Valstybinė duomenų apsaugos inspekcija (VDAI), matydama, su kokiais iššūkiais susiduria darbdaviai esant neeilinei situacijai, susijusiai su COVID-19 plitimu, parengė rekomendaciją dėl darbuotojų asmens duomenų tvarkymo, organizuojant darbą nuotoliniu būdu. Rekomendacija apima žemiau išvardintas sritis.
Asmens duomenų apimtis
Bendrasis duomenų apsaugos reglamentas (toliau – BDAR) įtvirtina pareigą tvarkyti tik tuos asmens duomenis, kurie yra būtini konkrečiam tikslui pasiekti. Taigi organizuojant darbą nuotoliniu būdu darbdaviams reikalinga įvertinti poreikį ir būtinumą tvarkyti papildomus asmens duomenis dėl darbo organizavimo tokiu būdu (pvz., darbo nuotoliniu būdu faktą, sisteminius rinkinius apie darbuotojui išduotas priemones nuotoliniam darbui ir pan.).
VDAI atkreipia dėmesį, kad darbdaviai turi įvertinti, kokius asmens duomenis būtina tvarkyti, organizuojant nuotolinį darbą, ir nesiimti perteklinio asmens duomenų tvarkymo veiksmų. Darbdaviai nustatę, jog dėl darbo organizavimo nuotoliniu būdu keičiasi darbuotojo asmens duomenų tvarkymo apimtis, trukmė, tikslai privalo informuoti darbuotoją pateikdami jiems privatumo pranešimą, kuriame nurodytų visas pasikeitusias aplinkybes, susijusias su darbuotojo asmens duomenų tvarkymu.
Darbuotojų stebėsena
VDAI pažymi, kad darbo organizavimas nuotoliniu būdu savaime nereiškia darbdavio pareigos imtis darbuotojų stebėsenos priemonių. Darbdavys prieš pradėdamas vykdyti darbuotojų stebeseną turi Įvertinti darbuotojo stebėsenos proporcingumą siekiamiems tikslams, t. y. ar darbdavio interesai yra viršesni už darbuotojo interesus ir pagrindines teises ir laisves; atlikti poveikio duomenų apsaugai vertinimą (PDAV); parengti darbuotojų stebėsenos tvarką (taisykles) ir supažindinti su jomis darbuotojus).
Darbuotojų informavimas
Jei dėl nuotolinio darbo keičiasi darbuotojų asmens duomenų tvarkymas (apimtis, trukmė, tikslai, kt.), apie kurį jie buvo informuoti, darbdavys turi parengti privatumo pranešimą, susijusį su darbuotojų asmens duomenų tvarkymu, jiems dirbant nuotoliniu būdu (atsižvelgiant į BDAR 13 straipsnį), arba atnaujinti turimą privatumo pranešimą, aiškiai identifikuojant, kas konkrečiai keičiasi.
Saugumo priemonės
VDAI atkreipia dėmesį, kad neeilinė situacija, susiklosčiusi dėl Covid-19 plitimo nepašalina darbdavio pareigos nuotolinio darbo organizavimo metu užtikrinti ir tinkamą savo darbuotojų asmens duomenų apsaugą ir pateikia į kokius aspektus darbdaviai turi atkreipti dėmesį pasirinkdami asmens duomenų saugumo priemones organizuojant darbą nuotoliniu būdu (pvz., jei nuotolinio darbo metu naudojami susirašinėjimo įrankiai (pavyzdžiui, Teams, Hangout, Jaber, Telegram ar kt.), darbdavys turi įvertinti, kaip toks susirašinėjimas (visas ar tik nesusijęs su darbo procesu) bus naikinamas ir kas už tai atsakingas; ar darbdavio resursais ar įrankiais naudojamasi tik turint autorizuotas (individualias) prieigas (svarbu užtikrinti, kad kiekvienas naudotojas turėtų atskirą prieigą)? ir pan.).
