BDAR (bendruoju duomenų apsaugos reklamentu) įtvirtinamos tokios asmens duomenų ir privatumo apsaugos srities žmogaus teisės: teisė būti informuotam, teisė susipažinti su asmens duomenimis, teisė reikalauti ištaisyti duomenis, teisė reikalauti ištrinti duomenis, teisė apriboti duomenų tvarkymą, teisė į duomenų perkeliamumą. Kiekviena organizacija ar asmuo, tvarkantis asmens duomenis profesiniais tikslais privalo gerbti ir garantuoti šių žmogaus teisių įgyvendinimą. Tačiau kaip tai padaryti?

Į klausimus atsako Valstybinės duomenų apsaugos inspekcijos Informacijos ir technologijų skyriaus vyriausioji specialistė Raminta Sinkevičiūtė-Šečkuvienė

Gal galite trumpai papasakoti apie svarbiausius dalykus, kuriuos turėtų žinoti savarankiškai dirbantys asmenys, vykdomai veiklai naudojantys asmeninius kompiuterius, dažnai ir su klientais bendraujantys iš savo asmeninio el. pašto?

Bendrasis duomenų apsaugos reglamentas (BDAR) taikomas visoms organizacijoms ir asmenims, tvarkantiems asmens duomenis profesiniais tikslais, taigi tiek smulkiam ir vidutiniam verslui, didelėms įmonėms, valstybės institucijoms, advokatams, notarams, antstoliams ir kt.

BDAR preambulėje numatyta, jog siekiant, kad būtų išvengta rimtos teisės aktų apėjimo grėsmės, fizinių asmenų apsauga turėtų būti neutrali technologijų atžvilgiu ir turėtų nepriklausyti nuo taikomų metodų. Fizinių asmenų apsauga turėtų būti taikoma asmens duomenis tvarkant tiek automatizuotomis priemonėmis, tiek rankiniu būdu, jeigu asmens duomenys laikomi arba juos ketinama laikyti susistemintame rinkinyje. Atsižvelgiant į tai, nepriklausomai nuo to, ar asmens duomenys tvarkomi elektroninio pašto programoje, ar naudojant asmeninius kompiuterius, jų tvarkymui taikomi tie patys BDAR numatyti asmens duomenų tvarkymo principai ir reikalavimai.

Sąskaitos faktūros, įstatymo numatyta tvarka, privalo būti saugomos 5 metus, tačiau jose yra nemažai informacijos. Teikiant paslaugas juridiniams asmenims – įmonių pavadinimai ir kodai, teikiant paslaugas fiziniams asmenims – vardai, pavardės, adresai, telefono numeriai, el. pašto adresai. Pasitaiko, kad ir į sąskaitas būna įrašomi ir asmens kodai.

Kaip tinkamai tvarkyti šias sąskaitas savarankiškai dirbantiems asmenims ar smulkiems verslams?

Jokių specifinių reikalavimų asmens duomenų, nurodytų sąskaitose faktūrose, tvarkymui BDAR nenumato. Nepriklausomai nuo to, kokio pobūdžio dokumentuose asmens duomenys nurodomi, jiems keliami tie patys reikalavimai, numatyti minėtame reglamente. Dėl reikalavimų, keliamų finansinių dokumentų saugojimui, siūlome kreiptis į Lietuvos vyriausiojo archyvaro tarnybą.

 Verslai, turintys savo svetaines, dažnai naudoja Facebook Pixel. Tai yra reklamos įrankis, skirtas fiksuoti kas apsilanko svetainėje, kokius veiksmus atlieka ir pagal tai optimizuoti reklamą Facebook tinkle. Ar bendrasis duomenų apsaugos reglamentas įpareigoja svetainės lankytojus informuoti apie Pixel naudojimą ar imtis kitų papildomų veiksmų verslams, išnaudojantiems šio įrankio galimybes?

Jeigu verslai naudodami Jūsų minimą įrankį renka asmens duomenis savo nustatytiems tikslams pasiekti, tokiu atveju jie turi pareigą apie asmens duomenų rinkimą informuoti vadovaudamiesi BDAR nuostatomis. Tokių asmens duomenų tvarkymui taikomi bendri BDAR įtvirtinti reikalavimai.

 Ar savarankiškai dirbantys asmenys taip pat turi apsirašyti asmens duomenų tvarkymo procesus? 

