Klientų asmens duomenys: ką turi žinoti verslas

O ar žinote, kad 2018 m. įsigaliojus Bendrajam duomenų apsaugos reglamentui, baudos, kurios gali būti paskirtos bendrovėms, netinkamai tvarkančioms asmens duomenis sieks iki 20 mln. Eur, arba iki 4% bendrovės finansinių metų apyvartos?

Verslui būtina žinoti, kad daugelis ar net dauguma grėsmių duomenų saugumui kyla dėl žmogiškojo faktoriaus ir dėl „minkštųjų“ priemonių nepakankamumo, t.y. neužtikrinimas techninis saugumas arba dar blogiau - jis yra pažeidžiamas. Kaip rodo praktika, priežastis yra labai paprasta – dėl nepakankamo rizikų supratimo taikomos netinkamos techninės apsaugos priemonės.

Reglamentas palengvina įmonių administracinę naštą bei suteikia joms galimybes savarankiškai vertinti su savo veikla susijusias rizikas, tačiau iš kitos pusės – sugriežtina bendrovių pareigas duomenų apsaugos srityje. Numatyti aukšti atskaitomybės standartai, apimantys poveikio vertinimus, duomenų apsaugos pareigūno skyrimą, pranešimą apie duomenų saugumo pažeidimus.

Tačiau tam, kad bet koks verslas galėtų adaptuotis prie pokyčių, jau šiandien reikia sukurti pagrindus teisėtam asmens duomenų tvarkymui. Pagrindinė klaida, kurią daro verslas – klaidingas manymas, kad jokių asmens duomenų aš netvarkau. Paprastai užtenka vien fakto, kad verslas naudojasi elektroninėmis ryšio priemonėmis, tam, kad būtų nustatyta, jog jis tvarko fizinių asmenų duomenis. Svarbu paminėti, kad sąvoka „tvarkymas“ šiame kontekste turi daug platesnę reikšmę nei faktinis asmens duomenų tvarkymas: tai ir rinkimas, užrašymas, kaupimas, saugojimas, klasifikavimas, grupavimas, jungimas, keitimas (papildymas ar taisymas), teikimas, paskelbimas, naudojimas, loginės ir (arba) aritmetinės operacijos, paieška, skleidimas, naikinimas ar kitoks veiksmas arba veiksmų rinkinys.

Taigi, jei jau išsiaiškinome, kad vis dėlto verslas tokius duomenis renka, kitame etape reikia identifikuoti, ar tie asmens duomenys yra renkami teisėtai, t.y. ar verslas turi teisėtą pagrindą tą daryti? Įstatymas nustato baigtinį sąrašą pagrindų, leidžiančių teisėtai tvarkyti asmens duomenis. Verslas paprastai asmens duomenų rinkimą gali pagrįsti tik sutartimi, sudaryta su asmens duomenų subjektu, kurioje aptartas asmens duomenų tvarkymas, arba aiškiai duomenų subjekto išreikštu sutikimu.

Esant teisėtam pagrindui tvarkyti asmens duomenis, reikalavimai teisėtam asmens duomenų tvarkymui nesibaigia. Verslas automatiniu būdu (pvz., kompiuterio pagalba) tvarkantis asmens duomenis apie tai turi privalomai pranešti Valstybinei duomenų apsaugos inspekcijai, vadovaujantis Valstybinės duomenų inspekcijos patvirtintomis taisyklėmis. Registracija yra nemokama.

Tuo atveju, jeigu ketinate tvarkyti asmens duomenis, pavyzdžiui, internetinės prekybos tikslu, tuomet turite užpildyti pranešimo apie duomenų tvarkymą elektroninės prekybos tikslu formą. Asmens duomenis tvarkant tiesioginės rinkodaros tikslu, turite užpildyti pranešimo apie duomenų tvarkymą automatiniu būdu tiesioginės rinkodaros tikslu formą, o vykdant vaizdo stebėjimą – pranešimo apie vykdomą vaizdo stebėjimą formą. Duomenų valdytojai, ketinantys tvarkyti srauto duomenis, pildo pranešimo apie srauto duomenų tvarkymą formą.

