Darbuotojų stebėjimas laikomas pagrindine grėsme darbuotojų privatumui, todėl darbdaviai prieš vykdydami stebėjimą turi įvertinti tokių veiksmų proporcingumą ir nepamiršti dokumentuoti vertinimo ir išvadų.
Organizacijos darbuotojų stebėjimo iš anksto neįvertina, nes dažniausiai savaime nesiekiama sekti darbuotojų. Paprastai pasirenkamos techninės saugumo priemonės, kurių tikslas yra įgyvendinti duomenų praradimo prevenciją, aptikti piktavališką veiklą sistemose, užkirsti kelią įsilaužimams ir pan., tačiau pasirenkami įrankiai atlikdami savo funkcijas fiksuoja visą darbuotojo veiklą el. sistemose. O tai jau reiškia, kad pati organizacija vykdo darbuotojų stebėseną ir prisiima tokių asmens duomenų tvarkymo riziką ir pasekmes.
Tokio stebėjimo metu gali būti fiksuojami labai jautrūs darbuotojų duomenys, t.y. kada darbuotojas prisijungė prie el. sistemos, kiek buvo sėkmingų ar nesėkmingų bandymų, kada ir kokius veiksmus darbuotojas atliko, kokį dokumentą peržiūrėjo, atsisiuntė, ištrynė, kokį įrašą padarė ir kada, kokiose interneto svetainėse lankėsi, kokius el. laiškus gavo ir siuntė, taip pat gali būti stebima informacija ir darbdavio komunikavimo programose.
Kokios yra darbdavio pareigos
Pirmiausia patartina susiinventorizuoti naudojamus informacinių technologijų įrankius ir įvertinti, kokią informaciją tie įrankiai renka ir saugo. Jeigu bus nustatyta, kad įrankių pagalba vykdoma darbuotojų stebėsena (nors ir ne tiesioginė), organizacija privalo atlikti poveikio duomenų apsaugai vertinimą, kurio tikslas yra identifikuoti kokius darbuotojų duomenis renka darbdavys, vykdydamas stebėjimą. Taip pat nustatyti su tokiu stebėjimu susijusius pavojus bei sukurti tokių pavojų pašalinimo ar sumažinimo planą. Darbuotojų stebėsena yra įtraukta į Valstybinės duomenų apsaugos inspekcijos patvirtintą duomenų tvarkymo operacijų sąrašą, tad jai būtinas poveikio duomenų apsaugai vertinimo atlikimas.
Kitaip tariant, vertinimo metu analizuojama, ar darbdavys tikrai turi teisinį pagrindą stebėti darbuotojus tokiu mastu, kiek ir kokių darbuotojų asmens duomenų renka ir ar nekyla didelė grėsmė darbuotojų privatumui. Šis vertinimas padeda nustatyti, ar tikrai nustatytų tikslų darbdavys negali pasiekti mažiau intervencinėmis priemonėmis. Pavyzdžiui, siekdamas apsaugoti IT infrastruktūrą, darbdavys turėtų ne registruoti visą darbuotojų veiklą tinkle, bet užblokuoti prieigą prie interneto svetainių, kurios nėra suderinamos su darbdavio saugumo politika.
Būtina nepamiršti, kad nors darbuotojas ir yra darbdavio žinioje bei dirba jo suteiktomis darbo priemonėmis, jo privatumas darbe taip pat turi būti užtikrinamas.
Užtikrinant darbuotojų privatumą kyla rizikų
Atlikus detalų poveikio duomenų apsaugai vertinimą, paprastai nustatomi pavojai bei rizikos, susijusios su darbuotojų privatumo užtikrinimu ir BDAR atitiktimi.
Būtina prisiminti, kad poveikio duomenų apsaugai vertinimą apima ne tik teisinių rizikų identifikavimas, bet ir techninio saugumo lygio įvertinimas. Ir tai visiškai suprantama, nes jei darbdavys fiksuoja tokios apimties darbuotojų asmens duomenis, turi būti įvertinta, ar jis prisiima atsakomybę tuos duomenis tvarkyti saugiai.
Dažniausiai identifikuojamos rizikos
Darbuotojus stebinčios įmonės neretai daro klaidų. Pavyzdžiui, dažnai įmonės neįvertina, kad dalies informacijos joms iš viso nereikia. Dėl šių priežasčių renkama daugiau duomenų nei reikia, o tai sąlygoja didesnę organizacijos atsakomybę.
Darbuotojai taip pat dažnai nėra tinkamai informuojami. Paprastai darbuotojai informuojami lakoniškai apie jų stebėjimą, nenurodant, kokie įrankiai yra darbdavio stebimi, kokie duomenys renkami, kokiu dažnumu, kokia apimtimi, kiek saugomi ir t.t.
Duomenys neretai nėra šifruojami. Tokio pobūdžio saugumo priemonės trūkumas gali lemti duomenų atskleidimą. Dar viena problema – nedokumentuotas ir nenustatytas tokių įrašų saugojimo terminas. Organizacijos paprastai negali įvardinti, kiek laiko saugo įrašus apie darbuotojų veiksmus el. sistemose, o tai savaime suponuoja, kad gali būti pažeidžiamas duomenų saugojimo trukmės apribojimo principas.
Kada ribos peržengiamos?
Dažnai praktikoje kyla klausimas, o kada toks darbdavio darbuotojų stebėjimas jau yra neteisėtas. Visų pirma, stebėjimas turi būti atskleistas, todėl slaptas stebėjimas yra negalimas. Praktikoje turime keletą išimčių iš šios taisyklės, pavyzdžiui, slaptas vaizdo įrašo darymas, turint įtarimų dėl vagystės.
Kita rizika yra susijusi su naudojamomis technologijomis. Didėjant technologinei plėtrai organizacijos vis dažniau naudoja skvarbesnius informacinių technologijų sprendimus, kurie turi galimybę fiksuoti klaviatūros paspaudimus, pelės judesius, fiksuoti ekrano vaizdą, registruoti naudojamas programas ir jų naudojimo trukmę, o kartais net tam tikruose įrenginiuose įjungti internetines kameras bei fiksuoti siunčiamą vaizdą. Toks darbuotojų veiksmų stebėjimas yra labai intensyvus, todėl pagrįstai gali kilti klausimas, ar tikrai toks stebėjimas būtų teisėtas ir proporcingas.
