„H&M“ neteisėto duomenų rinkimo istorija išaiškėjo, kai kompanija 2019 m. pastebėjo duomenų saugumo pažeidimą Niurnberge įsikūrusio paslaugų centro sistemoje. Bendrovė teigia nedelsiant informavusi Hamburge įsikūrusią duomenų apsaugos instituciją, o pastarajai pradėjus tyrimą paaiškėjo, kad Niurnbergo paslaugų centre dar nuo 2014 m. buvo kaupiama itin jautri asmeninė darbuotojų informacija.
„H&M“ paslaugų centre neformalių pokalbių metu buvo renkami įvairūs duomenys, leidę sukurti individualų kiekvieno darbuotojo profilį. Informaciją pasiekti galėjo kelios dešimtys vadybininkų, o remiantis šiais duomenimis buvo vertinami darbuotojų pasiekimai ir svarstomi su darbo santykiais susiję klausimai. Jei Niurnbergo paslaugų centro darbuotojas susirgdavo, sugrįžus jo ar jos laukdavo pokalbis su vadybininku, kurio metu teirautasi apie nustatytą diagnozę, bendrą sveikatos būklę. Po atostogų asmeniniuose ar grupiniuose pokalbiuose buvo dalijamasi atostogų įspūdžiais, o pokalbiai dažnai liesdavo net šeimyninių santykių ir religijos temas. Dalis informacijos buvo saugoma tiek vidiniuose bendrovės serveriuose, tiek išorinėse platformose. Be to, buvo kaupiama informacija ne tik apie čia dirbančius žmones, bet ir apie jų šeimos narius.
Remiantis BDAR nuostatomis, darbdavys turi teisę tvarkyti darbuotojų asmens duomenis teisėtu, sąžiningu ir skaidriu būdu ir nustatytais, aiškiai apibrėžtais bei teisėtais tikslais. Šie tikslai turi būti aiškiai įvardinti ir žinomi darbuotojams, o darbdavys turi užtikrinti, kad duomenys nebus prieinami trečiosioms šalims. Tokių jautrių duomenų, kaip religija, rasė, filosofiniai bei politiniai įsitikinimai, sveikatos būklė ir kt., tvarkymas yra apskritai draudžiamas, išskyrus aiškiai apibrėžtas išimtis, pavyzdžiui, kai tai reikalinga viešajam interesui visuomenės sveikatos srityje užtikrinti ar siekiant darbdaviui pasinaudoti prievolėmis ar teisėmis darbo bei socialinės teisės srityse. Remiantis šiomis BDAR numatytomis išimtimis, darbdaviai renka informaciją, ar darbuotojas užsikrėtė COVID-19, nes tai susiję su visuomenės sveikatos interesais, taip pat darbdavys gali būti informuotas apie pavaldinio negalią, nes tai yra reikšminga aplinkybė darbuotojų socialinėms garantijoms. Vis tik jei išimtiniais atvejais duomenys apie sveikatą ir gali būti renkami, tokie duomenys negali būti naudojami kitais tikslais nei kad jie buvo renkami, tarkime, pateisinti atleidimą arba sumažinti darbo užmokestį.
Darbuotojo sutikimas galimas tik išimtiniais atvejais
Nors dėmesys duomenų apsaugai Lietuvoje didėja, dalis bendrovių vis dar nepaiso BDAR reikalavimų. Neretai darbdaviai nebūna tinkamai informavę darbuotojų apie jų duomenų tvarkymą, taip pat dažnai kaupia perteklinę informaciją, nebūtiną darbdavio funkcijoms atlikti. Vyrauja klaidingas įsitikinimas, kad darbuotojų duomenų tvarkymą geriausiai grįsti jų sutikimu, tačiau šis pagrindas yra tinkamas tik išimtiniais atvejais.
Savanoriško sutikimo taikymą apsunkina darbo santykiuose esantis disbalansas, mat darbdavio ir darbuotojo galios pozicijos nėra lygios. Nors BDAR numato pastarojo sutikimą kaip galimą duomenų tvarkymo teisinį pagrindą, jis tokiu gali būti laikomas tik tada, jei darbuotojui suteikiamas realus pasirinkimas leisti ar neleisti tvarkyti asmeninę informaciją. Kadangi darbuotojai retai gali savanoriškai laisva valia duoti sutikimą, darbdaviai juo turėtų remtis tik išimtiniais atvejais ir rasti kitą pagrindą asmens duomenų tvarkymui.
