BENDRASIS DUOMENŲ APSAUGOS REGLAMENTAS

Darbuotojų asmens duomenų tvarkymas darbdaviams tampa vis aktualesne tema. 

Kaip žinia, nuo 2018 m. gegužės 25 dienos įsigalioja Bendras duomenų apsaugos reglamentas (toliau - BDAR). Apžvelgsiu pagrindinius BDAR reikalavimus darbdaviui, tvarkančiam darbuotojų asmens duomenis. Pasidalinsiu patirtimi, kaip reglamentui yra pasiruošę HCM.LT klientai ir kokius darbus dar reikėtų atlikti.

Asmens duomenys

Kas tai yra asmens duomenys? Ar tai tik darbuotojo vardas, pavardė, asmens kodas? Remiantis BDAR, asmens duomenys yra bet kokia informacija apie fizinį asmenį, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti pagal identifikatorių (vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių) arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius.

Taigi, bet kokia renkama informacija apie fizinį asmenį gali būti asmens duomenys, tame tarpe ir darbuotojo pomėgiai, vaikų vardai, amžius, lytis, sveikata, išslavinimas, nuotraukos ir t.t.

Visi šie darbuotojų duomenys turi būti tvarkomi (ieškomi, renkami, įrašomi, rūšiuojami, sisteminami, saugojami  ir pan.)  laikantis duomenų tvarkymo principų, teisėtais pagrindais ir su darbuotojo žinia.

Duomenų tvarkymo taisyklės ir principai 

Tikslingumas - duomenys yra renkami nustatytam aiškiam bei teisėtam tikslui ir negali būti naudojami kitais tikslais,

Būtinybė – nustatyto tikslo negalima pasiekti kitomis priemonėmis,

Proporcingumas - renkama tik tiek duomenų, kiek reikia,

Skaidrumas - draudžiamas slaptas asmens duomenų rinkimas,

Duomenų tikslumas - netikslūs ar neišsamūs duomenys turi būti ištaisyti ar ištrinti,

Saugojimo trukmės apribojimas - saugomi ne ilgiau negu to reikia nustatytiems tikslams pasiekti, t.y. protingą terminą,

Saugumas - tvarkomi taip, kad būtų užtikrintas tinkamas asmens duomenų  saugumas ir konfidencialumas.

Duomenų teisėto tvarkymo sąlygos

BDAR numato šiuos duomenų tvarkymo teisėtumo pagrindus:

a) darbuotojas davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais;

b) darbo sutarties vykdymas;

c) darbdaviui taikomos teisinės prievolės (darbo ir socialinės apsaugos teisės srityje vykdymas);

d) teisėti įmonės arba trečiosios šalies interesai, išskyrus atvejus, kai darbuotojo interesai arba pagrindinės teisės ir laisvės yra už juos viršesni;

e) tvarkyti duomenis būtina siekiant apsaugoti gyvybinius duomenų subjekto ar kito fizinio asmens interesus;

f) tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas.

Daugeliu atvejų darbuotojo asmens duomenų tvarkymas atliekamas remiantis įstatymų reikalavimais arba siekiant teisėtų darbdavio interesų, todėl darbuotojo sutikimo tokiais atvejais neturi būti prašoma. Pavyzdžiui, darbo sutarčių sudarymo, vykdymo ir apskaitos tikslais yra tvarkomi darbuotojų vardai ir pavardės, gyvenamosios vietos adresai, gimimo datos, banko sąskaitų numeriai, į kurias yra vedamas darbo užmokestis, socialinio draudimo numeris ir pan. Tinkamų darbo sąlygų užtikrinimo tikslu darbdavys gali tvarkyti informaciją, susijusią su darbuotojo drabužių dydžiais, sveikatos būkle ir pan. Darbdavio pareigų, nustatytų teisės aktuose, tinkamo vykdymo tikslu yra tvarkomi darbuotojų asmens kodai, informacija apie darbuotojų šeiminę padėtį. Teisėtais įmonės interesais gali būti tvarkomi darbuotojų gyvenamosios vietos adresai, asmeniniai telefono numeriai, asmeniniai elektroninio pašto adresai, duomenys apie išsilavinimą, mokymus, kvalifikaciją ir pan.

