Darbuotojai dažnai turi prieigą prie asmens duomenų, reikalingų jų kasdienėms funkcijoms atlikti. Tačiau vien to, kad prieiga suteikta darbui, nepakanka bet kokiam duomenų naudojimui pateisinti. Neretai pasitaiko atvejų, kai darbuotojai, vedami smalsumo ar asmeninių interesų, peržengia savo įgaliojimų ribas ir pažeidžia duomenų apsaugos taisykles, pavyzdžiui, renka duomenis apie pažįstamus. Tokie veiksmai gali sukelti rimtų pasekmių tiek pačiam darbuotojui, tiek darbdaviui, rašoma pranešime spaudai.
Kada darbuotojas tampa savarankišku duomenų valdytoju?
Pagal Bendrąjį duomenų apsaugos reglamentą (BDAR), darbuotojas paprastai nėra laikomas savarankišku duomenų valdytoju, kai asmens duomenis tvarko darbdavio vardu ir jo nustatytais tikslais. Tokiu atveju darbuotojas gali naudotis tik tais duomenimis, kurie būtini jo darbo funkcijoms vykdyti.
Situacija pasikeičia tada, kai darbuotojas pasinaudoja turima prieiga ne darbo reikmėms, o savo asmeniniais ar savanaudiškais tikslais. Tokiais atvejais jis gali būti laikomas veikiančiu kaip savarankiškas duomenų valdytojas, nes duomenis tvarko nebe darbdavio, o savo pasirinktais tikslais.
Kokios „smalsumo“ pasekmės darbuotojui?
Iš pirmo žvilgsnio nekaltas smalsumas gali turėti rimtų teisinių pasekmių. Darbuotojai kartais peržiūri duomenis, kurie nėra susiję su jų tiesioginėmis pareigomis – iš smalsumo, dėl asmeninių santykių ar net kitų asmenų prašymu.
„Praktikoje buvo pasitaikę atvejų, kai darbuotojas socialiniame tinkle paskelbė pacientės nuotrauką, o valstybės institucijos darbuotojas, kaimynės prašymu, rinko informaciją apie jos sutuoktinį, ketinant ją panaudoti skyrybų byloje. Nors prieiga prie šių duomenų buvo gauta dėl darbo funkcijų vykdymo, pats jų naudojimo tikslas jau nebeturėjo nieko bendra su darbo funkcijomis. Dėl to tokie veiksmai gali būti vertinami kaip savarankiškas ir neteisėtas asmens duomenų tvarkymas,“ – perspėja advokatė Asta Macijauskienė.
Teisininkė sako, kad svarbu suprasti, kad pats smalsumas nėra draudžiamas. Tačiau kai darbuotojas, viršydamas savo įgaliojimus, pradeda naudoti duomenis ne pagal paskirtį, jam gali kilti ne tik administracinė, bet ir civilinė atsakomybė. Tam tikrais atvejais, kai neteisėtai renkama informacija apie privatų asmens gyvenimą, gali grėsti ir baudžiamoji atsakomybė.
Kada atsakomybė gali tekti ir darbdaviui?
Vien tai, kad darbuotojas iš smalsumo ar asmeninių paskatų pažeidė BDAR, dar nereiškia, jog darbdavys automatiškai taip pat yra atsakingas. Tačiau darbdavio atsakomybė gali kilti tuomet, jei jis neužtikrino tinkamų asmens duomenų saugumo priemonių.
„Darbdavys turi pareigą pasirūpinti, kad darbuotojai aiškiai suprastų savo atsakomybę tvarkant asmens duomenis. Tai reiškia ne tik vidinių taisyklių turėjimą, bet ir realų darbuotojų mokymą, informavimą bei kontrolę. Darbuotojams turi būti paaiškinta, kokiais atvejais duomenų tvarkymas yra teisėtas, kokios prieigos jiems suteikiamos ir kokios pasekmės kyla pažeidus nustatytą tvarką“, – perspėja advokatų kontoros WIDEN partnerė, advokatė, duomenų apsaugos, intelektinės nuosavybės ir IT teisės praktikos vadovė A. Macijauskienė.
BDAR taip pat įpareigoja organizacijas diegti tinkamas technines ir organizacines priemones, kurios padėtų užkirsti kelią neteisėtam duomenų naudojimui. Pasak duomenų apsaugos ekspertės, viena svarbiausių priemonių šiuo atveju yra griežtas prieigos teisių valdymas: prieigą prie konkrečių duomenų turi turėti tik tie darbuotojai, kuriems jos iš tikrųjų reikia darbo funkcijoms atlikti.
Jeigu darbdavys tokių priemonių neįdiegia arba jų tinkamai nekontroliuoja, jis gali būti laikomas prisidėjusiu prie pažeidimo. Tokiu atveju atsakomybė gali tekti ne tik darbuotojui, bet ir pačiai organizacijai.
Iššūkis darbdaviams
Smalsūs darbuotojai darbdaviams kelia ne tik reputacinę, bet ir teisinę bei finansinę riziką. Todėl vien pasitikėjimo darbuotojų sąmoningumu nepakanka. Advokatų kontoros WIDEN advokatė A. Macijauskienė perspėja, organizacijos turi aktyviai valdyti šią riziką: riboti prieigas, apmokyti darbuotojus, nustatyti aiškias taisykles ir užtikrinti jų laikymąsi.
Kitaip tariant, tinkama asmens duomenų apsauga prasideda ne tik nuo technologijų, bet ir nuo aiškios vidinės kultūros, kurioje darbuotojai supranta, kad prieiga prie duomenų nėra teisė jais naudotis savo nuožiūra.
Pranešimą paskelbė: Sigita Šlimė, Advokatų kontora WIDEN
