Įmonė kartu su rytine korespondencija gavo darbuotojui adresuotą voką. Iš adreso nėra pakankamai aišku, ar tai asmeninė, ar su darbo funkcijomis susijusi korespondencija. Ar laišką gali atidaryti kitas darbuotojas? Ar būtina pasiteirauti paties gavėjo dėl voko turinio? O jei jis atostogauja? O gal jis ir pats nežino? O gal atidaryti ir tada spręsti, kam skirtas vokas? Kam teks atsakomybė, jeigu bus delsiama, o laiške įmonei svarbi informacija, nuo laiško įteikimo momento skaičiuojami terminai? Klausimų daug.
Ką reikėtų daryti, jog voko atplėšimas nevirstų Bendrojo duomenų apsaugos reglamento (BDAR) pažeidimu? Tokia kasdienė ir nesudėtinga situacija buvo nagrinėjama teisme. Nacionalinei mokėjimo agentūrai (NMA) ji baigėsi tuo, jog darbuotojui skirto voko atplėšimas ir jame nurodytos informacijos tvarkymas buvo pripažintas nesuderinamas su BDAR.
NMA darbuotojui buvo surašytas administracinio nusižengimo protokolas ir išsiųstas darbovietės adresu. Ant voko užrašyta, jog jis skirtas įmonės darbuotojui, o žymos apie įteikimą asmeniškai nebuvo. Tačiau vokas darbuotojo nepasiekė, buvo atidarytas, nuskanuotas ir užregistruotas dokumentų valdymo sistemoje. Maža to, netgi pradėtas tarnybinis veiklos patikrinimas dėl darbuotojui skirtos baudos. NMA argumentavo, kad voke nurodytos privačios informacijos tvarkymas (apie skirtą baudą) ir vidinis tyrimas buvo pradėti viešojo intereso labui, vykdant duomenų valdytojui pavestas viešojo administravimo funkcijas (skirta administracinė bauda buvo susijusi su darbuotojo darbinėmis funkcijomis, todėl NMA siekė įvertinti, ar nebuvo galimo interesų konflikto).
Valstybinė duomenų apsaugos inspekcija (VDAI) konstatavo, jog NMA veiksmai yra nesuderinami su BDAR, nes jokie teisės aktai (kuriuos nurodė NMA) nesuteikia teisės viešojo intereso gynimo labui skaityti darbuotojui asmeniškai skirtų laiškų ir skleisti juose pateiktą informaciją tretiesiems asmenims. Pažymėta, kad NMA turi pakankamai teisės aktuose nustatytų kitų priemonių, kurios leidžia ginti viešąjį interesą teisėtais būdais, o ne skaitant per klaidą atplėštą svetimą laišką. Kitaip tariant, pats privačiam asmeniui skirto laiško atplėšimas padarė tolesnį laiške pateiktų asmens duomenų tvarkymą neteisėtu.
Teismai, nagrinėję NMA skundą, jį atmetė ir paliko galioti VDAI sprendimą (NMA realių baudų išvengė ir gavo tik papeikimą). Teismai papildomai pažymėjo, jog pats susipažinimas su privačiam (trečiajam) asmeniui skirta korespondencija (laiško atplėšimas), nesant motyvuoto (i) teismo leidimo ir (ii) įstatyminio pagrindo tokiam veiksmui atlikti, yra neteisėtas Konstitucijos, Žmogaus teisių ir pagrindinių laisvių apsaugos konvencijos, Europos Sąjungos pagrindinių laisvių chartijos ir BDAR aiškinimo bei taikymo prasme, todėl bet koks tolesnis tokiu būdu gautų duomenų tvarkymas negali būti pripažįstamas teisėtu.
Tad kokių veiksmų reikėtų imtis gavus darbuotojui (ne kaip asmeniui) skirtą korespondenciją?
Pirmiausia, reikia įsitikinti, ar voke nurodyta informacija yra asmeninė, ar susijusi su darbdaviu. Tad darbdavys neturėtų atplėšti voko, tačiau pirmiau pasiteirauti paties darbuotojo apie voke esančią informaciją. Tik pačiam darbuotojui jį atplėšus bei patikinus (rekomenduotina perduoti pasirašytinai), jog voke esanti informacija nėra asmeninė, atlikti įmonėje nustatytas procedūras – pavyzdžiui, voke nurodytą informaciją užregistruoti / įkelti į įmonės informacines sistemas ar perduoti kitiems atsakingiems asmenims. Jeigu įmonėje organizuojamas nuotolinis darbas (arba darbuotojo atostogos), rekomenduotina gauti rašytinį patvirtinimą (pavyzdžiui, per įmonės komunikavimo platformą), jog voke esanti informacija nėra asmeninio pobūdžio.
Tuo atveju, jeigu darbuotojui skirta korespondencija buvo atplėšta per klaidą / atsitiktinai (dėl aplaidumo), voke esančią informaciją reikia nedelsiant perduoti jos gavėjui (rekomenduotina paaiškinti, kodėl taip įvyko, atskleisti faktą, ar voke esanti informacija tapo žinoma kitiems asmenims, kokie buvo atlikti veiksmai). Rekomenduotina tokio voko neperduoti kitiems darbuotojams (juolab, tokio voko ir jame esančios informacijos nekelti į įmonės duomenų bazes), nes tokiais veiksmais bus plečiamas asmens duomenų gavėjų, kurie neturėjo teisės susipažinti su darbuotojo asmens duomenimis, ratas, tai tik didins pažeidimo mastą. Žinoma, ar tokie veiksmai bus pakankami siekiant išvengti atsakomybės, bus vertinama individualiai. Tačiau nurodytų veiksmų visuma tokias potencialias pasekmes gali sumažinti.
Kuo, savo ruožtu, turėtų pasirūpinti korespondencijos siuntėjai?
Siunčiant rekomenduojama nurodyti aiškų ir konkretų gavėją. Vengti situacijų, kai ant voko yra užrašoma „x įmonės darbuotojui y“, nes tada nėra aiškus tikrasis siuntos gavėjas ir įmonės gali vengti atidaryti voką iki tai paaiškės. Visa tai gali užtrukti laike ir lemti svarbių terminų praleidimą. O tai gali reikšti neigiamas pasekmes – tiek siuntėjui, tiek jos gavėjui.
AVOCAD rekomenduoja atkreipti dėmesį į gaunamos ir siunčiamos korespondencijos tvarkymą, peržiūrėti įmonėje nustatytas procedūras ir jas priminti atsakingiems darbuotojams, kad šios kasdieninės procedūros nevirstų realiomis baudomis.