Siekdami užtikrinti geriausią Jūsų naršymo patirtį, šioje svetainėje naudojame slapukus (angl. cookies). Paspaudę mygtuką „Sutinku“ arba naršydami toliau patvirtinsite savo sutikimą. Bet kada galėsite atšaukti savo sutikimą pakeisdami interneto naršyklės nustatymus ir ištrindami įrašytus slapukus. Jei pageidaujate, galite kontroliuoti ir/arba ištrinti slapukus. Išsamesnė informacija čia https://www.aboutcookies.org/ Jei ištrinsite slapukus, jums gali reikėti rankiniu būdu pakeisti kai kurias parinktis kaskart, kai lankysitės interneto svetainėje, o kai kurios paslaugos ir funkcijos gali neveikti.

Kultūra ir žmonėsGamta ir augintiniaiŠeima ir sveikataMokslas ir ITSportasŠvietimasTrasaĮdomybėsRinkimų maratonas
EKONOMIKA

Duomenų apsauga: e. paštas su jūsų vardu yra neteisėtas 

2018 spalio 12 d. 08:00
Asmens atvaizdas taip pat yra jo asmens duomenys, taigi įmonė turi nurodyti, kokia asmens duomenų tvarkymo sąlyga, numatyta reglamente, visa tai grindžia.
Asmens atvaizdas taip pat yra jo asmens duomenys, taigi įmonė turi nurodyti, kokia asmens duomenų tvarkymo sąlyga, numatyta reglamente, visa tai grindžia.
Corbis nuotrauka

Naujasis Bendrasis duomenų apsaugos reglamentas, kuris gąsdino įmones griežtesne duomenų valdymo tvarka ir didelėmis baudomis už pažeidimus verslui, vis dar kelia galvos skausmą. Kai kurie reikalavimai, apie kuriuos mažiau kalbėta, įmonėms atrodo pertekliniai ir net prasilenkiantys su sveika logika.

Vilniuje veikianti stambi gamybos įmonė dienraščiui „Lietuvos žinios“ pasakojo apie kylančią sumaištį dėl asmens duomenų apsaugos: teisininkų raginama įmonė privalo gauti poros šimtų darbuotojų raštiškus sutikimus dėl iki šiol savaime suprantamų dalykų, pavyzdžiui, galimybės naudoti darbuotojų vardus ir pavardes darbo grafikuose ir net sukurti jų asmeninius e. pašto adresus su vardu ir pavarde – kaip yra įprasta visose įmonėse.

Valstybinė duomenų apsaugos inspekcija pritaria, kad tokios priemonės nėra perteklinės.

Tiesa, nuostatos Bendrajame duomenų apsaugos reglamente gana aptakios, tad rasti vieną tiesą sudėtinga. Įmonės griebiasi teisininkų pagalbos, mat iš naujo reikia peržiūrėti ir tą veiklos praktiką, kuri atrodė savaime suprantama ir nekelianti grėsmės darbuotojų privatumui.

Sveiki, Jums rašo „Zuikutis“

Dienraščio kalbintus stambios gamybinės įmonės atstovus duomenų apsaugos klausimais konsultuojanti teisininkė nurodė nuasmeninti darbuotojų e. pašto adresus – esą neleistina naudoti adresą, pavyzdžiui, jonas.jonaitis@mmm.lt. Net ir naudojant vidiniam darbuotojų susirašinėjimui, e. pašto adresas neva negali būti sudarytas iš darbuotojo vardo ir pavardės.

Įmonės atstovai sutrikę: ar tai reiškia, kad e. pašto adresuose turėtų būti naudojami slapyvardžiai? Ir kaip atrodys įmonė, kurios darbuotojai partneriams ar klientams rašys laiškus iš „zuikučio“ ar panašaus e. pašto?

Teisininkės teigimu, norint e. pašto adresui naudoti darbuotojo vardą ir pavardę būtina gauti raštišką jo sutikimą.

