KADA (NE)REIKALINGAS DARBUOTOJO SUTIKIMAS TVARKYTI ASMENS DUOMENIS?

Sutikimas – bet koks laisva valia duotas, konkretus ir nedviprasmiškas tinkamai informuoto duomenų subjekto valios išreiškimas pareiškimu arba vienareikšmiais veiksmais[,] kuriais jis sutinka, kad būtų tvarkomi su juo susiję asmens duomenys. Būtent toks „sutikimo“ apibrėžimas pateikiamas Bendrajame duomenų apsaugos reglamente (BDAR), tačiau ar visada gauti sutikimai atitinka jam keliamus reikalavimus?

Sutikimo sąvokos elementas „laisvas“ reiškia, kad duomenų subjektai turi realų pasirinkimą ir kontrolę. Pagal BDAR įtvirtintą bendrą taisyklę, jei duomenų subjektas neturi realaus pasirinkimo, jaučiasi priverstas sutikti arba patirtų neigiamų pasekmių, jei sutikimo neduotų, toks sutikimas negalioja.

Tai ypatingai aktualu esant duomenų valdytojo ir duomenų subjekto galios disbalansui, pvz., darbo santykių kontekste tarp darbuotojo ir darbdavio. Dėl šiems santykiams būdingos priklausomybės mažai tikėtina, kad darbuotojas galėtų neduoti sutikimo savo darbdaviui, kad būtų tvarkomi jo asmens duomenys (pvz., vykdant stebėseną ar kontrolę, renkant įvertinimus, perduodant duomenis ir pan.), be baimės ar realios rizikos patirti neigiamą poveikį dėl savo nesutikimo. Sutikimas gali būti galiojantis tik tada, kai duomenų subjektas turi realų pasirinkimą ir nerizikuoja patirti apgaulės, bauginimo, prievartos ar reikšmingų neigiamų pasekmių tuo atveju, jei sutikimo neduotų. Dėl to, daugeliu tokio duomenų tvarkymo darbe atvejų, darbuotojų sutikimas gali būti netinkamas duomenų tvarkymo pagrindas.

Be to, duomenų subjekto sutikimas turi būti duodamas dėl duomenų tvarkymo „vienu ar keliais konkrečiais tikslais“ ir kad duomenų subjektas turi pasirinkimą dėl kiekvieno iš jų. Reikalavimu, kad sutikimas būtų „konkretus“, siekiama duomenų subjektui užtikrinti tam tikrą kontrolę ir skaidrumą. Taigi, prašant darbuotojo sutikimo tvarkyti asmens duomenis, privaloma nurodyti, kokiems konkretiems tikslams sutikimo prašoma ir turi būti suteikiama galimybė, dėl kiekvieno tikslo duoti atskirą sutikimą.

Prašydami sutikimo, darbdaviai turėtų užtikrinti, kad visais atvejais tai būtų suformuluojama aiškia ir paprasta kalba, tekstas turėtų būti lengvai suprantamas. Darbdaviai negali naudoti ilgų, sunkiai suprantamų tekstų ar pareiškimų, kuriuose gausu teisės terminų.

BDAR aiškiai nustatyta, kad sutikimas turi būti duodamas duomenų subjekto pareiškimu arba aiškiu patvirtinimo veiksmu, o tai reiškia, kad jis visada turi būti duodamas aktyviu veiksmu arba pareiškimu. Turi būti aišku, kad duomenų subjektas sutiko su tuo konkrečiu duomenų tvarkymu.

Svarbu paminėti, kad, kai duomenys tvarkomi gavus darbuotojo sutikimą, darbdavys turi galėti įrodyti, kad duomenų subjektas sutiko su duomenų tvarkymo operacija. BDAR tiksliai nenustatyta, kaip reikia tai daryti, todėl darbdaviai gali laisvai kurti savus metodus, siekdami laikytis šios nuostatos savo kasdienei veiklai tinkamu būdu. Prievolė įrodyti sutikimą išlieka tol, kol tęsiama ta duomenų tvarkymo veikla.

Taigi, nors BDAR Lietuvoje tiesiogiai taikomas jau daugiau nei keturis metus, tačiau vis dar daugelis darbdavių susiduria su sunkumais parenkant tinkamą duomenų tvarkymo pagrindą. O tinkamo duomenų tvarkymo pagrindo parinkimas yra fundamentaliai svarbus, siekiant nustatyti, kurios iš BDAR kylančios teisės ir pareigos bei, žinoma, atsakomybės bus pritaikomos.