Naujienos

Ką svarbu žinoti apie asmens duomenų apsaugą?

  2024-01-26

Sričių, reikalaujančių nuolatinio dėmesio užtikrinant asmens duomenų apsaugą, šiuo metu tikrai daug. Ką svarbu žinoti? Artėjant Europos duomenų apsaugos dienai, minimai sausio 28-ąją, kalbamės su Lietuvos žemės ūkio konsultavimo tarnybos vyriausiąja teisininke, atliekančia duomenų apsaugos pareigūnės funkcijas, Agne Siniauskiene. 

Kodėl svarbu žinoti apie asmens duomenų apsaugos reikalavimus? 

Visi neišvengiamai ir gyvenime, ir darbinėje veikloje vienu ar kitu būdu tvarkome asmens duomenis. Pagal ES Bendrąjį duomenų apsaugos reglamentą asmens duomenys yra bet kokia informacija, susijusi su fiziniu, gyvu asmeniu, kurio tapatybė gali būti nustatyta. 

Asmens duomenis galima aptikti ne tik dokumentuose, kuriuose nurodomas jo vardas, pavardė, kodas ir telefono numeris. Asmens duomenimis laikomas ir IP adresas, pirkimo įpročiai, pomėgiai, buvimo vieta ir t. t. Net ir akių, plaukų spalva tam tikru atveju gali būti laikoma asmens duomenims, jei konkrečiame kontekste pagal šiuos išvaizdos bruožus galima identifikuoti konkretų asmenį. 

Svarbu žinoti specialius asmens duomenis (rasinė ar etninė kilmė, politinės pažiūros, religiniai ar filosofiniai įsitikinimai ar narystė profesinėse sąjungose, taip pat genetiniai duomenys, biometriniai duomenys, kurie naudojami siekiant konkrečiai nustatyti fizinio asmens tapatybę, sveikatos duomenys arba duomenys apie fizinio asmens lytinį gyvenimą ir lytinę orientaciją), nes jų tvarkymas nedraudžiamas tik tuo atveju, jei atitinka specialius asmens duomenų tvarkymui keliamus reikalavimus, nustatytus ES Bendrojo duomenų apsaugos reglamento 9 straipsnyje. 

Asmens duomenų tvarkymas taip pat turėtų būti suprantamas plačiai, nes jų tvarkymu laikomas ne tik asmens duomenų rinkimas, persiuntimas ar platinimas, bet ir susipažinimas, duomenų keitimas, apribojimas ar ištrynimas. Taigi, bet kokia operacija su asmens duomenimis yra laikoma asmens duomenų tvarkymu. 

Žinoti asmens duomenų apsaugos reikalavimus yra svarbu, nes jų tvarkymas laikomas teisėtu tik tuo atveju, jei atitinka duomenų tvarkymui keliamus reikalavimus. Svarbu, kad asmens duomenys būtų tvarkomi laikantis teisėtumo, sąžiningumo ir skaidrumo principo, tikslo apribojimo principo, duomenų kiekio mažinimo principo, tikslumo principo, saugojimo trukmės apribojimo principo, vientisumo ir konfidencialumo principo. 

Taip pat svarbu, kad asmens duomenys būti tvarkomi tik tuo atveju, kai yra asmens duomenų tvarkymo teisėtas pagrindas, t. y. sutikimas, sutarties vykdymas, teisinė prievolė, teisėtas interesas, viešasis interesas ar gyvybiniai interesai. Turi būti vienas iš šių asmens duomenų tvarkymo pagrindų. Pavyzdžiui, jei su tiekėju yra sudaryta paslaugų teikimo sutartis, asmens duomenys, būtini tinkamai įgyvendinti sutartį, turėtų būti tvarkomi sutarties vykdymo pagrindu, o sutikimas šiuo atveju nereikalingas. Sutikimas, kaip teisėtas asmens duomenų tvarkymo pagrindas, turėtų būti naudojamas tik tuo atveju, jei jį duomenų subjektas gali bet kada panorėjęs atšaukti. Negali būti taip, kad sutikimas yra ir sutarties sąlyga, ir duomenų subjektas neturi realios laisvės pasirinkti dėl sutikimo davimo ar nedavimo. 

Taip pat žinoti asmens duomenų reikalavimus naudinga ir ginant savo, kaip asmens duomenų subjekto, teises, t. y. teisę būti informuotam apie asmens duomenų tvarkymą, teisę susipažinti su asmens duomenimis, teisę reikalauti ištaisyti duomenis, teisę reikalauti ištrinti duomenis, teisę apriboti duomenų tvarkymą, teisę į duomenų perkeliamumą, teisę nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi, teisę nebūti automatizuotai vertinimam ir profiliuojamam, teisę atšaukti sutikimą. 