Apskritai tokių sutikimų gausa, įsigaliojus naujajam reglamentui, smarkiai padidėjo: kiekvienas įmonės darbuotojas turi raštiškai patvirtinti, kad leidžia jį sveikinti gimtadienio proga; kad į vidinį tinklapį gali būti įkelta jo nuotrauka, nurodytas vardas ir pavardė pristatant jį kolektyvui; kad jo nuotrauka iš įmonės vakarėlio gali būti įkeliama į įmonės bendro naudojimo diską ir pan.

GOOGLE rekomenduojaStraipsnio tęsinys – žemiau

Taip pat negalima nurodyti darbuotojų vardų ir pavardžių įmonės patalpose skelbiamuose grafikuose, kurie reikalingi meistrams žinoti, kokie darbuotojai ir kada dirbs. Darbo grafike, pavyzdžiui, gali būti nurodyti darbuotojų tabelio numeriai. Bet tai reiškia, kad meistras turėtų kiekvieną iš 30–40 darbuotojų „iššifruoti“, norėdamas išsiaiškinti, kuris „tabelio numeris“ tą dieną dirba, kas neatėjo į darbą, kas dirba viršvalandžius ir pan.

Be to, įmonėje vadinamieji komandos lyderiai savo komandose turi po 10–20 darbuotojų, o gamybos vadovas prižiūri 140 žmonių darbą. Jiems taip pat tektų savo darbuotojus pažinti pagal tabelio numerį.

Buvo įprasta be jokių papildomų apribojimų siųsti trečiosiose šalyse veikiantiems subjektams savo darbuotojų, klientų ar verslo partnerių asmens duomenis./pixabay.com nuotrauka
Buvo įprasta be jokių papildomų apribojimų siųsti trečiosiose šalyse veikiantiems subjektams savo darbuotojų, klientų ar verslo partnerių asmens duomenis./pixabay.com nuotrauka

Klausimų – virtinė

Valstybinės duomenų apsaugos inspekcijos Teisės skyriaus vyriausioji specialistė Raminta Sinkevičiūtė-Šečkuvienė „Lietuvos žinioms“ sakė, kad Bendrajame duomenų apsaugos reglamente (BDAR) įtvirtintas atskaitomybės principas privertė duomenų valdytojus atidžiau pažiūrėti į asmens duomenų tvarkymą, mat šis principas įpareigoja duomenų valdytojus ne tik užtikrinti šių duomenų apsaugą, bet ir sugebėti įrodyti, kad jos laikomasi.

„Taigi reikia sutikti, kad įmonės duomenų valdytojai turės daugiau vidinės dokumentacijos, skirtos pagrįsti atliekamam asmens duomenų tvarkymo teisėtumui (pavyzdžiui, rinkti ir saugoti duomenų subjektų sutikimus)“, – pripažino pašnekovė.

Dėl darbuotojų darbo grafikų nuasmeninimo specialistė pabrėžė, kad turi būti taikomas duomenų kiekio mažinimo principas, o tai reiškia, kad asmens duomenų turi būti tvarkoma tiek, kiek jų reikia numatytam tikslui pasiekti. „Neaišku, koks yra viešo darbo grafiko skelbimo tikslas, ar į patalpas, kuriose skelbiami tie grafikai, patenka tretieji asmenys, ar ne, ir pan., todėl ir įvertinti, kokios apimties turi būti nurodyti duomenys jame, yra sudėtinga“, – aiškino R. Sinkevičiūtė-Šečkuvienė.

Tuo tarpu darbuotojo vardo ir pavardės naudojimą sukuriant e. pašto adresą, jos požiūriu, duomenų valdytojas tikrai turi pagrįsti bent viena asmens duomenų tvarkymo sąlyga, numatyta BDAR 6 straipsnio 1 dalyje, pavyzdžiui, darbuotojo sutikimu, teisėtu duomenų valdytojo interesu ir pan.

R. Sinkevičiūtė-Šečkuvienė paaiškino: jeigu darbuotojo vardą ir pavardę e. pašto adresui sudaryti įmonė naudotų remdamasi teisėtu interesu, ji pirmiausia turėtų tą interesą aiškiai įvardyti. „Nors teisėti interesai yra lanksti teisėto duomenų tvarkymo sąlyga, negalima manyti, kad ji visada bus tinkamiausia“, – perspėjo specialistė.

