirdamas jokios žalos (pavyzdžiui, naudoti atvaizdą reklaminėje medžiagoje). Kai sutikimas nėra laisvas, jis negalioja, o santykiuose tarp darbdavio ir darbuotojo yra jėgų disbalansas.

5. Darbuotojus informuoti yra privaloma. Bet koks asmens duomenų tvarkymas turėtų būti teisėtas, sąžiningas ir skaidrus. Teisė būti informuotam pagal BDAR 13 ir 14 straipsnius yra pagrindinė bet kokios organizacijos įsipareigojimo būti skaidriai dalis. Taigi, nepriklausomai nuo teisėto pagrindo tvarkyti darbuotojų duomenis, darbdavys privalo tinkamai informuoti darbuotojus apie jų duomenų tvarkymą ir jo tikslus. Taip pat paaiškinti, į ką darbuotojai turėtų kreiptis su užklausomis ir kokios yra jų teisės, susijusios su duomenimis, bei suteikti kitą BDAR nurodytą informaciją.

6. Poveikio duomenų apsaugai vertinimas (PDAV). Jis privalo būti atliekamas, norint tvarkyti darbuotojų asmens duomenis stebėsenos ar kontrolės tikslais. Taip pat darbdaviui gali būti aktualu, kad PDAV reikalingas norint įrašinėti ir pokalbius telefonu, tvarkyti vaizdo duomenis. Vertinant konkrečios tvarkymo operacijos reikalingumą ir proporcingumą,  valdomi pavojai, kurie gali kilti darbuotojų teisėms ir laisvėms bei nustatomos šių pavojų pašalinimo priemones. PDAV yra svarbi atskaitomybės priemonė, nes padeda darbdaviams ne tik laikytis BDAR, bet ir įrodyti, kad, siekiant užtikrinti atitiktį Reglamentui, buvo imtasi tinkamų priemonių.

7. BYOD – atsinešk savo įrenginį (angl. bring your own device). Daugelis darbdavių leidžia savo darbuotojams darbo tikslais naudotis savo asmeniniais įrenginiais (pvz., išmaniaisiais telefonais, kompiuteriu). Darbdavys tokiais atvejais pagrįstai siekia užtikrinti įrenginių saugumą, o darbuotojai nori išsaugoti savo privatumą. Asmeniniuose darbuotojų įrenginiuose esančios informacijos apie darbuotojo asmeninį gyvenimą darbdavys neturi pagrindo tvarkyti. Todėl darbdaviams BYOD gali kelti duomenų saugumo pažeidimų bei teisės aktų neatitikimo rizikas. Rinkoje atsiranda techninių sprendimų, kaip darbuotojo asmeniniame įrenginyje atskirti jo asmeninius duomenis nuo darbinių duomenų. Iš teisinės pusės ši rizika valdoma parengiant tinkamą BYOD politiką organizacijoje.

Organizacijoms, siekiančioms BDAR atitikties, be aukščiau paminėtų temų, taip pat gali būti svarbu apsvarstyti ir kitus asmens duomenų tvarkymo atvejus bei aspektus. Pavyzdžiui, prieigų prie darbuotojų elektroninio pašto gavimas, sveikatos ir kitų specialių kategorijų duomenų tvarkymas, duomenų saugojimo periodų nustatymas, kandidatų į pareigas patikrinimų vykdymas, rekomendacijų gavimas ir suteikimas, ir t.t.

„Fondia“ visada yra pasiruošusi atsakyti į su Jūsų verslu susijusius teisinius klausimus. Todėl kviečiame pasinaudoti nemokamos pirminės konsultacijos galimybe ir pasitarti su vienu iš mūsų teisininkų. Pokalbį galite paskirti Jums patogiu laiku paspaudę  Calendly  nuorodą.