Vispirms sniedzam vispārīgu informāciju par personas datu aizsardzības pamatprincipiem.

Tiesības uz privātumu un personas datu aizsardzību ir vienas no cilvēka pamattiesībām. Personas dati ir jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu (datu subjektu), tai skaitā personas attēls (foto, video), balss ieraksts, korespondence un jebkura cita informācija, kas ļauj to sasaistīt ar konkrētu personu. Darba devējiem, veicot personas datu apstrādi un aizsardzību, jāatceras, ka darbinieks nezaudē savas tiesības uz privātuma aizsardzību un personas datu aizsardzību arī tad, kad ir kļuvis par darba ņēmēju pie konkrēta darba devēja. Jebkādiem šo abu tiesību ierobežojumiem ir jābūt likumīgiem, samērīgiem un proporcionāliem.

Visā Eiropas Savienībā tiek piemērota Vispārīgā datu aizsardzības regula, kuras noteikumus nacionālā mērogā Latvijā regulē Fizisko personu datu apstrādes likums.

Normatīvais regulējums paredz, ka datu pārzinim, kas šajā gadījumā ir darba devējs, veicot personas (gan darbinieku, gan klientu) datu apstrādi, ir jāievēro regulas 6. panta 1. punktā noteiktais, proti, apstrāde ir likumīga tikai tādā apmērā un tikai tad, ja ir piemērojams vismaz viens no 6. panta pirmajā punktā minētajiem pamatojumiem:

• [datu subjekta] piekrišana;
• līguma izpilde;
• juridisks pienākums;
• sabiedrības intereses;
• vitālo interešu aizsardzība;
• leģitīmo interešu ievērošana.

Ja uz minēto datu apstrādi attiecināms kaut viens no regulas 6. panta pirmajā daļā minētajiem tiesiskajiem pamatojumiem, tad datu apstrāde ir likumīga. Ja nav attiecināms neviens no minētajiem pamatojumiem, datu apstrāde nav likumīga.

Uzreiz jānorāda, ka datu subjekta (darbinieka) piekrišana šajā gadījumā nevarētu būt tiesisks pamats šādai personas datu apstrādei. Viens no galvenajiem priekšnosacījumiem likumīgai datu subjekta piekrišanai ir tāds, ka piekrišanai ir jābūt brīvi sniegtai. Regulas 42. apsvērumā norādīts: piekrišana nav uzskatāma par brīvi izteiktu, ja personai nav īstas vai brīvas izvēles, tā nevar atteikties vai atsaukt savu izvēli bez nelabvēlīgām sekām. Piemēram, ņemot vērā darbinieka un darba devēja attiecības, kurās darbinieks ir atkarīgs no darba devēja, darbinieks retos gadījumos varēs brīvi sniegt vai atteikties sniegt, kā arī atsaukt piekrišanu. Lai nodrošinātu, ka piekrišana ir sniegta brīvi, piekrišana nevarētu būt likumīgs pamats personas datu apstrādei gadījumā, kad datu subjekta un pārziņa attiecībās pastāv nevienlīdzība, kā tas ir darba attiecībās.

Līdz ar to, lai darbinieka darbību izsekošana, strādājot ar datoru, būtu likumīga, ir jābūt kādam citam no minētajiem tiesiskajiem pamatiem. Turklāt datu apstrādes tiesiskais pamats ir tikai viens no priekšnoteikumiem, lai personas datu apstrāde atbilstu regulas prasībām. Vispārīgā datu apstrādes regula definē virkni pamatprincipu, kas pārzinim ir jāievēro, veicot godprātīgu un likumīgu personas datu apstrādi. Piemēram, pārredzamība (datu subjektam ir pieejama informācija par to, kas vāc, kāpēc vāc, cik ilgi glabā datus u. tml.), nolūka ierobežojumi (dati tiek vākti konkrētam, skaidram, likumīgam mērķim un nekam vairāk), datu minimizēšana (dati tiek apstrādāti iepriekš noteiktam likumīgam mērķim iespējami minimālā apjomā), glabāšanas ierobežojumi (datus glabā tikai tik ilgi, līdz tiek sasniegts likumīgais mērķis) utt.

Tas nozīmē, ka pat tad, ja šādai personas datu apstrādei ir likumīgs pamats, pārzinim ir jāgādā, lai tai būtu iespējami mazāka ietekme uz personas privātumu. Piemēram, daudzās darbavietās ir izvietotas videonovērošanas kameras. Datu valsts inspekcija ir norādījusi, ka šādā gadījumā ir jāņem vērā, ka videonovērošanas ierīces var būt izvietotas darbavietā, lai nodrošinātu cilvēku dzīvības, veselības aizsardzību un īpašuma aizsardzību, lai identificētu kaitējumu vai zaudējumu nodarītājus, piemēram, filmējot ieejas durvis, klientu apkalpošanas zāli. Taču videonovērošanas ierīču ieraksti nevarētu tikt izmantoti, lai kontrolētu darba veikšanas kvalitāti vai kvantitāti, piemēram, pastāvīgi filmējot darbinieka darbības ar darba datoru. Pēc līdzīgas analoģijas būtu vērtējams arī šis konkrētais gadījums.

Zvērināts advokāts un personas datu aizsardzības speciālists Ivo Krievs, iepazinies ar jautājumu, sniedza šādu komentāru: “Vispārīgā datu aizsardzības regula kopumā automātiski neaizliedz vai neatļauj konkrētas apstrādes, paredzot, ka katras apstrādes tiesiskums jāvērtē individuāli, pamatojot ar kādu no regulā noteiktiem tiesiskiem pamatiem (piem., piekrišana, līgumu saistību izpilde, pārziņa leģitīma interese).  Konceptuāli darba devējam jāņem vērā, ka darbinieku pastāvīga novērošana nebūtu pirmā izmantojamā alternatīva mērķu sasniegšanai un tā būtu jāuzskata par galēju līdzekli, ja citas alternatīvas mērķa sasniegšanai nav produktīvas un mērķis pārzinim ir pietiekami būtisks – var radīt būtiskus riskus. Turklāt jāņem vērā, ka šāds risinājums pieļauj darba devējam iespēju piekļūt arī darbinieku personiskai informācijai, piem., darbinieku savstarpējai sarakstei, kura var ietvert arī saraksti par privāto dzīvi, konta saturam, ja darbinieks darba laikā izmanto savu internetbanku u.c.

Bet, neskatoties uz tiesiskā pamata izvērtēšanu, jebkurā gadījumā datu subjektam ir tiesības būt informētam par savu datu apstrādi, pirms datu apstrāde tiek uzsākta. Skaidrības labad jānorāda, ka regula atsevišķos izņēmumu gadījumos pieļauj datu apstrādi veikt, neinformējot datu subjektu (piem., ja informēšana var kaitēt mērķa sasniegšanai, nav iespējama vai prasītu nesamērīgi lielas pūles), tomēr pirmšķietami šis gadījums nebūtu uzskatāms par tādu, kurā informēšanu varētu neveikt.”