Darbo grafike tegali būti nurodyti darbuotojų tabelio numeriai, ne vardai, tad meistras turėtų kiekvieną iš 30–40 darbuotojų „iššifruoti“, norėdamas išsiaiškinti, kuris „tabelio numeris“ tą dieną dirba, kas neatėjo į darbą, kas dirba viršvalandžius ir pan.

Mat esą nustačiusi teisėtą interesą įmonė taip pat turėtų įvertinti intereso teisėtumą ir veiklos tikslingumą, t. y. atsakyti į klausimą, koks duomenų tvarkymo tikslas ir kokių interesų siekiama. Taip pat teks įsitikinti, kad asmens duomenų tvarkymas (būtent tokios apimties) yra būtinas nustatytam tikslui pasiekti, įvertinti poveikį asmens privatumui, įsitikinti, jog teisėti interesai nedaro didelio poveikio asmenų teisėms ir laisvėms, ar pan.

Pavyzdžiui, siekdama užtikrinti tinklo saugumą, įmonė stebi savo darbuotojų IT įrenginių naudojimą. Ji gali teisėtai tvarkyti asmens duomenis šiuo tikslu tik tuo atveju, jeigu pasirenkamos mažiausiai darbuotojų teises į privatumą apribojančios priemonės, pavyzdžiui, apribojamas tam tikrų interneto svetainių prieinamumas, užuot kaupus informaciją apie darbuotojo lankymąsi kitose interneto svetainėse.

R. Sinkevičiūtė-Šečkuvienė pažymėjo, kad asmens atvaizdas taip pat yra jo asmens duomenys. Taigi įmonė taip pat turi nurodyti, kokia asmens duomenų tvarkymo sąlyga, numatyta reglamente, grindžia tokį asmens duomenų tvarkymą.

Padalinio vadovas turėtų kiekvieną iš 30-40 darbuotojų „iššifruoti“, norėdamas išsiaiškinti, kuris "tabelio numeris" tą dieną dirba, kas neatėjo į darbą, kas dirba viršvalandžius ir pan./Romo Jurgaičio nuotrauka
Padalinio vadovas turėtų kiekvieną iš 30-40 darbuotojų „iššifruoti“, norėdamas išsiaiškinti, kuris "tabelio numeris" tą dieną dirba, kas neatėjo į darbą, kas dirba viršvalandžius ir pan./Romo Jurgaičio nuotrauka

Sutikimas – ne geriausias sprendimas

Advokatų kontoros „Cobalt“ vyresnioji teisininkė Eglė Bakštytė pripažino, kad BDAR nuostatos ir jomis nustatomos taisyklės yra ganėtinai bendro pobūdžio. Todėl perskaičius vien šį reglamentą didelio aiškumo dėl praktinio jo taikymo aspektų greičiausiai neatsirastų. Siekiant suprasti, kaip tam tikras BDAR nuostatas taikyti praktikoje, būtina analizuoti papildomus šaltinius, pavyzdžiui, Europos duomenų apsaugos valdybos bei Valstybinės duomenų apsaugos inspekcijos rekomendacijas.

Anot jos, dalis duomenų apsaugos reikalavimų, nustatytų reglamente, yra nauji, pavyzdžiui, pareiga tam tikrais atvejais atlikti poveikio duomenų apsaugai vertinimą ar skirti duomenų apsaugos pareigūną. Todėl esą iki šiol nėra visiškai aišku, kaip ir kokiais konkrečiais atvejais juos taikyti praktikoje.

Kiekvienas įmonės darbuotojas turi raštiškai patvirtinti, kad leidžia jį sveikinti gimtadienio proga; kad į vidinį tinklapį gali būti įkelta jo nuotrauka, vardas ir pavardė pristatant kolektyvui; kad jo nuotrauka iš įmonės vakarėlio gali būti matoma įmonės bendro naudojimo diske ir pan.

„Visgi bendri reglamento nustatomi duomenų apsaugos principai galiojo dar iki jo priėmimo, tačiau duomenų valdytojams, kurie nesirūpino duomenų apsaugos klausimais anksčiau, jie nebuvo žinomi, – sakė teisininkė. – Pavyzdžiui, pasitaiko atvejų, kai darbdavys mano, jog visus darbuotojo duomenis renka „darbuotojo sutikimo“ pagrindu, ir kaupia rašytinius darbuotojus sutikimus dėl jų duomenų tvarkymo.

