Visų pirma, būtinas teisinis pagrindas. Dažnai įmonės daro klaidą ir stebėseną pateisina neva jų pačių „laisva valia“ duotu sutikimu. Tai pažeidimas, nes dėl galios disbalanso toks darbuotojo sutikimas nebūtų laikomas savanorišku. Darbdaviui iš viso nederėtų vadovautis šiuo teisiniu pagrindu. Tai tik išimtis iš taisyklės (pavyzdžiui, toks „laisvanoriškas“ sutikimas dėl gimtadienio sveikinimo būtų teisėtas).
Dažniausiai praktikoje sutinkamas teisinis pagrindas – teisėtas darbdavio interesas. BET tai savaime nereiškia, jog pakanka tik formaliai nurodyti šį teisinį pagrindą. Jį reikia pagrįsti ir įrodyti. Kiekvienam darbdaviui rekomenduojama atlikti teisėtų interesų vertinimo (balanso) testą, kuris pagrįs arba paneigs šį teisinį pagrindą. Atliekant šį testą vertinama, ar, pavyzdžiui, nėra mažiau ribojančių priemonių keliamam tikslui pasiekti, ar įmonės teisėtas interesas yra viršesnis už darbuotojo interesą (į privatumą) ir t.t. Deja, VDAI kol kas nėra išleidusi jokių gairių, kaip reikėtų atlikti teisėtų interesų vertinimo testą ir kokius kriterijus vertinti. Tačiau rekomenduotina susipažinti su Jungtinės Karalystės duomenų apsaugos inspekcijos (ICO) išleistomis gairėmis (aprašytais kriterijais), kurios galėtų būti įrankis, padėsiantis įsivertinti įmonės turimą teisėtą interesą vykdyti darbuotojų stebėseną. Žinoma, reikia įsidėmėti, kad kiekviena situacija yra unikali ir individuali.
Antra, pagrindus, jog egzistuoja pagrįstas ir teisėtas interesas vykdyti darbuotojų stebėseną, teks įvertinti, ar nėra būtina atlikti ir poveikio duomenų apsaugai vertinimą (PDAV). Pažymėtina, jog PDAV yra būtinas, kai (A) yra tvarkomi asmens vaizdo ir / ar garso duomenys darbo vietoje ir duomenų valdytoje patalpose ar teritorijose (kur dirba darbuotojai), arba (B) tvarkomi darbuotojų asmens duomenys, susiję komunikacijos, elgesio, vietos ar judėjimo stebėsena. Visgi, ir visais kitais atvejais PDAV atlikti rekomenduojama. PDAV atlikimo tvarka (ką reikėtų vertinti) yra išsamiai aprašyta Europos duomenų apsaugos valdybos gairėse, be to, VDAI yra išleidusi pavyzdinę PDAV atlikimo formą.
Trečia, netgi atlikus nurodytas procedūras, tai nereiškia, jog darbdavys gali atsipūsti ir „legaliai“ vykdyti darbuotojų stebėseną. Teks parengti darbuotojų stebėsenos tvarką bei su ja supažindinti visus darbuotojus. Tai esminė aplinkybė, nes slaptas stebėjimas nėra teisėtas. Ši tvarka turėtų apimti: (i) kokie darbuotojai bus stebimi (jeigu ne visi, tai kokie ir dėl kokių priežasčių, kaip jie buvo atrinkti); (ii) kokiais atvejais; (iii) kokiomis sąlygomis bus stebimi; (iv) ar bus stebimas naudojimasis visais įmonės resursais / įrankiais (pavyzdžiui, bus stebima tik viena ar dalis sistemų); (v) ar bus vykdoma nuolatinė, ar periodinė stebėsena; (vi) jeigu periodinė, tai koks bus jos periodiškumas ir kodėl. Pažymėtina, jog tai nėra baigtinis sąrašas. Kiekvienu atveju tenka vertinti individualiai. Su parengtomis tvarkomis rekomenduojama supažindinti darbuotojus (pasirašytinai) bei atsakyti į jiems rūpimus klausimus.
Taigi, darbuotojų stebėsenos teisėtumas iš esmės susideda iš trijų žingsnių (ir daug mažų etapų kiekviename žingsnyje), kuriuos įvykdžius (įrodžius) darbuotojų stebėsena atitiks BDAR keliamus reikalavimus. „Avocad“ teisininkas Mantas Baigys atkreipia dėmesį, jog darbuotojų stebėsena yra itin jautraus pobūdžio ir kelia grėsmes pažeisti darbuotojų teisę į privatumą. Todėl kiekvienu atveju tenka dėti maksimalias pastangas ir imtis visų būtinų priemonių, jog darbuotojų stebėsena nevirstų rimtais pažeidimais.
Teisininkas Mantas Baigys