Tradiciškai esame pripratę darbuotojų stebėseną laikyti vaizdo, garso įrašus darbo vietoje, tačiau dažnai organizacijos nesusimasto, kad darbuotojų stebėseną apima ir platesnį spektrą veiksmų, tokių kaip darbuotojų veiksmų, veiklos organizacijos el. sistemose sekimą ir fiksavimą, interneto naršymo, elektroninio pašto patikrinimą, ir pan.
Organizacijos tokio darbuotojų stebėjimo iš anksto neįvertina, nes dažniausiai pati organizacija savaime nesiekia sekti darbuotojų tokiu mastu. Paprastai pasirenkamos techninės saugumo priemonės, kurių tikslas įgyvendinti duomenų praradimo prevenciją, aptikti piktavališką veiklą sistemose, užkirsti kelią įsilaužimams ir pan. Vis dėlto pasirenkami įrankiai atlikdami savo funkcijas dažnai fiksuoja visą darbuotojo veiklą el. sistemose, o tai reiškia, kad pati organizacija vykdo darbuotojų stebėseną ir prisiima tokių asmens duomenų tvarkymo riziką ir pasekmes.
Tokio stebėjimo metu gali būti fiksuojami labai jautrūs darbuotojų duomenys, t. y. kada darbuotojas prisijungė prie el. sistemos, kada ir kokius veiksmus darbuotojas atliko, ką su kokiu dokumentu jis darė, kokiose interneto svetainėse lankėsi, kokius el. laiškus gavo ir siuntė, taip pat gali būti stebima informacija ir darbdavio komunikavimo programose.
Kokios pareigos kyla darbdaviui?
Siekiant išvengti nesusipratimų, darbdaviams pirmiausia patartina susiinventorizuoti naudojamus informacinių technologijų įrankius ir įvertinti kokią informaciją tie įrankiai renka ir saugo. Jeigu bus nustatyta, kad įrankių pagalba vykdoma darbuotojų stebėsena (nors ir ne tiesioginė), organizacija privalo atlikti poveikio duomenų apsaugai vertinimą (PDAV), kurio tikslas identifikuoti kokius darbuotojų duomenis renka darbdavys vykdydamas stebėjimą, nustatyti su tokiu stebėjimu susijusius pavojus bei sukurti tokių pavojų pašalinimo ar sumažinimo planą.
Kitaip tariant, vertinimo metu analizuojama, ar darbdavys tikrai turi teisinį pagrindą stebėti darbuotojus tokiu mastu, kiek ir kokių darbuotojų asmens duomenų renka ir ar nekyla didelė grėsmė darbuotojų privatumui. Šis vertinimas padeda nustatyti, ar tikrai nustatytų tikslų darbdavys negali pasiekti mažiau intervencinėmis priemonėmis, pavyzdžiui, siekdamas apsaugoti IT infrastruktūrą, darbdavys turėtų ne registruoti visą darbuotojų veiklą tinkle, bet užblokuoti prieigą prie interneto svetainių, kurios nėra suderinamos su darbdavio saugumo politika.
Būtina nepamiršti, kad nors darbuotojas ir yra darbdavio žinioje ir dirba jo suteiktomis darbo priemonėmis, tačiau darbuotojų privatumas darbe taip pat turi būti užtikrinamas.
Kokios dažniausiai rizikos yra identifikuojamos?
Atlikus detalų poveikio duomenų apsaugai vertinimą (PDAV), paprastai nustatomi pavojai bei rizikos susijusios su darbuotojų privatumo užtikrinimu ir BDAR atitiktimi.
Būtina prisiminti, kad poveikio duomenų apsaugai vertinimą (PDAV) apima ne tik teisinės rizikos identifikavimas, bet ir techninio saugumo lygio įvertinimas. Ir tai visiškai suprantama, nes jei darbdavys fiksuoja tokios apimties darbuotojų asmens duomenis, turi būti įvertinta, ar jis prisiima atsakomybę tuos duomenis tvarkyti saugiai.
Praktikoje dažniausiai identifikuojamos šios rizikos:
- Organizacijos naudoja pasirinktų technologijų funkcionalumus visa apimtimi, net neįvertinus kad dallies informacijos joms iš viso nereikia. Dėl šių priežasčių renkama daugiau duomenų nei reikia, o tai sąlygoja nepagrįstai didesnę organizacijos atsakomybę.
- Darbuotojai nėra tinkamai informuojami. Paprastai darbuotojai informuojami lakoniškai apie jų stebėjimą, nenurodant kokie įrankiai yra darbdavio stebimi, kokie duomenis renkami, kokiu dažnumu, kokia apimtimi, kiek saugomi ir t. t.
- Netinkamai valdomos prieigos teisės. Organizacijos nevaldo prieigos teisių prie tokių duomenų, o sistemų administratoriai paprastai nėra kontroliuojami.
- Duomenys nėra šifruojami. Tokio pobūdžio saugumo priemonės trūkumas gali lemti duomenų atskleidimą.
- Nedokumentuotas ir nenustatytas tokių įrašų saugojimo terminas. Organizacijos paprastai negali įvardinti, kiek laiko saugo įrašus apie darbuotojų veiksmus el. sistemose.
Kada ribos jau yra peržengiamos?
Dažnai praktikoje kyla klausimas, o kada toks darbdavio darbuotojų stebėjimas yra jau neteisėtas. Visų pirma, stebėjimas turi būti atskleistas, todėl slaptas stebėjimas yra negalimas. Praktikoje turime keletą išimčių iš šios taisyklės, pvz.: slaptas vaizdo įrašo darymas, turint įtarimų dėl vagystės, tačiau tokius atvejus visada reikia vertinti atskirai.
Kita rizika yra susijusi su naudojamomis technologijomis. Didėjant technologinei plėtrai, organizacijos vis dažniau naudoja labiau intervencinius ir skvarbesnius informacinių technologijų sprendimus, kurie turi galimybę fiksuoti klaviatūros paspaudimus, pelės judesius, fiksuoti ekrano vaizdą, registruoti naudojamas programas ir jų naudojimo trukmę, o kartais net tam tikruose įrenginiuose – įjungti internerines kameras bei fiksuoti siunčiamą vaizdą. Toks darbuotojų veiksmų stebėjimas yra labai intensyvus, todėl pagrįstai gali kilti klausimas, ar tikrai toks stebėjimas būtų teisėtas ir proporcingas.
Apibendrinant primintina, kad darbuotojų stebėjimas yra laikytinas pagrindine grėsme darbuotojų privatumui, todėl darbdaviai prieš vykdydami stebėjimą, turi įvertinti tokių veiksmų proporcingumą ir nepamiršti dokumentuoti vertinimo ir išvadų.