Pirmieji Bendrojo duomenų apsaugos reglamento taikymo metai: dažniausios klaidos ir ateities uždaviniai verslui.

2019-03-21

Giedrė Čitavičiūtė

Nuo 2018 m. gegužės 26 d. arba dienos, kai buvo pradėtas taikyti  2016 m. balandžio 27 d. Europos parlamento ir tarybos reglamentas (ES) 2016/679 “dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB” (toliau – Bendrasis duomenų apsaugos reglamentas arba Reglamentas), praėjo jau beveik metai, tačiau vis dar tenka susidurti su netinkamu Reglamento nuostatų interpretavimu ir konsultacijų poreikis dėl šio Reglamento taikymo ir veikimo praktikoje nemažėja.

Deja, ne taip retai pasitaiko nesusipratimų dėl Reglamento taikymo srities apimties interpretavimo, pavyzdžiui, į sutartis dėl asmens duomenų perdavimo ar į tvarkomų asmens duomenų sąrašą įtraukiami juridinių asmenų duomenys – pavadinimas, kodas, buveinės adresas, bendrasis telefono numeris ir pan. Atkreiptinas dėmesys, jog pagal Reglamento 1 straipsnį, apsauga taikoma išimtinai fizinių asmenų duomenims, todėl pavyzdžiui, duomenų valdytojas sudarydamas sutartį dėl duomenų perdavimo su duomenų tvarkytoju, prie perduodamų asmens duomenų kategorijų neturėtų traukti juridinių asmenų duomenų, pažymėtina, kad šie duomenys apskritai yra vieši ir nereikia susitarti dėl jų tvarkymo sąlygų. Juridinio asmens pavadinimas sutartyje dėl asmens duomenų perdavimo gali figūruoti tais atvejais, kai nurodomas kaip fizinio asmens darbo vieta, tačiau ne kaip savarankiška duomenų kategorija.

Taip pat dažna situacija, kai duomenų valdytojai duomenų tvarkymo teisėtumą grindžia išimtinai asmens sutikimu. Pabrėžiame, jog asmens sutikimas ne visais atvejais yra tinkamiausias duomenų tvarkymo pagrindas. Visų pirma, dažnai kiti teisėto duomenų tvarkymo pagrindai yra pakankami ir tinkami, o asmens sutikimas yra perteklinis, be reikalo apsunkinantis duomenų valdytojo veiklą ir užkraunantis papildomų administracinių rūpesčių. Pavyzdžiui, asmens sutikimas nėra reikalingas tais atvejais, kai duomenų valdytojas tvarko tokius asmens duomenis, be kurių nebūtų įmanoma įvykdyti pagrindinės sutarties su asmens duomenų subjektu, (parduodant prekes internetu nėra būtina gauti asmens sutikimą dėl jo kontaktinių duomenų tvarkymo, nenurodžius vardo, pavardės, adreso ir pan. pardavėjas tiesiog negalėtų perduoti prekių pirkėjui ir įvykdyti pirkimo-pardavimo sutarties). Taip pat asmens sutikimas nėra reikalingas, kai asmens duomenys tvarkomi dėl duomenų valdytojui taikomos teisinės prievolės – pavyzdžiui duomenų valdytojas yra įstatymu, poįstatyminiu aktu ar individualiu teisės aktu įpareigotas tvarkyti asmens duomenis ir asmens duomenų subjektas neturi teisės pasirinkti – sutikti ar ne su tokiu asmens duomenų tvarkymu (apgyvendinimo paslaugas teikiantys subjektai privalo rinkti ir saugoti svečių duomenis 5 metus[1], todėl viešbučio svečias neturi teisės atsisakyti nurodyti savo vardą, pavardę, paso numerį, ir kt.). Antra, asmens sutikimas nėra pagrindas išsprendžiantis visas duomenų valdytojo problemas ir apsaugantis nuo galimų grėsmių. Sutikimui Reglamentas numato griežtas sąlygas: jis turi būti aiškus, tokios formos, kad duomenų valdytojas galėtų jį įrodyti ir gautas dėl kiekvieno duomenų tvarkymo tikslo, vienas neapibrėžtos formos asmens sutikimas nebus laikomas tinkamu ir teisėtu pagrindu duomenų tvarkymui. Be to, asmuo bet kada gali atšaukti savo sutikimą. Dėl to asmens sutikimas, kaip asmens duomenų tvarkymo pagrindas, tik iš pirmo žvilgsnio atrodo kaip paprasčiausias ir universalus pagrindas tvarkyti asmens duomenims – akivaizdu, kad duomenų valdytojas turi išpildyti nemažai sąlygų siekdamas juo pasinaudoti ir asmuo bet kada gali jį atšaukti. Taigi, duomenų valdytojams kiekvienu atveju rekomenduojame adekvačiai įvertinti tvarkomas asmens duomenų kategorijas, jų tvarkymo tikslus ir pasirinkti tinkamiausią duomenų tvarkymo teisėtumo sąlygą, nepervertinant asmens sutikimo reikšmės.

