Vytautas Vičius, „Lewben Group“ Teisės paslaugų darbo grupės vadovas

Tiek iki Bendrojo duomenų apsaugos reglamento (BDAR) įsigaliojimo bei taikymo pradžios, tiek po to užfiksuojama nemažai incidentų, kai asmens duomenis tvarkančios organizacijos juos prarasdavo dėl netinkamų ar nepakankamų apsaugos priemonių taikymo ar per klaidą informaciją atskleisdavo netinkamiems adresatams. Tokiais atvejais priežiūros institucijos paprastai pradeda tokių organizacijų tyrimus bei siekia taikyti jų atsakomybę už padarytus pažeidimus.

Vis dėlto gali kilti klausimas, ar verslo subjektas, kuris yra įsigyvendinęs tinkamas apsaugos priemones, gali būti pripažintas atsakingu ir už jo darbuotojo tyčia atskleistus asmens duomenis?

Nors BDAR tiesioginio atsakymo į šį klausimą nerasime, tačiau aiškumo gali įnešti JK besiformuojanti praktika, privertusi susimąstyti daugelį darbdavių.

Istorijos centre atsidūrė vienas didžiausių JK prekybos tinklų „Morrisons“, kurio vidaus auditoriaus pareigas ėjęs darbuotojas dar 2014 m. tyčia paviešino beveik 100 tūkst. jam patikėtų bendrovės darbuotojų duomenis – jų vardus ir pavardes, bankų sąskaitų detales ir sveikatos draudimo numerius ir kt. Pats incidento kaltininkas buvo teisiamas pagal baudžiamosios teisės nuostatas už duomenų atskleidimą ir buvo nuteistas kalėti.

Pabrėžtina tai, kad atsakomybės gali neišvengti ir pati bendrovė. JK Apeliacinis teismas priimtame sprendime pagal grupės darbuotojų ieškinį dėl žalos atlyginimo pažymėjo, kad „Morrisons“ turi pareigą kompensuoti žalą minėtiems darbuotojams. „Morrisons“ atveju prieiga prie asmens duomenų buvo suteikta išimtinai tik darbo funkcijų vykdymo tikslais, t. y. darbuotojas, vykdydamas vidaus auditoriaus pareigas, duomenis turėjo perduoti išoriniams paslaugų teikėjams. Tačiau gautus duomenis, kuriuos sudarė kitų darbuotojų asmeninė informacija, „Morrisons“ darbuotojas tyčia paskelbė internete.

Vertindamas šią situaciją JK teismas nusprendė, kad bendrovė neužtikrino duomenų saugumo, kadangi patikėjo didžiulį kiekį duomenų darbuotojui ir nepasirūpino, kad jis neturėtų galimybių jų paviešinti. Todėl teismas pripažino, kad „Morrisons“ turėtų atlyginti ir darbuotojų, kurių asmens duomenys, buvo atskleisti, patirtą žalą.

Lietuvoje dar nėra aktualios teismų praktikos, kaip būtų elgiamasi panašių pažeidimų atveju. Tačiau tikėtina, kad sprendimai galėtų būti panašūs ir Lietuvos darbdaviai taip pat galėtų būti įpareigoti atlyginti dėl tokių pažeidimų asmens duomenų apsaugos pažeidimų atsiradusią duomenų subjektų žalą.

Kokių priemonių reikėtų imtis, kad potenciali rizika būtų sumažinta? Rekomenduotina imtis šių pagrindinių veiksmų:

1. Įmonėje turi būti sutvarkytos asmens duomenų tvarkymo procedūros pagal BDAR reikalavimus. Tai atlikus, darbuotojo tyčinio pažeidimo (pvz., duomenų atskleidimo) atveju liktų galimybė bandyti įrodyti, kad tai darbuotojo atsakomybė, todėl įmonė nėra atsakinga.

2. Mokymai darbuotojams. Darbuotojai privalo būti supažindinti su tuo, kas yra konfidenciali informacija ir asmens duomenys bei kitais pagrindiniais asmens duomenų tvarkymo reikalavimais. Tokie mokymai neturėtų būti vienkartiniai – darbuotojams turi būti periodiškai primenama apie tai, kaip elgtis su asmens duomenimis ir ko negalima su jais atlikti.

3. Darbdavys, informuodamas darbuotojus, turi išaiškinti potencialiems pažeidėjams gresiančią atsakomybę. Pirmiausia darbuotojams turėtų būti paaiškinama apie galimybę reikalauti visiško patirtos žalos atlyginimo, jei darbuotojo padarytas pažeidimas būtų tyčinis. Be to, turėtų būti akcentuojama, kad tyčinis asmens duomenų atskleidimas gali sukelti ir baudžiamąją atsakomybę. Lietuvos baudžiamasis kodeksas numato, kad už konfidencialios informacijos (o asmens duomenys gali būti pripažįstami konfidencialia informacija) atskleidimą galimas ir laisvės atėmimas iki 2 metų.

4. Įmonės IT sistemose galima įdiegti išmaniąsias stebėjimo priemones, kurios galėtų padėti nustatyti neįprastą darbuotojų elgseną. Pavyzdžiui, gali būti įdiegtos automatinės stebėjimo sistemos, kurios fiksuoja siunčiamus duomenų kiekius. Jei pastebima, kad vienu metu ar kurį laiką siunčiamas didesnis nei įprasta duomenų kiekis, tai gali tapti pagrindu patikrinimui. Taip pat gali būti ribojamos techninės priemonės, pavyzdžiui, nustatoma ribota prieiga prie duomenų bazių, ribojamas galimos siųsti informacijos kiekis, užtikrinama, kad nebūtų galima naudotis tokiomis informacijos dalijimosi sistemomis kaip „Dropbox“ ar „WeTransfer“ ir pan.

5. Turėtų būti stengiamasi identifikuoti ne tik technines, bet ir žmogiškąsias įmonės grėsmes. Todėl su personalo specialistų pagalba turėtų būti vertinama, ar darbuotojas gali būti nepatenkintas bendrove ir/ar ja nusivylęs – tarkime, jei darbuotojas staiga pradeda dažnai ateiti į darbą vakarais, nors anksčiau taip nesielgdavo (ir tam nėra pagrįstos darbinės priežasties, pvz., besibaigiančio svarbaus projekto ar pan.). Nepatenkintas darbuotojas, ypač jei jis turi prieigą prie bendrovės tvarkomų asmens duomenų, gali būti grėsmės židinys.

Komentaro autorius — Vytautas Vičius, „Lewben Group“ Teisės paslaugų darbo grupės vadovas