Dažniausiai darbuotojų asmens duomenų tvarkymas yra reikalingas vykdant darbo sutarties įsipareigojimus (pavyzdžiui, asmeninės banko sąskaitos numeris gali būti reikalingas atlyginimo išmokėjimui) arba teisines prievoles darbdaviui, kurių jis negali įvykdyti be darbuotojo asmens duomenų (pavyzdžiui, darbo laiko ir poilsio laiko apskaitos duomenys). Tačiau pavaldinio politinių pažiūrų arba lytinės orientacijos darbdaviui žinoti nereikia. Nepriklausomai nuo to, kokiu teisėtu pagrindu darbdavys remsis, visais atvejais darbuotojas privalo būti informuotas, kokiais tikslais, kokie jo duomenys, kiek laiko tvarkomi ir kas turi prieigą prie jų.
Duomenų tvarkymas stebėsenos ar kontrolės tikslais
Dažnai darbdaviai pamiršta, kad vykdant asmens vaizdo ir (ar) garso duomenų tvarkymą darbo vietoje ar asmens duomenų, susijusių su darbuotojų stebėsena, tvarkymą, papildomai būtina atlikti poveikio duomenų apsaugai vertinimą. Tokios procedūros metu vertinami tvarkymo tikslai ir veiksmai, jų reikalingumas ir proporcingumas, galimos rizikos darbuotojų teisėms ir nustatomos priemonės tokioms rizikoms pašalinti. Jei atlikus vertinimą paaiškėja, kad darbdavys negali pakankamai sumažinti nustatyto pavojaus, prieš pradėdamas tvarkyti duomenis, jis turi konsultuotis su Valstybine duomenų apsaugos inspekcija.
Be to, darbdaviai turi įvertinti, ar darbuotojų informacijos neperduoda už Europos ekonominės erdvės ribų, pavyzdžiui, ar duomenys nėra saugomi išoriniuose serveriuose – vadinamosiose debesų kompiuterijos saugyklose, esančiose JAV. Prieš duomenų perdavimą, įmonės turi įsitikinti, ar ne EEE šalių garantuojamas apsaugos lygis nenusileidžia ES garantuojamai apsaugai, ir duomenų perdavimui taikyti tinkamas apsaugos priemones. Pažymėtina, kad ES Teisingumo Teismas 2020 m. liepos mėn. pripažino negaliojančiu ES ir JAV „privatumo skydą“, kuris leido asmens duomenis perduoti duomenų gavėjams JAV, priklausantiems šiam skydui, be papildomų formalumų.
BDAR kelia reikalavimus ne tik asmens duomenų rinkimui, bet ir jų saugojimui. Pažymėtina, kad ir šis plačiai nuskambėjęs „H&M“ atvejis išaiškėjo 2019 m. būtent saugumo pažeidimų bendrovės sistemose metu. Būtent tada bendrovė, laikydamasi BDAR reikalavimų, kreipėsi į duomenų apsaugos priežiūros instituciją ir taip atsitiktinai atskleidė neteisėtai tvarkomus duomenis. Darbdaviai visus duomenų pažeidimus turi registruoti, o apie keliančius pavojų darbuotojų teisėms ir laisvėms per 72 valandas pranešti Valstybinei duomenų apsaugos inspekcijai ir (tam tikrais atvejais) patiems darbuotojams.
„H&M“ atvejis parodo, kad ES valstybių narių institucijos linkusios rimtai vertinti asmens duomenų apsaugą ir darbuotojų interesus. Mūsų darbdaviams tai dar vienas priminimas, kad galima kaupti ir tvarkyti tik tuos darbuotojų duomenis, kurie būtini darbo santykiams vykdyti ir atitinka teisės aktų reikalavimus, iš anksto apibrėžtais teisėtais tikslais ir apie duomenų tvarkymą tinkamai informuojant darbuotojus. Neteisėtas asmens duomenų tvarkymas gali sukelti ne tik reputacinę žalą ir sumažinti pasitikėjimą klientų akyse – verslui taip pat gresia iki 20 mln. Eur, arba 4 proc. metinės bendros pasaulinės apyvartos siekiančios baudos.
