Paprastai darbdavys darbuotojui sukuria darbo vietą ir aprūpina jį kompiuteriu, telefonu ir kitomis priemonėmis.
Tai, žinoma, susiję su profesinėmis užduotimis, o ne su darbuotojo asmeninių poreikių tenkinimu. Tačiau darbuotojo teisė į privatų gyvenimą neišnyksta vien dėl to, kad jis savo elektroninę darbo vietą naudojo asmeniniams interesams. Nors skaitmeninės technologijos suteikia plačių galimybių organizacijoms ir jų darbuotojams didinti darbo našumą, leidžia dirbti iš namų, jos taip pat lemia vis didėjančią darbuotojų asmens duomenų tvarkymo apimtį, o tai sukelia iššūkių privataus gyvenimo ir asmens duomenų apsaugai. Technologijos progresuoja taip sparčiai, kad darbdavys apie darbuotojus gali žinoti beveik viską: matyti, ką jie rašo, girdėti, su kuo ir ką kalba telefonu, sekti jų buvimo vietą, filmuoti darbo vietoje ir pan. Yra tiek daug skirtingų būdų, ir neretai sunku pasakyti, kuris jų leidžiamas, kuris ne. Vienu atveju tos pačios priemonės naudojimas gali užtraukti baudą pagal Bendrojo duomenų apsaugos reglamento (BDAR) nuostatas, o kitais atvejais tai gali būti visiškai teisėta. Taigi kur ta riba? Svarbu surasti interesų, t. y. teisės į privatumą ir darbdavio interesų apsaugos, pusiausvyrą.
Darbdaviai turėtų deramai įvertinti šį klausimą dar prieš įdiegdami naują priemonę darbuotojų stebėsenai ar kontrolei. Darbo kodekso 27 str. numato, kad darbdavys privalo gerbti darbuotojų teises į privatų gyvenimą ir į asmens duomenų apsaugą.
Technologijos progresuoja taip sparčiai, kad darbdavys apie darbuotojus gali žinoti beveik viską.
Tai svarbu ne tik todėl, kad BDAR numato reikšmingas pinigines sankcijas už pažeidimus, bet ir apskritai saugant savo reputaciją, siekiant būti patrauklia organizacija, gebančia pritraukti ir išlaikyti kvalifikuotus bei talentingus darbuotojus. Siekiant atsakyti į įžangoje keliamą klausimą, būtina įvertinti keletą aspektų.
Kada duomenų tvarkymas teisėtas?
Vien tai, kad yra daug techninių galimybių stebėti darbuotojus, saugoti ir analizuoti informaciją, dar nereiškia, kad visos jos yra leidžiamos. Bet kokiems asmens duomenims tvarkyti reikalingas teisinis pagrindas. BDAR numato šiuos darbuotojų asmens duomenų tvarkymo teisinius pagrindus:
- Būtina darbo sutarčiai įvykdyti ar parengti.
- Būtina teisinei prievolei vykdyti.
- Būtina gyvybiniams darbuotojo ar kito fizinio asmens interesams apsaugoti.
- Būtina atlikti užduočiai, vykdomai viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas.
- Būtina teisėtiems darbdavio ar trečiosios šalies interesams, nebent pagrindinės darbuotojo teisės nusveria šiuos interesus.
- Darbuotojo sutikimas vienam ar keliems konkretiems tikslams.
Nors sutikimas paprastai gali būti svarbiausias ir plačiausiai naudojamas teisinis asmens duomenų tvarkymo pagrindas, darbo vietoje jis gali būti pasirenkamas tik išimtiniais atvejais. Kadangi darbdavys turi autoritetą darbuotojo atžvilgiu ir darbuotojas yra finansiškai priklausomas nuo darbdavio, darbuotojo sutikimas iš esmės negali būti tinkamu pagrindu, nes jis turi būti duotas laisva valia, be to, sutikimą turėtų būti galima bet kada atšaukti. Darbdaviai paprastai negali pagrįsti darbuotojų asmens duomenų tvarkymo jų sutikimo pagrindu, ypač tais atvejais, kai taikomos stebėsenos ar kontrolės priemonės, todėl turi būti taikomas kitas teisinis pagrindas.
