Šiame straipsnyje aptarsime, ar darbdavys turi teisę atskleisti buvusio darbuotojo telefono numerį, atsižvelgiant į asmens duomenų apsaugos reikalavimus ir Bendrąjį duomenų apsaugos reglamentą (BDAR).
Asmens duomenų tvarkymo principai
Asmens duomenys TKA (Transporto kompetencijų agentūroje) gali būti tvarkomi tik tuo tikslu, kuriuo yra renkami. Jeigu asmens duomenys nėra būtini tam, kad būtų pasiektas konkretus tikslas, jie negali būti tvarkomi. Konkrečiam tikslui pasiekti yra tvarkomas kiek įmanoma mažesnis kiekis asmens duomenų.
Asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus, turi būti nedelsiant ištrinami arba ištaisomi - TKA imamasi visų pagrįstų priemonių užtikrinti, kad būtų laikomasi BDAR 5 straipsnio 1 dalyje nustatytų principų. Asmens duomenys tvarkomi ir saugomi ne ilgiau negu nustatytas jų saugojimo terminas, kuris turi būti ne ilgesnis, negu yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi.
Siekiant užtikrinti, kad asmens duomenys TKA būtų saugomi tik nustatytą terminą, visi TKA tvarkomi asmens duomenys yra fiksuojami duomenų tvarkymo veiklos įrašuose kartu nurodant jų saugojimo terminus.
Pasibaigus asmens duomenų saugojimo terminui, jis gali būti pratęstas, jeigu TKA nustato, kad saugoti asmens duomenis toliau yra būtina, ypač atsižvelgiant į būtinybę panaudoti asmens duomenis kaip įrodymą ikiteisminiame ar kitokiame tyrime, įskaitant ir Valstybinės duomenų apsaugos inspekcijos vykdomame tyrime, civilinėje, administracinėje ar baudžiamojoje byloje ar kitais teisės aktų nustatytais atvejais.
Duomenų subjekto sutikimas
Duomenų subjekto sutikimai gali būti renkami šiais būdais: raštu, įskaitant gautus elektroninėmis priemonėmis, žodžiu ar veiksmais, jeigu yra galimybė įrodyti, kad toks sutikimas buvo duotas, ir jeigu duomenų subjektas savo veiksmais aiškiai sutinka su siūlomu jo asmens duomenų tvarkymu.
Pirmenybė kiekvienu atveju yra teikiama duomenų subjekto sutikimams, gautiems raštu (įskaitant gautus elektroninėmis priemonėmis), o kiti sutikimo būdai gali būti naudojami tik kiekvienu konkrečiu atveju įsitikinus, kad yra įmanoma įrodyti duomenų subjekto sutikimo davimo faktą.
Kai asmens duomenys yra tvarkomi sutikimo pagrindu, tvarkomi tik tie asmens duomenys, tais tikslais, kurie nurodyti sutikime, ir su jais atliekamos tik tos tvarkymo operacijos (veiksmai), kurios nurodytos sutikime.
Sutikimas turi būti:
- duotas laisva duomenų subjekto valia;
- konkretus ir išsamus;
- duomenų subjektas davė tinkamai informuotas. Tam, kad šis reikalavimas būtų įvykdytas, prieš duomenų subjektui pasirašant sutikimą jam turi būti pateikta BDAR 13 straipsnyje nurodyta informacija bei informuojama apie duomenų subjekto teisę bet kuriuo metu atšaukti savo sutikimą;
- nedviprasmiškas duomenų subjekto valios išreiškimas, kad su juo susiję duomenys būtų tvarkomi.
Duomenų subjektas turi teisę bet kuriuo metu atšaukti savo sutikimą. Duomenų subjektui atšaukus sutikimą, draudžiama tvarkyti asmens duomenis tais tikslais ir atlikti duomenų tvarkymo operacijas (veiksmus), kurios buvo atliekamos tokio sutikimo pagrindu, išskyrus atvejus, kai tokiam duomenų tvarkymui egzistuoja kitas Taisyklėse ar BDAR įtvirtintas asmens duomenų tvarkymo teisinis pagrindas.
Sutikimui atšaukti yra sudaromos analogiškos sąlygos kaip ir sutikimui duoti, draudžiama apsunkinti ar sudaryti papildomas sąlygas sutikimui atšaukti. Sutikimo atšaukimas negali sukelti duomenų subjektui neigiamų padarinių, įskaitant paslaugos kokybės sumažinimą. Sutikimo atšaukimas nedaro poveikio sutikimu pagrįsto duomenų tvarkymo, atlikto iki sutikimo atšaukimo, teisėtumui.