Valstybinei duomenų inspekcija šiuo metu jau yra paskelbusi 2019 m. prevencinių patikrinimų planą, pagal kurį bus atlikti planiniai patikrinimai 75 įmonėse, ypatingą dėmesį skiriant sporto klubams, viešbučiams ir greitųjų kreditų bendrovėms. Pažymėtina, kad Valstybinė duomenų inspekcija taip pat gali vykdyti ir neplaninius patikrinimus gavusi skundų arba savo iniciatyva.

 

Iki Reglamento įsigaliojimo Valstybinės duomenų apsaugos inspekcijos skiriamų baudų dydžius nustatė Administracinių nusižengimų kodeksas – fiziniams asmenims buvo numatyta iki 150–1200 Eur bauda, juridinių asmenų vadovams ar kitiems atsakingiems asmenims – 300–3000 Eur. Įsigaliojęs Reglamentas žymiai kilstelėjo sankcijų kartelę – iki 10 000 000 EUR arba, įmonės atveju – iki 2 % jos ankstesnių finansinių metų bendros metinės pasaulinės apyvartos. Europos Sąjungos narių pavyzdžiai rodo, kad nacionalinės priežiūros institucijos drąsiai taiko Reglamente numatytas baudas: 2018 m. liepos mėn. Portugalijos ligoninei „Centro Hospitalar Barreiro Montijo“ – buvo skirta 400.000 Eur bauda už techninius ir organizacinius Reglamento pažeidimus, 2019 m. sausio 21 d. Prancūzijos duomenų apsaugos inspekcija paskyrė 50 mln. baudą Google LLC už skaidrumo ir informavimo principų pažeidimus.

Nors Lietuvoje kol kas neturime panašių Reglamento sankcijų taikymo pavyzdžių, tačiau visus duomenų valdytojus raginame nedelsti ir peržiūrėti vidines asmens duomenų tvarkymo taisykles, sutartis su duomenų tvarkytojais, veiklos įrašus, asmens duomenų tvarkymo politiką bei kitą vidinę įmonės asmens duomenų tvarkymo dokumentaciją. Nors Valstybinė duomenų apsaugos inspekcija viešai deklaruoja geranoriškumą duomenų valdytojų atžvilgiu ir paprastai pirmą kartą nustačius pažeidimus baudos nėra skiriamos, tačiau galimos sankcijos pernelyg didelės, kad būtų galima į duomenų apsaugą žiūrėti pro pirštus.

 

Mūsų kontora kaip tik specializuojasi ir rengia su asmens duomenų apsauga susijusius dokumentus, konsultuoja Bendrojo duomenų apsaugos reglamento taikymo klausimais. Pažymime, jog nuostolių rizika dėl netinkamo asmens duomenų tvarkymo yra tikrai didelė, todėl tikrai rekomenduojame į specialistus kreiptis anksčiau, nei prasidės Valstybinės duomenų apsaugos inspekcijos patikrinimas jūsų įmonėje.

 

 

[1] 2011 m. gruodžio 5 d. Valstybinio turizmo departamento prie Ūkio ministerijos direktoriaus įsakymas „Dėl apgyvendinamų valstybių narių ir kitų valstybių piliečių registravimo tvarkos aprašo patvirtinimo“ Nr. V-154.