Jeigu darbdavys darbuotojų duomenis tvarko kitais tikslais, ir tai nėra pateisinama nei darbo sutarties vykdymo būtinumu, nei darbdavio taikomomis teisinėmis prievolėmis, nei teisėtais darbdavio interesais, tam reikalingas darbuotojo sutikimas.

Darbuotojo sutikimas iš esmės gali būti duotas bet kokia forma, tiek žodžiu, tiek raštu ar kokiu nors veiksmu. Sutikimas gali būti duotas ir elektroninėmis priemonėmis

Tokiais atvejais reikia užtikrinti, kad sutikimas būtų duotas laisva valia, ir darbuotojo apsisprendimui neturėtų įtakos kokios nors jam nepalankios aplinkybės, pasekmės, nes darbuotojas yra silpnesnioji darbo santykių šalis. Sutikimas turi būti pagrįstas išsamia informacija, kad asmenys sprendimus dėl savo asmens duomenų tvarkymo galėtų priimti būdami gerai informuoti. Sutikimas turėtų būti gautas dėl visų duomenų tvarkymo tikslų. Sutikimas turi būti išreikštas aktyviais veiksmais, o ne tylėjimu. Darbuotojas turi turėti galimybę, nepatirdamas jokios žalos, neduoti sutikimo arba vėliau atšaukti duotąjį.

Įsigaliojus reglamentui, HCM.LT klientams bus daug lengviau užtikrinti BDAR asmens duomenų tvarkymo reikalavimus, kadangi:

- Visi darbuotojų duomenys yra tvarkomi vienoje vietoje ir saugiai - HCM.LT sistemoje. Todėl įmonei daug lengviau užtikrinti BDAR numatytus duomenų tvarkymo pagrindinius principus (saugumą, konfidencialumą, vientisumą, tikslumą, laikytis saugojimo trukmės apribojimų).

- Lengvai galėsite patenkinti darbuotojų, kaip duomenų subjektų, teises ir prašymus, taip sutaupysite daug laiko bei išvengsite chaoso (kai darbuotojas prašo susipažinti su visais įmonėje kaupiamais savo asmens duomenimis, reikalauja ištaisyti duomenis ar juos ištrinti, apriboti duomenų tvarkymą arba nesutikti, kad duomenys būtų tvarkomi).

- Užtikrinsite BDAR reikalavimą, nustatyti atsakingus asmenis, kurie turi teisę tvarkyti darbuotojų asmens duomenis, taip pat, numatyti, kokius darbuotojų asmens duomenis atitinkamas asmuo turi teisę tvarkyti. HCM.LT sistemoje galimas teisių valdymas pagal roles, pareigas, skyrių ir pan.

Reikalavimai darbdaviui

HCM.LT personalo valdymo sistemoje darbdavys gali kaupti visus įmonei reikalingus darbuotojų duomenis ir istoriją. Visais atvejais, ar renkami ir saugomi asmens duomenis popierinėse formose, anketose, excelyje, worde, el.pašte, ar HCM.LT sistemoje, darbdavys turėtų pasirūpinti, kad šie duomenys būtų tvarkomi su darbuotojų žinia ir teisėtu pagrindu. 

Pagal reglamentą, darbuotojas turi būti informuojamas apie jo pateiktų asmens duomenų tvarkymą asmens duomenų gavimo metu, pavyzdžiui, sudarant darbo sutartį ar iki jos sudarymo. Darbuotojui turi būti pateikiama išsami BDAR 13 straipsnyje nurodyta informacija (duomenų tvarkymo tikslai, teisinis pagrindas, duomenų saugojimo laikotarpis, darbuotojo teisės ir t.t.). Darbuotojas su pateiktų asmens duomenų tvarkymu gali būti supažindintas darbo sutartyje, pasirašytinai įteikiamame dokumente, įteiktose ar, pavyzdžiui, per HCM.LT e-susipažinimo sistemą persiųstose Darbuotojų asmens duomenų apsaugos taisyklėse.