Sutikimas ir jame nurodyti asmens duomenys yra saugomi trejus metus nuo sutikimo atšaukimo arba jo galiojimo termino pabaigos, arba nuo TKA sprendimo nebetvarkyti asmens duomenų sutikime nustatytais tikslais priėmimo dienos, išskyrus atvejus, kai teisės aktai numato kitokį duomenų saugojimo terminą.
TKA privalo informuoti duomenų subjektą apie jo asmens duomenų tvarkymo veiklą.
Darbdavio teisės ir pareigos tvarkant darbuotojų duomenis
TKA gali būti tvarkomi tik tie darbuotojų asmens duomenys, kurie yra būtini darbo sutarčiai ar kitai su darbuotoju sudarytai sutarčiai sudaryti ir vykdyti, teisės aktuose nustatytoms TKA teisinėms prievolėms vykdyti, konkrečiam TKA teisėtam interesui apsaugoti.
Pretendento, neatrinkto eiti pareigas asmens duomenys saugomi ne ilgiau nei 3 mėnesius nuo momento, kai pretendentui buvo pranešta, kad su juo nebus sudaryta darbo sutartis. Pasibaigus darbo teisiniams santykiams, nauji duomenys apie buvusį darbuotoją gali būti renkami tik esant teisiniam pagrindu ir tik tiek, kiek jie yra susiję ir būtini remiantis konkrečiu teisiniu pagrindu pagrįstam tikslui pasiekti.
Darbuotojas TKA darbo funkcijoms vykdyti suteiktą kompiuterį, elektroninį paštą ir kitus TKA įrenginius, prietaisus, įtaisus, informacijos ir ryšių technologijas, programinę įrangą naudoja tik su darbu susijusiais tikslais ir tik darbo funkcijoms vykdyti.
Darbuotojams yra draudžiama naudoti kompiuterius, telefonus ir kitą TKA suteiktą įrangą, prietaisus, įtaisus, informacijos ir ryšių technologijas, programinę įrangą asmeniniais tikslais, juose kaupti asmeninio pobūdžio informaciją, asmens duomenis, išskyrus Taisyklių 53 punkte numatytą išimtį.
Jeigu darbuotojas naudoja kompiuterius, telefonus ir kitą TKA suteiktą įrangą, prietaisus, įtaisus, informacijos ir ryšių technologijas, programinę įrangą asmeniniais tikslais, juose kaupia asmeninio pobūdžio informaciją ir asmens duomenis, darbuotojas prisiima riziką, kad tokią informaciją, asmens duomenis TKA gali sužinoti patikrinimo metu.
Darbuotojai savo darbo funkcijas atlieka tik naudodami TKA kompiuterius, elektroninius paštus ir kitus TKA įrenginius, prietaisus, įtaisus, informacijos ir ryšių technologijas, programinę įrangą, išskyrus tuos atvejus, kai TKA direktorius ar jo įgaliotas asmuo priima sprendimą dėl leidimo TKA darbuotojui darbo funkcijas atlikti naudojantis asmeninėmis priemonėmis.
Nuolatinį TKA darbuotojui suteikto kompiuterio, elektroninio pašto ir kitų TKA įrenginių, prietaisų, įtaisų, informacijos ir ryšių technologijų, programinės įrangos stebėjimą ar tikrinimą vykdyti draudžiama.
Šiose Taisyklėse įtvirtintas tikrinimas vykdomas limituota apimtimi, t. y. apibrėžtas konkretus laikotarpis, už kurį tikrinama, tikrinamas konkretaus projekto vykdymas, tikrinamas konkrečių funkcijų vykdymas ir tikrinamas tik tiek, kiek yra būtina išsiaiškinti šiose Taisyklėse išdėstytas aplinkybes ir apginti TKA interesus.
Vaizdo ir garso stebėjimas
Vaizdo stebėjimas ir garso įrašymas darbuotojų darbo vietose gali būti vykdomas tik tada, kai dėl darbo specifikos būtina užtikrinti asmenų, turto ar visuomenės saugumą, ir kitais atvejais, kai kiti būdai ar priemonės yra nepakankami ir (arba) netinkami siekiant išvardytų tikslų, išskyrus atvejus, kai tiesiogiai siekiama kontroliuoti darbo kokybę ir mastą.
