Dar kartą: asmens duomenų tvarkymas organizuojant nuotolinį darbą COVID-19 karantino metu

Triniti

Reaguodama į padidėjusį darbdavių paklausimų kiekį, dėl darbuotojų asmens duomenų tvarkymo, organizuojant darbą nuotoliniu būdu, Valstybinė duomenų apsaugos inspekcija paskelbė savo rekomendacijas. 

Papildomai, prie įprastai tvarkomų darbuotojų asmens duomenų, gali būti tvarkomi tokie asmens duomenys, kaip nuotolinio darbo faktas ir rėžimas, jei darbuotojui suteikiamos darbo priemonės (kompiuteris, telefonas ir pan.), informacija apie tokių priemonių išdavimą ir sąlygos, taip pat su jungimusi prie darbdavio resursų ir įrankių susiję duomenys. 

Darbo organizavimas nuotoliniu būdu savaime nereiškia darbdavio pareigos imtis darbuotojų stebėsenos priemonių. Nors savaime tai nėra neteisėta veikla, bet ji turi būti organizuojama laikantis BDAR reikalavimų, be kita ko: 

  • Stebėsena negali būti grindžiama darbuotojo sutikimu. Darbdavys, siekdamas vykdyti darbuotojo stebėseną, paprastai galėtų remtis BDAR 6 straipsnio 1 dalies (f) punktu (teisėti interesai), o ši teisėto asmens duomenų tvarkymo sąlyga įpareigoja duomenų valdytoją atlikti interesų pusiausvyros testą, siekiant įvertinti, ar jo interesai persveria darbuotojo interesus ir pagrindines teises ir laisves; 
  • Būtina atlikti poveikio duomenų apsaugai vertinimą;
  • Darbdavys privalo išsamiai dokumentuoti darbuotojų stebėsenos tvarką bei su parengta tvarka supažindinti stebimus darbuotojus, operatyviai informuoti, jei duomenų tvarkymo apimtys ar tvarka keičiasi. 

Darbdavys, organizuodamas darbą nuotoliniu būdu, taip pat turėtų įvertinti šiuos aspektus:

  • Jei nuotolinio darbo metu naudojami susirašinėjimo įrankiai (pavyzdžiui, Teams, Hangout, Jaber, Telegramar kt.), darbdavys turi įvertinti, kaip toks susirašinėjimas (visas ar tik nesusijęs su darbo procesu) bus naikinamas ir kas už tai atsakingas?
  • Ar darbdavio resursais ar įrankiais naudojamasi tik turint autorizuotas (individualias) prieigas (svarbu užtikrinti, kad kiekvienas naudoto jas turėtų atskirą prieigą)?
  • Kaip užtikrinama prieigų kontrolė (kiek asmenų gali turėti administratoriaus teises, kas gali suteikti, keisti ir naikinti prieigas, kt.)?
  • Kokiu būdu yra naudojami darbdavio resursai ar įrankiai(interneto svetainė, interneto platforma, aplikacija ar į kompiuterį įdiegiama programinė įranga)?
  • Kokie asmens duomenys bus surinkti darbdavio resurso ar įrankio naudojimo metu, kur ir kiek laiko jie bus saugomi?
  • Kokios techninės saugumo priemonės yra įdiegtos (įvertinti, kad darbuotojų namuose nėra papildomų tinklo saugumo priemonių, pavyzdžiui, ugniasienės)?
  • Ar konkretus resursas ar įrankis užtikrina galimybę įgyvendinti duomenų subjektų teises, įtvirtintas BDAR?

Taip pat rekomenduojama laikytis kibernetinio saugumo specialistų rekomendacijų. 

Susisiekite su Aurelija aurelija.rutkauskaite@triniti.lt