BDAR: Sutikimas

28.07.2020 BDAR: Sutikimas

Komentaro autoriai – partneris Mindaugas Civilka, teisininkė Elvina Jurčiukonytė, jaunesnysis teisininkas Vilius Norvaišas

Koks turi būti sutikimas ir ar galima jį gauti iš darbuotojo

LVAT 2020 m. balandžio 2 d. sprendimas byloje Nr. A-3346-822/2020

Faktinė situacija: Pareiškėjams VDAI nurodė nedelsiant nutraukti sanatorijos darbuotojų biometrinių duomenų tvarkymą bei sunaikinti anksčiau surinktus darbuotojų pirštų atspaudų duomenis. Byloje kilo ginčas, ar toks VDAI nurodymas yra pagrįstas.

Teisinė problema: Sanatorijos darbuotojų biometriniai duomenys sanatorijoje buvo tvarkomi siekiant kontroliuoti darbuotojų darbo laiką, užtikrinti drausmę. Tačiau šiuos tikslus galima pasiekti naudojant privatumo nepažeidžiančias priemones, pvz., skaitmeninius kodus, korteles, darbuotojų registraciją apsaugos poste. Tuo tarpu sanatorijos darbuotojų biometrinių duomenų tvarkymas iš esmės buvo pasirinktas dėl patogumo ir ekonomiškumo, bet ne dėl būtinybės tvarkyti šiuos duomenis.

Taip pat pažymėta, kad darbuotojų biometriniai duomenys buvo tvarkomi be teisinio pagrindo. LVAT, pritardamas VDAI, išaiškino, kad darbuotojai (būdami pavaldūs darbdaviui) negali būti laikomi laisvai sutikusiais su tokiu duomenų tvarkymu.

BDAR reikalavimus atitinkantis sutikimas pasižymi šiais elementais:

  • Jis yra duodamas savanoriškai, t. y. darbuotojas turi tikrai laisvo pasirinkimo galimybę ir atitinkamai gali atšaukti duotą sutikimą be neigiamų pasekmių;
  • Sutikimas duodamas žinomai (yra pagrįstas informacija apie kilsiančias pasekmes) ir yra konkretus (duomenų tvarkymo aprėptis ir padariniai aiškiai ir tiksliai nurodyti).

Kas iš to? Darbdaviai biometrinius duomenis galėtų tvarkyti tik siekdami tam tikrų specialių tikslų ir tik išskirtinėmis aplinkybėmis. Tokiais atvejais, užuot siekę gauti sutikimą, darbdaviai galėtų išnagrinėti, ar teisėtu tikslu tikrai būtina naudoti darbuotojų biometrinius duomenis, ir įvertinti, ar toks darbuotojų biometrinių duomenų naudojimas nepažeidžia darbuotojų teisių. Kai būtinybę galima tinkamai pagrįsti, tokio tvarkymo teisinis pagrindas galėtų būti įmonės teisėtas interesas.\

 

Kokiais pagrindais įprastai tvarkomi darbuotojų asmens duomenys

Graikijos duomenų apsaugos institucijos 2019 m. liepos 31 d. sprendimas: „PwC“

Faktinė situacija: PwC darbuotojų buvo reikalaujama pateikti sutikimus dėl jų asmens duomenų tvarkymo darbo santykių administravimo tikslu. Už šią praktiką PwC skirta 150 tūkst. EUR bauda.

Teisinė problema: Tinkamo teisinio pagrindo duomenų tvarkymui nustatymas yra susijęs būtinybe užtikrinti sąžiningą ir skaidrų duomenų tvarkymą.

Sutikimas kaip pagrindas duomenų tvarkymui turi būti naudojamas tik tuomet, kai nėra kitų teisinių pagrindų, kuriais remiantis gali būti atliekamas duomenų tvarkymas. Atitinkamai, asmeniui atšaukus sutikimą, tolesnis duomenų tvarkymas yra draudžiamas.

Darbuotojo sutikimas įprastai nelaikytinas duotu laisvai ir savanoriškai, nes tarp darbo santykių subjektų egzistuoja pavaldumo santykiai. Sutikimo turi būti galima atsisakyti bet kuriuo metu dėl to nepatiriant neigiamų pasekmių, tačiau darbo santykiuose duomenų tvarkymas be neigiamų pasekmių asmeniui gali būti nutrauktas itin retais atvejais.

PwC savo darbuotojams sudarė klaidingą įspūdį, kad jų asmens duomenys tvarkomi sutikimo pagrindu, nors iš tikrųjų duomenys buvo tvarkomi kitu pagrindu, ir apie tai darbuotojai informuoti nebuvo. Taigi, buvo pažeistas skaidrumo principas, taip pat tinkamo informavimo pareiga.

Kas iš to? Darbuotojų asmens duomenys įprastai tvarkomi ne sutikimo, o darbo sutarties sudarymo, vykdymo ir / ar teisėto intereso pagrindais. Pastaruoju atveju darbdavys privalo ne tik informuoti darbuotojus apie duomenų tvarkymą, tačiau taip pat atlikti interesų balansavimo testą, kuriuo būtų įvertinta, ar duomenų tvarkymas nėra perteklinis.

 

Kaip turi atrodyti sutikimo forma

Prancūzijos duomenų apsaugos institucijos (CNIL) 2019 m. sausio 21 d. sprendimas: „Google“

Faktinė situacija: Google privatumo politika numatė, kad asmuo, naudodamasis Google paslaugomis, sutinka su savo asmens duomenų tvarkymu, „kaip tai numatyta privatumo politikoje“. Tačiau konkreti informacija apie asmens duomenų tvarkymą buvo „paskleista“ keliuose dokumentuose, prieinama tik atlikus kelis veiksmus, taip pat vartotojams sunkiai suprantama. Google buvo skirta 50 mln. EUR bauda.

Teisinė problema: Asmuo neturėjo galimybės suprasti Google atliekamo duomenų tvarkymo operacijų masto, o sutikimas, numatytas privatumo politikoje, neatitiko BDAR reikalavimų.

Kas iš to? Kai duomenų tvarkymui reikalingas asmens sutikimas, jo forma turi atitikti BDAR reikalavimus, t. y. šis sutikimas turi būti:

  • aiškus, nedviprasmiškas, duotas laisva valia;
  • duodamas dėl konkretaus tvarkymo tikslo;
  • išreiškiamas aktyviais veiksmais (t. y. negali būti naudojami iš anksto pažymėti langeliai ir pan.).

Svarbu ir tai, kad sutikimas su duomenų tvarkymu turi būti aiškiai atskirtas nuo bendro informacinio teksto duomenų subjektui, pvz., privatumo politikos.