BDAR
gdpr

Valstybinė duomenų apsaugos inspekcija yra joje tvarkomų asmens duomenų valdytoja, kuri užtikrina, kad asmens duomenys Inspekcijoje būtų tvarkomi laikantis duomenų valdytojams taikomų asmens duomenų apsaugos reikalavimų.


Reguliarus darbuotojų testavimas ir asmens duomenų apsauga

Data

2021 07 26

Įvertinimas
17
ada_covid4.png

Valstybinė duomenų apsaugos inspekcija (toliau – VDAI) sulaukia nemažai užklausų dėl Lietuvos Respublikos Vyriausybės 2021 m. liepos 14 d. nutarimo Nr. 559 (toliau – LRV nutarimas Nr. 559) įgyvendinimo, kuriuo:

  1. papildytas veiklos sričių, kurių darbuotojams nustatyta pareiga reguliariai tikrintis, ar neserga užkrečiamąja liga, dėl kurios yra paskelbta valstybės lygio ekstremalioji situacija ir (ar) karantinas (toliau – reguliarus tikrinimasis), sąrašas;
  2. nustatyta reguliaraus tikrinimosi tvarka (detalesnė informacija apie šią tvarką pateikiama Lietuvos Respublikos sveikatos apsaugos ministerijos pranešime). 

Vis dėlto reguliaraus tikrinimosi pareiga taikoma ne visiems darbuotojams, dirbantiems LRV nutarime Nr. 559 nustatytose veiklos srityse, o tik tiems, kurie nėra vakcinuoti nuo covid-19 (koronaviruso) ligos arba nėra šia liga persirgę. Ši išimtis nustatyta Darbuotojų, kuriems leidžiama dirbti reguliariai pasitikrinus, sveikatos tikrinimosi tvarkos, patvirtintos 2021 m. kovo 26 d. nutarimu Nr. 178, 7 punkte). Kitaip tariant, darbdavys, kurio veikla patenka į LRV nutarimo Nr. 559 apimtį, norėdamas įvertinti, kuriems darbuotojams (ne)taikoma reguliaraus tikrinimosi pareiga, turi pareigą tvarkyti tam tikrus su darbuotojų sveikata susijusius asmens duomenis. 

VDAI atkreipia dėmesį, kad konkrečiu atveju darbdaviui įgyvendinant taikomą teisinę prievolę, svarbu užtikrinti ir asmens duomenų tvarkymui keliamus reikalavimus, nustatytus Bendrajame duomenų apsaugos reglamente (toliau – BDAR). Pažymėtina, kad informacija apie tai, ar darbuotojas yra (nėra) persirgęs covid-19 (koronaviruso) liga ar vakcinuotas (įskaitant, kai taikoma, datą, vakcinos rūšį ir kt.) yra sveikatos duomenys, kurie priskiriami specialiųjų kategorijų asmens duomenims, todėl darbdavys turi užtikrinti aukštesnę šių asmens duomenų apsaugą, t. y.:

  1. Asmens duomenų apimtis. Darbdavys turi tvarkyti tik tuos sveikatos duomenis, kurie būtini siekiant įgyvendinti LRV nutarimus, pavyzdžiui, tvarkyti tik patvirtinimą apie atitiktį vienam iš kriterijų ir, jei taikoma, šios atitikties laikotarpį (t. y. atitinka iki 2021-09-01). Pabrėžiame, kad pagal BDAR darbdavys yra atsakingas ir privalo pagrįsti pasirinktą darbuotojo atitikties vienam iš nustatytų kriterijų įvertinimo būdą ir siekiamų tvarkyti asmens duomenų apimtį;
  2. Pagrindžiantys dokumentai. VDAI pastebi darbdavių siekį tvarkyti atitiktį vienam iš kriterijų pagrindžiančius dokumentus, todėl atkreipia dėmesį į tai, kad tokiuose dokumentuose yra daugiau informacijos nei būtina konkrečiam asmens duomenų tvarkymo tikslui pasiekti, todėl darbdaviai turėtų nuo tokių veiksmų susilaikyti. LRV nutarimų kontekste tą patį tikslą galima pasiekti ir mažiau privatumą ribojančiomis priemonėmis, tai yra, tokius dokumentus darbdaviui tik parodyti, neteikiant (nesiunčiant) jų kopijų; 
  3. Atsakingas asmuo. Svarbu prisiminti, kad vienas iš su asmens duomenų tvarkymu susijusių principų yra konfidencialumo ir vientisumo principas, kuris reikalauja užtikrinti tinkamą asmens duomenų saugumą. Viena iš šio principo sudedamųjų dalių – „būtinumo žinoti“ principas, t. y. darbdavys turi užtikrinti, kad informacija apie darbuotojų atitiktį būtų pateikiama tik paskirtam atsakingam asmeniui, turinčiam teisę su tokiais asmens duomenimis susipažinti, pavyzdžiui, (padalinio) vadovui ar už personalo asmens duomenų tvarkymą atsakingam asmeniui ar kt.;
  4. Asmens duomenų saugojimas. Tais atvejais, kai asmens duomenų saugojimo terminas nėra nustatytas teisės aktu, įtvirtinančiu teisinę prievolę tvarkyti asmens duomenis, tuomet proporcingą ir pagrįstą terminą saugoti asmens duomenis turi nustatyti duomenų valdytojas (darbdavys) pats. Pavyzdžiui, toks terminas galėtų būti siejamas su asmens duomenų tvarkymo prievolę ar ekstremaliąją situaciją įtvirtinančio teisės akto galiojimu, priklausomai nuo to, kuris terminas yra trumpesnis, ir pagrįstą laikotarpį jam pasibaigus. 
  5. Darbuotojų informavimas. Primintina, kad prieš pradedant tvarkyti papildomus darbuotojų asmens duomenis (t. y. kurių tvarkyti iki LRV nutarimo Nr. 559 įsigaliojimo darbdavys pareigos neturėjo), būtina informuoti darbuotojus apie tai, kaip šie asmens duomenys bus tvarkomi, kaip to reikalaujama BDAR 13 straipsnyje.