2019 m. lapkričio 1 d. įsigalios Lietuvos Respublikos viešųjų pirkimų įstatymo nuostatos, kurios, numatys daugiau pareigų pirkimų vykdytojams, norint tinkamai apsaugoti tiekėjų specialistų asmens duomenis.
Konkursų sąlygose bus reikalaujama iš tiekėjų iki pirkimo sutarties vykdymo pradžios pateikti užduotis atliksiančių darbuotojų vardus, pavardes, gimimo datas ir jiems siūlomo mokėti darbo užmokesčio mėnesio medianą bei šią informaciją atnaujinti.
Taip pat pirkimų vykdytojai galės nustatyti socialinį pasiūlymų vertinimo kriterijų ir vertinti, kiek tiekėjo darbuotojų darbo užmokesčio mėnesio mediana viršija minimalų darbo užmokestį. Be to, pirkimų vykdytojai, pirkimų sutarčių vykdymo metu, privalės užtikrinti tinkamą tiekėjų teikiamos informacijos kontrolę, taikyti atsakomybę už nepateikimą ar melagingą pateikimą bei tokios informacijos tinkamą apsaugą.
Asmens duomenų apsaugos pokyčiai
Nustatant socialinį pasiūlymų vertinimo kriterijų tikimasi taip kovoti su šešėliu ekonomikoje ir skatinti socialinę atsakomybę, sąmoningumą, sąžiningumą ir tik oficialų atlyginimų mokėjimą. Pirkimo sutarties vykdymo metu pasikeitus informacijai apie darbo užmokestį ar perkančiosios organizacijos nurodytas užduotis atliekantiems darbuotojams, tiekėjas įpareigojamas nedelsdamas informuoti pirkėją ir pateikti atnaujintą nurodytų darbuotojų sąrašą (su gimimo datomis) ir patikslintą darbo užmokesčio mėnesio medianą. Taigi, dar labiau išsiplės tvarkomų asmens duomenų apimtis perkančiosioms organizacijoms, todėl reikės tam iš anksto pasiruošti.
Nors pirkimus reglamentuojantys teisės aktai tiesiogiai nenurodo darbuotojų asmens duomenų tvarkymo tikslo, darbuotojų vardai, pavardės ir gimimo datos bus naudojami siekiant prižiūrėti, kad darbuotojų sąrašas ir atlyginimų mediana atitiktų reikalavimus. Tam pirkimo vykdytojui suteikiama teisė kreiptis į kompetentingas institucijas, kad gautų visą reikiamą informaciją apie nurodytiems darbuotojams mokamo darbo užmokesčio mėnesio medianą. Visais atvejais svarbu įvertinti, kaip asmens duomenų tvarkymas prisidės prie tikslo, kurio siekiama, o ypač – ar tikslas negalėtų būti pasiektas netvarkant asmens duomenų, bet šiuo atveju galima spręsti, kad objektyviai nebūtų įmanoma patikrinti atlyginimų medianos nežinant, kokių konkrečiai darbuotojų darbo užmokestį ji apima.
Darbuotojams mokamo darbo užmokesčio mėnesio medianos teikimo tvarka ir reikalavimai tokios informacijos turinio kontrolei iki šių metų lapkričio 1 d. turės būti nustatyti kompetentingos institucijos. Tikėtina, kad rengiant šią tvarką bus atsižvelgiama į tai, kad informacijos teikimas apims asmens duomenis, todėl bus atitinkamai detalizuota tokių duomenų gavimo ir saugojimo tvarka. Atsižvelgiant į Valstybinės duomenų apsaugos inspekcijos rekomendaciją dėl reikalavimų teisės aktų projektams, kuriais reglamentuojamas asmens duomenų tvarkymas, teisės aktuose, numatant teisę gauti asmens duomenis, reikėtų numatyti ne vien šaltinius, iš kurių tam tikras subjektas turi teisę gauti asmens duomenis, bet ir tikslus, kuriems pasiekti yra reikalingi asmens duomenys bei duomenų teikėjų pareigą teikti asmens duomenis, numatyti, kokie konkrečiai asmens duomenys ir kokia tvarka turės būti teikiami.
Atsižvelgdami į minėtus pakeitimus, tiek tiekėjai, tiek pirkimų vykdytojai turėtų peržiūrėti bei atnaujinti savo asmens duomenų tvarkymą reglamentuojančius dokumentus. Tiekėjai savo tvarkose turės nustatyti darbuotojų duomenų tvarkymą viešųjų pirkimų tikslais bei užtikrinti, kad jų darbuotojai būtų tinkamai informuoti apie tai, kaip tvarkomi jų asmens duomenys. Pirkimų vykdytojai taip pat turės atsinaujinti savo vidaus tvarkas atsižvelgdami į išaugsiantį tvarkomų asmens duomenų kiekį ir užtikrinti, kad tokia informacija būtų saugoma aiškiai apibrėžtą laiko tarpą.
Asmens duomenų perdavimas, kuris, priklausomai nuo aplinkybių, gali tapti pakankamai reguliarus keičiantis darbuotojų sąrašui ar jų darbo užmokesčio medianai turėtų paskatinti įvertinti ir saugumo aspektą. Tokios informacijos perdavimo kanalas turėtų būti pasirenkamas atsakingai, užtikrinant tinkamas technines asmens duomenų apsaugos priemones, ypač skirtas apsaugoti asmens duomenis nuo neteisėtos prieigos.
Asmens duomenų nelaikymo konfidencialia informacija atvejai
Su asmens duomenų teisine apsauga susijęs jau nuo anksčiau taikomas įpareigojimas pašalinti asmens duomenis iš privaloma tvarka viešai skelbiamos informacijos. Pakeitimais asmens duomenų apsauga dar labiau sustiprinta atsisakius nuostatų, anksčiau neleidusių konfidencialia laikyti informacijos, susijusios su fizinio asmens kvalifikacija. Tačiau pagal naujuosius pakeitimus asmens duomenys (tarp jų ir asmens kvalifikacija) galės būti atskleidžiami ir nelaikomi konfidencialia informacija tada, kai ši informacija būtina tiekėjams ginant savo teisėtus interesus. Tokia kitų pirkimo dalyvių teisė gauti informaciją apims tiek informaciją, susijusią su tiekėju, tiek ir su ūkio subjektais, kurių pajėgumais remiasi tiekėjas bei subtiekėjais.
Teisėtų interesų gynimas gali būti tinkamu pagrindu tvarkyti (ir šiuo atveju perduoti bei gauti) asmens duomenis, tačiau tokia galimybė neturėtų būti suprantama kaip suteikianti neribotas galimybes atskleisti asmens duomenis: turi būti išlaikomas proporcingumas ir atskleidžiami tik tokie asmens duomenys, kurie konkrečiu atveju yra būtini teisėtų interesų gynimui. Vienokia informacija galėtų būti perduodama, pavyzdžiui, kilus ginčui dėl tiekėjo darbuotojų atitikties profesinės kvalifikacijos reikalavimams, visai kitokia – ginčijant socialinio pasiūlymų vertinimo kriterijaus skaičiavimo aspektus, kontekstas tokiais atvejais yra labai svarbus.
Atsižvelgiant į naujus reikalavimus, tiek tiekėjams, tiek pirkimų vykdytojams rekomenduotina atsinaujinti asmens duomenų apsaugą reglamentuojančias vidines tvarkas bei užtikrinti tokių duomenų teikimą, gavimą ar tikrinimą bei pasirūpinti tinkama apsauga.