Linas Petkevičius rašė:
> Istatymini pagrindas - konkretus stripsniai ar sferinis arklys vakume EB
> rekomendaciju pavidalu?

Konkretūs straipsniai. Ir konkretūs atvejai mūsuose (nuorodą jau 
pateikiau; salonas, kuris buvo prismaigstęs kamerų, kur reikia ir kur 
ne). Pažymėtina, kad bauda buvo paskirta ne tik dėl slaptų kamerų, bet 
ir dėl atsainaus, nors ir deklaruoto vaizdo stebėjimo, deramai jo 
neįforminus:
„Ant įėjimo į saloną durų priklijuoti lipdukai nurodo, kad patalpos 
stebimos, tačiau nepateikiama jokia duomenų valdytojo kontaktinė 
informacija. Jei darbuotojai yra stebimi darbo vietoje, darbdavys 
privalo juos apie tai informuoti Įstatymo numatyta tvarka. Šis punktas 
neįvykdytas – 2006-04-10 bendrovės direktoriaus pateiktas informacinis 
pranešimas su vienu sakiniu „Informuoju įmonės darbuotojus, kad įmonės 
patalpos yra stebimos vaizdo stebėjimo priemonėmis“ yra nepakankamas.

ADTAĮ įtvirtinta, kad vaizdo duomenų tvarkymas turi būti nustatytas 
duomenų valdytojo patvirtintame rašytiniame dokumente, kuriame yra 
nurodomas stebėjimo tikslas ir apimtis, duomenų saugojimo terminas, 
priėjimo prie tvarkomų duomenų sąlygos, duomenų naikinimo sąlygos ir 
tvarka, kiti reikalavimai teisėtam duomenų tvarkymui. Tokio dokumento 
UAB „Kamvila“ neturėjo.“


Be EB rekomendacijų yra konkretūs EŽTT precedentai, į kuriuos 
atsižvelgia (ar bent jau turėtų; vis tik teisminė praktika...) ir mūsų 
teismai.
Į asmens duomenų tvarkymo apibrėžimo sritį patenka asmens duomenų 
rinkimas, kuriam reikia apibrėžtos ir aiškios konkrečios tvarkos; tam ir 
mūsiškiame ADTAĮ yra reikalavimai, kurie kyla iš pagrindinių 95/46/EB 
principų:

1) Būtinumas (tai, kaip būtinumą aiškina tos 29 str. grupės rekomendcijos:

„Tik išimtinėmis aplinkybėmis darbuotojų pašto ar interneto naudojimo 
stebėjimas gali būti laikomas būtinu. Pavyzdžiui, darbuotojo 
elektroninio pašto stebėjimas gali tapti būtinas siekiant gauti 
patvirtinimą ar įrodymą tam tikriems darbuotojo veiksmams.
Tokiais veiksmais laikoma kriminalinė veikla iš darbuotojo pusės, kai 
darbdaviui reikia ginti savo interesus, pavyzdžiui, jei jis atsakingas 
už darbuotojo veiksmų padarinius.“


2) Baigtumas

„Šis principas reiškia, kad duomenys turi būti renkami nustatytam, 
aiškiam ir teisėtam tikslui, ir neturi būti toliau tvarkomi būdu, 
neatitinkančiu šių tikslų. Šiame kontekste “atitikimo” principas 
reiškia, pvz., kad jei duomenų tvarkymas yra pagrįstas sistemos
saugumo pagrindu, šie duomenys negali būti tvarkomi kitu tikslu, tarkim 
darbuotojo elgsenos stebėjimu.“

3) Skaidrumas

„Šis principas reiškia, kad darbdavys turi būti atviras ir vykdyti 
aiškią veiklą. Tai reiškia, kad neleidžiamas joks paslėptas elektroninio 
pašto stebėjimas, išskyrus atvejus, esant
kuriems stebėjimas leidžiamas pagal nacionalinę teisę, atitinkančia 
Direktyvos 13-ą straipsnį15. Labiausiai tikėtina, kad tai bus atvejai, 
kai identifikuota tam tikra kriminalinė veikla (būtina gauti įrodymus 
pagal teisines ir procedūrines šalių narių taisykles) arba atvejai, kai 
nacionalinė teisė numato būtinus saugiklius, leidžiančius darbdaviui 
imti tam tikrų veiksmų siekiant nustatyti pažeidimus darbo vietoje.“


Tai, kaip šie principai išreikšti mūsiškiame ADTAĮ (3 str.):

3. Bendrieji tvarkymo principai:
1. Duomenų valdytojas privalo užtikrinti, kad asmens duomenys būtų:

1) renkami *apibrėžtais* ir *teisėtais* tikslais ir toliau _nebūtų_ 
_tvarkomi_tikslais_,_nesuderinamais_su_ *nustatytaisiais* _prieš_ 
_renkant_asmens_duomenis_;

2) tvarkomi *tiksliai*, *sąžiningai* ir *teisėtai*;

3) tikslūs ir, jei reikia dėl asmens duomenų tvarkymo, nuolat 
atnaujinami; netikslūs ar neišsamūs duomenys turi būti ištaisyti, 
papildyti, sunaikinti arba sustabdytas jų tvarkymas;

4) *tapatūs*, *tinkami* ir _tik_tokios_apimties_, kuri būtina jiems 
rinkti ir toliau tvarkyti;

5) saugomi tokia forma, kad duomenų subjektų tapatybę būtų galima 
nustatyti ne ilgiau, negu to reikia tiems tikslams, dėl kurių šie 
duomenys buvo surinkti ir tvarkomi.


