Logo picture
Kontaktai

Ką turime žinoti apie įmonėse taikomą privatumo politiką?

2022-05-05

Tomas Tobulevičius, Advokatų profesinė bendrija „Constat“

Asmens privatumas yra viena iš pagrindinių asmens teisių, kuri tapo itin aktualia, kai didelė dalis mūsų kasdieninės veiklos persikėlė į virtualią, skaitmeninę erdvę. Naudodamiesi virtualios erdvės suteiktomis galimybėmis, mes sąmoningai, o kartais ir nesąmoningai, dalinamės daugybe asmeninės informacijos. 

Taigi, privatumo politika – tai, paprastai, interneto svetainėje jos lankytojams pateikiamas dokumentas, kuriame paaiškinama, kaip organizacija (teisinė jos forma – nesvarbi) renka, tvarko, saugo, naudoja ir panaikina svetainės lankytojo pateiktus asmens duomenis. Kitaip tariant – kaip tvarkomi duomenų subjekto asmens duomenys.

Bendrajame duomenų apsaugos reglamente (BDAR), 12, 13 ir 14 straipsniuose pateikiama išsami informacija apie privatumo politiką ir apie tai, kaip svarbu, kad informacija susijusi su duomenų tvarkymu, duomenų subjektui būtų pateikta glaustai, skaidriai, suprantamai ir lengvai prieinama forma, aiškia ir paprasta kalba.

Kad ir kur būtų įsikūrusi įmonė, jei ji vykdo veiklą Europos Sąjungoje (ES) arba tvarko ES esančių svetainės naudotojų asmeninę informaciją, ji privalo laikytis BDAR reikalavimų bei parengti lengvai suprantamą ir prieinamą privatumo politiką. Be to, būtina užtikrinti, kad, prieš pradėdama rinkti bet kokią asmeninę informaciją, įmonė gautų nedviprasmišką naudotojų sutikimą.

Siekiant, jog privatumo politika būtų pripažinta atitinkančia BDAR reikalavimus, joje turi būti keletas labai konkrečių nuostatų. Skirtingai nuo kai kurių kitų privatumo teisės aktų, BDAR yra aktyviai įgyvendinamas, o jo nesilaikančioms įmonėms gresia didelės baudos, siekiančios milijonus eurų.

Toliau šiame straipsnyje apžvelgsime esmines nuostatas, kurios privalo būti privatumo politikoje.

Informacija apie tai, kas tvarko duomenis

Pirmiausia svarbu nustatyti, kas iš tikrųjų renka ir tvarko svetainės lankytojų duomenis. BDAR 13 straipsnio 1 dalies a punkte reikalaujama, kad duomenų subjektams būtų pateikta informacija apie duomenų valdytojo ir duomenų valdytojo atstovo tapatybę bei kontaktinius duomenis. Tai paprastai yra įmonės, kuri renka svetainės lankytojų duomenis pavadinimas, kodas, buveinė ir kita kontaktinė informacija. Be to, reikėtų nurodyti ir duomenis, kuriais galima susisiekti su duomenų apsaugos pareigūnu (jeigu toks paskirtas).

Informacija apie tai, kokiu teisiniu pagrindu yra tvarkomi asmens duomenys

BDAR 13 straipsnio 1 dalies c punkte reikalaujama, kad duomenų subjektams būtų pateikta informacija apie asmens duomenų tvarkymo tikslus, kuriais asmens duomenys tvarkomi, bei apie teisinį duomenų tvarkymo pagrindą.

BDAR numato šešis skirtingus asmens duomenų tvarkymo teisinius pagrindus. BDAR 6 straipsnio 1 dalyje nustatyta, kad duomenų tvarkymas yra teisėtas tik tuo atveju, jeigu taikoma bent viena iš šių sąlygų:

  1. a) Duomenų subjektas davė sutikimą;
  2. b) Tvarkyti duomenis būtina siekiant įvykdyti sutartį, kurios šalis yra duomenų subjektas;
  3. c) Tvarkyti duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė;
  4. d) Tvarkyti duomenis būtina siekiant apsaugoti gyvybinius duomenų subjekto ar kito fizinio asmens interesus;
  5. e) Tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas;
  6. f) Tvarkyti duomenis būtina siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų

Galima manyti, kad trys iš paminėtų pagrindų yra ypač svarbūs įmonėms – tai sutikimas, sutarties vykdymas ir teisėtas interesas.

