„H&M“ duomenų skandalas: susirūpinti turėtų ir Lietuvos darbdaviai

Praėjusią savaitę Švedijos drabužių gamintojai „H&M“ Vokietijoje dėl neteisėto darbuotojų duomenų rinkimo ir jų tvarkymo skirta 35 mln. Eur bauda. Įmonė, neturėdama teisėto pagrindo ir tinkamai neinformavusi darbuotojų, rinko asmeninę informaciją, taip pažeisdama Europos Sąjungos Bendrąjį duomenų apsaugos reglamentą (BDAR).

Praktika rodo, kad ir dalis Lietuvos įmonių kaupia perteklinę informaciją, duomenis tvarko neturėdamos tinkamo teisinio pagrindo, dažnai nesilaikydamos pareigos iš anksto informuoti darbuotojus apie duomenų tvarkymą.

„H&M“ neteisėto duomenų rinkimo istorija išaiškėjo, kai kompanija 2019 m. pastebėjo duomenų saugumo pažeidimą Niurnberge įsikūrusio paslaugų centro sistemoje. Bendrovė teigia nedelsiant informavusi Hamburge įsikūrusią duomenų apsaugos instituciją, o pastarajai pradėjus tyrimą paaiškėjo, kad Niurnbergo paslaugų centre dar nuo 2014 m. buvo kaupiama itin jautri asmeninė darbuotojų informacija.

„H&M“ paslaugų centre neformalių pokalbių metu buvo renkami įvairūs duomenys, leidę sukurti individualų kiekvieno darbuotojo profilį. Informaciją pasiekti galėjo kelios dešimtys vadybininkų, o remiantis šiais duomenimis buvo vertinami darbuotojų pasiekimai ir svarstomi su darbo santykiais susiję klausimai. Jei Niurnbergo paslaugų centro darbuotojas susirgdavo, sugrįžus jo ar jos laukdavo pokalbis su vadybininku, kurio metu teirautasi apie nustatytą diagnozę, bendrą sveikatos būklę. Po atostogų asmeniniuose ar grupiniuose pokalbiuose buvo dalijamasi atostogų įspūdžiais, o pokalbiai dažnai liesdavo net šeimyninių santykių ir religijos temas. Dalis informacijos buvo saugoma tiek vidiniuose bendrovės serveriuose, tiek išorinėse platformose.  Be to, buvo kaupiama informacija ne tik apie čia dirbančius žmones, bet ir apie jų šeimos narius.

Remiantis BDAR nuostatomis, darbdavys turi teisę tvarkyti darbuotojų asmens duomenis teisėtu, sąžiningu ir skaidriu būdu ir nustatytais, aiškiai apibrėžtais bei teisėtais tikslais. Šie tikslai turi būti aiškiai įvardinti ir žinomi darbuotojams, o darbdavys turi užtikrinti, kad duomenys nebus prieinami trečiosioms šalims. Tokių jautrių duomenų, kaip religija, rasė, filosofiniai bei politiniai įsitikinimai, sveikatos būklė ir kt., tvarkymas yra apskritai draudžiamas, išskyrus aiškiai apibrėžtas išimtis, pavyzdžiui, kai tai reikalinga viešajam interesui visuomenės sveikatos srityje užtikrinti ar siekiant darbdaviui pasinaudoti prievolėmis ar teisėmis darbo bei socialinės teisės srityse. Remiantis šiomis BDAR numatytomis išimtimis, darbdaviai renka informaciją, ar darbuotojas užsikrėtė COVID-19, nes tai susiję su visuomenės sveikatos interesais, taip pat darbdavys gali būti informuotas apie pavaldinio negalią, nes tai yra reikšminga aplinkybė darbuotojų socialinėms garantijoms. Vis tik jei išimtiniais atvejais duomenys apie sveikatą ir gali būti renkami, tokie duomenys negali būti naudojami kitais tikslais nei kad jie buvo renkami, tarkime, pateisinti atleidimą arba sumažinti darbo užmokestį.

Darbuotojo sutikimas galimas tik išimtiniais atvejais

Nors dėmesys duomenų apsaugai Lietuvoje didėja, dalis bendrovių vis dar nepaiso BDAR reikalavimų. Neretai darbdaviai nebūna tinkamai informavę darbuotojų apie jų duomenų tvarkymą, taip pat dažnai kaupia perteklinę informaciją, nebūtiną darbdavio funkcijoms atlikti. Vyrauja klaidingas įsitikinimas, kad darbuotojų duomenų tvarkymą geriausiai grįsti jų sutikimu, tačiau šis pagrindas yra tinkamas tik išimtiniais atvejais.

