FOCUS GDPR un darbinieki: kāds tiesiskais regulējums?

Juridiskā uzraudzība – 2019. gada maijs.

Divi nesen notikuši gadījumi, kas saistīti ar lielu tiešsaistes grāmatnīcu, rada jautājumus par darbinieku rīcības brīvību, apstrādājot uzņēmuma klientu personas datus.

Lai gan datu apstrādi tagad sīki regulē likums un daudzas vadlīnijas – vai nu CNIL, vai Eiropas Datu aizsardzības kolēģijas (EDPB) vadlīnijas –, atbildība pašā uzņēmumā joprojām rada daudz jautājumu.

Kāda ir darba devēja atbildība attiecībā uz to, kā tā darbinieki apstrādā personas datus? Jāpatur prātā daži principi:

GDPR darbības joma ir plaša[1]. Patiešām, personas datu automatizēta apstrāde aptver darbības, kas tiek veiktas ar datiem, izmantojot programmatūru, ko tradicionāli izmanto uzņēmējdarbībā: piemēram, datubāzes, e-pastu, izklājlapas, kā arī attiecīgā gadījumā datu apstrādi, kas tiek veikta, izmantojot teksta apstrādes programmatūru.

Atbildība par darbinieku rīcību parasti gulstas uz darba devēju saskaņā ar Civilkodeksu2, bet arī saskaņā ar GDPR, jo darba devējs ir datu pārzinis: tieši darba devējs nosaka apstrādes līdzekļus un mērķus likuma izpratnē3.

Tā paša iemesla dēļ darba devējs būs atbildīgs drošības pārkāpuma gadījumā, pat ja tas radies darbinieka rīcības rezultātā, jo tieši darba devējam ir pienākums nodrošināt datu drošību savā uzņēmumā4.

Ja darba devējs ir atbildīgs pret trešajām personām, viņš, protams, var veikt pasākumus pret darbinieku, kurš ir rīkojies nelikumīgi, jo īpaši par uzticības pārkāpumu vai krāpšanu, un piemērot disciplinārsodu vai pat atlaišanu. Krāpnieciska piekļuve vai piekļuves saglabāšana visai automatizētai datu apstrādes sistēmai vai tās daļai arī ir kriminālpārkāpums.

Neatkarīgi no darba devēja atbildības, darbinieks var uzņemties atbildību gan pret savu darba devēju, gan arī pret trešajām personām: darbinieks, kurš atkāpjas no darba devēja sniegtajiem norādījumiem un īsteno savus mērķus, pats kļūst atbildīgs par apstrādi likuma izpratnē (sk. Eiropas Darba grupas analīzi par 29. pantu 6 — tagad EDAK).

Tas pats attiecas uz gadījumiem, kad viņš pārkāpj uzņēmuma IT hartu, izmantojot datus savam kontam.

Noslēgumā jāsaka, ka darba devējam ir svarīgi veikt šādus piesardzības pasākumus:

• Precīzi definējiet apstrādes mērķus un līdzekļus un dariet darbiniekus informētus par šo regulējumu.
• Lieciet viņiem parakstīt konfidencialitātes klauzulu, kas pievienota darba līgumam, kā arī IT hartu.
• Iesaistīt datu aizsardzības speciālistu un darba padomi šo dokumentu sagatavošanā.

Šiem piesardzības pasākumiem būs divējāds ieguvums – labāka to cilvēku aizsardzība, kuru dati tiek apstrādāti, un darba devēja atbildības precizēšana ļaunprātīgas izmantošanas gadījumā.

Jāatzīmē, ka arī darbinieki gūst labumu no savas privātuma un personas datu aizsardzības darba vietā. Tas tiks tālāk izstrādāts.

Un arī:

Francijā:

15. aprīlī CNIL publicēja savu darbības pārskatu un paziņoja, ka turpmākajās revīzijās tā koncentrēsies uz personu tiesību ievērošanu, nepilngadīgo datu apstrādi un atbildības sadalījumu starp pārzini un apakšuzņēmēju.

CNIL, kuru tagad vada Marija Lora Denī, ir jauna koledža.

Eiropā:

12. aprīlī EDAK pieņēma vadlīnijas par datu vākšanu informācijas sabiedrības pakalpojumu kontekstā, īpašu uzmanību pievēršot datu vākšanas juridiskajam pamatam līgumattiecību ar klientu kontekstā (VDAR 6. panta 1. punkta B) apakšpunkts). Šis teksts ir pakļauts publiskai apspriešanai līdz 24. maijam.

Pasaulē:

Nigērija pieņem datu aizsardzības likumu, kas ir līdzīgs GDPR.

1. panta 2.1. punkts un 4. panta 1) un 2) apakšpunkts.

2 Skatīt jo īpaši Civilkodeksa 1242. panta 1. un 5. punktu.

3 VDAR 4.7. pants.

4 GDPR 32. pants.

5 Kriminālkodeksa 323.-1. pants.

6. lappuse 16