Ar darbdavys pagrįstai jus filmuoja?

Kostas Baubinas

www.DELFI.lt

FOTO: Shutterstock

Jau beveik keturis metus galiojantis ES Bendrasis duomenų apsaugos reglamentas (BDAR) daliai verslų ir daugeliui gyventojų tebėra teisinis burtažodis. Tačiau šio teisės akto reikšmė yra vis labiau apčiuopiama ir praktiška – įmonės gauna realias milijonines baudas už nepagrįstą darbuotojų filmavimą, informacijos apie asmeninį gyvenimą rinkimą, tiesioginę reklamą be sutikimo, slapukavimą ir daugelį kitų žmonėms nemalonių veiksmų.

Už neteisėtą darbuotojų stebėseną – milijoninės baudos

BDAR yra vienas griežčiausių privatumo ir duomenų apsaugos teisės aktas pasaulyje, skirtas sustiprinti asmens duomenų apsaugą, bet kartu siekiantis sukurti pamatus tvariam ES skaitmeninės ekonomikos vystymuisi. Paprastam vartotojui BDAR atnešti pokyčiai bene geriausiai matomi naršant internete – puslapiuose pastebimai padaugėjo įkyriai galinčių atrodyti mygtukų ir pranešimų, prašančių susipažinti ar patvirtinti slapukų politiką. Tiesa, realus BDAR taikymas yra gerokai platesnis.

Versle iki pat šių dienų galima išgirsti požiūrį, kad BDAR įgyvendinimas yra „smulkmena“ ar paskutinės svarbos dalykas. Išties, daugybė įmonių natūraliai neturi intereso sekti savo klientus ar darbuotojus bei užsiiminėti nepageidaujama reklama. Vis dėlto, jei Europos asmens duomenų priežiūros tarnybos pirmus keletą metų išties taikė neoficialų pereinamąjį laikotarpį, kuomet į neesminius neatitikimus reglamentui buvo žiūrima atlaidžiau, tai pernai juokai baigėsi – ES buvo paskirta per 1 mlrd. EUR baudų, o pirmoji šešiaženklė bauda už BDAR pažeidimus buvo skirta ir Lietuvoje.

Reikšmingiausios praėjusių už reglamento pažeidimus ES skirtos baudos gana aiškiai iliustruoja, kokių verslo praktikų mūsų žemyno tarnybos netoleruoja. Aprangos bendrovei „H&M“ ir el. komercijos kompanijai „Notebooksbilliger.de“ Vokietijoje pernai buvo skirtos atitinkamai 35 ir 10,4 mln. EUR baudos už neteisėtą darbuotojų stebėseną ir perteklinį asmeninių duomenų rinkimą.

Tarnybos nustatė, kad „H&M“ nuo 2014 m. rinko ir kaupė duomenis apie darbuotojų privatų gyvenimą, šeimos problemas, religinius įsitikinimus ir pan. Savo ruožtu kompanija „Notebooksbillger.de“ bent dvejus metus vykdė savo darbuotojų stebėjimą vaizdo kameromis, įrengtomis darbuotojų bendrose patalpose, darbo vietoje, sandėlyje ir prekybos vietose. Nors bendrovė argumentavo, kad tai buvo skirta vagysčių prevencijai, priežiūros tarnybų šie argumentai neįtikino.

Kita reikšminga BDAR sritis – tinkamas tarnybų informavimas apie asmens duomenų pažeidimus. Pvz., „Booking.com“ Nyderlanduose pernai gavo beveik 0,5 mln. EUR baudą ne už, tai buvo įsilaužta į darbuotojų paskyras, dėl ko nutekėjo dalies klientų duomenis, bet todėl, kad tarnybas apie tai informavo praėjus 22 dienoms po incidento. Pagal BDAR, įmonės apie tokias situacijas turi pranešti per 72 val. Toks reikalavimas susijęs su tuo, kad greičiau informavus tarnybas, galimi atitinkami sprendimai, galintys sumažinti klientų nuostolius.