Valstybinė duomenų apsaugos inspekcija parengė rekomendaciją dėl darbuotojų asmens duomenų tvarkymo, organizuojant darbą nuotoliniu būdu
Valstybinė duomenų apsaugos inspekcija (VDAI), matydama, su kokiais iššūkiais susiduria darbdaviai esant neeilinei situacijai, susijusiai su COVID-19 plitimu, parengė rekomendaciją dėl darbuotojų asmens duomenų tvarkymo, organizuojant darbą nuotoliniu būdu. Rekomendacija apima žemiau išvardintas sritis.
Asmens duomenų apimtis
Bendrasis duomenų apsaugos reglamentas (toliau – BDAR) įtvirtina pareigą tvarkyti tik tuos asmens duomenis, kurie yra būtini konkrečiam tikslui pasiekti. Taigi organizuojant darbą nuotoliniu būdu darbdaviams reikalinga įvertinti poreikį ir būtinumą tvarkyti papildomus asmens duomenis dėl darbo organizavimo tokiu būdu (pvz., darbo nuotoliniu būdu faktą, sisteminius rinkinius apie darbuotojui išduotas priemones nuotoliniam darbui ir pan.).
VDAI atkreipia dėmesį, kad darbdaviai turi įvertinti, kokius asmens duomenis būtina tvarkyti, organizuojant nuotolinį darbą, ir nesiimti perteklinio asmens duomenų tvarkymo veiksmų. Darbdaviai nustatę, jog dėl darbo organizavimo nuotoliniu būdu keičiasi darbuotojo asmens duomenų tvarkymo apimtis, trukmė, tikslai privalo informuoti darbuotoją pateikdami jiems privatumo pranešimą, kuriame nurodytų visas pasikeitusias aplinkybes, susijusias su darbuotojo asmens duomenų tvarkymu.
Darbuotojų stebėsena
VDAI pažymi, kad darbo organizavimas nuotoliniu būdu savaime nereiškia darbdavio pareigos imtis darbuotojų stebėsenos priemonių. Darbdavys prieš pradėdamas vykdyti darbuotojų stebeseną turi Įvertinti darbuotojo stebėsenos proporcingumą siekiamiems tikslams, t. y. ar darbdavio interesai yra viršesni už darbuotojo interesus ir pagrindines teises ir laisves; atlikti poveikio duomenų apsaugai vertinimą (PDAV); parengti darbuotojų stebėsenos tvarką (taisykles) ir supažindinti su jomis darbuotojus).
Darbuotojų informavimas
Jei dėl nuotolinio darbo keičiasi darbuotojų asmens duomenų tvarkymas (apimtis, trukmė, tikslai, kt.), apie kurį jie buvo informuoti, darbdavys turi parengti privatumo pranešimą, susijusį su darbuotojų asmens duomenų tvarkymu, jiems dirbant nuotoliniu būdu (atsižvelgiant į BDAR 13 straipsnį), arba atnaujinti turimą privatumo pranešimą, aiškiai identifikuojant, kas konkrečiai keičiasi.
Saugumo priemonės
VDAI atkreipia dėmesį, kad neeilinė situacija, susiklosčiusi dėl Covid-19 plitimo nepašalina darbdavio pareigos nuotolinio darbo organizavimo metu užtikrinti ir tinkamą savo darbuotojų asmens duomenų apsaugą ir pateikia į kokius aspektus darbdaviai turi atkreipti dėmesį pasirinkdami asmens duomenų saugumo priemones organizuojant darbą nuotoliniu būdu (pvz., jei nuotolinio darbo metu naudojami susirašinėjimo įrankiai (pavyzdžiui, Teams, Hangout, Jaber, Telegram ar kt.), darbdavys turi įvertinti, kaip toks susirašinėjimas (visas ar tik nesusijęs su darbo procesu) bus naikinamas ir kas už tai atsakingas; ar darbdavio resursais ar įrankiais naudojamasi tik turint autorizuotas (individualias) prieigas (svarbu užtikrinti, kad kiekvienas naudotojas turėtų atskirą prieigą)? ir pan.).
Su VDAI skelbiama rekomendacija galite susipažinti čia.
Nuorodos