Netrukus įsigalios Bendrasis duomenų apsaugos reglamentas: ką būtina žinoti darbuotojams?

Paskelbta: 2018-05-17

 

Jau po savaitės visoje Europoje įsigalios Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 2016 m. balandžio 27 d. dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, dar vadinamas Bendruoju duomenų apsaugos reglamentu (BDAR).

Š. m. kovo 9 dieną įvykusio Lietuvos pramonės profesinių sąjungų federacijos tarybos posėdžio metu Valstybinės duomenų apsaugos inspekcijos Prevencijos skyriaus vyr. specialistė Valerija Gedeikė supažindino posėdžio dalyvius su pagrindinėmis BDAR nuostatomis, žinotinomis darbuotojams ir jų atstovams.

Pateikiame svarbiausius V. Gedeikės pranešimo aspektus.  

 

Asmens duomenysbet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (duomenų subjektas); fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius.

Duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas.

Su asmens duomenų tvarkymu yra susiję šie principai: teisėtumo, sąžiningumo, skaidrumo, tikslo apribojimo,  duomenų kiekio mažinimo, tikslumo,  saugojimo trukmės apribojimo,  vientisumo ir konfidencialumo, atskaitomybės.

Svarbu pabrėžti, jog tam, kad asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais, yra būtinas jo sutikimas. Jis apibrėžiamas kaip bet koks laisva valia duotas, konkretus ir nedviprasmiškas tinkamai informuoto duomenų subjekto valios išreiškimas pareiškimu arba vienareikšmiais veiksmais kuriais jis sutinka, kad būtų tvarkomi su juo susiję asmens duomenys.

Kokios yra duomenų subjektų teisės pagal BDAR?

  • gauti informaciją apie savo asmens duomenų tvarkymą;
  • susipažinti su savo asmens duomenimis, kurie yra saugomi;
  • prašyti ištaisyti neteisingus, netikslius ar neišsamius asmens duomenis;
  • prašyti ištrinti asmens duomenis, kurių nebereikia arba kurie tvarkomi neteisėtai;
  • nesutikti, kad jūsų asmens duomenys būtų tvarkomi rinkodaros tikslais, arba nesutikti, kad būtų tvarkomi bet kokie su jūsų konkrečiu atveju susiję asmens duomenys;
  • prašyti konkrečiais atvejais apriboti savo asmens duomenų tvarkymą;
  • gauti savo asmens duomenis kompiuterio skaitomu formatu ir persiųsti juos kitam duomenų valdytojui („duomenų perkeliamumas“);
  • prašyti, kad automatizuotu duomenų tvarkymu grindžiamus sprendimus, kurie yra susiję su jumis arba turi jums reikšmingos įtakos ir yra pagrįsti jūsų asmens duomenimis, priimtų fiziniai asmenys, o ne tik kompiuteriai. Tokiu atveju jūs taip pat turite teisę išreikšti savo nuomonę ir ginčyti sprendimą.

Ką daryti, jeigu įtariate, kad Jūsų teisės dėl duomenų saugojimo ir tvarkymo yra pažeistos?

  • pateikti skundą savo nacionalinei duomenų apsaugos institucijai (DAI);
  • imtis teisinių veiksmų prieš įmonę ar organizaciją;
  • Jūs galite pareikšti ieškinį įmonei ar organizacijai, jeigu manote, kad ji pažeidė jūsų teises į duomenų apsaugą.

Ką svarbu žinoti, jeigu esate darbuotojas?

DK 27 straipsnis nustato, kad darbdavys privalo gerbti darbuotojo teisę į privatų gyvenimą, užtikrinti darbuotojo asmens duomenų apsaugą; darbdaviui draudžiama tvarkyti su darbo reikmėmis nesusijusius (perteklinius) darbuotojo asmens duomenis, taip pat pateikti darbuotojo asmens duomenis tretiesiems asmenims, išskyrus įstatymuose nustatytus atvejus.

Pažymėtina, kad pagal BDAR 80 straipsnio 1 dalį, asmuo turi teisę įgalioti ne pelno įstaigą, organizaciją ar asociaciją, kuri tinkamai įsteigta pagal valstybės narės teisę ir kurios įstatais nustatyti tikslai atitinka viešąjį interesą, kuri veikia duomenų subjekto teisių bei laisvių apsaugos srityje, kiek tai susiję su jų asmens duomenų apsauga, jo vardu pateikti skundą ir jo vardu naudotis tam tikromis BDAR nurodytomis pažeistų teisių gynimo teisėmis. Taigi, remiantis šia nuostata, darbuotojas gali kreiptis į profesinę sąjungą, kad ši atstovautų jį tuo atveju, jeigu yra pežeidžiamos jo teisės į duomenų apsaugą.

Atkreiptinas dėmesys, jog BDAR 88 straipsnyje  numatyta, kad valstybės narės gali teisėje ar kolektyvinėse sutartyse numatyti konkretesnes taisykles, kuriomis siekiama užtikrinti teisių ir laisvių apsaugą tvarkant darbuotojų asmens duomenis su darbo santykiais susijusiame kontekste.

Ar darbdavys turi teisę filmuoti darbuotojus bet kur ir bet kada?  

Svarbu pažymėti tai, kad, tvarkant vaizdo ir (ar) garso duomenis darbo vietoje ir duomenų valdytojo patalpose ar teritorijose, kuriose dirba jo darbuotojai, tvarkant asmens duomenis, susijusius su darbuotojų elgesio, vietos ar judėjimo stebėsena, šie darbuotojai apie tokį jų asmens duomenų tvarkymą turi būti informuojami pasirašytinai ar kitu būdu, įrodančiu informavimo faktą, pateikiant Reglamento (ES) 2016/679 14 straipsnio 1 ir 2 dalyse nurodytą informaciją.

Paminėtina, kad DK 27 straipsnio 5 dalis nustato, kad vaizdo stebėjimas ir garso įrašymas darbo vietoje gali būti vykdomas, kai dėl darbo specifikos būtina užtikrinti asmenų, turto ar visuomenės saugumą ir kitais atvejais, kai kiti būdai ar priemonės yra nepakankami ir (arba) netinkamisiekiant išvardytų tikslų, išskyrus atvejus, kai tiesiogiai siekiama kontroliuoti darbo kokybę ir mastą. Apie vaizdo stebėjimą ir garso įrašymą konkrečioje darbovietės vietoje informuojama vaizdiniu žymeniu matomoje vietoje.

Kas žinotina ketinantiems įsidarbinti?

Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo projekto 5 straipsnio 1 dalyje numatyta, kad draudžiama tvarkyti kandidato, pretenduojančio eiti pareigas arba dirbti darbus, ir darbuotojo asmens duomenis apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas, išskyrus atvejus, kai šie asmens duomenys būtini patikrinti, ar asmuo atitinka įstatymuose ir (ar) įgyvendinamuosiuose teisės aktuose nustatytus reikalavimus pareigoms eiti arba darbams dirbti.

Taip pat to paties projekto 5 straipsnio 2 dalis numato, kad duomenų valdytojas gali rinkti kandidato, pretenduojančio eiti pareigas arba dirbti darbus, asmens duomenis, susijusius su kvalifikacija, profesiniais gebėjimais ir dalykinėmis savybėmis, iš buvusio darbdavio prieš tai informavęs kandidatą, o iš esamo darbdavio – tik kandidato sutikimu.

 

Pagal  Valstybinės duomenų apsaugos inspekcijos Prevencijos skyriaus vyr. specialistės Valerijos Gedeikės pranešimą parengė Jūratė Jasiūnienė