Stebėtina, bet didžiausia visų laikų bauda už BDAR pažeidimus – net 746 mln. EUR – pernai Liuksemburge buvo skirta el. prekybos milžinei „Amazon“ tiesioginės rinkodaros srityje. Nors dėl vietinių teisės apribojimų šios bylos duomenys yra riboti, matyti tai, kad „Amazon“ neatsakingai žiūrėjo į vartotojų sutikimų dėl reklamos gavimą. BDAR leidžia tiesioginę rinkodarą, tačiau tik gavus labai aišku naudotojo sutikimą, taip pat draudžia gautą sutikimą naudoti trečiųjų šalių ar net nesusijusių produktų ar paslaugų reklamai. Taip pat, norint siųsti pranešimus el. paštu ar SMS žinutėmis, būtini du atskiri sutikimai, o vartotojams turi būti suteikta itin aiški, skaidri ir nemokama galimybė atšaukti jau duotą sutikimą.

BDAR baudų dalgis neaplenkė ir kitos interneto milžinės – „Facebook“ įmonių grupės – ir jai priklausančios „WhatsApp“ pokalbių programėlės. Airijoje kompanija pernai gavo 225 mln. EUR baudą dėl netinkamo vartotojų informavimo apie asmens duomenų tvarkymą. Paprastai kalbant, „WhatsApp“ nejautė ribų tarp savo ir kitų „Facebook“ grupės produktų naudojamų vartotojų duomenų, naudojo miglotas formuluotes, informaciją buvo išsibarsčiusi per skirtingus šaltinius.

Tolerancijos laikotarpis baigėsi

Advokatė, sertifikuota asmens duomenų apsaugos ekspertė Loreta Andziulytė, komentuoja, kad BDAR aiškinimas ir taikymas versle tam tikra prasme tebėra naujovė, tačiau „pereinamasis laikotarpis“, atrodo, jau pasibaigė – įmonės yra griežtai baudžiamos už šiurkščius reglamento pažeidimus.

„Akivaizdu, kuo verslas didesnis, kuo kompleksiškesnė ir daugiau asmens duomenų tvarkanti yra jo veikla, tuo priežiūros institucijos bus griežtesnės ir akylesnės. Tačiau ir mažesnės įmonės neturėtų „numoti ranka“ į BDAR reikalavimus. Be to, nors minėtos baudos už BDAR pažeidimus atrodo įspūdingai ir jau savaime turėtų atgrasyti kitus verslus nuo atmestino požiūrio į duomenų apsaugą, ne mažiau neatsakingiems verslams kainuoja ir reputacinė žala“, – sako advokatė.

Todėl, pasak jos, tinkamą elgesį su asmens duomenimis reikėtų traktuoti ne kaip išlaidas, o ir kaip investiciją į pagarbą savo darbuotojams ir klientams, kuri atsiperka kaip gera reputacija. Juk atsidūrus skambiose antraštėse reikės papildomų resursų ne vien atsakant į žiniasklaidos atstovų ar duomenų apsaugos inspekcijos klausimus, bet ir bendraujant su savo darbuotojais, tiekėjais ir partneriais, kurie suabejos įmonės patikimumu bei skaidrumu.

„Šie pažeidimai ir už juos paskirtos baudos tik dar kartą įrodo, kad asmens duomenų apsauga turi būti užtikrinama ne tik dirbant su klientais, bet ir santykiuose su darbuotojais. Esminiai mano patarimai verslui būtų: pirmiausia, aiškiai ir išsamiai informuoti savo klientus bei darbuotojus apie tvarkomus asmens duomenis, kokiais tikslais jie renkami ir kiek laiko saugomi ir pan., parengiant privatumo pranešimus pagal savo verslo modelį, o ne skelbiant šabloninius pranešimus. Antra – rinkti tik tiek duomenų apie klientus ir darbuotojus, kiek reikia. Nesinaudokite praktika „rinksiu dėl visa pikto“. Nutikus pažeidimui aktyviai bendradarbiauti su atsakingomis institucijomis bei atsakingai pašalinti nustatytus trūkumus. Taip pat, asmens duomenų klausimus įmonių vadovai privalo traktuoti kaip aukšto prioriteto – tiek investuojant į sistemas, tiek į kolektyvo mokymus bei procesų tobulinimą“, – tvirtina L. Andziulytė.

