Nuo 2022 m. lapkričio 1 d. įsigalioję Lietuvos Respublikos darbo kodekso pakeitimai, įtvirtinę pareigą darbdaviui darbovietės vidaus dokumentuose nustatyti pranešimų apie smurtą ir priekabiavimą teikimo bei nagrinėjimo tvarką, vykdyti susijusias prievoles, yra svarbūs ne vien darbo teisės prasme. Šie pakeitimai nulemia ir naujai atsirandantį asmens duomenų tvarkymą, o tuo pačiu ir darbdaviams, kaip duomenų valdytojams, kylančias prievoles asmens duomenų apsaugos srityje. Tai ypač aktualu darbdaviams, kurių vidutinis darbuotojų skaičius yra daugiau kaip 50 (penkiasdešimt), mat jiems nustatyta prievolė patvirtinti smurto ir priekabiavimo prevencijos politiką.

BUS TVARKOMI JAUTRŪS ASMENS DUOMENYS

Įtvirtinus pareigą darbdaviui darbovietės vidaus dokumentuose nustatyti pranešimų apie smurtą ir priekabiavimą teikimo bei nagrinėjimo tvarką, darbdavys pradeda nauju tikslu tvarkyti darbuotojų asmens duomenis, kurie pateikiami minėtuose pranešimuose (pavyzdžiui,  pranešimą pateikusio darbuotojo identifikaciniai, kontaktiniai duomenys, įvykio laikas, vieta, aplinkybės ir t.t.).
Nustatant pranešimų apie smurtą ir priekabiavimą teikimo bei nagrinėjimo tvarką, labai svarbu aiškiai apsibrėžti:

  1. Kokiu tikslu ir kokiu teisiniu pagrindu vadovaujantis bus renkami bei tvarkomi asmens duomenys; Noriu sužinoti apie duomenų tvarkymo teisinį pagrindą
  2. Kokių asmenų ir kokie tiksliai asmens duomenys bus renkami;
  3. Kaip bus įgyvendinamos duomenų subjektų teisės; Duomenų subjektų teisės
  4. Kokios techninės ir organizacinės duomenų saugumo priemonės bus įgyvendinamos; Įgyvendintų duomenų saugumo priemonių pa(si)tikrinimas
  5. Kaip bus užtikrinamas duomenų teisingumas ir tikslumas, konfidencialumas;
  6. Ar duomenys bus perduodami tretiesiems asmenims ir t. t.

Kadangi, tikėtina, pranešimuose apie smurtą ir priekabiavimą bus daug jautrių duomenų, šių asmens duomenų rinkimo ir tvarkymo atvejais turėtų būti ypač atsižvelgiama į asmens duomenų apsaugos reikalavimus.

REKOMENDUOJAMA ĮTRAUKTI NAGRINĖSIANČIUS ASMENIS

Manytina, kad prie smurto ir priekabiavimo prevencijos politikos rengimo turėtų prisidėti ir pranešimų apie smurtą ir priekabiavimą nagrinėjime dalyvausiantys asmenys (pavyzdžiui, komisijos nariai, teisininkai, kiti atsakingi asmenys ir t.t.). Tai rekomenduotina todėl, jog pranešimų nagrinėjime dalyvausiantys asmenys būtų iš anksto supažindinti su smurto ir priekabiavimo prevencijos politika ir žinotų, kaip ją tinkamai įgyvendinti, bei gebėtų efektyviai užtikrinti pagal šią politiką tvarkomų asmens duomenų apsaugą.

PAREIGA ĮTRAUKTI DUOMENŲ APSAUGOS PAREIGŪNĄ

BDAR 38 straipsnio 1 dalis nustato, jog „Duomenų valdytojas ir duomenų tvarkytojas užtikrina, kad duomenų apsaugos pareigūnas būtų tinkamai ir laiku įtraukiamas į visų su asmens duomenų apsauga susijusių klausimų nagrinėjimą“. Taip pat 29 straipsnio duomenų apsaugos darbo grupė gairėse nurodo, kad duomenų apsaugos pareigūnui rekomenduojama dalyvauti ten, kur priimami sprendimai, turintys padarinių duomenų apsaugai, o visa aktuali informacija turi būti laiku perduodama duomenų apsaugos pareigūnui, kad jis galėtų suteikti tinkamą konsultaciją. Remiantis tuo, kas išdėstyta, manytina, jog duomenų valdytojui ir duomenų tvarkytojui kyla pareiga įtraukti duomenų apsaugos pareigūną ir rengiant smurto ir priekabiavimo prevencijos politiką. 

Pažymėtina, kad jei nėra paskirto duomenų apsaugos pareigūno, tuomet rengiant smurto ir priekabiavimo prevencijos politiką rekomenduotina konsultuotis su duomenų apsaugos ekspertais.

Ypač svarbu užtikrinti, kad valdžios institucijose ar įstaigose duomenų apsaugos pareigūno įtraukimo į veiklos procesus reglamentavimas būtų pakankamas ir tinkamas, rekomenduojama bent institucijos ar įstaigos tvirtinamose Asmens duomenų apsaugos taisyklėse numatyti sąrašą funkcijų, kurias atlieka duomenų apsaugos pareigūnas, ir kaip jis įtraukiamas į institucijos ar įstaigos veiklos procesus, kurie susiję su asmens duomenų apsauga.