Savanoriško sutikimo taikymą apsunkina darbo santykiuose esantis disbalansas, mat darbdavio ir darbuotojo galios pozicijos nėra lygios. Nors BDAR numato pastarojo sutikimą kaip galimą duomenų tvarkymo teisinį pagrindą, jis tokiu gali būti laikomas tik tada, jei darbuotojui suteikiamas realus pasirinkimas leisti ar neleisti tvarkyti asmeninę informaciją. Kadangi darbuotojai retai gali savanoriškai laisva valia duoti sutikimą, darbdaviai juo turėtų remtis tik išimtiniais atvejais ir rasti kitą pagrindą asmens duomenų tvarkymui.

Dažniausiai darbuotojų asmens duomenų tvarkymas yra reikalingas vykdant darbo sutarties įsipareigojimus (pavyzdžiui, asmeninės banko sąskaitos numeris gali būti reikalingas atlyginimo išmokėjimui) arba teisines prievoles darbdaviui, kurių jis negali įvykdyti be darbuotojo asmens duomenų (pavyzdžiui, darbo laiko ir poilsio laiko apskaitos duomenys). Tačiau pavaldinio politinių pažiūrų arba lytinės orientacijos darbdaviui žinoti nereikia.  Nepriklausomai nuo to, kokiu teisėtu pagrindu darbdavys remsis, visais atvejais darbuotojas privalo būti informuotas, kokiais tikslais, kokie jo duomenys, kiek laiko tvarkomi ir kas turi prieigą prie jų.

Duomenų tvarkymas stebėsenos ar kontrolės tikslais

Dažnai darbdaviai pamiršta, kad vykdant asmens vaizdo ir (ar) garso duomenų tvarkymą darbo vietoje ar asmens duomenų, susijusių su darbuotojų stebėsena, tvarkymą, papildomai būtina atlikti poveikio duomenų apsaugai vertinimą. Tokios procedūros metu vertinami tvarkymo tikslai ir veiksmai, jų reikalingumas ir proporcingumas, galimos rizikos darbuotojų teisėms ir nustatomos priemonės tokioms rizikoms pašalinti. Jei atlikus vertinimą paaiškėja, kad darbdavys negali pakankamai sumažinti nustatyto pavojaus, prieš pradėdamas tvarkyti duomenis, jis turi konsultuotis su Valstybine duomenų apsaugos inspekcija.

Be to, darbdaviai turi įvertinti, ar darbuotojų informacijos neperduoda už Europos ekonominės erdvės ribų, pavyzdžiui, ar duomenys nėra saugomi išoriniuose serveriuose – vadinamosiose debesų kompiuterijos saugyklose, esančiose JAV. Prieš duomenų perdavimą, įmonės turi įsitikinti, ar ne EEE šalių garantuojamas apsaugos lygis nenusileidžia ES garantuojamai apsaugai, ir duomenų perdavimui taikyti tinkamas apsaugos priemones. Pažymėtina, kad ES Teisingumo Teismas 2020 m. liepos mėn. pripažino negaliojančiu ES ir JAV „privatumo skydą“, kuris leido asmens duomenis perduoti duomenų gavėjams JAV, priklausantiems šiam skydui, be papildomų formalumų.

BDAR kelia reikalavimus ne tik asmens duomenų rinkimui, bet ir jų saugojimui. Pažymėtina, kad ir šis plačiai nuskambėjęs „H&M“ atvejis išaiškėjo 2019 m. būtent saugumo pažeidimų bendrovės sistemose metu. Būtent tada bendrovė, laikydamasi BDAR reikalavimų, kreipėsi į duomenų apsaugos priežiūros instituciją ir taip atsitiktinai atskleidė neteisėtai tvarkomus duomenis. Darbdaviai visus duomenų pažeidimus turi registruoti, o apie keliančius pavojų darbuotojų teisėms ir laisvėms per 72 valandas pranešti Valstybinei duomenų apsaugos inspekcijai ir (tam tikrais atvejais) patiems darbuotojams.

„H&M“ atvejis parodo, kad ES valstybių narių institucijos linkusios rimtai vertinti asmens duomenų apsaugą ir darbuotojų interesus. Mūsų darbdaviams tai dar vienas priminimas, kad galima kaupti ir tvarkyti tik tuos darbuotojų duomenis, kurie būtini darbo santykiams vykdyti ir atitinka teisės aktų reikalavimus, iš anksto apibrėžtais teisėtais tikslais ir apie duomenų tvarkymą tinkamai informuojant darbuotojus. Neteisėtas asmens duomenų tvarkymas gali sukelti ne tik reputacinę žalą ir sumažinti pasitikėjimą klientų akyse – verslui taip pat gresia iki 20 mln. Eur, arba 4 proc. metinės bendros pasaulinės apyvartos siekiančios baudos.



