L. Marcinkevičius. Asmens duomenų apsauga: ar galima atsakomybę suversti darbuotojui?

Bendrasis duomenų apsaugos reglamentas 2016/679 (toliau – BDAR) numato, kad darbdaviai turi imtis organizacinių ir techninių priemonių, kad organizacijoje būtų užtikrinama asmens duomenų apsauga ir įgyvendinami kiti atitikties BDAR reikalavimai. Nesiėmus atitinkamų priemonių šiems reikalavimams įgyvendinti organizacija rizikuoja sulaukti atitinkamos baudos ir reikalavimo atlyginti žalą. Atsižvelgdami į tai, kad organizacijose asmens duomenis paprastai tvarko jų darbuotojai bei siekdami valdyti asmens duomenų saugumo pažeidimų riziką, organizacijų, daugiausiai tarptautinių, teisės departamentai išsiuntinėjo instrukcijas savo darbuotojams pasirašyti įsipareigojimus, kuriais darbuotojai informuojami apie BDAR numatytas baudas ir prisiima atitinkamas pareigas asmens duomenų apsaugos srityje. Minėtuose įsipareigojimuose darbuotojai pripažįsta, kad jų „atliekamas ir teisės aktų neatitinkantis asmens duomenų tvarkymas gali būti laikomas sutartinių įsipareigojimų pagal darbo sutartį pažeidimu, kas atitinkamai gali lemti rašytinio įspėjimo darbuotojui pateikimą, darbo sutarties nutraukimą be įspėjimo ir darbuotojo pareigą atlyginti padarytą žalą“. Kyla klausimas ar teisėta ir ar gali būti veiksminga tokia darbdavio priemonė BDAR atitikties reikalavimams užtikrinti? Ar tai yra tinkama asmens duomenų pažeidimų rizikos valdymo priemonė?
Kas atsakingas už neteisėtu asmens duomenų tvarkymu padarytą žalą?
Paprastai organizacijos, siekdamos, kad būtų užtikrintas asmens duomenų tvarkymo teisėtumas ir asmens duomenų apsauga, už asmens duomenų tvarkymą atsakingiems darbuotojams paskiria vykdyti duomenų subjektų teisių įgyvendinimo procesą (pvz., atsakinėti į duomenų subjektų užklausas, vykdyti jų prašymus ir kt.), esant atitinkamoms sąlygoms, atlikti poveikio duomenų apsaugai vertinimą, reaguoti į asmens duomenų saugumo pažeidimus ir imtis veiksmų jų suvaldymui.
Nors aukščiau paminėtus procesus organizacijose atlieka jų darbuotojai, BDAR 82 str. 2 d. numatyta bendroji taisyklė, kad už žalą, atsiradusią dėl neteisėto asmens duomenų tvarkymo yra atsakingas duomenų valdytojas (šiuo atveju, darbdavys). Tiesa, tas pats straipsnis nurodo, kad tam tikrais atvejais galima ir duomenų tvarkytojo, veikiančio duomenų valdytojo vardu, atsakomybė. Duomenų valdytojo darbuotojai, remiantis Valstybinės duomenų apsaugos inspekcijos rekomendacijomis (toliau – VDAI),1 nelaikomi duomenų tvarkytojais. Taigi, vadovaujantis minėtomis nuostatomis, akivaizdu, kad už neteisėtu duomenų tvarkymu padarytą žalą tiesiogiai prieš duomenų subjektą atsakys organizacija, o ne jos darbuotojai. Tad kokių tikslų įsipareigojimus nustatančiomis instrukcijomis savo organizacijų darbuotojams siekia teisės departamentai?
Ar galima iš darbuotojo reikalauti atlyginti padarytą žalą?
Remiantis BDAR nuostatomis, organizacija (duomenų valdytojas) turi pareigą užtikrinti asmens duomenų tvarkymo teisėtumą ir imtis organizacinių bei techninių priemonių jų saugumui. Tik pritaikiusi minėtas priemones ir žalai vis tiek atsiradus dėl darbuotojo kaltės organizacija įgis teisę reikalauti iš darbuotojo žalos atlyginimo. Tačiau net ir tuo atveju, remiantis Lietuvos Respublikos darbo kodekso (toliau – DK) nuostatomis, darbuotojo atsakomybė yra ribota. Iš darbuotojo bus galima reikalauti ne daugiau kaip 3 jo vidutinių darbo užmokesčių (toliau – VDU) dydžio žalos atlyginimo; jeigu žala padaryta dėl didelio darbuotojo neatsargumo – ne daugiau kaip 6 VDU, o teritorinėje arba šakos kolektyvinėje sutartyje nurodytais atvejais – ne daugiau kaip 12 VDU.2
Tiesa, jeigu darbuotojas žalą padaro tyčia minėti ribojimai netaikomi. Šiuo atveju faktas, kad asmuo sąmoningai nesiėmė priemonių žalai išvengti, nors galėjo jų imtis, įrodo darbuotojo veiksmų tyčios buvimą.3 Taigi organizacija, siekdama, jog darbuotojas atlygintų visą žalą turi įrodyti, kad jis galėjo imtis veiksmų žalai išvengti, bet sąmoningai to nedarė. Įrodinėjant šias aplinkybes itin reikšmingos darbdavio pastangos asmens duomenų tvarkymo teisėtumui ir duomenų apsaugai užtikrinti. Pavyzdžiui, ar teisės departamento teisininkai ar darbdavio pasamdyti išoriniai konsultantai apmokė darbuotojus, kad būtų užtikrinama asmens duomenų apsauga organizacijoje ir kaip tai daryti? Tai, kad darbuotojai buvo apmokyti, supažindinti su organizacijos vidaus teisės aktais, nustatančiais asmens duomenų tvarkymo ir apsaugos standartus, kad buvo imtasi techninių priemonių (pvz., prieigos prie asmens duomenų valdymo ir kt.) asmens duomenų apsaugai užtikrinti, kad darbuotojai buvo informuoti apie savo įsipareigojimus tvarkant asmens duomenis, manytina, galėtų būti vertinama kaip aplinkybės, skirtos žalos atsiradimui išvengti. Taigi pirmiausia darbdaviui (duomenų valdytojui) reikalinga imtis atitinkamų kompleksinių duomenų saugumo priemonių tam, kad žala neatsirastų ir tik tada jeigu žala vis dėlto atsiranda dėl kaltų darbuotojo veiksmų reikalauti iš darbuotojo žalos atlyginimo.
