Nuo 2024 m. liepos 1 d. įsigalioja Lietuvos Respublikos asmens duomenų apsaugos įstatymo (Įstatymas) pakeitimai. Šiais pakeitimais ne tik suteikiama teisė darbdaviui prašyti kandidato ar darbuotojo pateikti informaciją apie teistumą, tačiau taip pat nustatomos naujos taisyklės dėl viešo priežiūros institucijos sprendimų skelbimo, skundų nagrinėjimo ir kitų procedūrinių klausimų.
Ar reikia ir kaip reikia ruoštis pokyčiams?
Darbdaviams suteikiama galimybė prašyti kandidato ar darbuotojo pateikti teistumo pažymą
Kas pasikeitė?
Iki 2024 m. liepos 1 d. galiojęs Įstatymas numatė, kad kandidatų ar darbuotojų, su teistumu susijusių asmens duomenų tvarkymas yra galimas tik tuo atveju, jei darbdavys pagal įstatymą turi teisinę prievolę patikrinti asmens teistumą. Pavyzdžiui, tai galėtų būti finansų, švietimo ar aviacijos sektoriuje dirbančių tam tikrų pareigų darbuotojai. Šis reguliavimas ribojo darbdavių galimybę prašyti kandidatų ar darbuotojų pateikti teistumo pažymas, kai teisės aktai nenumatė neteistumo reikalavimo tai pareigybei, nors neretai darbdaviai turėdavo pagrįstą interesą gauti tokius duomenis.
Nuo 2024 m. liepos 1 d. įsigaliojo Įstatymo pakeitimai, kuriais kandidatų ar darbuotojų su teistumu susijusių asmens duomenų tvarkymas bus galimas ir tais atvejais, kai tvarkyti tokius duomenis yra būtina siekiant teisėtų darbdavio interesų. Tai yra, nebelieka reikalavimo, kad darbdavys kandidato ar darbuotojo teistumo duomenis gali gauti tik esant įstatyme numatytam atvejui. Dabar darbdavys, pagrindęs teisėtą interesą, turės teisė prašyti iš kandidato ar darbuotojo tokių duomenų.
Kokius veiksmus reikia atlikti?
Įstatymas numato, kad norėdamas tvarkyti duomenis apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas darbo santykiuose remdamasis teisėtais interesais, darbdavys turės atlikti šiuos veiksmus:
- Parengti ir atlikti teisėtų interesų tvarkyti tokius asmens duomenis vertinimą ir raštu parengti šio vertinimo ataskaitą. Nors tokios vertinimo ataskaitos darbdaviams nėra naujiena (jas numato ir Bendrasis duomenų apsaugos reglamentas (ES) 2016/679 (BDAR) – 6 str. 1 d. f) p.), Įstatymas detalizuoja, ką konkrečiai reikėtų įvertinti tvarkant būtent teistumo Pavyzdžiui, turi būti atsižvelgiama į konkrečių pareigų ar darbo funkcijų ypatumus ir riziką, kuri darbdaviui gali kilti, jeigu atitinkamas funkcijas vykdys asmuo, teistas už tam tikras nusikalstamas veikas ir kt.;
- Patvirtinti ir savo interneto svetainėje paskelbti (jeigu tokia yra) pareigų, kurias einančiam asmeniui keliamas reikalavimas būti neteistam, sąrašą. Šiame sąraše turi būti nurodomos ir nusikalstamos veikos, už kurias toks asmuo turi būti neteistas. Tai yra, darbdavys privalo sudaryti: (1) sąrašą pareigybių, kurių užėmimui keliamas reikalavimas nebūti teistam; ir (2) sąrašą nusikaltimų, už kuriuos darbuotojas negali būti teistas.
Darbdavys turės teisę tvarkyti duomenis apie teistumą tik to kandidato ar darbuotojo, kurio ketinamos eiti pareigos ar darbo funkcijos yra įtrauktos į aukščiau minėtą sąrašą.
Tais atvejais, kuomet tokia teisė ar pareiga numatyta Įstatyme, nereiškia, kad visi darbdaviai įgyja tokią teisę visais atvejais. Todėl būtina atsižvelgti į žemiau išvardintus svarbius aspektus:
Pirma, darbdavys turi gebėti pagrįsti objektyvų būtinumą tvarkyti tokius duomenis bei atlikti aukščiau nurodytus veiksmus.
