Bendrasis duomenų apsaugos reglamentas 2016/679 (toliau – BDAR) numato, kad darbdaviai turi imtis organizacinių ir techninių priemonių, kad organizacijoje būtų užtikrinama asmens duomenų apsauga ir įgyvendinami kiti atitikties BDAR reikalavimai. Nesiėmus atitinkamų priemonių šiems reikalavimams įgyvendinti organizacija rizikuoja sulaukti atitinkamos baudos ir reikalavimo atlyginti žalą. Atsižvelgdami į tai, kad organizacijose asmens duomenis paprastai tvarko jų darbuotojai bei siekdami valdyti asmens duomenų saugumo pažeidimų riziką, organizacijų, daugiausiai tarptautinių, teisės departamentai išsiuntinėjo instrukcijas savo darbuotojams pasirašyti įsipareigojimus, kuriais darbuotojai informuojami apie BDAR numatytas baudas ir prisiima atitinkamas pareigas asmens duomenų apsaugos srityje.

Minėtuose įsipareigojimuose darbuotojai pripažįsta, kad jų „atliekamas ir teisės aktų neatitinkantis asmens duomenų tvarkymas gali būti laikomas sutartinių įsipareigojimų pagal darbo sutartį pažeidimu, kas atitinkamai gali lemti rašytinio įspėjimo darbuotojui pateikimą, darbo sutarties nutraukimą be įspėjimo ir darbuotojo pareigą atlyginti padarytą žalą“.

Kyla klausimas ar teisėta ir ar gali būti veiksminga tokia darbdavio priemonė BDAR atitikties reikalavimams užtikrinti? Ar asmens duomenų apsauga gali būti užtikrinama tokiu būdu? Kaip darbdaviui pasiekti, kad BDAR dokumentai būtų įpareigojantys darbuotoją, BDAR reikalavimai būtų įgyvendinti ir asmens duomenų apsauga užtikrinta, o tokių priemonių nereikėtų taikyti?

Kas atsakingas už neteisėtu asmens duomenų tvarkymu padarytą žalą?

Paprastai organizacijos, siekdamos, kad būtų užtikrintas asmens duomenų tvarkymo teisėtumas ir asmens duomenų apsauga, už asmens duomenų tvarkymą atsakingiems darbuotojams paskiria vykdyti duomenų subjektų teisių įgyvendinimo procesą (pvz., atsakinėti į duomenų subjektų užklausas, vykdyti jų prašymus ir kt.), esant atitinkamoms sąlygoms, atlikti poveikio duomenų apsaugai vertinimą, reaguoti į asmens duomenų saugumo pažeidimus ir imtis veiksmų jų suvaldymui.

Nors aukščiau paminėtus procesus organizacijose atlieka jų darbuotojai, BDAR 82 str. 2 d. numatyta bendroji taisyklė, kad už žalą, atsiradusią dėl neteisėto asmens duomenų tvarkymo yra atsakingas duomenų valdytojas (šiuo atveju, darbdavys). Tiesa, tas pats straipsnis nurodo, kad tam tikrais atvejais galima ir duomenų tvarkytojo, veikiančio duomenų valdytojo vardu, atsakomybė. Duomenų valdytojo darbuotojai, remiantis Valstybinės duomenų apsaugos inspekcijos rekomendacijomis (toliau – VDAI),[1] nelaikomi duomenų tvarkytojais. Taigi, vadovaujantis minėtomis nuostatomis, akivaizdu, kad už neteisėtu duomenų tvarkymu padarytą žalą tiesiogiai prieš duomenų subjektą atsakys organizacija, o ne jos darbuotojai. Tad kokių tikslų įsipareigojimus nustatančiomis instrukcijomis savo organizacijų darbuotojams siekia teisės departamentai?

[1] 2018-09-05 Valstybinės duomenų apsaugos inspekcijos rekomendacija „Smulkiajam ir vidutiniam verslui dėl Bendrojo duomenų apsaugos reglamento taikymo“.

Prieiga į visą publikaciją pateikiama tik Juridicon klientams, pasirinkusiems paslaugų planą
Asmens duomenų apsauga Naujienos Teisininko patarimai

One Reply to “Asmens duomenų apsauga: kaip užsitikrinti darbuotojo atsakomybę? BDAR paslaugos

Komentarai nepriimami.