Skolinimas darbuotojų tarp šalių tampa vis populiaresne praktika, ypač globalizuotame ir tarptautiniame verslo pasaulyje. Lietuvoje įmonės vis dažniau įgyvendina projektus užsienio šalyse, tame tarpe ir Vokietijoje, ir nuolat susiduria su įvairiais teisės aktais, kurie apima ne tik darbo teisę, bet ir asmens duomenų apsaugą. Suprasti šiuos reikalavimus yra itin svarbu, nes nesilaikant teisinių normų gali kilti rimtų teisinių pasekmių, tiek finansinių, tiek reputacijos požiūriu. Šiame straipsnyje apžvelgsime duomenų apsaugos reikalavimus, su kuriais susiduria Lietuvos įmonės, skolinančios darbuotojus į Vokietiją.

Bendras asmens duomenų apsaugos reglamentas (GDPR) ir jo taikymas

Pirmiausia, svarbu atkreipti dėmesį, kad tiek Lietuva, tiek Vokietija priklauso Europos Sąjungai (ES), todėl jų jurisdikcijoje galioja bendras asmens duomenų apsaugos reglamentas (GDPR). GDPR – tai ES priimtas reglamentas, skirtas asmens duomenų apsaugai ir privatumo užtikrinimui, kuris turi įtakos visoms įmonėms, apdorojančioms ES piliečių duomenis. Tai apima netgi situaciją, kai Lietuvos įmonė skolina darbuotojus už ES ribų, nes pagal GDPR, jei asmens duomenys yra apdorojami už ES ribų, tačiau duomenų subjektas yra ES pilietis, taikomi tam tikri duomenų apsaugos reikalavimai.

Skolinant darbuotojus iš Lietuvos į Vokietiją, visi asmens duomenys, susiję su darbuotojais – tiek darbo sutartys, tiek mokėjimai, tiek sveikatos ir kiti asmens duomenys – turi būti tvarkomi pagal GDPR reikalavimus. Tai reiškia, kad tiek Lietuvos įmonė, tiek Vokietijos įmonė (jei ji tiesiogiai dalyvauja duomenų apdorojime) turi užtikrinti, kad visi asmens duomenys būtų renkami, tvarkomi ir perduodami pagal griežtas saugumo ir privatumo taisykles.

Duomenų tvarkymo sąlygos ir principai

Pagal GDPR, asmens duomenų apdorojimas turi vykti laikantis šių pagrindinių principų:

• Teisėtumas, sąžiningumas ir skaidrumas – asmens duomenys turi būti renkami teisėtais būdais ir tiksliai informuojant darbuotojus apie duomenų tvarkymo tikslus.

• Tikslo apribojimas – duomenys turi būti renkami tik aiškiai apibrėžtiems tikslams, pavyzdžiui, darbo sutarčių vykdymui, atlyginimų mokėjimui ir kt.

• Duomenų minimizavimas – renkami tik tie duomenys, kurie būtini, siekiant įvykdyti numatytus tikslus.

• Tikslumo užtikrinimas – asmens duomenys turi būti tikslesni ir atnaujinami.

• Saugojimo ribojimas – duomenys turi būti saugomi tik tiek, kiek būtina, kad būtų įvykdyti tikslai.

• Integritetas ir konfidencialumas – duomenys turi būti apdorojami tokiu būdu, kad būtų užtikrinta jų saugumas ir apsaugoti nuo neteisėto apdorojimo ar praradimo.

Todėl, skolinant darbuotojus į Vokietiją, būtina įvertinti, kokie asmens duomenys bus perduodami, kaip jie bus saugomi ir kas užtikrins jų apsaugą tiek Lietuvoje, tiek Vokietijoje.

Duomenų valdytojų atsakomybė

Skolinant darbuotojus iš Lietuvos į Vokietiją, tiek Lietuvos įmonė, tiek Vokietijos įmonė gali būti identifikuojamos kaip duomenų valdytojai pagal GDPR.

• Duomenų valdytojas – tai subjektas, kuris nustato duomenų apdorojimo tikslus ir priemones. Tiek Lietuvos įmonė, tiek Vokietijos įmonė gali būti atsakingos už darbuotojų asmens duomenų apdorojimą savo šalyje, todėl abi šios įmonės gali būti laikomos duomenų valdytojais. Lietuvos įmonė gali nustatyti, kokie duomenys bus renkami ir kaip jie bus naudojami, tačiau Vokietijos įmonė taip pat gali turėti savo tikslus, susijusius su darbuotojų duomenų apdorojimu Vokietijoje, pavyzdžiui, darbo teisės laikymosi reikalavimus.