Taigi, asmens duomenų tvarkymo reikalavimų nežinojimas gali lemti tai, kad duomenys bus tvarkomi netinkamai, taip pat asmens duomenų subjektai negalės pasinaudoti savo teisėmis. Duomenų apsaugai ir duomenų tvarkymui keliamų reikalavimų išmanymas padės savo veikloje duomenis tvarkyti teisėtai ir nesukels papildomų rūpesčių. 

Kurios duomenų apsaugos sritys pačios jautriausios? 

Išskirčiau specialių kategorijų asmens duomenų tvarkymą, nes dėl jų atskleidimo gali kilti didelis pavojus pagrindinėms žmogaus teisėms ir laisvėms. Specialių kategorijų asmens duomenys yra rasinė ar etninė kilmė, politinės pažiūros, religiniai ar filosofiniai įsitikinimai ar narystė profesinėse sąjungose, taip pat genetiniai duomenys, biometriniai duomenys, siekiant konkrečiai nustatyti fizinio asmens tapatybę, sveikatos duomenys arba duomenys apie fizinio asmens lytinį gyvenimą ir lytinę orientaciją. Šie duomenys yra jautrūs, nes būtent dėl jų neteisėto atskleidimo duomenų subjektas gali būti diskriminuojamas, pasinaudojus šiais asmens duomenimis prieš asmenis gali būti vykdomi neapykantos nusikaltimai ir kt. Šių duomenų tvarkymas pagal ES Bendrąjį duomenų apsaugos reglamentą yra nedraudžiamas tik tuo atveju, kai yra tenkinama viena iš specialių sąlygų (BDAR 9 straipsnis). Pavyzdžiui, sveikatos duomenų tvarkymas nėra draudžiamas profilaktinės ir darbo medicinos tikslais. 

Kokių asmens duomenų saugumas aktualus ūkininkams, nedidelių įmonių verslininkams? Kodėl? 

Ūkininkams ir verslininkams aktualus darbuotojų, įskaitant buvusiųjų ir potencialių, asmens duomenų saugumas, klientų, įskaitant buvusiųjų ir potencialių, asmens duomenų saugumas, tiekėjų, rangovų asmens duomenų saugumas ir kitų fizinių asmenų duomenų, tvarkomų ūkio ir įmonės veikloje, saugumas.

Atitiktis Bendrojo duomenų apsaugos reglamento ir kitų teisės aktų, reglamentuojančių asmens duomenų apsaugą, reikalavimams yra būtina kiekvienai įmonei, ūkiui, turinčiam darbuotojų, klientų ir tvarkančiai asmens duomenis, leidžiančius identifikuoti konkretų fizinį asmenį.

Kaip išvengti problemų dėl asmens duomenų apsaugos pažeidimų?

Norint išvengti problemų, duomenis reikėtų tvarkyti laikantis anksčiau minėtų asmens duomenų tvarkymo principų ir tik turint teisėtą asmens duomenų tvarkymo pagrindą, netvarkyti specialių kategorijų duomenų arba juos tvarkyti tik taikant ES Bendrajame duomenų apsaugos reglamente nurodytas sąlygas.

Taip pat tvarkant asmens duomenis rekomenduojama pasirengti vidinius dokumentus, taisykles, privatumo politikas, kuriuose turėtų būti aprašytas asmens duomenų tvarkymas įmonėje, nes būtent duomenų valdytojas (įmonė) turėtų įrodyti, kad asmens duomenys yra tvarkomi teisėtai ir apie jų tvarkymą duomenų subjektai yra tinkamai informuoti.

Pavyzdžiui, įmonės arba ūkio darbuotojai informaciniais lipdukais turėtų būti informuojami apie įmonėje ar ūkyje vykdomą vaizdo stebėjimą, parengtomis vaizdo stebėjimo taisyklėmis ir kt.

Taip pat svarbu, kad parengti dokumentai būtų nuolat ir sistemiškai peržiūrimi, t. y. neužtenka tik formaliai pasirengti dokumentus, turi būti ir reali atitiktis praktikoje. Taigi, jei asmens duomenys bus tvarkomi laikantis visų teisės aktų reikalavimų, problemų dėl jų tvarkymo nekils.

Dėkoju už pokalbį.

Kalbėjosi Jolanta Dalia Abarienė

Egidijaus Vilkevičiaus nuotrauka