NAUJAUSI KOMENTARAI

  • Skelbimai
  • Pranešk
    naujieną
  • Portalo
    svečias
  • Orai
  • TV
    programa
  • Žaidimai
  • Horoskopai
  • Facebook
  • Twitter
  • RSS

Galerijos

  • Viskas – dėl bulvių
    Viskas – dėl bulvių

    Amerikos žemynai padovanojo pasauliui bulves. 1845 m. Airijoje prasidėjo ketverius metus trukęs bulvių badas. Baisioji stichija ne tik pražudė vieną milijoną žmonių, bet ir sukėlė neregėto masto emigraciją. Tuo metu didžioji dalis iš gimt...

    1
  • Tarsi vanduo Mėnulyje
    Tarsi vanduo Mėnulyje

    Kaip rodo pastarosios pandemijos mados tendencijos, šiemet garsiausio lietuviškojo kutiurjė šou neįvyks, nes užkratas vis dėlto yra tikras, neišgalvotas, be to, labai klastingas. Todėl bet koks to neigimas ne tik beprasmi&scaro...

    1
  • Ar gerai išmokome pirmosios COVID-19 bangos pamokas?
    Ar gerai išmokome pirmosios COVID-19 bangos pamokas?

    Ritos Tamašunienės vadovaujama Vidaus reikalų ministerija Lietuvos Vyriausybei tvirtinti pateikė patikslintą civilinės saugos sistemos pertvarkos įstatymų projektų paketą, kuriame siūloma centralizuoti ekstremaliųjų situacijų valdymą ir ai...

  • Į palatą – su maisto krepšiais
    Į palatą – su maisto krepšiais

    COVID-19 pandemija nesugriovė tradicijos ligoninėje gulinčius artimuosius lankyti su maisto produktų pilnais krepšiais. Rugsėjį atlikta bendrovės "Spinter tyrimai" apklausa parodė, kad didžioji dalis šalies gyventojų dažniaus...

    2
  • Apie gerą pradžią
    Apie gerą pradžią

    Ir teoretikai, ir politinio gyvenimo praktika įrodė: jei politikai tikrai nori imtis esminių pokyčių, sprendimus turi priimti per pirmus ar pusantrų metų po rinkimų. Kol dar neišsivadėjęs pasitikėjimas nauja valdžia ir gali reformas pastūm...

    1
  • Kas bus kitaip?
    Kas bus kitaip?

    Prasideda nauji ketveri gyvenimo metai. Ar mažės mokesčiai? Ar bus atšaukiami draudimai? Ar žmogus galės užsidirbti tiek, kad įvairios išmokos bus mokamos tik tiems, kurie dėl sveikatos negali dirbti? Visus atsakymus sužinosime iki 2024-...

  • Kodėl Boratas nejuokingas
    Kodėl Boratas nejuokingas

    Jungtinėse Valstijose anekdotai apie lenkus pagaliau tapo nepriimtini. Žiniasklaidos magnatas Tedas Turneris paskelbė gilų atsiprašymą už įžeidžiamus rasistinius pareiškimus, o anksčiau išreiškė apgailestavimą, kad Lenki...

    1
  • Būsto rinka Baltijos šalių sostinėse
    Būsto rinka Baltijos šalių sostinėse

    Pavasarį sparčiai prastėjant ekonominėms perspektyvoms ir augant baimėms dėl pajamų ir darbo vietų likimo, buvo ne juokais baimintasi, kad būsto rinką Baltijos šalyse ištiks panaši lemtis kaip 2008 metais. Tačiau realybė pasiro...

  • Kam dirba patriotai?
    Kam dirba patriotai?

    Visuomenės dešinėjimas tampa itin pavojingas. Vos pradėti lipdyti geresni santykiai su Lenkija vėl lengva ranka nuleisti į unitazą. O kaip kitaip gali būti po TV aso frazių, kad partinius lenkų koloradus reikėtų šaudyti? Vaikantis de&s...

    15
  • Verkiantys namai
    Verkiantys namai

    Norite namo greitai ir pigiai? Italai pasiūlė superekonominį variantą – 28 tūkst. eurų kainuojantį per 6 val. pastatomą namą. Tiksliau – sulankstomą iš plokščių paketo. Dingojasi, kad ir lietuviai atrado architektūrinį b...

    1
Daugiau straipsnių