Kaip pažymėjo Europos Komisija 2018 m. sausio 24 d. komunikate Europos Parlamentui ir Tarybai „Didesnė apsauga, naujos galimybės. Komisijos gairės dėl tiesioginio Bendrojo duomenų apsaugos reglamento taikymo nuo 2018 m. gegužės 25 d.“, svarbu, kad duomenų valdytojai ir tvarkytojai atliktų išsamią duomenų politikos ciklo peržiūrą, kad aiškiai nustatytų laikomų duomenų pobūdį, tikslą ir teisinį pagrindą (pvz., debesijos aplinka). Jie taip turi įvertinti sudarytas sutartis, visų pirma duomenų valdytojų ir duomenų tvarkytojų sutartis, tarptautinių perdavimų priemones ir bendrą valdymo struktūrą (taikomas IT ir organizacines priemones), įskaitant duomenų apsaugos pareigūno paskyrimą. Tuo tikslu kai kurie veiklos vykdytojai, Europos Komisijos nuomone, turėtų naudotis atitikties kontroliniais sąrašais (vidiniais arba išoriniais), kreiptis į konsultavimo ir teisės paslaugų įmones, taip pat ieškoti produktų, kurie padėtų laikytis pritaikytosios ir standartizuotosios duomenų apsaugos reikalavimų. Kiekvienas sektorius turi nustatyti priemones, kurios dera su konkrečiu srities pobūdžiu ir verslo modeliu.

Europos Komisija pažymėjo, kad duomenų apsaugos institucijų užduotys apima duomenų valdytojų ir tvarkytojų informavimą apie jų pareigas, visuomenės informuotumo ir supratimo apie su duomenų tvarkymu susijusius pavojus, taisykles, apsaugos priemones ir teises didinimą. Tačiau tai nereiškia, kad duomenų valdytojai ir duomenų tvarkytojai turėtų tikėtis gauti iš duomenų apsaugos institucijų pagal konkretų atvejį pritaikytų, individualizuotų teisinių patarimų. Juos galėtų suteikti tik teisininkas arba duomenų apsaugos pareigūnai.

Paprastai savarankiškai dirbantys asmenys neatlieka daug ar sudėtingų duomenų tvarkymo operacijų, todėl jie tikrai gali ir be teisininko pagalbos apsirašyti asmens duomenų tvarkymo procesus. Juos aprašant reikėtų atsižvelgti į BDAR asmens duomenų tvarkymo principų įgyvendinimą.

 Ar asmuo, kuris duomenų nerinko, jų nevaldo ir nenaudoja, tačiau turi priėjimą prie duomenų bazės tuo metu, kai savo klientui teikia kitas paslaugas (pvz., atnaujina sistemas, analizuoja reklamų efektyvumą ir panašiai) irgi yra laikomas atsakingu už duomenų saugumą?

Tuo atveju, jeigu duomenų valdytojas pasitelkia trečiąjį asmenį tam tikriems veiksmams atlikti, kurių metų jis gauna prieigą ir prie asmens duomenų, tuomet toks trečiasis asmuo būtų laikomas duomenų tvarkytoju, pavyzdžiui, IT paslaugas teikiantis asmuo ar įmonė. BDAR numato tam tikras pareigas ir duomenų tvarkytojams, viena iš kurių – užtikrinti asmens duomenų saugumą.

Kaip savarankiškai dirbantis asmuo, kuris naudoja automatizuotas sistemas el. pašto adresų rinkimui ar tiesiog išrašinėja sąskaitas už atliktus darbus, gali užtikrinti asmens teisę susipažinti su jo asmens duomenų tvarkymu?

Kaip įgyvendinama duomenų teisė susipažinti su savo asmens duomenis reglamentuoja BDAR 12 ir 15 straipsniai. Atsižvelgiant į tai, kad pagal minėto reglamento 12 straipsnio 1 dalį numatyta, kad informacija pateikiama raštu arba kitomis priemonėmis, įskaitant, prireikus, elektronine forma, duomenų valdytojas pats nusprendžia, kaip jis įgyvendins aptariamą duomenų subjekto teisę.

 Asmens duomenų tvarkytojai turi būti nusimatę procedūras, pagal kurias galėtų aptikti, fiksuoti, pranešti ir ištirti apie asmens duomenų saugumo pažeidimus. Gal galite plačiau pakomentuoti, kokios tai galėtų būti procedūros iš savarankiškai dirbančio asmens perspektyvos?

Jeigu duomenų valdytojas yra fizinis asmuo, tuomet manytina, kad nėra tikslinga detalizuoti asmens duomenų saugumo pažeidimo aptikimo, fiksavimo ir pan.

Ką svarbu žinoti apie užsiregistravimą asmens duomenų valdytojų registre?

