Šajā skaidrojumā pievērsīsimies biežāk pieļautajām kļūdām attiecībā uz darbinieku personas datu apstrādi lietvedības un personālvadības (un līdzīgās) sistēmās un tam, ar kādu informāciju var dalīties, bet kādai ir jāpiemēro augstāks drošības un piekļuves līmenis.
Skaidrojums ir attiecināms uz dažādām darbībām ar datiem, tai skaitā informāciju par darbinieka atalgojumu, piemērotajiem atvieglojumiem, privāto informāciju (piemēram, laulības noslēgšanu vai darbnespējas lapas esamību), kas publicēta uzņēmuma iekšējā tīklā.
Ievērojot to, ka darba devēja lietvedībā var nonākt dažāda informācija, kas uzskatāma par darbinieka personas datiem, nepieciešams jau sākotnēji nodalīt dažādus nolūkus, kuru sasniegšanai Organizācijā būtu nepieciešama datu apstrāde, pretējā gadījumā pastāv risks informāciju apstrādāt tādu mērķu sasniegšanai, kam šī informācija nav paredzēta, kas savukārt rezultējas nelikumīgā datu apstrādē.
Biežāk piemērojamie nolūki datu apstrādei iekšējās Organizācijas sistēmās ir:
- Personāla jautājumu organizācijas ietvaros veikta datu apstrāde;
- Datu subjekta (darbinieku) informācijas pieprasījumu izskatīšana;
- Pamatdarbības ietvaros veikta darbinieku datu apstrāde;
- Ar tiešiem darba pienākumiem nesaistītas datu apstrādes veikšana.
Papildus tam, ka jānodrošina, lai personas dati tiktu apstrādāti katrā iegūšanas reizē tikai noteiktajam nolūkam, lai datu apstrāde būtu tiesiska, katrai datu apstrādei ir nepieciešams piesaistīt vismaz vienu no Datu regulā [1] noteiktajiem tiesiskajiem pamatiem [2]. Precīza tiesiskā pamata piemērošana palīdz Organizācijai noteikt, vai plānotais nolūks ir tiesisks, un radīt drošu vidi darbinieku datiem, kas vienlaikus ir arī atbilstoša Datu regulas nosacījumiem.
Par tiesiskā pamata piemērošanu darba tiesisko attiecību ietvaros var lasīt Datu valsts inspekcijas skaidrojumos: “Vai drīkst apstrādāt personas datus darba tiesiskajās attiecībās? #1” un “Vai drīkst apstrādāt personas datus darba tiesiskajās attiecībās? #2 – Līguma izpilde”.
Personas dati jāapstrādā tā, lai datu aizsardzības pasākumos, ņemot vērā apstrādes raksturu, piemērošanas jomu, kontekstu un nolūkus, kā arī risku, ko apstrāde rada fizisku personu tiesībām un brīvībām, tiktu nodrošināta atbilstoša personas datu drošība.
Apstrādājot darbinieka informāciju, kura neattiecas uz citiem nodarbinātajiem, piemēram, dokumentus, kas attiecas uz personāla un atalgojuma/grāmatvedības jautājumiem, ir jānodrošina, ka šai informācijai piekļūst tikai personāls, kam ir dotas tiesības ar šo informāciju strādāt. Organizācijas vadība, persona (vai vairākas), kas atbild par grāmatvedības un personāla procesiem, visbiežāk ir personu kategorijas, kurām ir tiesības apstrādāt informāciju, kas attiecas uz citu darbinieku informāciju saistībā ar darbnespēju, atalgojumu, sociālajām garantijām un tamlīdzīgi.