Taip pat įstatymo nustatytais atvejais, pavyzdžiui, kai automatiniu būdu ketinate tvarkyti ypatingus asmens duomenis (duomenys, susiję su fizinio asmens rasine ar etnine kilme, politiniais, religiniais, filosofiniais ar kitais įsitikinimais, naryste profesinėse sąjungose, sveikata, lytiniu gyvenimu, taip pat informacija apie asmens teistumą), Valstybinė duomenų apsaugos inspekcija atlieka išankstinę patikrą. Tuomet verslas ne vėliau kaip prieš 2 mėnesius iki numatomų duomenų tvarkymo veiksmų pradžios pranešti inspekcijai apie tokius veiksmus. Tokie duomenų tvarkymo veiksmai gali būti atliekami tik gavus Valstybinės duomenų apsaugos inspekcijos leidimą.

Be viso to, kiekviena bendrovė, tvarkanti fizinių asmenų duomenis, privalo turėti rašytinės formos dokumentą, pavyzdžiui, asmens duomenų tvarkymo taisykles, kurios turi atitikti Bendruosius reikalavimus organizacinėms ir techninėms asmens duomenų saugumo priemonėms.

Valstybinė duomenų inspekcija, siekdama išsiaiškinti asmens duomenų tvarkymo teisėtumą bei įgyvendinamų duomenų saugumo priemonių tinkamumą, nuolatos atlieka duomenų tvarkymo teisėtumo patikrinimus. Pavyzdžiui, kaip matyti, iš viešai skelbiamų duomenų, Valstybinė duomenų apsaugos inspekcija, atlikusi asmens duomenų tvarkymo teisėtumo patikrinimus 7 kelionių agentūrose, visose nustatė pažeidimus.

Tikrinimo metu nustatyta, kad 5 kelionių agentūros tvarkė asmens duomenis (vardą, pavardę, gimimo datą, telefono ryšio numerį, elektroninio pašto adresą, asmens tapatybės dokumento duomenis, duomenis apie skrydžio informaciją ir kitą) aviabilietų paradavimo tikslu prieš tai nepranešusios Valstybinei duomenų apsaugos inspekcijai; 4 agentūros neturėjo dokumento reglamentuojančio asmens duomenų tvarkymą; 4 kelionių agentūrų sutartyse su duomenų tvarkytojais nebuvo nurodyta, kokius konkrečius asmens duomenų tvarkymo veiksmus šios kelionių agentūros įgaliotos atlikti bei kokias privalo įgyvendinti organizacines ar technines asmens duomenų saugumo priemones; 4 kelionių agentūros interneto svetainėse duomenų subjektams nebuvo pateikusios informacijos apie asmens duomenų tvarkymą, kaip to reikalauja įstatymas (pvz., kokiais tikslais yra tvarkomi asmens duomenys, kam ir kokiais tikslais duomenys yra teikiami, kokius savo asmens duomenis duomenų subjektas privalo pateikti ir kokios yra duomenų nepateikimo pasekmės, duomenų subjekto teisės ir pan.) ir t.t.

Primenu, kad verslas turi suskubti ir įsivertinti tvarkomų asmens duomenų operacijas ir jų atitiktį galiojančių teisės aktų reikalavimams arba patikėti tai specialistams, nusimanantiems šios ypatingai jautrios srities specifiką. Mažais, bet užtikrintais žingsniais mes galime padėti Jums įteisinti ir padėti teisėtai tvarkyti asmens duomenis, parengiant ne tik visus privalomus turėti dokumentus, bet patariant dėl tinkamų priemonių, siekiant apsaugoti duomenis, bei, padedant suprasti reglamente numatytus pakeitimus ir patariant dėl reglamento reikalavimų įgyvendinimo.

Tuo tarpu sektorines verslo asociacijas skatiname pasirengti elgesio kodeksus, kurie padėtų įgyvendinti reglamentą, detalizuojant reglamento nuostatas konkretaus sektoriaus (pvz., telekomunikacijos įmonėms, debesijos paslaugų teikėjams ir pan.) poreikiams.

Komentaro autorius – dr. Vilius Nikitinas, teisinių paslaugų platformos „Bita Law“ vadovas