2018 metų viduryje įsigalioja ES Bendrasis duomenų apsaugos reglamentas (BDAR), kuris nustato platesnes duomenų subjektų teises, ženkliai didesnę atsakomybę už pažeidimus bei griežtesnius reikalavimus sutikimui. BDAR neaplenks ir darbo santykių srities – kiekvienas darbuotojas laikomas duomenų subjektu, o kiekvienas darbdavys – darbuotojų asmens duomenų valdytoju. Taigi įmonės privalės užtikrinti, kad savo darbuotojų asmens duomenų tvarkymas atitiktų naujuosius BDAR reikalavimus.
Pirma, BDAR įtvirtina griežtesnius reikalavimus sutikimui su asmens duomenų tvarkymu. Kai duomenis siekiama tvarkyti daugiau nei vienu tikslu, sutikimas turėtų būti gaunamas dėl visų duomenų tvarkymo tikslų. Tyla, iš anksto pažymėti langeliai arba neveikimas nebus laikomi sutikimu. Net pagal dabartinį reguliavimą laikomasi nuomonės, kad darbuotojo sutikimas dažnai nebūna duotas laisva valia dėl darbuotojo priklausomybės nuo darbdavio. Didžiąją dalį darbuotojo duomenų įmonės tvarko darbo sutarties pagrindu. Dažnai įmonės papildomus darbuotojų duomenis, kurie nėra būtini darbo sutarties vykdymui, tvarko sutikimo pagrindu. Tokiu atveju svarbu užtikrinti, kad darbuotojai pateiktų duomenis laisva valia, būtų informuoti, kad pateikti papildomus duomenis nėra privaloma. Įsigaliojus BDAR įmonės, tvarkančios duomenis sutikimo pagrindu, privalės sugebėti įrodyti, kad sutikimas buvo gautas tinkamai. Taip pat Reglamentas nustato ne tik kokia informacija turi būti pateikta renkant duomenis, bet ir kaip ji turi būti pateikta – suprantama ir lengvai prieinama forma, aiškiai ir paprasta kalba. Įmonės turėtų pasitikrinti, kokiu būdu informuoja savo darbuotojus apie jų duomenų tvarkymą. Reikėtų pateikti visą reikšmingą informaciją paprasta kalba, vengti ilgų teisinių formuluočių ir tokiu būdu, kad darbuotojui būtų aišku, kokie jo duomenys reikalingi duomenų valdytojui, kam jie naudojami ir kaip tvarkomi.
Antra, Reglamentu nustatomos platesnės teisės visiems duomenų subjektams, taigi ir darbuotojams darbdavio atžvilgiu. BDAR įtvirtina dvi naujas duomenų subjektų teises – teisę į duomenų perkeliamumą ir teisę būti pamirštam. Teisė į duomenų perkeliamumą yra duomenų subjekto teisė atgauti savo pateiktus asmens duomenis iš duomenų valdytojo susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu. Gavus atitinkamą darbuotojo prašymą, įmonės privalės pateikti elektroniniu formatu duomenis, kurie yra susiję su tuo konkrečiu darbuotojų ir kuriuos įmonei pateikė jis pats. Pažymėtina, kad teisė į duomenų perkeliamumą atsiranda tik tada, kai duomenys tvarkomi sutikimo arba sutarties pagrindu, todėl darbdavys neprivalės pateikti duomenų, surinktų teisėto intereso pagrindu.
Trečia, BDAR įvedama dar viena naujovė – reikalavimas tam tikroms įmonėms ir organizacijoms paskirti duomenų apsaugos pareigūną. Duomenų apsaugos pareigūnas yra atsakingas už tinkamą duomenų apsaugos reikalavimų įgyvendinimą bendrovėje ir tarpininkavimą bendraujant su duomenų subjektais. Tačiau pareigūno paskyrimas bus privalomas tikrai ne visoms įmonėms. Jau dabar aišku, kad pareigūno reikės valdžios institucijoms (išskyrus teismams), ligoninėms, saugos tarnyboms, greičiausiai didiesiems prekybos centrams. Įmonės galės paskirti duomenų apsaugos pareigūnu tinkamą kvalifikaciją turintį savo darbuotoją arba pasitelkti išorinį paslaugų tiekėją, kuris specializuojasi tokių paslaugų teikime. Skiriant pareigūnu savo darbuotoją svarbu užtikrinti jo nepriklausomumą, t. y. pareigūnas dėl savo veiklos turėtų atsiskaityti aukščiausio lygio vadovybei.
Nauji BDAR reikalavimai palies visus darbdavius. Įmonės privalės įgyvendinti naujus BDAR reikalavimus pradedant tinkamu kandidatų informavimu apie jų asmens duomenų tvarkymą, darbuotojų teisių įgyvendinimu ir baigiant darbuotojo, su kuriuo pasibaigė darbo santykiai, asmens duomenų savalaikiu ištrynimu (matomai ne visus iš karto). Tiek trumpai, sus susidomėjusiais susitiksime tam skirtame renginyje.
Parengė advokatų kontoros Ellex teisininkas Kristupas Spirgys