Graikijos duomenų apsaugos institucija (the Hellenic Data Protection Authority) skyrė 150,000.00 eurų baudą PRICEWATERHOUSECOOPERS BUSINESS SOLUTIONS SA (toliau – PWC BS) ir įpareigojo ją ištaisyti nustatytus trūkumus bei pažeidimus. Priežiūros institucija nustatė, kad PWC BS:
- Neteisėtai tvarkė darbuotojų asmens duomenis remdamasi sutikimu kaip teisėto tvarkymo pagrindu, taip pažeisdama teisėtumo, sąžiningumo ir skaidrumo principą. PWC BS rinko darbuotojų sutikimus dėl viso pikto (kaip nurodė įmonės atstovai – pasirinkę „konservatyvų“ sprendimą, kuris jų manymu turėtų užtikrinti jiems maksimalią apsaugą), nors buvo nustatę ir kitą teisinį pagrindą, pagal kurį privalėjo tvarkyti asmens duomenis – darbo sutarties sąlygų vykdymą (kaip teisingai pastebėjo priežiūros institucija, pagrindais šiuo atveju priklausomai nuo konkretaus duomenų tvarkymo tikslo taip pat turėtų būti ir būtinybė tvarkyti duomenis siekiant įvykdyti teisės aktų reikalavimus bei siekiant duomenų valdytojo ar trečiojo asmens teisėtų interesų). PWC BS atitinkamai pripažino, kad duomenis ir toliau tvarkytų net jei darbuotojas neduotų sutikimo arba jį atsiimtų.
- Tvarkė darbuotojų asmens duomenis nesąžininga ir neskaidria forma sukurdama klaidingą įspūdį, kad remiasi sutikimu su visomis su tuo susijusiomis teisėmis, kai tuo tarpu asmens duomenis tvarkė remdamasi kitu teisiniu pagrindu, apie kurį darbuotojai niekada nebuvo informuoti. Sutikimas taip pat buvo suformuluotas taip, kad darbuotojas juo suteiktų neribotą ir besąlygišką teisę PWC BS fiksuoti ir saugoti jo asmens duomenis duomenų bazėse, teikti šiuos duomenis trečiosioms šalims, įskaitant klientus, kurioms tik būtų reikalinga siekiant įvykdyti verslo interesus. Taip pat darbuotojai turėjo sutikti ir su jų stebėjimu darbo vietoje (kameromis ir kita).
- Nors turėjo tokią pareigą kaip duomenų valdytojas, negalėjo pademonstruoti savo atitikties asmens duomenų tvarkymo principams ir pažeidė atskaitomybės principą perkeldama atitikties įrodinėjimo pareigą duomenų subjektams.
Sutikimas yra tik vienas iš galimų asmens duomenų tvarkymo teisinių pagrindų ir toli gražu nėra visais atvejais geriausias. Jis turėtų būti pasitelkiamas tik tada, kai asmeniui (duomenų subjektui) suteikiamas tikras pasirinkimas leisti ar neleisti tvarkyti jo asmens duomenis, o tokį pasirinkimą suteikti tik skaidriai ir suprantamai pateikus visą reikalingą informaciją. Tik tada duomenų subjektas gali priimti tinkamą, informuotą sprendimą. Jei asmens duomenys yra būtini, sutikimų surinkimas nėra tinkamas būdas pagrįsti asmens duomenų tvarkymo teisėtumą. Taip pat svarbu nepamiršti, kad duomenų subjektas bet kada gali atsiimti duotą sutikimą, neleidžiant to padaryti sutikimas negalėtų būti teisėtas.
29-ojo straipsnio darbo grupė (WP29), kurią po BDAR įsigaliojimo pakeitė Europos duomenų apsaugos valdyba, savo nuomonėse ir gairėse ne kartą pabrėžė, kad:
„jeigu darbdavys turi tvarkyti savo darbuotojų asmens duomenis, klaidinga pradėti tai daryti remiantis prielaida, kad duomenų tvarkymą galima įteisinti gavus darbuotojų sutikimą“ .