Ar gali darbuotojas būti atleistas be įspėjimo dėl netinkamai atliekamo asmens duomenų tvarkymo?
Vadovaujantis DK darbo sutartis be įspėjimo gali būti nutraukta dėl darbuotojo kaltės,4 t.y., kai darbuotojas padaro pareigų, kurias nustato darbo teisės normos arba darbo sutartis, pažeidimą. Jeigu į darbo sutartyje nurodytas darbuotojo pareigas įeina asmens duomenų tvarkymas jis atitinkamai turi būti vykdomas remiantis teisės aktų ir jiems neprieštaraujančių darbdavio vidaus teisės aktų patvirtinta tvarka. Darbuotojui pažeidus minėtuose teisės aktuose numatytas pareigas DK 58 str. suteikia teisę darbdaviui inicijuoti darbuotojo atleidimą. Tačiau ypatingai svarbu atkreipti dėmesį į tai, kad priimdamas sprendimą atleisti darbuotoją dėl jo kaltės darbdavys turi įvertinti pažeidimo sunkumą ir padarinius, jo padarymo aplinkybes, darbuotojo kaltę, priežastinį ryšį tarp darbuotojo veikos ir atsiradusių padarinių, jo elgesį ir darbo rezultatus iki pažeidimo padarymo.5 Kitaip tariant, svarbu, kad atleidimas būtų proporcinga pažeidimui priemonė. Šiuo atveju vėlgi pirmiausia darbdavys turi pareigą imtis asmens duomenų saugumo priemonių, užtikrinti tvarkomų asmens duomenų teisėtumą, informuoti darbuotoją apie jo pareigas asmens duomenų apsaugos srityje ir, tik darbuotojui nesilaikant darbdavio nustatytų asmens duomenų tvarkymo ir apsaugos standartų, svarstyti jo atleidimo klausimą.
Išvados
Pareigą užtikrinti asmens duomenų tvarkymo teisėtumą ir apsaugą, remiantis BDAR, turi duomenų valdytojas (darbdavys). Tik pritaikęs atitinkamas technines ir organizacines priemones, t.y., įdiegęs atitinkamas asmens duomenų apsaugos sistemas, apmokęs darbuotojus ir aprašęs asmens duomenų tvarkymo ir saugojimo procesus bei su jais supažindinęs darbuotojus duomenų valdytojas įgis teisę reikalauti iš darbuotojų atitinkamos jų atsakomybės. Duomenų valdytojui neįgyvendinus šios pareigos, vien tik darbuotojų įsipareigojimų nustatymas negalės būti laikoma veiksminga priemone BDAR atitikčiai užtikrinti ir asmens duomenų apsaugos pažeidimams valdyti. Todėl organizacijų teisės departamentai, kurių vienu iš pagrindinių tikslų yra organizacijos teisinių rizikų valdymas, darbuotojų pasirašytą įsipareigojimą asmens duomenų apsaugos srityje gali naudoti tik kaip papildomą priemonę, prieš tai ėmęsi kitų organizacinių priemonių, o taip pat įgyvendinę technines priemones asmens duomenų apsaugai organizacijoje užtikrinti.
Dr. Laimonas Marcinkevičius yra advokatų kontoros Marcinkevičius ir partneriai „Juridicon” teisės projektų vadovas, advokatas
_________________________________________________________________________________________________
1.2018-09-05 Valstybinės duomenų apsaugos inspekcijos rekomendacija „Smulkiajam ir vidutiniam verslui dėl Bendrojo duomenų apsaugos reglamento taikymo“.
2.Lietuvos Respublikos darbo kodekso 153 str. 1,2 d.
3.DAVULIS.T. Lietuvos Respublikos darbo kodekso komentaras. VĮ Registrų centras:2018, 465 p.
4.Lietuvos Respublikos darbo kodekso 58 str.
5.Lietuvos Respublikos darbo kodekso 58 str. 5 d.