Tokios nuomonės laikosi ir Valstybinė duomenų apsaugos inspekcija (VDAI), kuri, vertindama situaciją dėl biometrinių darbuotojų asmens duomenų tvarkymo (įėjimo į darbo vietą kontrolės tikslu), nusprendė, kad darbuotojo sutikimas dėl galios disbalanso nelaikytinas laisvu. Todėl VDAI konstatavo, kad darbuotojų pirštų atspaudų modeliai (t. y. binariniai kodai) tvarkomi neteisėtai, pažeidžiant BDAR 5 straipsnio 1 dalies a (teisėtumo principą) ir c (duomenų kiekio mažinimo principą) punktus bei 9 straipsnio 1 dalį.
Taigi darbuotojų asmens duomenų tvarkymas, taikant stebėsenos ar kontrolės priemones, turi būti būtinas vienam ar keliems išvardytiems tikslams pasiekti.
Proporcingumo testas
Kiekvienas darbdavys turi sugebėti įrodyti, kad asmens duomenų tvarkymas yra būtinas pagal BDAR. Duomenų tvarkymas gali būti laikomas būtinu tik tuo atveju, jei jis yra proporcingas. Duomenų tvarkymas negali būti laikomas proporcingu, jei interesas, kuriuo jis grindžiamas, yra mažiau svarbus, o poveikis darbuotojo teisėms yra didelis. Tai taip pat reiškia, kad darbdavys turi atlikti tik tas duomenų tvarkymo operacijas, kuriomis galima pasiekti iškeltą tikslą ir kartu mažiausiai paveikti darbuotojų privatumą.
Būtina priemonė tokiam proporcingumo testui pagrįsti ir dokumentuoti yra poveikio duomenų apsaugai vertinimas – tokia pareiga kildinama iš BDAR. Šis vertinimas pagal VDAI direktoriaus patvirtintą sąrašą turi būti atliekamas visais atvejais, kai darbdavys stebi darbuotojus. Net ir tais atvejais, kai VDAI iki BDAR taikymo pradžios buvo įvertinusi jų atliekamą asmens duomenų tvarkymo teisėtumą, duomenų valdytojas nėra atleidžiamas nuo pareigos atlikti poveikio duomenų apsaugai vertinimą.
Nors teisėti darbdavio interesai yra teisinis pagrindas pagal BDAR, galintis pagrįsti duomenų tvarkymą, to nereikėtų per daug supaprastinti. Norint taikyti šį teisinį pagrindą, reikia detaliai pagrįsti teisėtus interesus, parodyti duomenų tvarkymo būtinumą ir proporcingumą. Teisėto darbdavio intereso pavyzdžiai galėtų būti asmenų ir turto apsauga, pažeidimų fiksavimas ir nustatymas, įmonės konfidencialios informacijos apsauga ir kt.
Jei tokių interesų pagrįstumas atitinkamomis aplinkybėmis nebus pakankamai įvertintas, darbdavys negalės pagrįsti proporcingumo; pavyzdžiui, jei konkretus tikslas gali būti pasiektas naudojantis kitomis priemonėmis, turinčiomis mažiau įtakos darbuotojo teisėms, darbdaviui gresia baudos ir atsakomybė.
Svarbu pripažinti, kad nors darbuotojų produktyvumo ir darbo rezultatų gerinimas yra darbdavio teisėtas interesas, sudėtinga pagrįsti, kad jis galėtų nusverti pamatinę darbuotojų teisę į privatų gyvenimą.
Kokia stebėsena draudžiama?
Nepaisant teisėto intereso pagrindimo, tam tikrų duomenų tvarkymo operacijų reikėtų vengti visais atvejais. Pirmiausia, visais atvejais draudžiamas stebėjimas jautriose vietose, tokiose kaip tualeto ir vonios kambariai, religinės erdvės ir poilsio kambariai. Antra, draudžiama remtis automatizuotu būdu priimamais sprendimais vertinant darbuotojų darbo rezultatus. Trečia, nuolatinis visos darbuotojų veiklos stebėjimas nėra leidžiamas. Tad reikėtų rinktis atsitiktinius patikrinimus arba tikslinį stebėjimą, kuris taikomas tik esant pagrįstiems įtarimams, jog daromi pažeidimai. Ketvirta, draudžiama slapta darbuotojų stebėsena. Darbuotojai apie vykdomą stebėseną ir kontrolę privalo būti informuoti visais atvejais, išskyrus tuomet, kai kyla pagrįstų įtarimų dėl nusikalstamos veikos darymo. Tačiau šią išimtį galima taikyti tik esant tinkamam pagrindimui.
Europos Žmogaus Teisių Teismas (EŽTT) savo praktikoje yra pasakęs, kad tam tikrais atvejais darbuotojus stebėti slaptomis vaizdo kameromis galima, ir tai nepažeidžia Europos Žmogaus Teisių Konvencijos 8 straipsnio, t. y. asmens privataus gyvenimo. Konkrečioje byloje parduotuvės savininkai įrengė slaptas kameras turėdami pagrįstų įtarimų, kad darbuotojai vagia prekes. EŽTT pasakė, kad šiuo atveju buvo teisėtas pagrindas įrengti slaptas vaizdo kameras ir kad bendrovė pasirinko proporcingą būdą siekdama išsiaiškinti, ar prekės tikrai yra vagiamos. Svarbu, kad slaptos kameros buvo išmontuotos nedelsiant, kai tik buvo išsiaiškinta apie daromus nusikaltimus. EŽTT pabrėžė, kad labai svarbu asmenis informuoti apie jų duomenų rinkimą, tačiau esant proporcingam tikslui galima atskleisti ir ne visą informaciją. EŽTT pabrėžė, kad toks slaptas stebėjimas visą laiką ar be konkretaus tikslo būtų asmens privatumo pažeidimas.
Taigi darbdavys tik išimtiniais atvejais gali nepranešti apie vykdomą stebėseną. Bendra taisyklė numato, kad darbuotojai turi būti tinkamai informuoti apie jų stebėjimą. Be to, darbdavys turi paaiškinti, kodėl darbuotojai yra stebimi ir kodėl to reikia įmonės interesams įgyvendinti.
Nuotolinio darbo stebėsena
Šiandien turbūt labiau nei bet kada anksčiau aktualus nuotolinio darbo klausimas, kai esame priversti dirbti iš namų, naudodami interneto ryšį, nešiojamąjį kompiuterį, mobilųjį telefoną ir (arba) planšetinį kompiuterį. Todėl darbdaviai ieško būdų ne tik sudaryti tokias galimybes, bet ir palengvinti nuotolinį darbą. Teisėtas darbdavių rūpestis – kaip tinkamai apsaugoti asmens duomenis (konfidencialią informaciją), tvarkomus dirbant nuotoliniu būdu, ir ar darbuotojai, dirbantys nuotoliniu būdu, tikrai dirba sutartą laiką.
Kaip jau minėjome, neleidžiama nuolat darbuotojų stebėti neturint konkretaus tikslo, todėl būtų draudžiama diegti darbuotojų stebėjimo įrankius, kurie įrašo klavišų paspaudimus, ekrano veiklą, internetinės kameros medžiagą ir (arba) mikrofono įrašus tam, kad būtų galima nuolat stebėti nuotoliniu būdu dirbančius asmenis. Nors tokios technologijos gali būti plačiai prieinamos, jų ribojantis poveikis darbuotojo teisėms paprastai yra per didelis, kad būtų galima pagrįsti tokių priemonių naudojimą, net jei darbo priemonės ir priklauso darbdaviui.
Pabrėžtina, kad jei tam tikra darbui naudojama įranga priklauso ne darbdaviui, o darbuotojui, bet kurios stebėjimo priemonės, įdiegtos ar naudojamos darbuotojų asmeninėje įrangoje, gali būti laikomos rimtu pažeidimu.
Taip pat svarbu atkreipti dėmesį dėl įvairių susitikimų ir susirinkimų, kurie persikelia į virtualiąją erdvę, įrašymo. Klientų ir partnerių atžvilgiu sutikimas būtų tinkamas pagrindas, tačiau, kaip jau minėta, dėl galios disbalanso darbuotojų sutikimas tokiais atvejais nelaikytinas laisvai duotu. Taigi darbdaviai privalo gerai pagalvoti prieš įrašydami bet kurį darbinį susitikimą ar pasitarimą, nesvarbu, kokiu tikslu ir pagrindu tai būtų daroma. Šioje vietoje reikėtų būti atsargiems ir tinkamai pagrįsti teisėtą interesą.