Lai panāktu drošu šādas informācijas apstrādi, darba devējam ir tai skaitā jānodrošina un jāpārliecinās, ka:
- personālvadības informācija, kas neattiecas uz visiem nodarbinātajiem, tiek nodalīta no citas organizācijā apstrādātas informācijas;
- atsevišķi nodalītā informācija ir pieejama tikai ar speciālu paroli vai sistēmā tai ir iespējams uzlikt piekļuvi konkrētām personām vai personu grupām;
- piekļuve tiek sniegta tikai konkrētam dokumentam, ja nepieciešams iepazīstināt darbinieku ar rīkojumu, lēmumu vai citu informāciju attiecībā uz to personālvadības ietvaros;
- ja personāla dokumentu nosaukumi var būt redzami arī nesaistītiem darbiniekiem, gan faili, gan paši dokumenti jānosauc tā, lai nebūtu nojaušams to saturs;
- Gadījumos, kad vienāda tipa rīkojumi ir adresēti vairākiem nodarbinātajiem, netiek izpausta to privāta informācija kā personas kods, dzīvesvietas adrese.
Organizācijas lietvedībā var nonākt arī datu subjekta informācijas pieprasījumi [3] no pašiem darbiniekiem, tādēļ, pirms tie tiek saņemti, organizācijai jāizvērtē, vai tie ir reģistrējami kopā ar citu fizisku personu (ārpus organizācijas) iesūtītiem pieprasījumiem, vai tomēr tiem ir jānodrošina ierobežotāka piekļuve, un jādara tie pieejami tikai nodarbinātajiem, kuri ar šiem pieprasījumiem strādās, tai skaitā datu aizsardzības speciālistam, ja tāds ir iecelts.
Vērtējot nolūku tikai no darba devēja puses un neizvērtējot iespējamos riskus, Organizācija var pieļaut kļūdas, apstrādājot un publicējot darbinieku informāciju, kura nav tieši saistīta ar darba pienākumu veikšanu un kura var būt privāta rakstura. Šķietami nevainīga darbība ir darbinieku dzimšanas dienu publicēšana kopējā Organizācijas tīklā, tomēr jāņem vērā, ka darbinieks var nevēlēties ar šādu informāciju dalīties publiski, īpaši, ja tās nepublicēšana tieši neietekmē darba procesus.
Informācija, kas attiecināma uz darbinieka prombūtni, īpaši, ja tā ir saistāma ar veselības stāvokli vai bērnu kopšanas atvaļinājumu tiešā veidā nebūtu publicējama kopējā Organizācijas tīklā, ievērojot, ka tā var būt sensitīva [4]. Labākais risinājums ir norādīt, ka darbinieks konkrētu laika periodu atrodas prombūtnē, bez norādēm, ar ko šīs prombūtne ir saistīta. Konflikts šajā gadījumā var rasties darbinieka privātuma aizskāruma rezultātā, ja tiek publicēta informācija par tiešiem tā prombūtnes iemesliem.
Izplatīta organizāciju prakse arī ir darbinieku fotogrāfiju vai privāto telefona numuru vai citas kontaktinformācijas publicēšana iekšējā tīklā. Ņemot vērā, ka arī šāda informācija nav attiecināma uz darbinieku tiešiem amata pienākumiem vai organizācijas darbu, darba devējam ir jāvērtē, vai visa šī informācija ir publicējama un vai tās publicēšanas nolūks ir īstenojams likumīgi, ievērojot Datu regulas nosacījumus.
Jāatceras, ka informācijas padarīšana par pieejamu personām, kurām nav tiesības iegūt šo informāciju, ir uzskatāma par nelikumīgu datu apstrādi, kaut arī šīs personas ir vienā darba vietā nodarbinātas personas un ir savstarpēji vairāk vai mazāk pazīstamas.
Informatīvās atsauces:
[1] Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (2016.gada 27.aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula). Pieejama tiešsaistē: https://www.dvi.gov.lv/sites/dvi/files/es_regula_2016_6791.pdf
[2] Datu regulas 6.panta 1.punkts
[3] "#DVIskaidro “Kā īstenot datu subjekta tiesības vēršoties pie pārziņa?” https://www.dvi.gov.lv/lv/jaunums/dviskaidro-DST
[4] Saskaņā ar Datu regulas 9.panta 1.punktu ir aizliegta tādu personas datu apstrāde, kas atklāj rases vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību vai dalību arodbiedrībās, un ģenētisko datu, biometrisko datu, lai veiktu fiziskas personas unikālu identifikāciju, veselības datu vai datu par fiziskas personas dzimumdzīvi vai seksuālo orientāciju apstrāde.
