Praėjusiais metais įsigaliojęs Bendrasis duomenų apsaugos reglamentas (toliau – BDAR) įnešė naujovių ne tik į verslo organizavimo tvarką, bet ir į darbo santykių sritį. BDAR įpareigoja bendroves užtikrinti, kad būti įgyvendinti asmens duomenų apsaugos reikalavimai, o už atitinkamų pareigų nevykdymą kyla rizika ne tik sulaukti išties reikšmingo dydžio baudos (žr. ankstesnį mūsų pranešimą), bet ir papildomo reikalavimo atlyginti žalą nukentėjusiam asmeniui.
Atsižvelgiant į tai, jog bendrovėse asmens duomenis paprastai tvarko darbuotojai, pastebėtina tendencija atsakingiems asmenims priskirti atitinkamas pareigas asmens duomenų tvarkymo srityje bei informuoti juos ne tik apie BDAR numatytas baudas, bet ir apie galimybę nutraukti darbo sutartį dėl netinkamo asmens duomenų tvarkymo. BDAR reikalavimus pažeidžiantis asmens duomenų tvarkymas tokiais atvejais priskiriamas sutartinių įsipareigojimų pagal darbo sutartį pažeidimų kategorijai.
Kyla klausimas, ar aukščiau nurodyti veiksmai yra tinkama priemonė siekiant valdyti asmens duomenų saugumo pažeidimų riziką?
Pažymėtina, jog nors bendrovėse su duomenų apsauga susijusius procesus (tokius kaip pažeidimų rizikų valdymas, duomenų subjektų prašymų vykdymas, atsakinėjimas į užklausas, ir t.t) įgyvendina atsakingi darbuotojai, visgi BDAR 82 str. 2 d. numato, kad už žalą, atsiradusią dėl neteisėto asmens duomenų tvarkymo yra atsakingas duomenų valdytojas, t.y. bendrovė, darbdavys. Remiantis Valstybinės duomenų apsaugos inspekcijos rekomendacijomis, bendrovės darbuotojai nėra laikomi duomenų tvarkytojais. Taigi, remiantis aukščiau išdėstytomis nuostatomis už žalą, kilusią dėl neteisėto duomenų tvarkymo, tiesiogiai prieš duomenų subjektą atsakys bendrovė, o ne jos darbuotojai.
Tinkamas darbdavio rizikų valdymas
Siekiant užkirsti kelią asmens duomenų tvarkymo pažeidimams bei užtikrinti sklandžius asmens duomenų valdymo procesus, rekomenduojame imtis žemiau nurodytų veiksmų:
· Parengti bendrovės vidaus politikas, nustatančius asmens duomenų tvarkymo ir apsaugos standartus bei su jais nustatyta tvarka supažindinti darbuotojus;
· Informuoti darbuotojus apie jų įsipareigojimus tvarkant asmens duomenis;
· Apmokyti darbuotojus, kokiais būdais ir priemonėmis turi būti užtikrinama asmens duomenų apsauga bendrovėje;
· Imtis techninių apsaugos priemonių (pvz. riboti prieigą prie asmens duomenų).
Tinkamai įgyvendinus visus aukščiau nurodytus procesus ne tik sumažėja rizika dėl pažeidimų ir žalos atsiradimo, bet ir atsiranda pagrindas reikalauti iš darbuotojo žalos atlyginimo dėl jo kaltų veiksmų.
Darbuotojų atsakomybė
– Materialinė darbuotojų atsakomybė
Tais atvejais, kuomet laikantis BDAR numatytų reikalavimų, pritaikius organizacines bei technines priemones asmens duomenų apsaugai, žala kyla dėl darbuotojo kaltės, bendrovė įgyja teisę reikalauti iš darbuotojo žalos atlyginimo. Visgi, darbuotojo atsakomybės apimtis riboja Lietuvos Respublikos Darbo kodekso (toliau – DK) nuostatos:
· iš darbuotojo galima reikalauti ne daugiau kaip 3 jo vidutinių darbo užmokesčių (toliau – VDU) dydžio žalos atlyginimo;
· jeigu žala padaryta dėl didelio darbuotojo neatsargumo – ne daugiau kaip 6 VDU;
· tais atvejais, kai žala padaryta tyčia, aukščiau numatyti apribojimai netaikomi. Siekiant įrodyti tyčia darbuotojo veiksmuose, bendrovė privalėtų įrodyti, kad darbuotojas galėjo imtis veiksmų žalai išvengti, tačiau sąmoningai to nepadarė.
– Darbo sutarties nutraukimas
DK nuostatos numato galimybę nutraukti darbo sutartį su darbuotoju, kuris padaro darbo teisės normomis arba darbo sutartimi nustatytų pareigų pažeidimą (DK 58 str.). Tais atvejais, kai darbuotojo pareigos apima ir asmens duomenų tvarkymą, šis procesas taip pat turi vykti remiantis teisės aktų reikalavimais bei bendrovėje patvirtintomis vidinėmis tvarkos taisyklėmis. Todėl darbuotojui pažeidus su asmens duomenų tvarkymu susijusias pareigas, tai gali suteikti darbdaviui teisę inicijuoti darbo sutarties nutraukimą DK 58 straipsnio pagrindu. Visgi labai svarbu užtikrinti, kad atleidimas būtų proporcinga pažeidimui priemonė, t.y. įvertinti pažeidimo sunkumą ir padarinius, padarymo aplinkybes, darbuotojo kaltę ir t.t.
Informuojame, kad Leinonen teisės specialistai, praktikoje plačiai taikantys BDAR nuostatas, gali Jums padėti rengiant dokumentus, susijusius su BDAR reikalavimų įgyvendinimu bei suteikti visapusiškas ir išsamias teisines konsultacijas.
Informacija aukščiau buvo paruošta Leinonen teisininkų komandos.