Garso įrašai turi būti daromi specialiai tik šiems tikslams skirtais nešiojamaisiais įrenginiais, išskyrus atvejus, kai kyla būtinybė garso įrašus daryti kitokiais įrenginiais. Skaitmeninis garso įrašas perkeliamas į kompiuterinę laikmeną ir saugomas TKA. Duomenų subjektų teisės, susijusios su garso įrašų duomenų tvarkymu, įgyvendinamos Taisyklių V skyriuje nustatyta tvarka.
Įgyvendinant duomenų subjekto teisę susipažinti su tvarkomais savo asmens duomenimis, t. y. TKA įgyvendina organizacines ir technines priemones, skirtas apsaugoti asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo.
TKA darbuotojai per 3 darbo dienas nuo darbo TKA pradžios turi pasirašyti Taisyklių 2 priede nustatytos formos konfidencialumo pasižadėjimą.
Asmens duomenų tvarkymo funkcijas vykdantys darbuotojai, siekdami užkirsti kelią atsitiktiniam ar neteisėtam asmens duomenų sunaikinimui, pakeitimui, atskleidimui, taip pat bet kokiam kitam neteisėtam tvarkymui, turi tinkamai saugoti duomenų rinkmenas bei vengti nereikalingų kopijų darymo.
TKA dokumentų kopijos, kuriose nurodomi asmens duomenys, turi būti sunaikintos taip, kad šių duomenų nebūtų galima atkurti ir atpažinti jų turinio. Praradęs asmens duomenis darbuotojas, tvarkantis asmens duomenis, nedelsiant apie tai informuoja TKA direktorių ir duomenų apsaugos pareigūną TKA direktoriaus patvirtinto Asmens duomenų saugumo pažeidimų tyrimo viešojoje įstaigoje Transporto kompetencijų agentūroje tvarkos aprašo nustatyta tvarka.
Duomenų subjektams, pateikusiems prašymą susipažinti su savo asmens duomenimis ir kaip jie tvarkomi TKA, sudaromos sąlygos susipažinti su dokumentais, kuriuose yra jų asmens duomenys, TKA patalpose.
Asmens duomenų saugojimo vietos nurodytos TKA duomenų tvarkymo veiklos įrašuose. Dokumentai, kuriuose yra asmens duomenų, neturi būti laikomi visiems prieinamose vietose.
TKA darbuotojai darbo kompiuteriuose privalo naudoti slaptažodžius, sudarytus iš ne mažiau kaip 8 simbolių. Slaptažodžiai turi būti keičiami periodiškai ne rečiau kaip kartą per 3 mėnesius, taip pat susidarius tam tikroms aplinkybėms (pasikeitus darbuotojui, iškilus įsilaužimo grėsmei, kilus įtarimams, kad slaptažodis tapo žinomas tretiesiems asmenims, ir pan.). Šiuos slaptažodžius žino tik darbuotojas, dirbantis su konkrečiu kompiuteriu.
Duomenų tvarkytojo veikla
Šio skyriaus nuostatos yra taikomos tais atvejais, kai TKA tvarko duomenis kaip duomenų tvarkytoja.
TKA turi teisę sutarties pagrindu duomenų tvarkymo veiksmams atlikti pasitelkti duomenų tvarkytoją.
TKA naudoja įvairias saugumą užtikrinančias technologijas ir procedūras, siekdama apsaugoti Jūsų asmeninę informaciją nuo neteisėtos prieigos, naudojimo ar atskleidimo. Mūsų tiekėjai yra kruopščiai atrenkami, mes iš jų reikalaujame naudoti tinkamas priemones, galinčias apsaugoti Jūsų konfidencialumą ir užtikrinti Jūsų asmeninės informacijos saugumą.
Duomenų subjekto teisės
Žinau, kad turiu šias teises: teisę prašyti, kad būtų leista susipažinti su duomenimis ir juos ištaisyti arba ištrinti, teisę prašyti apriboti duomenų tvarkymą, teisę nesutikti, kad duomenys būtų tvarkomi, taip pat teisę į duomenų perkeliamumą.
Prašymai dėl teisių įgyvendinimo TKA turi būti pateikti raštu (įskaitant teikiamus elektroniniu formatu), taip pat turi būti įmanoma identifikuoti prašymą padavusio asmens bei duomenų subjekto tapatybę. Duomenų subjekto tapatybė nustatoma pagal asmens tapatybę patvirtinantį dokumentą ar elektroninių ryšių priemonėmis, kurios leidžia tinkamai identifikuoti asmenį.
Jei prašymą duomenų subjektas siunčia paštu ar per pasiuntinį, prie prašymo turi būti pridėta teisės aktų nustatyta tvarka patvirtinta duomenų subjekto asmens tapatybę patvirtinančio dokumento kopija. Kai dėl informacijos apie asmenį kreipiasi jo atstovas, jis turi pateikti atstovavimą patvirtinantį dokumentą ir savo asmens tapatybę patvirtinantį dokumentą.
Žinau, kad turiu teisę bet kada atšaukti šį sutikimą ir reikalauti nutraukti tolimesnį asmens duomenų tvarkymą, kuris yra vykdomas suti...
Darbdavio galimybės stebėti darbuotojus
Kaip darbdavys gali padėti darbuotojai, kuri kenčia nuo smurto?
Technologijos progresuoja taip sparčiai, kad jūsų vadovas gali žinoti beveik viską - matyti, ką rašote, girdėti, su kuo ir ką kalbate telefonu, sekti jūsų buvimo vietą, filmuoti jus darbo vietoje, pirmadienį įspėjo „TGS Baltic“ partneris Latvijoje Kalvis Kruminis.
„Svarbu išsiaiškinti priežastis, kodėl jums reikia stebėti darbuotojus. Reikia būti atsargiems. Jeigu sakote, kad turite kameras dėl saugumo priežasčių, o vėliau tiesiog sėdite ir žiūrite, kaip dirba jūsų darbuotojai, kas dirba, kas ne, ką paaukštinti, tai būtų pažeidimas pagal BDAR standartus“, - aiškino jis.
Teisininko teigimu, žmonės tikrai nenori dalintis savo asmenine informacija, prisijungimais prie elektroninio pašto ar socialinių tinklų. Ir tai tikrai nereiškia, kad jie daro kažką blogo, paprasčiausiai nori teisės į privatumą. „Tai yra viena pagrindinių mūsų teisių“, - aiškino K.Kruminis ir dar kartą įspėjo darbdavius, kad pastarieji rinktų duomenis apie savo darbuotojus tik gerai apsvarstę, kam to reikia. Vienu atveju duomenų rinkimas gali būti pagrįstas, kitu atveju - visiškai nepateisinamas.
„Galite įdiegti programinę įrangą mobiliajame telefone ir galite klausytis ne tik visų pokalbių, bet ir perklausyti visus ankstesnius įrašytus skambučius. Galima stebėti darbuotojų kompiuterį, naršyklės istoriją, galima stebėti darbuotojų judėjimą. Pavyzdžiui, GPS mašinose, mobiliųjų telefonų sekimas. Yra tiek daug skirtingų būdų, ir negalima pasakyti, kuris leidžiamas, kuris ne. Reikia būti labai atsargiems, kai renkatės pagrindą. Vienu atveju priežiūros institucija gali sakyti „ką jūs darote, kodėl įrašote pokalbius“, o kitais atvejais tai gali būti visiškai normalu“, - aiškino K.Kruminis.
Pavyzdžiui, Latvijoje buvo byla dėl įdiegtų stebėjimo kamerų troleibusuose ir autobusuose. „Vairuotojai nebuvo laimingi, kad turi būti stebimi, bet teismas pasakė, kad viskas gerai, nes jeigu kažkas įvyksta viešajame transporte, tai yra tinkama stebėjimui vieta“, - aiškino teisininkas.
Kada nereikia jūsų sutikimo?
BDAR 6 straipsnis sako, kad duomenų tvarkymas yra teisėtas tada, jeigu taikoma viena iš šių 6 sąlygų:
- Asmuo davė sutikimą
- Tvarkyti duomenis būtina siekiant įvykdyti sutartį
- Tvarkyti duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė
- Tvarkyti duomenis būtina siekiant apsaugoti gyvybę, turtą ar kitus fizinio asmens interesus
- Tvarkyti duomenis būtina, siekiant įvykdyti užduotį viešojo intereso labui, vykdant viešosios valdžios funkcijas.
- Tvarkyti duomenis būtina siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų, išskyrus atvejus, kai tokie duomenų subjekto interesai arba pagrindinės teisės ir laisvės, dėl kurių būtina užtikrinti asmens duomenų apsaugą, yra už juos viršesni, ypač, kai duomenų subjektas yra vaikas.