Tačiau dar iki BDAR priėmimo galiojo pareiga nustatyti tinkamą duomenų tvarkymo pagrindą – kaip anksčiau, taip ir dabar dalis darbuotojų duomenų tvarkomi, nes tai būtina vykdant su jais sudarytą darbo sutartį (pavyzdžiui, mokėti atlyginimą), kitus darbuotojo asmens duomenis tvarkyti įpareigoja teisės aktai (pavyzdžiui, socialinio draudimo klausimai), dalis duomenų tvarkoma siekiant darbdavio teisėtų interesų (pavyzdžiui, vaizdo stebėjimas). Taigi darbuotojo sutikimas tokiems duomenims tvarkyti nereikalingas.

Be to, darbo santykiuose darbuotojo duomenų tvarkymas apskritai neturėtų būti paremtas darbuotojo sutikimu, nes sutikimas turi būti savanoriškas, o darbuotoją ir darbdavį sieja subordinacijos santykiai. Sutikimo pagrindu galėtų būti tvarkomi nebent tokie darbuotojo asmens duomenys, kuriuos darbuotojas pateikia visiškai savanoriškai, ir tokių duomenų nepateikimas nesukeltų darbuotojui jokių neigiamų pasekmių“, – aiškino E. Bakštytė.

Eglė Bakštytė
Eglė Bakštytė

Nebėra savaime suprantama praktika

BDAR įsigaliojimas, kaip pabrėžė teisininkė, turi įtakos ir kitoms įvairiose įmonėse daugelį metų taikytoms praktikoms, jau tapusioms įprastoms.

Pavyzdžiui, darbdaviai nepranešę stebėdavo darbuotojo komunikaciją elektroninėmis priemonėmis arba jo lankytų interneto svetainių istoriją, be tinkamo pagrindo ir darbuotojo neinformavę filmuodavo jo darbo vietą, įrašinėdavo telefono pokalbius, fiksuodavo darbuotojo automobilyje įmontuoto GPS prietaiso rodmenis ir pan. Pasitaikydavo atvejų, kad darbuotojai net nežinodavo apie tokių darbdavio veiksmų egzistavimą.

Pradėjus taikyti BDAR, darbdaviai privalo iš naujo įvertinti tokių darbuotojų asmens duomenų tvarkymo poreikį, rinkti tik tuos duomenis, kurie yra būtini, ir aiškiai informuoti darbuotojus apie tai pasirašytinai.

„Be to, retai kada susimąstoma apie kandidatų į darbo vietą asmens duomenų tvarkymą. Kandidatai turėtų būti iš anksto informuojami apie jų duomenų tvarkymą, o siekiant saugoti asmens duomenis ateities atrankoms reikėtų gauti atskirą kandidato sutikimą. Be to, reikėtų nepamiršti, jog informacija apie kandidatą iš jo buvusių darbdavių gali būti renkama tik jį patį informavus, o iš esamo darbdavio – tik jam sutikus“, – aiškino „Cobalt“ vyriausioji teisininkė.

Ji pasakojo taip pat pastebinti, kad ganėtinai dažnai duomenų valdytojai neįvertina, jog e. pašto dėžutė taip pat yra duomenų saugojimo laikmena. „Kaip žinoma, asmens duomenys turėtų būti saugomi tam tikrą, teisės aktų ar paties duomenų valdytojo nustatytą laiką. Tokia tvarka turėtų galioti ir e. pašto laiškams. Taigi įmonėje svarbu nustatyti tam tikrą elektroninių laiškų saugojimo mechanizmą – kiek laiko bus saugomi elektroniniai laiškai, kaip bus identifikuojama, kuriuose laiškuose yra saugomi asmens duomenys, kaip bus užtikrinamas jų ištrynimas reikiamu laiku ir pan.“, – dėstė pašnekovė.