Nevalia sekti be tikslo aiškaus ir neinformavus

Kita sritis, kurioje pernai Europoje buvo nustatomi esminiai BDAR pažeidimai, yra darbuotojų stebėsena bei neteisėtas duomenų rinkimas apie darbuotojus. Pasak advokatės, tai, kad darbuotojas susietas su bendrove darbo santykiais, dar nereiškia, kad bet koks jo asmens duomenų tvarkymas, įskaitant ir stebėjimą, yra pateisinamas. Be to, LR darbo kodeksas numato, kad turi būti gerbiamas darbuotojo asmeninis gyvenimas.

„Prieš pradėdamas darbuotojų stebėseną, darbdavys pirmiausia turi įvertinti, kokių tikslų ja siekiama ir ar šių tikslų negalima pasiekti kitomis priemonėmis. Taip pat, privaloma atlikti poveikio duomenų apsaugai vertinimą, kai yra planuojamas darbuotojo stebėjimas, tiek naudojant vaizdo ar garso priemones, tiek jei vykdoma darbuotojo komunikacijos, elgesio, vietos ar judėjimo stebėsena. Galiausiai, reikia pasirengti darbuotojų stebėsenos tvarką ir supažindinti su ja darbuotojus“,– vardina L. Andziulytė.

Advokatė apibendrina, kad darbdavys gali stebėti darbuotojo bendravimą, tačiau tik tuo atveju, jei jis atitinka esminius išankstinio pranešimo proporcingumo ir būtinumo reikalavimus, yra nustatomas tinkamos stebėjimo priemonės ir mastas.

Žmogiškosios klaidos ir atmestinas požiūris

Kalbant apie IT, programinės įrangos bendrovės „Squalio“ vadovas Tomas Dabašinskas pastebi, kad pagrindinės BDAR neatitikimų priežastys Lietuvoje paprastai susijusios su atsainiu vadovybės požiūriu, žmogiškosiomis klaidomis bei netinkamu projektų ar tiekėjų valdymu.

„Dažnu atveju finansavimas techniniams informacijos saugos sprendimams ar duomenų apsaugos specialistų konsultacijoms atsiranda tik po įvykusių reikšmingų saugumo incidentų ar sulaukto priežiūros institucijos dėmesio. Taip pat, deja, bet vis dar tenka išgirsti aukščiausio lygio vadovų pasisakymus apie duomenų apsaugą kaip antros reikšmės klausimus“, – komentuoja T. Dabašinskas.

Kita vertus, pasak jo, dar dažnesnė asmens duomenų pažeidimų priežastis Lietuvoje yra žmogiškosios klaidos ir kompetencijų trūkumas.

„Viena vertus, kvalifikuoti informacijos ir duomenų apsaugos specialistai yra brangus resursas. Taip pat įmonėse trūksta tinkamo pareigų ir funkcijų paskirstymo – pvz., siekiant užtikrinti tinkamą saugos organizavimą ir vykdymą įmonė turi turėti ir duomenų apsaugos pareigūną, ir saugos specialistą, ir IT administratorių, tačiau vis dar pastebime atvejų, kai visos šios atsakomybės priskiriamos vienam, kompetencijos neturinčiam asmeniui – IT specialistui, teisininkui, personalo vadovui ir pan. Galiausiai, reikalingas ir nuolatinis darbuotojų sąmoningumo ugdymas, socialinės inžinerijos testai bei kitos priemonės, sumažinančios žmogiškųjų klaidų tikimybę“ – svarsto specialistas.

Jo vertinimu, BDAR pažeidimus neretai lemia ir netinkamas projektų ar pirkimų valdymas – į projektus pamirštama įtraukti asmens duomenų saugumo reikalavimus, nevertinama tiekėjų atitiktis, saugumo priemonės neįtraukiamos į perkamų paslaugų ar produktų technines specifikacijas ir pan.

Griežtai draudžiama DELFI paskelbtą informaciją panaudoti kitose interneto svetainėse, žiniasklaidos priemonėse ar kitur arba platinti mūsų medžiagą kuriuo nors pavidalu be sutikimo, o jei sutikimas gautas, būtina nurodyti DELFI kaip šaltinį.

Prisijungti prie diskusijos Rodyti diskusiją (6)