FOCUS GDPR ir darbuotojai: kokia teisinė sistema?

„Legal Watch“ – 2019 m. gegužės mėn.

Du neseniai kilę atvejai, susiję su didele internetine knygyne, kelia klausimų dėl darbuotojų laisvės tvarkant bendrovės klientų asmens duomenis.

Nors duomenų tvarkymas dabar yra išsamiai reglamentuojamas įstatymų ir daugybės gairių – tiek CNIL, tiek Europos duomenų apsaugos valdybos (EDPB), – pačios įmonės atsakomybė vis dar kelia daug klausimų.

Kokia yra darbdavio atsakomybė už tai, kaip jo darbuotojai tvarko asmens duomenis? Reikėtų nepamiršti kelių principų:

BDAR taikymo sritis yra plati[1]. Iš tiesų, automatizuotas asmens duomenų tvarkymas apima operacijas, atliekamas su duomenimis naudojant tradiciškai įmonėse naudojamą programinę įrangą: pavyzdžiui, duomenų bazes, el. paštą, skaičiuokles, taip pat, kai taikoma, duomenų tvarkymą naudojant teksto redagavimo programinę įrangą.

Atsakomybė už darbuotojų veiksmus paprastai tenka darbdaviui pagal Civilinį kodeksą2, bet taip pat ir pagal BDAR, nes darbdavys yra duomenų valdytojas: būtent darbdavys apibrėžia tvarkymo priemones ir tikslus, kaip tai suprantama pagal įstatymą3.

Dėl tos pačios priežasties darbdavys bus atsakingas saugumo pažeidimo atveju, net jei jis atsirado dėl darbuotojo veiksmų, nes būtent darbdavys privalo užtikrinti duomenų saugumą savo įmonėje4.

Jei darbdavys yra atsakingas trečiosioms šalims, jis, žinoma, gali imtis veiksmų prieš darbuotoją, kuris veikė neteisėtai, ypač dėl pasitikėjimo pažeidimo ar sukčiavimo, ir skirti drausminę nuobaudą ar net atleisti iš darbo. Nesąžininga prieiga prie visos automatizuotos duomenų tvarkymo sistemos ar jos dalies taip pat yra nusikalstama veika.

Nepriklausomai nuo darbdavio atsakomybės, darbuotojas taip pat gali prisiimti atsakomybę ne tik savo darbdaviui, bet ir trečiosioms šalims: darbuotojas, kuris nukrypsta nuo darbdavio nurodymų ir siekia savo tikslų, pats tampa atsakingu už duomenų tvarkymą, kaip apibrėžta įstatyme (žr. Europos darbo grupės analizę dėl 29 straipsnio 6 – dabar EDPB).

Tas pats pasakytina ir tuo atveju, jei jis pažeidžia įmonės IT chartiją, naudodamas duomenis savo reikmėms.

Apibendrinant, darbdavys privalo imtis šių atsargumo priemonių:

• Tiksliai apibrėžkite tvarkymo tikslus ir priemones ir supažindinkite darbuotojus su šia sistema.
• Paprašykite jų pasirašyti prie darbo sutarties pridėtą konfidencialumo sąlygą ir IT chartiją.
• Įtraukite duomenų apsaugos pareigūną ir darbo tarybą į šių dokumentų rengimą.

Šios atsargumo priemonės duos dvigubą naudą: geriau apsaugos asmenis, kurių duomenys tvarkomi, ir paaiškins darbdavio atsakomybę piktnaudžiavimo atveju.

Reikėtų pažymėti, kad darbuotojai taip pat gauna naudos iš savo privatumo ir asmens duomenų apsaugos darbo vietoje. Tai bus toliau plėtojama.

Taip pat:

Prancūzijoje:

Balandžio 15 d. CNIL paskelbė savo veiklos ataskaitą ir paskelbė, kad ateityje daugiausia dėmesio skirs asmenų teisių gerbimui, nepilnamečių duomenų tvarkymui ir atsakomybės paskirstymui tarp duomenų valdytojo ir subrangovo.

CNIL, kuriai dabar vadovauja Marie-Laure Denis, turi naują kolegiją.

Europoje:

Balandžio 12 d. Europos duomenų apsaugos valdyba (EDAV) priėmė duomenų rinkimo informacinės visuomenės paslaugų kontekste gaires, kuriose ypatingas dėmesys skiriamas duomenų rinkimo teisiniam pagrindui sutartinių santykių su klientu kontekste (BDAR 6 straipsnio 1 dalies B punktas). Šis tekstas viešai konsultuojamas iki gegužės 24 d.

Pasaulyje:

Nigerija priėmė duomenų apsaugos įstatymą, panašų į BDAR.

1 BDAR 2.1 straipsnis ir 4 straipsnio 1 ir 2 dalys.

2 Žr. visų pirma Civilinio kodekso 1242 straipsnio 1 ir 5 dalis.

3 BDAR 4.7 straipsnis.

4 BDAR 32 straipsnis.

5 Baudžiamojo kodekso 323-1 straipsnis.

6 puslapis 16