Jau pagal ES Bendrąjį duomenų apsaugos reglamentą (BDAR) parengtose Gairėse dėl sutikimo 29 straipsnio darbo grupė nurodo, kad galios disbalansas egzistuoja su darbo santykiais susijusiame kontekste. Dėl to mažiau tikėtina, kad darbuotojas kaip duomenų subjektas galėtų neduoti sutikimo savo darbdaviui dėl galimų ar realių tokiu atveju galinčių kilti neigiamų pasekmių. Dėl šios priežasties 29 straipsnio darbo grupės nuomone, prašymas duoti sutikimą dėl tokių dalykų kaip stebėjimas darbo vietoje nebūtų priimtinas, nes sutikimas daugeliu atveju nebūtų duotas laisva valia. Tai tik atkartojo jau ne vieną kartą anksčiau šios darbo grupės išreikštą poziciją, kuri stebėtinai iki šiol neretai ignoruojama praktikoje aiškinant, kad darbuotojai turi sutikti su visų ar bent jau didžiosios dalies (tų, kurie neįvardyti kaip reikalingi teisės aktuose) asmens duomenų tvarkymu tam, kad tai būtų galima vykdyti teisėtai. Teko susidurti ir su tokiomis pozicijomis, kad, gavus darbuotojo sutikimą, privatumą darbo vietoje žeidžiantis stebėjimas jau neva taptų tokiu, prie kurio priežiūros institucijos negalėtų prikibti.
Jei darbdavys įpareigotas tvarkyti asmens duomenis siekdamas įvykdyti jam taikomą teisinę prievolę, pavyzdžiui, vykdyti buhalterinę apskaitą ar pagal teisės aktų reikalavimus įforminti darbo santykius, prievolės vykdymas atitinkamai yra teisinis pagrindas, kuriuo turi būti remiamasi (BDAR 6 str. 1 d. c punktas). Jei duomenis tvarkyti būtina siekiant įvykdyti (darbo) sutartį, pavyzdžiui, norint išmokėti darbuotojui atlyginimą, tai taip pat yra teisinis pagrindas (BDAR 6 str. 1 d. b punktas). Pagaliau, jei tam tikrų asmens duomenų darbdaviui reikia tam, kad šis galėtų pasiekti tam tikrus teisėtus interesus, pavyzdžiui, užtikrinti saugumą tam proporcingai stebint darbuotojo darbo vietą ar galėti susisiekti su darbuotoju ne darbo metu, tada teisiniu pagrindu gali būti tokio apibrėžto teisėto intereso siekimas (BDAR 6 str. 1 d. f punktas). Atitinkamai, jei egzistuoja būtinybė tvarkyti asmens duomenis ir darbdaviui būtina juos tvarkyti, nėra jokio pagrindo siekti darbuotojo sutikimo kaip priemonės, kuri neva turėtų apsaugoti darbdavį ir neginčijamai įrodyti jo vykdomo duomenų tvarkymo teisėtumą.
Visgi tai nereiškia, kad niekada negalima remtis sutikimu kaip teisėtu duomenų tvarkymo pagrindu darbo santykių kontekste. Kai darbdavys neprivalo tvarkyti tam tikrų darbuotojų asmens duomenų, tačiau pageidautų tą daryti, šis gali sudaryti realias galimybes duoti sutikimą laisva valia. Svarbu nepamiršti, kad pareiga įrodyti, kad sutikimas tikrai duotas laisva valia, tokiu atveju tektų būtent darbdaviui. Tai labiau specifiniai ir išimtiniai atvejai. Mano nuomone, tokio atvejo pavyzdžiu galėtų būti atsiklausimas, ar darbuotojas sutiktų gauti sveikinimus su gimtadieniu, paviešinamus įmonės viduje (pavyzdžiui, siunčiant sveikinimą el. paštu ar kita panašia forma). Toks asmens duomenų tvarkymas objektyviai negalėtų būti pagrįstas remiantis kitu teisiniu pagrindu, todėl darbuotojui sudarius galimybes laisvai nuspręsti, nebūtų kliūčių remtis būtent sutikimu. Net ir tokiu atveju, vis vien reikia elgtis atsargiai, įsitikinti, kad darbuotojai nepatirtų spaudimo, vertimo duoti sutikimą, o duomenų tvarkymas yra proporcingas siekiant konkrečių tikslų.
Apibendrinant, darbdaviai turėtų atsakingiau įvertinti, kuriais atvejais sutikimas yra tinkamu pagrindu tvarkyti asmens duomenis, o kada teisinga būtų informuoti darbuotojus ir remtis kitu asmens duomenų tvarkymo pagrindu. Sutikimų surinkimas savaime nėra teisingas ar saugiausias sprendimas, būtina atsižvelgti į asmens duomenų tvarkymo tikslą, ir, jei reikia, pasikonsultuoti su specialistais siekiant įsitikinti, kad sutikimas tam tikrame kontekste tikrai yra teisingas teisinis asmens duomenų tvarkymo pagrindas. Kaip matyti iš aukščiau aprašytos paskirtos baudos, netinkamas rėmimasis sutikimu gali sukelti atsakomybę tiek dėl netinkamo teisinio pagrindo nurodymo, tiek ir dėl tinkamo teisinio pagrindo neatskleidimo duomenų subjektams.
Valentinas Knyva yra ILAW teisininkas, duomenų apsaugos pareigūnas.