Darbuotojų asmens duomenų tvarkymas, organizuojant darbą nuotoliniu būdu

Bendrasis duomenų apsaugos reglamentas (toliau – BDAR) įtvirtina pareigą tvarkyti tik tuos asmens duomenis, kurie yra būtini konkrečiam tikslui pasiekti. Taigi, organizuojant nuotolinį darbą, pirmiausiai, reikėtų įvertinti:

• Kokie darbuotojai, atsižvelgiant į funkcijų ir atliekamų užduočių specifiką, gali dirbti nuotoliniu būdu? Priklausomai nuo konkrečios veiklos, šiuo atveju papildomai gali būti tvarkomi tokie asmens duomenys kaip, pavyzdžiui, darbo nuotoliniu būdu faktas ir režimas.
• Kokios darbo priemonės yra būtinos nuotoliniam darbui organizuoti?
• Ar organizuojant darbą nuotoliniu būdu yra būtina jungtis prie duomenų valdytojo (duomenų tvarkytojų) resursų ar įrankių? Jei atsakymas teigiamas, reikėtų įvertinti kiekvieną resursą ar įrankį atskirai, atsižvelgiant į tai, ar šie resursai jau yra naudojami įprastoje darbdavio veikloje ir, jei taip, kokie asmens duomenys dėl tokio naudojimo yra tvarkomi, nepriklausomai nuo to, ar prie resurso ar įrankio jungiamasi nuotoliniu būdu.

Svarbu įvertinti ir tai, ar jungiantis prie šių resursų nuotoliniu būdu reikalinga tvarkyti papildomus duomenis ir kokiais tikslais. Tuo atveju, jei dėl nuotolinio darbo būtina pradėti naudoti naujus resursus ar įrankius, būtina įvertinti ne tik paties resurso ar įrankio patikimumą, tačiau taip pat, kokie asmens duomenys, naudojantis šiuo resursu ar įrankiu, būtų tvarkomi ir kokiais tikslais. Primintina, kad, naudojantis elektroniniais resursais ar įrankiais, be prisijungimo duomenų (pavyzdžiui, prisijungimo vardas ir jo sąsaja su konkrečiu darbuotoju, taip pat žurnalo įrašų (angl. log)) ir prieigos teisių, taip pat tvarkomi ir kiti asmens duomenys, pavyzdžiui, susiję su užduočių vykdymu, atlikimu, rezultatais. 

Darbo organizavimas nuotoliniu būdu savaime nereiškia darbdavio pareigos imtis darbuotojų stebėsenos priemonių (stebėti susirašinėjimą elektroniniu paštu, fiksuoti veiksmus, naudojantis darbdavio suteiktu kompiuteriu ar mobiliuoju įrenginiu, įrašinėti pokalbius ar kt.), taip pat nereiškia, kad tokios priemonės yra būtinos ar proporcingos. Nors darbuotojo veiksmų, naudojantis darbdavio resursais ar įrankiais darbo metu, stebėsena savaime nėra laikytina pažeidimu, tačiau ji turi būti vykdoma laikantis BDAR reikalavimų. Darbdavys prieš pradėdamas konkretaus darbuotojo stebėseną turi:

• Darbuotojo stebėsena negali būti pagrįsta darbuotojo sutikimu, nes dėl darbdavio ir darbuotojo santykiams būdingos priklausomybės nėra tikėtina, kad duomenų subjektas galėtų neduoti savo darbdaviui sutikimo, kad būtų tvarkomi jo asmens duomenys, be baimės ar realios rizikos patirti neigiamą poveikį dėl savo nesutikimo. Taigi, esant darbuotojo ir darbdavio padėties disbalansui, darbuotojo sutikimas paprastai neatitiktų laisvos valios kriterijaus. Atsižvelgiant į tai, darbdavys, siekdamas vykdyti darbuotojo stebėseną, paprastai galėtų remtis BDAR 6 straipsnio 1 dalies f punktu, o ši teisėto asmens duomenų tvarkymo sąlyga įpareigoja duomenų valdytoją atlikti interesų pusiausvyros testą, siekiant įvertinti, ar jo interesai persveria darbuotojo interesus ir pagrindines teises ir laisves. 
• Atlikti poveikio duomenų apsaugai vertinimą. 
• Parengti darbuotojų stebėsenos tvarką (taisykles) ir supažindinti su jomis darbuotojus. 

Darbuotojų informavimas

Skaidrumo principo reikalavimai (BDAR 5 straipsnio 1 dalies a punktas) įpareigoja darbdavį informuoti darbuotojus apie jų asmens duomenų tvarkymą ne tik pirminiame duomenų tvarkymo etape, tačiau ir vėlesniuose duomenų tvarkymo etapuose. Kitaip tariant, jei dėl nuotolinio darbo keičiasi darbuotojų asmens duomenų tvarkymas (apimtis, trukmė, tikslai, kt.), apie kurį jie buvo informuoti, darbdavys turi parengti privatumo pranešimą, susijusį su darbuotojų asmens duomenų tvarkymu, jiems dirbant nuotoliniu būdu (atsižvelgiant į BDAR 13 straipsnį), arba atnaujinti turimą privatumo pranešimą, aiškiai identifikuojant, kas konkrečiai keičiasi. Darbdavys be pirmiau nurodytų pareigų taip pat turi tinkamai instruktuoti darbuotojus: 

• Kaip tinkamai naudotis darbdavio resursais ar įrankiais nuotoliniu būdu; 
• Kokios yra darbuotojų pareigos, vykdant funkcijas nuotoliniu būdu (operacinių sistemų naudojimas ir atnaujinimas, reikalavimai antivirusinėms programoms, slaptažodžių pasirinkimas ir keitimas, interneto grėsmės, pareiga atsijungti nuo resurso ar įrankio, kai juo nėra naudojamasi, tokiu būdu ribojant trečiųjų asmenų neteisėtas prieigas prie asmens duomenų ir darbdavio resursų ar įrankių);
• Į ką ir kokia tvarka kreiptis įvykus saugumo incidentui ar asmens duomenų saugumo pažeidimui ir pan.

Saugumo priemonės

Darbdavys, organizuodamas darbą nuotoliniu būdu, taip pat turėtų įvertinti šiuos aspektus: 

• Jei nuotolinio darbo metu naudojami susirašinėjimo įrankiai (pavyzdžiui, Teams, Hangout, Jaber, Telegram ar kt.), darbdavys turi įvertinti, kaip toks susirašinėjimas (visas ar tik nesusijęs su darbo procesu) bus naikinamas ir kas už tai atsakingas? 
• Ar darbdavio resursais ar įrankiais naudojamasi tik turint autorizuotas (individualias) prieigas (svarbu užtikrinti, kad kiekvienas naudotojas turėtų atskirą prieigą)? 
• Kaip užtikrinama prieigų kontrolė (kiek asmenų gali turėti administratoriaus teises, kas gali suteikti, keisti ir naikinti prieigas, kt.)? 
• Kokiu būdu yra naudojami darbdavio resursai ar įrankiai (interneto svetainė, interneto platforma, aplikacija ar į kompiuterį įdiegiama programinė įranga)?  Kokie asmens duomenys bus surinkti darbdavio resurso ar įrankio naudojimo metu, kur ir kiek laiko jie bus saugomi? 
• Kokios techninės saugumo priemonės yra įdiegtos (įvertinti, kad darbuotojų namuose nėra papildomų tinklo saugumo priemonių, pavyzdžiui, ugniasienės)? 
• Ar konkretus resursas ar įrankis užtikrina galimybę įgyvendinti duomenų subjektų teises, įtvirtintas BDAR?