Duomenų tvarkymas ir naudojimas
Asmens duomenų tvarkymas turėtų apsiriboti tik tais duomenimis, kurie yra būtini iškeltiems tikslams, kurių pagrindu jie tvarkomi (duomenų kiekio mažinimo principas). Darbuotojai turi būti supažindinti su vidaus tvarkomis, kuriose aiškiai nurodyta, kokie duomenys renkami, jų konkrečių duomenų rinkimo būdas, pagrindas, tikslas ir tvarkymo būdas (skaidrumo principas). Darbuotojams turėtų būti suteikta galimybė naudotis savo teisėmis (sužinoti, kokie jų duomenys tvarkomi, reikalauti pataisyti, ištrinti ir apriboti duomenų tvarkymą).
COVID-19 mus pripratins prie nuotolinio darbo, nuotolinių mokymų, bendravimo e. ryšio priemonėmis. Kur tokiame kontekste brėžiama riba tarp darbdavio teisės stebėti darbuotojus ir šių privatumo?
Asmens duomenys turi būti saugomi ne ilgiau, nei reikia, o pasibaigus terminui sunaikinami. Asmens duomenys turi būti apsaugoti taikant tinkamas technines ir organizacines saugumo priemones. Prieš nusprendžiant dėl bet kokio naujo stebėjimo, privaloma atlikti poveikio vertinimą, įvertinant stebėsenos būtinumą ir proporcingumą, o į šį procesą turėtų būti įtraukti ir darbuotojų atstovai (darbo taryba, profesinė sąjunga).
Siekiant užtikrinti darbuotojų teisės į privatų gyvenimą apsaugą labai svarbus tikslo ribojimo principas. Darbdavys privalo užtikrinti, kad visi darbuotojų stebėjimo rezultatai būtų naudojami tik tam teisėtam tikslui, kuriam jie buvo gauti.
Darbdavio teisė kontroliuoti ir stebėti darbuotojus yra pagrįsta tik kalbant apie darbines paskyras, darbinę programinę įrangą, darbines informacines sistemas, darbinį kompiuterį ir pan. Darbdavys neturi teisės tikrinti darbuotojo asmeninę pašto ar socialinių tinklų paskyrą. Tačiau ši riba tarp darbinių ir asmeninių duomenų nėra tokia aiški, pavyzdžiui, kai darbuotojas į darbinį kompiuterį atsisiunčia asmeninę informaciją, tarkime, asmeninių nuotraukų. Formaliai tie duomenys yra darbdavio informacinėje sistemoje, o kaip darbdavys gali elgtis su asmenine informacija darbiniame kompiuteryje? Jeigu darbuotojas buvo tinkamai informuotas apie tai, kad jo kompiuteris gali būti naudojamas tik darbo tikslais, kad galimas elektroninės darbuotojo komunikacijos stebėjimas ir atitinkamų asmens duomenų tvarkymas (siekiant apsaugoti įmonės konfidencialią informaciją ir nustatyti galimus pažeidimus), tam tikrais atvejais darbuotojo asmeninės informacijos atsisiuntimas iš nesaugaus šaltinio gali būti fiksuojamas kaip pažeidimas. Žinoma, darbdavys neturi teisės saugoti asmeninę informaciją ilgiau, nei būtina tokiam pažeidimui nustatyti ir įrodyti (pvz., kilus ginčui).
Darbdavys visais atvejais yra atsakingas ir turės pareigą įrodyti, kad organizacijoje laikomasi BDAR reikalavimų ir dedamos tinkamos pastangos užtikrinti, kad bet kokia stebėsena ir gautos informacijos apdorojimas neapribotų pagrindinės darbuotojų teisės į privatų gyvenimą labiau, nei būtina teisėtam tikslui pasiekti (atskaitomybės principas).
Dr. Tomas Bagdanskis yra advokatų profesinės bendrijos ILAW vadovaujantysis partneris, advokatas
Dr. Aušra Vainorienė yra yra advokatų profesinės bendrijos ILAW advokatė