Asmens duomenų tvarkymo keblumai: kas, kaip ir kodėl?
2021.03.26
Temos: Teisė.
Nors Bendrasis duomenų apsaugos reglamentas (BDAR) galioja jau ne vienus metus, tačiau praktikoje vis dar iškyla sunkumų jį pritaikant. Advokatų kontoros PR1MUS partnerė, sertifikuota duomenų apsaugos specialistė Giedrė Dailidėnaitė bei advokatų kontoros PR1MUS vyresnioji teisininkė Šarūnė Prankonytė-Segen atskleidžia dažniausias duomenų tvarkymo klaidas ir pateikia jų sprendimo galimybes.
Š. Prankonytės-Segen teigimu, svarbiausias dalykas, nuo kurio vertėtų pradėti, tai suvokimas, kas apskritai yra asmens duomenų tvarkymas ir kokiu pagrindu jis gali būti vykdomas: „Asmens duomenų tvarkymui yra būtinas pagrindas, kuriuo remiantis duomenys gali būti tvarkomi. Dažniausiai versle taikomi šie keturi pagrindai: sutikimas, sutartis, teisinė prievolė ir teisinis interesas.“
Pašnekovė pastebi, kad dažniausiai klaidingai manoma, jog vienintelis tinkamas pagrindas yra asmens sutikimas. Nors sutikimas yra dažnai naudojamas pagrindas, visgi jis turi ir trūkumų, kurie vėliau gali atsiliepti įmonės veikloje. Didžiausias minusas yra tai, kad asmuo gali bet kuriuo metu nemokamai sutikimą atšaukti. „Tokiu atveju jūs būsite priversti jo teisę įgyvendinti ir duomenis pašalinti. Tad, pavyzdžiui, jei būsite sukūrę reprezentacinį įmonės filmuką, kuriame esantis darbuotojas atšauks savo sutikimą dėl jo atvaizdo naudojimo videoturinyje, reikėtų apgalvoti, ką tokiu atveju darysite“, – pavyzdį pateikia teisininkė.
Šią situaciją galima spręsti pasitelkiant kitus teisinius pagrindus asmens duomenims tvarkyti. Tad svarbu iš anksto apsvarstyti, kuris teisinis pagrindas bus tinkamiausias ir sukels mažiausiai iššūkių ateityje.
Dažniausios klaidos
BDAR pritaikymas vis dar kasdien kelia nemažai klausimų verslui. Nors kai kurios taisyklės, atrodytų, savaime suprantamos, tačiau pažeidimų netrūksta. Dažniausiai, pasak G. Dailidėnaitės, pasitaiko problemų, susijusių su neteisėtu duomenų atskleidimu, tiesioginės rinkodaros vykdymu, vaizdo stebėjimu ir netgi elementarios informacijos asmeniui apie tai, kaip tvarkomi jo duomenys, pateikimu.
„Labai dažnas atvejis, kai siunčiami pasiūlymai telefonu ar elektroniniu paštu, neturint tam sutikimo ar kito teisėto pagrindo. Taip pat dažnai pasitaiko, kad nėra aišku, kokie duomenys tvarkomi, kokiu tikslu tai daroma. Kartais renkama daugiau duomenų, nei jų iš tiesų reikia. Pavyzdžiui, jeigu reikia tvarkyti informaciją apie darbuotojo vaikus, siekiant užtikrinti tėvams tinkamas darbo sąlygas ar teisingą atleidimo procesą, dažnu atveju pakanka tik vaiko gimimo datos. Visgi įmonės dažnai renka ir gimimo liudijimų kopijas. Tai – perteklinė informacija“, – pabrėžia advokatė.
Dar viena išties opi problema – įmonių kreipimasis į teisininkus tik tada, kai gaunamas asmens skundas. Asmens duomenų apsauga, pasak teisininkių, būtina rūpintis nuosekliai. Dokumentacija turi būti aiški, tvarkinga. G. Dailidėnaitė atkreipia dėmesį, kad naudoti internete rastus šablonus taip pat nėra tikslinga, nes kiekvienas dokumentas turi būti pritaikytas pagal individualų įmonės poreikį.
Svarbu suvokti, kad kiekvienas asmuo privalo būti informuojamas apie jo asmens duomenų tvarkymą. Lygiai taip pat įmonėje rekomenduojama turėti asmenį, atsakingą už asmens duomenų apsaugą. „Mes dažnai matome, kad asmens duomenų apsaugos klausimai paliekami likimo valiai. Įmonėje nėra vieno ar kelių asmenų, kurie žinotų atsakymus į su asmens duomenų tvarkymu susijusius klausimus, būtų susipažinę su vykstančiais procesais. Tai yra labai svarbu, nes, esant pažeidimui, įmonė turi labai mažai laiko tam įvertinti ir asmens duomenų apsaugos inspekcijai informuoti. Kai nėra vieno ar kelių atsakingų asmenų, labai sunku operatyviai surinkti reikiamus duomenis“, – teigia G. Dailidėnaitė.
Kasdienės patirtys
Reglamento reikalavimai kasdienėje veikloje kartais pamirštami visai netyčia. Pasitaiko kasdieniškų situacijų, kuriose darbuotojai ar įmonės atstovai gali net nesusimąstyti, kad daromas pažeidimas.
„Jeigu įmonėje yra priimta sveikinti visus darbuotojus su gimimo diena ir komunikacijos atstovas savo patogumui kompiuteryje renka kiekvieno gimimo datą, tai jau yra asmens duomenų tvarkymas konkrečiu tikslu. Toks darbuotojas veikia įmonės vardu. Viskas čia būtų paprasta iki tol, kol bus pareikalauta duomenis ištrinti. Jei įmonėje nėra vienos standartizuotos sistemos, kurioje duomenys kaupiami, įgyvendinti darbuotojo teisę nesutikti su duomenų tvarkymu ar kitas teises gali būti sudėtinga. Jau nekalbu apie tokį dalyką kaip įsitikinimas, ar visgi turite teisėtą pagrindą tokiam duomenų tvarkymui ir viešam darbuotojų sveikinimui“, – pasakoja Š. Prankonytė-Segen.
Kalbėdamos apie darbuotojų asmens duomenų tvarkymą, teisininkės pamini, kad darbuotojo sutikimas yra galiojantis ir tinkamas tik tada, kai yra gautas laisva valia. Darbuotojas negali patirti jokių neigiamų pasekmių dėl to, kad nesutinka su asmens duomenų tvarkymu. Taip pat pastebima, kad kiekvieną situaciją galima vertinti iš skirtingų perspektyvų.
„Nutinka, tarkime, taip, kad įmonės kolektyvo renginio metu daromos nuotraukos. Jeigu jūs šypsotės į objektyvą ir pozuojate, galima daryti prielaidą, kad jūs kaip ir davėte sutikimą būti fotografuojami. Tačiau svarbu pastebėti, kad toks sutikimas galioja tik fotografavimui. Nuotraukai viešinti ir publikuoti, pavyzdžiui, įmonės „Facebook“ paskyroje, jūsų sutikimas nebuvo duotas. Tad, atlikus tokius veiksmus, tai gali būti traktuojama kaip pažeidimas“, – situaciją aptaria G. Dailidėnaitė.
Organizuojate renginį?
Tuomet „bzn start” gali pasiūlyti puikią galimybę išviešinti Jūsų renginį ir padėti pritraukti potencialių dalyvių.