Prievolė suteikti informaciją:

Tai ko gero labiausiai tinkamas pavyzdys, iliustruojantis skaidrumo 
principą praktikoje, nagrinėjant šį klausimą. Tai reiškia, kad darbdavys 
turi pateikti darbuotojams laisvai prieinamą, aiškų ir tikslų pareiškimą 
apie savo politiką elektroninio pašto ir interneto stebėjimo atžvilgiu.
Darbuotojams turi būti suteikta pilna informacija, kokios specifinės 
aplinkybės pateisins tokias išskirtines priemones, kokie bus tokios 
tebėjimo mastai.

Informacija turi turėti šiuos elementus:
1. Elektroninio pašto/interneto politika kompanijoje, detaliai aprašant 
mastą, kuriuo kompanijos valdomi komunikacijos įrenginiai gali būti 
naudojami asmeninei/privačiai darbuotojų komunikacijai (pvz., laiko ir 
naudojimosi trukmės apribojimai).

2. Priežastis ir tikslus, kuriais stebėjimas yra atliekamas, jei 
atliekamas. Tais atvejais, kai darbdavys leido naudotis įmonės 
komunikacijos įrenginiais privačiais tikslais, tokia privati 
komunikacija gali būti stebima tik esant labai ribotoms aplinkybėms, 
pvz. užtikrinti informacinės sistemos saugumą (patikrinimas nuo virusų).

3. Taikomų sekimo priemonių detales, t.y. Kas? Ką? Kaip? Kada?

4. Bet kokių priverstinių procedūrų detales, nurodant kaip ir kada 
darbuotojai bus perspėti apie vidinių taisyklių nesilaikymą, ir jiems 
bus suteikta galimybė atsakyti į bet kokius kaltinimus prieš juos.

Prievolė suteikti informaciją išreikšta mūsiškio ADTAĮ 23 str.

23 straipsnis. Duomenų subjekto teisės

1. Duomenų subjektas šio įstatymo nustatyta tvarka turi teisę:
1) žinoti (būti informuotas) apie savo asmens duomenų tvarkymą;

2) susipažinti su savo asmens duomenimis ir kaip jie yra tvarkomi;

3) reikalauti ištaisyti, sunaikinti savo asmens duomenis arba 
sustabdyti, išskyrus saugojimą, savo asmens duomenų tvarkymo veiksmus, 
kai duomenys tvarkomi nesilaikant šio ir kitų įstatymų nuostatų;

4) nesutikti, kad būtų tvarkomi jo asmens duomenys.

2. Duomenų valdytojas privalo sudaryti sąlygas duomenų subjektui 
įgyvendinti šiame straipsnyje nustatytas teises, išskyrus įstatymų 
nustatytus atvejus, kai reikia užtikrinti:

1) valstybės saugumą ar gynybą;
2) viešąją tvarką, nusikalstamų veikų prevenciją, tyrimą, nustatymą ar 
baudžiamąjį persekiojimą;
3) svarbius valstybės ekonominius ar finansinius interesus;
4) tarnybinės ar profesinės etikos pažeidimų prevenciją, tyrimą ir 
nustatymą;
5) duomenų subjekto ar kitų asmenų teisių ir laisvių apsaugą.

3. Duomenų valdytojas turi motyvuotai pagrįsti atsisakymą vykdyti 
duomenų subjekto prašymą įgyvendinti šio įstatymo nustatytas duomenų 
subjekto teises. Duomenų valdytojas, gavęs duomenų subjekto prašymą, ne 
vėliau kaip per 30 kalendorinių dienų nuo duomenų subjekto kreipimosi 
dienos turi pateikti jam atsakymą. Jeigu duomenų subjekto prašymas 
išreikštas rašytine forma, duomenų valdytojas turi pateikti jam atsakymą 
raštu.

4. Duomenų subjektas gali skųsti duomenų valdytojo veiksmus (neveikimą) 
Valstybinei duomenų apsaugos inspekcijai per 3 mėnesius nuo atsakymo iš 
duomenų valdytojo gavimo dienos arba per 3 mėnesius nuo tos dienos, kada 
baigiasi šio straipsnio 3 dalyje nustatytas terminas pateikti atsakymą. 
Valstybinės duomenų apsaugos inspekcijos veiksmus (neveikimą) įstatymų 
nustatyta tvarka duomenų subjektas gali skųsti teismui.