• Bendros atsakomybės – tiek Lietuvos, tiek Vokietijos įmonės bus atsakingos už duomenų tvarkymą ir turi bendrą atsakomybę už asmens duomenų apsaugą. Kadangi abi įmonės turi savo interesus ir tikslus, svarbu aiškiai apibrėžti, kas ir kaip atsako už duomenų apdorojimą. Šiuo atveju, rekomenduojama sudaryti bendrą duomenų valdytojų sutartį tarp Lietuvos ir Vokietijos įmonių. Šioje sutartyje turėtų būti detaliai apibrėžtos atsakomybės, duomenų apsaugos priemonės, taip pat nurodytos procedūros, kaip bus užtikrinta darbuotojų duomenų apsauga tiek Lietuvoje, tiek Vokietijoje.

  
  

Tokia sutartis padės užtikrinti, kad darbuotojų duomenys bus apdorojami laikantis galiojančių teisės aktų ir abiejų šalių susitarimo, taip išvengiant galimų teisinių nesklandumų, bei problemų su duomenų apsaugos institucijomis.

Duomenų perdavimas į trečiąsias šalis

Pabrėžtina, kad GDPR reikalauja, kad asmens duomenų perdavimas už ES ribų (trečiosioms šalims) būtų atliktas tik tuomet, jei bus užtikrinta pakankama apsaugos lygis. Vokietija, kaip ES valstybė narė, nėra trečioji šalis, todėl duomenų perdavimas tarp Lietuvos ir Vokietijos įmonių bus laikomas vidaus perdavimu, kuriam galioja visos bendros ES duomenų apsaugos taisyklės.

Jei duomenys būtų perduodami už ES ribų, pavyzdžiui, jei Lietuvos įmonė naudojasi paslaugomis, teikiamomis šalyse, kurios nėra ES narės, būtų būtina užtikrinti, kad šiose šalyse būtų taikomi pakankami duomenų apsaugos standartai, arba pasirašyti specialias sutartis, įskaitant Standartines Sutarties Sąlygas (SCC), kurios nustato duomenų apsaugos reikalavimus.

Priežiūra ir atsakomybė dėl pažeidimų

Jeigu Lietuvos įmonė nesilaikys duomenų apsaugos reikalavimų, Lietuvos duomenų apsaugos priežiūros institucijos gali imtis veiksmų. Tuo tarpu, jei Vokietijos įmonė, kuri skolinasi darbuotojus, nesilaikys duomenų apsaugos taisyklių savo šalyje, ji turės atsakyti Vokietijos duomenų apsaugos institucijomis. Pirmo pažeidimo atveju gali būti išduotas įspėjimas, tačiau gali būti pritaikytos jau ir finansinės baudos, kurios gali siekti iki 4 proc. įmonės apyvartos.

Be to, darbuotojai turi teisę kreiptis į duomenų apsaugos institucijas, jei mano, kad jų duomenų apsauga buvo pažeista. Atsižvelgiant į tai, labai svarbu atlikti nuolatinę tikrinimo procedūrą ir reguliariai apžvelgti įmonės politiką dėl duomenų apsaugos.

Praktiniai patarimai Lietuvos įmonėms

Lietuvos įmonėms naudinga žinoti keletą aspektų, kurie padės užtikrinti duomenų apsaugos standartus ir sklandų darbuotojų skolinimo procesą Vokietijoje.

• Sudarykite aiškius susitarimus: Užtikrinkite, kad su Vokietijos įmone būtų pasirašyta duomenų tvarkymo sutartis, kurioje būtų numatyta, kaip bus tvarkomi darbuotojų asmens duomenys.

• Informuokite darbuotojus: Tiek Lietuvos tiek Vokietijos įmonė turi informuoti darbuotojus apie jų duomenų tvarkymo tikslus ir teisę žinoti, kaip ir kur jų duomenys bus tvarkomi.

• Įgyvendinkite saugumo priemones: Užtikrinkite, kad tiek Lietuvoje, tiek Vokietijoje būtų įgyvendintos tinkamos techninės ir organizacinės priemonės, siekiant apsaugoti darbuotojų duomenis nuo neteisėto apdorojimo ar praradimo.

• Sekite teisinės aplinkos pokyčius: Duomenų apsaugos taisyklės nuolat keičiasi, todėl būtina stebėti bet kokius teisės aktų pakeitimus tiek Lietuvoje, tiek Vokietijoje, kurie gali turėti įtakos įmonės veiklai.

Skolinant darbuotojus iš Lietuvos į Vokietiją, labai svarbu laikytis tiek Lietuvos, tiek Vokietijos teisinių reikalavimų, susijusių su asmens duomenų apsauga. Apsaugos užtikrinimas ne tik padeda išvengti teisinių pasekmių, bet ir stiprina įmonės reputaciją kaip atsakingos įmonės, kuri laikosi teisės aktų. Griežtai laikydamiesi GDPR nuostatų ir įgyvendindami visas reikalingas saugumo priemones, įmonės gali sėkmingai valdyti savo darbuotojų duomenis ir užtikrinti jų privatumo apsaugą tiek Lietuvoje, tiek Vokietijoje.