Jis tvirtino, kad dažniausiai asmens duomenys yra tvarkomi ne sutikimo pagrindu, o, pavyzdžiui, jam užsisakant kelionę, perkant paslaugą, užsisakant prenumeratą, važiuojant taksi ir pan.
„Įstatymai numato, kokius duomenis privalo rinkti paslaugos teikėjas. Pavyzdžiui, jeigu išrašoma sąskaita faktūra, bus vardas ir pavardė, adresas ir individualios veiklos numeris. Jeigu tai susiję su mokesčiais, įmonė privalo pranešti apie tau išmokėtas sumas Mokesčių inspekcijai, ir tam jai reikės vardo, pavardės, asmens kodo, tavo sutikimo tam nereikia. Sutartis, įstatyminė prievolė“, - aiškino teisininkas.
Trečioji sąlyga yra teisinis verslo interesas tvarkyti asmens duomenis. „Aišku, čia yra slidus pagrindas. Reikia pasverti, kieno interesai didesni. Pavyzdžiui, vaizdo stebėjimas turto apsaugai. Tavo duomenys yra renkami, bet tavo sutikimo neprašoma. Patalpų savininko interesas yra užtikrinti saugą, sveikatą ir pan.“, - sakė M.Civilka.
Teisinis interesas yra ir, tarkime, įmonės informacinės sistemos palaikymas. „Visi prisijungimai prie duomenų bazių yra sekami tam, kad informacinė sistema apskritai veiktų, kad prisijungtų tik tie, kurie turi teisę prisijungti. Tai yra daroma ne sutikimo pagrindu, o administracinės sistemos palaikymo pagrindu, kas yra teisinis interesas“, - aiškino teisininkas.
Taip pat duomenys renkami viešosioms paslaugoms teikti. „Vaiko teisių apsaugos tarnyba, pavyzdžiui, renka daug informacijos apie šeimą, ir tai atliekama ne sutikimo, o viešosios funkcijos vykdymo pagrindu“, - aiškino M.Civilka.
Pasak jo, sutikimo pagrindu duomenys renkami dažniausia rinkodaros tikslais, ir verslui yra patariama vengti duomenų rinkimo būtent šiuo pagrindu. „Mintis sutikimo ir pats blogumas yra tas, kad jį galima bet kada atšaukti. Rinkodarai tinka. Bet visiems kitiems atvejams tai verslui gali sukelti labai rimtų pasekmių. Daug investuojama į vartotoją, daug pastangų dedama, o žmogus ima ir atsisako. Verslas turėtų stengtis tą sutikimą naudoti tik kraštutiniais atvejais“, - aiškino jis.
O kam renkami darbuotojų duomenys?
M.Civilkos teigimu, darbdavys įgauna teisę valdyti darbuotojo duomenis tuomet, kai yra pasirašoma darbo sutartis. Duomenys dažnai tvarkomi dviem tikslais - arba darbo sutarties vykdymo tikslais, arba organizacijos administravimo tikslais.
„Tai tam tavo sutikimo nereikia, nes tu sutinki jau pasirašydamas darbo sutartį, įsidarbindamas - kad bus fiksuojama, kada ateini ir išeini, kad tavo automobilio valstybinis numeris bus fiksuojamas vien tam, kad automobilių stovėjimo aikštelė atsidarytų, tavo elektroninis paštas kilus įtarimams, kad vyksta kažkas neteisėto, bus patikrinamas, nes tai yra darbdavio suteikta priemonė darbo tikslais, veidai ar telefono numeriai intranete (vidinės organizacijos tinkle). Tai yra teisinio intereso, o ne sutikimo pagrindu. Darbdaviui tų duomenų reikia, kad būtų užtikrintas normalus organizacijos veikimas“, - aiškino M.Civilka.
Tiesa, pabrėžė jis, darbdavys surinktus duomenis gali naudoti tik pagal paskirtį. Tarkime, jeigu įrengia vaizdo kameras turto apsaugai, tai tik tam ir gali naudoti įrašus, o ne nuolatiniam darbuotojų stebėjimui ir pan.
Apibendrinant, ar darbdavys gali atskleisti buvusio darbuotojo telefono numerį?
Atsakymas priklauso nuo kelių faktorių: ar yra buvusio darbuotojo sutikimas, ar yra teisinis pagrindas atskleisti šią informaciją, ir ar tai būtina teisėtiems darbdavio interesams užtikrinti. Jei nėra jokio teisinio pagrindo ar sutikimo, darbdavys neturėtų atskleisti buvusio darbuotojo telefono numerio.