Be daugelio naujovių, duomenų valdytojai, anot jos, turės pakeisti savo praktikas, susijusias su duomenų perdavimu. Iki BDAR buvo gana įprasta keistis asmens duomenimis su kitomis įmonėmis be rašytinių susitarimų. Pradėjus taikyti naują reglamentą būtina įvertinti, kodėl ir kaip perduodami duomenys kitai įmonei – koks perdavimo tikslas, ar yra pagrindas perduoti, ar duomenų gavėjas galės užtikrinti perduodamų duomenų saugumą ir pan. Net toje pačioje įmonių grupėje vykdomas duomenų perdavimas iš vienos įmonės kitai turėtų būti reglamentuotas raštu.

Kaip numato BDAR, kiekvienas duomenų valdytojas turi sudaryti rašytinius susitarimus su savo duomenų tvarkytojais – subjektais, kurie duomenis tvarko duomenų valdytojo vardu, jo pavedimu ir pagal jo nurodymus. Pats duomenų valdytojas turi įvertinti, kokie jo paslaugų teikėjai turėtų būti laikomi duomenų tvarkytojais, ir inicijuoti rašytinių susitarimų dėl duomenų tvarkymo sudarymą, taip pat peržiūrėti, ar nuostatos dėl duomenų tvarkymo numatytos, pavyzdžiui, paslaugų teikimo taisyklėse, kurias paslaugų teikėjas pateikia savo interneto svetainėje.

Buvo įprasta be jokių papildomų apribojimų siųsti trečiosiose šalyse veikiantiems subjektams savo darbuotojų, klientų ar verslo partnerių asmens duomenis, naudotis trečiosiose šalyse įsisteigusių duomenų tvarkytojų paslaugomis.

Baigtinis duomenų tvarkytojų sąrašas nėra nustatytas, taigi nereikėtų pamiršti, kad duomenų tvarkytoju gali būti laikoma ne tik duomenų valdytojui informacinių technologijų priežiūros paslaugas teikianti Lietuvos įmonė, saugos ar buhalterinės apskaitos bendrovė, bet ir, pavyzdžiui, JAV įsisteigęs debesijos paslaugų teikėjas.

„Be to, iki BDAR priėmimo nebuvo skiriama pakankamai dėmesio asmens duomenų teikimui į trečiąsias šalis (t. y. už Europos ekonominės erdvės ribų) – buvo gana įprasta be jokių papildomų apribojimų siųsti trečiosiose šalyse veikiantiems subjektams savo darbuotojų, klientų ar verslo partnerių asmens duomenis, naudotis trečiosiose šalyse įsisteigusių duomenų tvarkytojų paslaugomis. Svarbu nepamiršti, kad tais atvejais, kai asmens duomenys teikiami į trečiąsias šalis, priklausomai nuo situacijos, turi būti taikomos papildomos duomenų apsaugos priemonės, pavyzdžiui, Europos Komisijos patvirtintos standartinės duomenų apsaugos sąlygos“, – aiškino teisininkė.

Faktai

Valstybinė duomenų apsaugos inspekcija 2018 metų pirmo pusmečio ataskaitoje nurodė, kad per šį laikotarpį išnagrinėjo 312 asmenų skundų ir atliko 122 duomenų valdytojų tikrinimus – nuo gegužės 25 dienos jau gauta apie 150 skundų.

Per pirmus šešis mėnesius atlikti 122 duomenų valdytojų tikrinimai, po jų pateikta 20 nurodymų dėl neteisėto asmens duomenų tvarkymo, dėl organizacinių, techninių priemonių, dėl duomenų tvarkymo principų, dėl duomenų teikimo ir dėl duomenų subjektų teisių.

DALINTIS
ŽYMĖS
_
Rubrikos: Informacija:
EkonomikaGamta ir augintiniaiGimtasis kraštasGynybaKontaktai
ĮdomybėsIstorijaKomentaraiKonkursaiReklama
Kultūra ir žmonėsLietuvaMokslas ir ITPasaulisReklaminiai priedai
Rinkimų maratonasSportasŠeima ir sveikataŠvietimasPrenumerata
Trasa#AUGULIETUVOJE#LEGENDOS#SIGNATARŲDNRPrivatumo politika
#ŠIMTMEČIOINOVACIJOSKarjera
Visos teisės saugomos © 2013-2018 UAB "Lietuvos žinios"