Tačiau neužtenka tik įvardinti duomenų tvarkymo teisinius pagrindus – būtina ir paaiškinti kiekvieno pagrindo argumentus. Be to, privaloma suteikti informaciją naudotojams apie jų teisę nesutikti su tam tikru duomenų tvarkymu ir suteikti duomenų subjektui galimybę tai įgyvendinti.

Kokiais tikslais renkami asmens duomenys

Kitas reikalavimas, kylantis iš BDAR 13 straipsnio 1 dalies c punkto – pateikti tikslus, kuriais tvarkomi asmens duomenys. Jie turi būti tvarkomi konkrečiais tikslais, kuriuos įmonė ar organizacija privalo nurodyti asmenims. Įmonė ar organizacija negali tiesiog rinkti asmens duomenų, neturėdama apibrėžtų tikslų (BDAR numatytas tikslo apribojimo principas). Informacija apie kiekvieną duomenų tvarkymo tikslą turėtų būti išsami, detali ir lengvai suprantama. Tikslus galima būtų suskirstyti į keletą kategorijų, pvz., vidiniai organizacijos asmens duomenų tvarkymo tikslai (vidinė komunikacija, darbuotojų asmens duomenų tvarkymas, pretendentų asmens duomenų tvarkymas, auditas ir kt.) ir išoriniai organizacijos asmens duomenų tvarkymo tikslai (pateiktų klientų klausimų sprendimas, asmenų saugumas (vaizdo kameros), sutarčių sudarymas, mokėjimų kontrolė ir kt.).

Kokie asmens duomenys renkami

Vien teiginio, kad įmonė ar organizacija renka asmens duomenis, nepakanka.  Kitas svarbus dalykas, kurį reikia įtraukti į privatumo politiką, yra tikslūs asmens duomenų, kurie renkami ir tvarkomi, tipai. Paprastai renkami asmens duomenys yra kelių tipų: duomenys, susiję su asmeniu (vardas, pavardė), kontaktiniai duomenys (telefono numeris, el. pašto adresas, gyv. adresas), duomenys, susiję su interneto svetainės lankytojo galiniais įrenginiais (IP adresas, MAC adresas, koks įrenginys, kiek laiko užtruko svetainėje). Galinių įrenginių duomenys susiejami su laikinu identifikatoriumi, kuris paprastai pašalinamas pasibaigus kiekvienai naršymo sesijai.

Duomenų saugojimo terminas

BDAR 12 straipsnio 2 dalies a punkte numatytas dar vienas svarbus reikalavimas. Jis įpareigoja organizaciją informuoti savo svetainės lankytojus apie tai, kiek laiko bus saugomi asmens duomenys, arba, jei tai neįmanoma, apie kriterijus, kuriais remiantis tas laikotarpis nustatomas. Duomenų saugojimo terminas nustatomas atsižvelgiant į tai, kokiais tikslais tvarkomi asmens duomenys, ne ilgiau nei to reikalauja nustatyti duomenų tvarkymo tikslai. Duomenų tvarkymo terminas taip pat siejamas su teisės aktuose numatytais įpareigojamais saugoti asmens duomenis tam tikrą terminą (pvz., darbo sutartis saugoma 50 metų nuo sutarties nutraukimo).

Kam perduodami asmens duomenys

Pagal BDAR 13 straipsnio 1 dalies f punktą reikalaujama, kad duomenų valdytojas pateiktų duomenų subjektui informaciją apie tai, kad duomenų valdytojas ketina perduoti asmens duomenis į trečiąją valstybę arba tarptautinei organizacijai. BDAR 13 straipsnio 1 dalies e punkte reikalaujama pateikti informaciją apie asmens duomenų gavėjus arba gavėjų kategorijas, jei tokių yra. Čia paminėtos dvi skirtingos kategorijos: viena – kai perduodama tarptautiniu mastu, t.y. trečiajai šaliai, kuri nepriklauso ES ar Europos ekonominei erdvei (EEK), kita – kai asmens duomenys perduodami ES ir EEE viduje, bet kitam, paprastai verslo, subjektui. Taigi, duomenys gali būti perduodami „viduje“ grupės įmonių, mokesčių administratoriui, bankams, duomenų centrams, debesijos paslaugas teikiančioms įmonėms, svetainės administratoriams ir kt.