DUOMENŲ SUBJEKTO TEISIŲ RIBOJIMAS

Pažymėtina, kad duomenų subjekto teisė susipažinti su tvarkomais asmens duomenimis (šiuo atveju tiek nukentėjusiojo, tiek skundžiamo asmens) gali būti ribojama tik BDAR nustatytais atvejais, t. y. BDAR 15 straipsnio 4 dalyje ir / ar 23 straipsnio 1 dalyje numatytais pagrindais. Svarbu ir tai, kad duomenų subjekto teises riboti BDAR 23 straipsnio 1 dalyje nustatytais pagrindais negalima, jei atitinkamas ribojimas nėra nustatytas nacionalinėje teisėje (konkrečiai – įstatyme), t. y. tiesiogiai remtis BDAR 23 straipsnio 1 dalimi, kaip duomenų subjekto teisės ribojimo pagrindu, nėra galima.

Kadangi Lietuvos Respublikos darbo kodekse jokie skundžiamojo asmens, kaip duomenų subjekto, teisių ribojimai nėra nustatyti, jeigu skundžiamas asmuo kreiptųsi dėl teisės susipažinti su tvarkomais asmens duomenimis įgyvendinimo, manytina, kad jo prašymas turėtų būti įgyvendintas bendra tvarka. Kita vertus, jei skundžiamas asmuo prašytų pateikti pranešimo, kuriame nurodyti jo asmens duomenys, kopiją, joje privalo būti nuasmeninti trečiųjų asmenų duomenys, kaip tai numatyta BDAR 15 straipsnio 4 dalyje. Iš pranešimo kopijos privalo būti pašalinti visi asmens duomenys, iš kurių tiesiogiai ar netiesiogiai galima nustatyti trečiojo asmens tapatybę. 

Paminėtina ir tai, kad Europos duomenų apsaugos priežiūros pareigūno puslapyje pateikiamoje informacijoje apie smurto ir priekabiavimo atvejų nagrinėjimo procedūrą nurodoma, jog neformaliojoje procedūros dalyje skundžiamas asmuo apie pradėtą procedūrą informuojamas tik turint nukentėjusiojo asmens sutikimą (angl. In practice, at the informal stage of the anti-harassment procedure, alleged harassers will only be informed about the procedure with the consent of the victim).

PAREIGA UŽTIKRINTI KITŲ DUOMENŲ VALDYTOJO FUNKCIJŲ ĮVYKDYMĄ

Taip pat svarbu atsižvelgti ir į tai, kad duomenų valdytojas privalo užtikrinti ir kitų funkcijų vykdymą (pavyzdžiui, užtikrinti tinkamas technines ir organizacines duomenų saugumo priemones). Kadangi pranešimuose apie smurtą ir priekabiavimą pateikiami jautrūs duomenys apie duomenų subjektus (tiek nukentėjusiuosius, tiek skundžiamus asmenis), ir įvertinus šių asmens duomenų tvarkymo operacijos poveikį ir atitinkamos grėsmės atsiradimo tikimybę, manytina, kad šiuo atveju rizikos lygis bus aukštas. Nustačius aukštą rizikos lygį būtina užtikrinti atitiktį aukštesniems saugumo reikalavimams pagal Valstybinės duomenų apsaugos inspekcijos gaires „Tvarkomų asmens duomenų saugumo priemonių ir rizikos įvertinimo gairės duomenų valdytojams ir duomenų tvarkytojams“.

Be to, duomenų valdytojas turi užtikrinti ir kitas BDAR nurodytas funkcijas: užtikrinti duomenų teisingumą ir tikslumą, konfidencialumą, pateikti duomenų subjektams BDAR 13-14 straipsniuose nurodytą informaciją ir t. t. Noriu parengti privatumo pranešimą (politiką)

Pažymėtina ir tai, kad Lietuvos Respublikos valstybinė darbo inspekcija prie Socialinės apsaugos ir darbo ministerijos jau vykdo tikrinimus, kurių metu siekiama visapusiškai įvertinti psichosocialinės rizikos vertinimo poreikį bei taikomas psichologinio smurto darbe prevencijos priemones, šiuo tikslu darbuotojams siunčiamos anoniminės anketos. Todėl svarbu atsiminti, kad reikalinga nuolat peržiūrėti ir atnaujinti internetiniame puslapyje skelbiamus darbuotojų kontaktinius duomenis, nes anketos siunčiamos remiantis būtent viešai skelbiamais darbuotojų kontaktais.

APIBENDRINIMAS

Net ir pakeitus su asmens duomenų apsauga iš pirmo žvilgsnio nesusijusius teisės aktus (šiuo atveju Lietuvos Respublikos darbo kodeksą), būtina išnagrinėti, ar toks pakeitimas nesukuria naujo / nepakeičia / nepanaikina esamo asmens duomenų tvarkymo. Labai svarbu suprasti, kokie asmens duomenys bus renkami ir tvarkomi, kokios jų kategorijos, kadangi nuo to priklauso, pavyzdžiui, techninės bei organizacinės duomenų saugumo priemonės, kurias bus reikalinga įgyvendinti. Taip pat svarbu atsakyti į klausimus, kokiu tikslu, kokiu teisiniu pagrindu remiantis tvarkomi asmens duomenys, kaip bus užtikrinamas duomenų konfidencialumas ir t. t. Darbdavys, kaip duomenų valdytojas turi užtikrinti, kad jis vykdys ir kitas savo funkcijas, kylančias iš BDAR, o siekiant užtikrinti tinkamą duomenų apsaugos reikalavimų įgyvendinimą reikalinga į teisės akto rengimo procesą įtraukti ir duomenų apsaugos pareigūną arba, jei jis nepaskirtas, duomenų apsaugos ekspertą.

PAPILDOMA INFORMACIJA

Kur šis puslapis paminėtas

Error rendering macro 'incoming-links'

class com.atlassian.confluence.pages.BlogPost cannot be cast to class com.atlassian.confluence.pages.Page (com.atlassian.confluence.pages.BlogPost and com.atlassian.confluence.pages.Page are in unnamed module of loader org.apache.catalina.loader.ParallelWebappClassLoader @33fde26c)