Antra, Įstatymo pakeitimas numato, kad duomenis apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas galima tvarkyti tik jei laikomasi BDAR nurodytų reikalavimų. Tai reiškia, kad turi būti laikomasi visų BDAR nustatytų taisyklių ir principų, įskaitant pareigą apie jų duomenų tvarkymą tinkamai informuoti duomenų subjektus, užtikrinti jų teisių įgyvendinimą ir kt.
Trečia, kandidatas ar darbuotojas pats turės pateikti informaciją apie teistumą darbdaviui. Tai yra, Įstatymas nesuteikia darbdaviams teisės patiems kreiptis į įgaliotas institucijas ir prašyti duomenų apie asmens teistumą pateikimo.
Ketvirta, Valstybinė duomenų apsaugos inspekcija viešai paskelbė „Rekomendaciją dėl darbdavio atliekamo teistumo duomenų tvarkymo“. Todėl darbdaviams rekomenduojama atidžiai susipažinti su inspekcijos pateikiama informacija, kuri turėtų pagelbėti tiek sprendžiant dėl pareigybių, kurioms bus keliamas neteistumo reikalavimas, tiek rengiant aukščiau nurodytus dokumentus.
Pokyčiai pažeidimų nagrinėjimo tvarkoje – į ką reikia atkreipti dėmesį?
Atsižvelgiant į sritis, dėl kurių sulaukiama daugiausiai duomenų subjektų skundų, Įstatymas griežtina tvarką dėl Valstybinei duomenų apsaugos inspekcijai pateikiamų skundų, susijusių su vaizdo stebėjimo teisėtumu ir duomenų subjektų teisių įgyvendinimu. Nuo 2024 m. liepos 1 d. prieš pateikdamas skundą Valstybinei duomenų apsaugos inspekcijai duomenų subjektas privalės kreiptis į duomenų valdytoją ar duomenų tvarkytoją, kuris atitinkamai vykdo vaizdo stebėjimą, arba kurio prašoma įgyvendinti duomenų subjektų teises. Informaciją apie tokį kreipimąsi ir duomenų valdytojo (tvarkytojo) (ne)pateiktą atsakymą duomenų subjektas privalės pateikti kartu su skundu Valstybinei duomenų apsaugos inspekcijai. Tokios informacijos nepateikus, Valstybinė duomenų apsaugos inspekcija turės teisę atsisakyti nagrinėti skundą.
Įstatyme numatyti ir kiti svarbūs pokyčiai, tačiau duomenų valdytojams ir tvarkytojams ypač svarbu atkreipti dėmesį į tai, kad senaties terminas dėl administracinės baudos skyrimo prailginimas nuo dvejų iki trejų metų. Įstatymas taip pat įtvirtina jau ir dabar Valstybinės duomenų apsaugos inspekcijos veikloje skatinamą taikaus skundų išsprendimo galimybę.
Daugiau skaidrumo priežiūros institucijų veikloje
Iki šiol tik nedidelė dalis informacijos, susijusios su sprendimais, priimtais dėl duomenų apsaugos pažeidimų, buvo skelbiama viešai.
Įstatymas numato, kad nuo 2025 m. sausio 1 d. duomenų apsaugos priežiūros institucijos – Valstybinė duomenų apsaugos inspekcija ir žurnalistų etikos inspektorius – savo sprendimus dėl pažeidimų nagrinėjimo privalės ne vėliau kaip per 5 darbo dienas nuo sprendimo priėmimo dienos viešai skelbti savo interneto svetainėje, laikydamosi įstatymų saugomos informacijos apsaugos reikalavimų. Sprendimai viešai bus skelbiami 10 metų.
Toks priverstinis informacijos atvirumas vertintinas dvejopai. Iš vienos pusės, didesnis viešumas leis duomenų valdytojams, tvarkytojams ir subjektams geriau suprasti reguliatoriaus tendencijas ir atitinkamai planuoti duomenų apsaugos atitiktį organizacijų viduje. Tačiau iš kitos pusės, apie duomenų valdytojo padarytą pažeidimą bus skelbiama viešai, kas, priklausomai nuo skelbiamos informacijos apimties, gali turėti įtakos šių asmenų reputacijai.
Turite klausimų? Mūsų Duomenų apsaugos bei Darbo teisės komandos yra pasirengusios padėti.