Gegužės 25 d. pradėjus taikyti BDAR registracijos Asmens duomenų valdytojų valstybės registre nebelieka, bus naikinamas ir pats registras, taigi nebeliks ir pareigos Valstybinei duomenų apsaugos inspekcijai teikti pranešimus apie planuojamą asmens duomenų tvarkymo veiklą. Pradėjus taikyti naują teisinį reguliavimą visa atsakomybė gula ant pačios asmens duomenis tvarkančios organizacijos ar asmens pečių. Jie privalės  patys gebėti įrodyti, kad tinkamai elgiasi su asmens duomenimis, užtikrina asmenų, kurių asmens duomenis tvarko, teises.

Kokios baudos laukia nesilaikysiančių naujojo įstatymo?

BDAR numatyta ne tik baudos, bet ir kitų sankcijų. Valstybinė duomenų apsaugos inspekcija, kaip ir dabar, galės teikti nurodymus dėl pažeidimų ištaisymo, skirti papeikimus. Kalbant konkrečiai apie baudas, BDAR numatyta, kad, pažeidus reglamento nuostatas, gali būti skiriamos administracinės baudos, kurios kiekvienu konkrečiu atveju turi būti veiksmingos, proporcingos ir atgrasomos. Taigi bauda gali siekti iki 2–4 proc. ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, arba iki 10 000 000–20 000 000 EUR.

Kur gali kreiptis asmuo, jeigu turi specifinių klausimų ar neaiškumų, susijusių su konkrečiai jo vykdoma veikla, ir nori konsultacijos?

Lietuvoje asmens duomenų apsaugos priežiūros institucija, kai asmens duomenys tvarkomi su profesija susijusiais tikslais, yra Valstybinė duomenų apsaugos inspekcija. Kaip ir iki šiol, pradėjus taikyti BDAR, į ją bus galima kreiptis pasikonsultuoti asmens duomenų tvarkymo klausimais.

Žurnalistų etikos inspektorius stebės ir užtikrins, kad vadovaujantis BDAR ir Asmens duomenų teisinės apsaugos įstatymu asmens duomenys būtų tinkamai tvarkomi žurnalistikos ir akademinės, meninės ar literatūrinės saviraiškos tikslais. Konkrečiais atvejais konsultacijų bus galima kreiptis ir į šią instituciją.

Dėkojame Ramintai Sinkevičiūtei-Šečkuvienei už atsakymus!

Ir pabaigai – dar keletas smulkmenų, kurias veikiausiai jau žinote:

  • Asmens duomenys – tai ne tik asmens kodas, bet ir el. pašto adresas, telefono numeris, namų ar darbovietės adresas… Bet kokie duomenys, pagal kuriuos galima nustatyti asmens tapatybę ir su ta tapatybe susijusi informacija. Ir visų šių duomenų saugumas privalo būti užtikrintas.
  • Asmens duomenimis NĖRA LAIKOMA informacija apie juridinio vieneto vadovą (viešai internete skelbiamas telefono numeris, el. pašto adresas) ; informacija apie interneto puslapio lankytojus ir jų veiksmus tuo atveju, kada turime bendrą vartotojų grupės elgesio ataskaitą, tačiau neturime galimybės susieti šios informacijos su konkrečiais asmenimis.
  • Naudojant asmens duomenis rinkodaros ar kitais su verslu susijusiais tikslais yra svarbu gauti asmens sutikimą jo duomenų naudojimui.
  • Net ir turimas VIENAS el . pašto adresas ar informacija apie vieną klientą – jau asmens duomenys, kurių saugumą privaloma užtikrinti.
  • Jeigu paslaugas teikiate per Facebook ar kitą panašią platformą ir asmens duomenis gaunate asmenine žinute ar el. paštu  – privalote užtiktinrinti, kad prie tos paskyros priėjimo neturi treti asmenys (vyras, žmona, vaikai, broliai seserys…). 
  • Siųsdami naujienlaiškius privalote užtikrintą aiškiai matomą, nemokamą ir lengvai įvykdomą galimybę jų atsisakyti. Taip pat sutikimas turi būti gauti laisva valia, aiškiai suprantant su kuo sutinka bei naujienlaiškių siuntėjas privalo galėti įrodyti, jog gavo sutikimą. Turi būti aiškiai įvardinta, su kokios informacijos gavimu klientas sutinka bei pats sutikimo tekstas – aiškiai, ne dviprasmiškai suformuluotas.

Turite papildomų klausimų? Palikite juos komentaruose ir bandysiu kaip galima greičiau rasti atsakymus!

Patiko tekstas ir norite daugiau interviu su institucijų atstovais bei tekstų info banke? Nėra geresnės motyvacijos nei kavos puodukas… ar keli!