Kaip paviešinti darbuotojų duomenis, nepažeidžiant asmens duomenų apsaugos

autorius Ričardas

2024 m. balandžio 4 d. UAB „Kauno autobusai” darbuotojų profesinės sąjungos pirmininkas Bronius Bučelis kreipėsi į Valstybinę darbo inspekcija (VDI), prašydamas paaiškinti kaip turi būti pateikiama informacija apie darbuotojų darbo grafikus, nepažeidžiant asmens duomenų apsaugos.

VDI persiuntė šį paklausimą Valstybinei duomenų apsaugos inspekcijai, kuri 2024 m. gegužės 7 d. atsakė, kad darbuotojams turi būti pateikiama „tik tokia informacija, kuri yra būtina konkrečiam tikslui pasiekti, t. y. kad nebūtų perteklinės informacijos“.

Visą atsakymą skaityti žemiau.

DĖL KONSULTACIJOS SUTEIKIMO

Valstybinė duomenų apsaugos inspekcija (toliau – Inspekcija)  gavo Jūsų 2024 m. balandžio 03 d. paklausimą (toliau – Paklausimas), persiųstą Lietuvos Respublikos valstybinės darbo inspekcijos prie Socialinės apsaugos ir darbo ministerijos (reg. 2024-04-09, Nr. 1R-2430 (3.8.Mr).

Inspekcija nėra įgaliota oficialiai aiškinti įstatymų ar Europos Sąjungos teisės aktų, todėl išnagrinėjusi Jūsų pateiktą Paklausimą, pagal kompetenciją pateikia bendro pobūdžio konsultaciją dėl asmens duomenų tvarkymo darbo santykių kontekste (darbuotojų darbo grafikų pakabinimo darbuotojų poilsio erdvėje).  

Informuojame, kad bet kokie asmens duomenų tvarkymo veiksmai (įskaitant atskleidimą kitiems asmenims) turi būti pagrįsti Bendruoju duomenų apsaugos reglamentu[1] (toliau – Reglamentas). Tai reiškia, kad darbo grafikas gali būti atskleistas kitiems asmenims tik laikantis su asmens duomenų tvarkymu susijusių principų, įtvirtintų Reglamento 5 straipsnyje, ir kai toks asmens duomenų tvarkymas gali būti pagrįstas bent viena teisėto asmens duomenų tvarkymo sąlyga, numatyta Reglamento 6 straipsnyje. Pabrėžtina, kad Reglamento 5 straipsnio 2 dalis numato, kad duomenų valdytojas (šiuo atveju – Kauno autobusai) yra atsakingas už tai, kad būtų laikomasi Reglamento ir turi sugebėti įrodyti, kad jo laikomasi (atskaitomybės principas).

Reglamento 5 straipsnio 1 dalies f punkte nurodyta, kad asmens duomenys turi būti tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas). Asmens duomenų saugumo priemonės parenkamos atsižvelgiant į Reglamento 25 ir 32 straipsnyje nustatytus reikalavimus.

Vienas iš aspektų, kuriuos turi įvertinti darbdavys, šiuo atveju, yra darbuotojų darbo grafike esančios informacijos būtinumo žinoti kitiems asmenims poreikis. Visų pirma, darbdavys turi įvertinti, ar siekiamą tikslą galima pasiekti priemonėmis, turinčiomis mažesnį poveikį asmenims ar jų teisėtiems interesams. Antra, prieigos prie asmens duomenų (kai jos būtinos) turi būti pagrįstos principu „būtina žinoti“. Tai reiškia, kad prieiga prie tokių duomenų turėtų būti suteikiama tokia apimtimi ir tiems asmenims, kurių funkcijoms ar kitoms jiems pavestoms užduotims vykdyti yra būtini tokie asmens duomenys. Taigi, tuo atveju, jei siekiamą tikslą galima pasiekti kitomis priemonėmis, nesusijusiomis su duomenų atskleidimu kitiems darbuotojams, darbdavys turėtų rinktis tokią alternatyvią priemonę. Priešingu atveju tai galėtų pažeisti proporcingumo (būtinumo) ir „būtina žinoti“ reikalavimus.

Jeigu darbo grafiko pateikimas nurodant asmens duomenis (vardus ir pavardes)  kitiems darbuotojams yra būtinas dėl darbuotojų darbo organizavimo, pavyzdžiui, siekiant užtikrinti, kad tokia informacija būtų žinoma kartu dirbantiems asmenims (bendri projektai, kt.) ar kitais objektyviais pagrįstais atvejais, toks grafiko viešinimas galimai nepažeistų Reglamento. Tokiu atveju, svarbu užtikrinti, kad darbuotojams teikiama tik tokia informacija, kuri yra būtina konkrečiam tikslui pasiekti, t. y. kad nebūtų perteklinės informacijos.

Vis dėlto, pabrėžtina, kad duomenų valdytojas nustato duomenų tvarkymo tikslus ir priemones, Reglamento 5 straipsnio 2 dalis numato, kad duomenų valdytojas yra atsakingas už tai, kad būtų laikomasi Reglamento ir turi sugebėti įrodyti, kad jo laikomasi (atskaitomybės principas).

Direktoriaus pavaduotoja,                                                                                       

pavaduojanti direktorių                                                                                                                           Danguolė Morkūnienė


[1] 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB.