Darbuotojų stebėjimas darbe: teisinė bazė, BDAR ribos ir leistinos priemonės

Darbuotojų stebėjimas reikalauja teisinio pagrindo pagal BDAR 6 str. Darbo aplinkoje dažniausiai taikomi du pagrindai: (1) Teisėtas interesas (BDAR 6 str. 1 d. f p.) — darbdavys turi teisėtą interesą apsaugoti savo turtą, konfidencialią informaciją ir užtikrinti darbo tvarkos laikymąsi. Tačiau šis pagrindas reikalauja proporcingumo testo — ar darbdavio interesas nusvertė darbuotojo privatumo teisę; (2) Darbo sutarties vykdymas (BDAR 6 str. 1 d. b p.) — kai stebėjimas tiesiogiai susijęs su darbo funkcijų vykdymu (pvz., skambučių fiksijavimas call centre). Sutikimas (BDAR 6 str. 1 d. a p.) — teoriškai galimas, tačiau EDPB ir VDAI paprastai mano, kad darbuotojo sutikimas darbo santykiuose negali būti laisvanoriškas dėl galios disbalanso, todėl jis retai naudojamas. Svarbu: pagal BDAR 13 str. darbdavys privalo informuoti darbuotojus apie bet kokį jų duomenų tvarkymą, įskaitant stebėjimą, prieš jį pradedant.

Vaizdo stebėjimas (CCTV) darbo vietoje yra vienas dažniausiai VDAI nagrinėjamų klausimų. Pagrindiniai leistinumo kriterijai: (1) Tikslo teisėtumas — priimtini tikslai: saugumo užtikrinimas, turto apsauga, prieigos kontrolė. Nepriimtinas tikslas: nuolatinė darbuotojų produktyvumo kontrolė be kito pateisinimo; (2) Proporcingumas pagal BDAR 5 str. 1 d. c p. (duomenų kiekio mažinimo principas) — kameros negali stebėti visų darbo vietų be pateisinimo; ypač jautrių zonų (poilsio kambarių, tualetų) stebėjimas draudžiamas; (3) Informavimas — darbuotojai privalo žinoti apie stebėjimą iš anksto (stovyklos, vidaus taisyklės); (4) Saugojimo terminas — VDAI rekomenduoja ne ilgiau kaip 30 dienų, jei nėra specifiško incidento tyrimo poreikio. VDAI baudų pavyzdžiai: Lietuvoje buvo skirtos baudos įmonėms, naudojusioms kameras poilsio patalpose ir neaptarusioms saugojimo termino. Tinkama praktika: VDAI iš anksto pranešti apie didelių masto vaizdo stebėjimo sistemas.

El. pašto ir kompiuterio veiklos monitoringas yra viena jautriausių darbuotojų privatumo sričių. DK 26 str. nustato, kad darbuotojas turi teisę į privatumą darbo vietoje. EDPB pozicija: darbuotojo darbiniais įrenginiais gaunami asmeninio pobūdžio pranešimai turi tam tikrą privatumo apsaugą net darbo aplinkoje. Leistinas monitoringas: (1) sistemos saugumo stebėjimas (kenkėjiška programinė įranga, neteisėta prieiga) — tiesiogiai susietas su IT saugumo priemone; (2) duomenų nutekėjimo prevencija (DLP) — kai stebimi tam tikri raktiniai žodžiai ar failų perdavimai; (3) riboto masto auditas įtarus pažeidimą — pagrįstu pagrindu ir proporcingas. Draudžiamas monitoringas: nuolatinis visų el. laiškų turinio skaitymas; visų tinklalapių sekimas be pateisinimo; klavišų paspaudimų (keylogger) registravimas be aiškaus teisinio pagrindo. Rekomenduojama procedūra: priimti IT naudojimo politiką, aiškiai nurodant leistinas veiklas ir stebėjimo galimybes — taip darbuotojas turi aiškių lūkesčių ribas.

GPS sekimas per automobiliuose ar telefonuose esančius įrenginius yra „asmens duomenų" tvarkymas pagal BDAR 4 str. 1 d., nes leidžia nustatyti darbuotojo tapatybę. Leistino GPS stebėjimo sąlygos: (1) darbo valandų apribojimas — GPS sekimas leistinas darbo valandomis, bet po darbo valandų ir laisvalaikiu — ne; (2) tikslų proporcingumas — priimtini tikslai: maršrutų optimizavimas, saugumas, turto apsauga; nepagrįsti tikslai: nuolatinė darbuotojų kontrolė; (3) informavimas — darbuotojai turi žinoti apie GPS sekimą iš anksto; (4) asmeniniam naudojimui leistų transporto priemonių sekimas po darbo valandų yra ypač rizikingas. VDAI nuostata: GPS sekimas privalo būti proporcingas verslo tikslui. Stebėjimas pėstiesiems darbuotojams ar biure dirbančiam personalui paprastai nepagrįstas. Praktinis patarimas: naudojant GPS sistemą lauko personalui, sutarties priede aiškiai apibrėžti: sekimo laikotarpis (tik darbo valandos), tikslai, saugojimo terminas (rekomenduojama 90 dienų), atsakingas asmuo.

Veiklos monitoringo programinė įranga (employee monitoring software, EMS) — tai programos, fiksuojančios darbuotojų ekranų vaizdus, klavišų paspaudimus, darbo laiko praleidimą programose. Ypač paplito nuotolinio darbo eroje. BDAR vertinimas: tokios sistemos dažnai generuoja automatizuotus sprendimus (pvz., produktyvumo balus), kurie gali turėti įtakos darbo santykiams — tai gali patekti į BDAR 22 str. automatizuotų sprendimų taikymo sritį. Leistinos sąlygos EMS naudojimui: (1) skaidrumas — darbuotojai turi žinoti, kad tokia sistema naudojama, ką ji fiksuoja ir kaip duomenys naudojami; (2) proporcingumas — ne visų ekranų nuotraukos kas 5 minutes, bet tikslingi rodikliai; (3) DPIA privalomumas — masinis darbuotojų veiklos stebėjimas dažnai reikalauja DPIA; (4) DPO konsultacija — jei paskirtas, jo nuomonė privaloma. VDAI kritiškai vertina „slapto" monitoringo sistemas. 2024 m. buvo registruoti pirmieji skundai dėl EMS Lietuvoje — verta į tai atsižvelgti.

Proporcingumo testas yra esminė prielaida bet kokiam darbuotojų stebėjimui. Prieš įdiegiant stebėjimo sistemą, darbdavys turi atsakyti į šiuos klausimus: (1) Ar tikslas yra teisėtas ir reikšmingas? (pvz., vagystės prevencija, duomenų saugumo užtikrinimas); (2) Ar stebėjimas yra tikrai būtinas šiam tikslui pasiekti, ar yra mažiau privatumą ribojančių alternatyvų? (pvz., prieigos kontrolė vietoje kamerų); (3) Ar stebėjimo intensyvumas proporcingas tikslui? (pvz., įrašymas tik incidento atveju, o ne nuolat); (4) Ar darbuotojai informuoti ir duomenų tvarkymas atspindi duomenų apsaugos politiką? Informavimo pareiga pagal BDAR 13 str.: prieš pradedant bet kokį stebėjimą, darbuotojai turi gauti informaciją — duomenų valdytojo tapatybę, tvarkymo tikslus, teisinį pagrindą, saugojimo terminą, gavėjus, duomenų subjektų teises. Šios informacijos pateikimas gali būti darbo sutarties priedas, vidaus duomenų apsaugos politika ar atskiras „Employee Privacy Notice". VDAI rekomenduoja rengti periodines darbuotojų apžvalgas ir atnaujinti politikas pasikeitus sistemoms.