Asmens duomenis perduodant už ES / EEE ribų, taikomos tam tikros sąlygos. Be to, kad duomenys gali būti perduodami, kai tai yra būtina siekiant įgyvendinti tikslus, dėl kurių tie duomenys yra surinkti ir valdomi, būtinos papildomos sąlygos, t.y. duomenys už ES / EEE ribų gali būti perduodami, jei yra įgyvendinta bent viena iš šių priemonių:

  • Europos Komisija yra pripažinusi, kad valstybė užtikrina pakankamo lygio asmens duomenų apsaugą;
  • Yra sudaryta sutartis pagal standartines Europos Komisijos patvirtintas sąlygas;
  • Laikomasi elgesio kodeksų ar taikomos kitos apsaugos priemonės pagal Bendrąjį duomenų apsaugos reglamentą.

Būtina prisiminti, kad, norint perduoti trečiajai šaliai asmens duomenis, reikalinga su ja pasirašyti duomenų tvarkymo sutartį.

Informacija apie duomenų subjektų teises

BDAR 13 straipsnio 2 dalies b punkte numatyta, kad privatumo politikoje taip pat turėtų būti pateikta informacija apie duomenų subjektų teises. Esminės duomenų subjekto teisės yra šios: teisė būti informuotam, teisė susipažinti su savo asmens duomenimis, teisė į duomenų ištaisymą, teisė ištrinti duomenis, teisė apriboti duomenų tvarkymą, teisė į duomenų perkeliamumą, teisė nesutikti.

Kartu su paminėtų teisių sąrašu privaloma pateikti ir būdą, kaip jomis pasinaudoti, t.y. suteikti realią galimybę nesudėtingu būdu kreiptis į duomenų valdytoją dėl savo teisių įgyvendinimo. Svarbu nepamiršti suteikti informaciją ir apie duomenų subjekto teisę pateikti skundą priežiūros institucijai (Lietuvoje tai Valstybinė duomenų apsaugos inspekcija).

Informacija apie tai, kaip svetainės naudotojai bus informuojami apie pasikeitusią politiką

Į privatumo politiką būtina įtraukti informaciją apie naudotojų ir lankytojų informavimą dėl privatumo politikos pakeitimų ar atnaujinimų. Svetainės naudotojai turi žinoti, ar nuo tada, kai politiką skaitė paskutinį kartą, ji buvo pakeista. Paprastai įtraukiama nuostata apie tai, kad atnaujinus ar pakeitus privatumo politikos nuostatas, informacija apie tai talpinama interneto svetainėje, nurodant pakeitimų datą.

Įvertinus pateiktą informaciją, norint, kad privatumo politika būtų aiški ir suprantama paprastam vartotojui, joje turėtų atsispindėti aukščiau išvardintos esminės nuostatos. Be abejo, Svarbu, jog politikoje numatytos nuostatos būtų realiai įgyvendintos organizacijoje.

Atkreiptinas dėmesys, kad, pažeidus BDAR nuostatas, gali būti skiriamos administracinės baudos, kurios gali siekti iki 2–4 proc. ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, arba iki 10 -20  milijonų eurų.  Asmens duomenų teisinės apsaugos įstatyme viešajam sektoriui numatytos baudos iki 0,5–1 proc. metinio biudžeto, bet ne daugiau, kaip iki 30–60 tūkstančių eurų.

Back to listAtgal į sąrašą
Turite Klausimų?

    Advokatų profesinė bendrija „Constat“

    Adresas: Laisvės pr. 10, LT-04215 Vilnius („Business Garden Vilnius“, A korpusas, 5 aukštas)

    Tel. nr.: +370 615 97859

    El. paštas: info@constat.lt

    Juridinio asmens kodas: 305218949

    PVM mokėtojo kodas: LT 100012727513

    A. S. LT45 7300 0101 5978 5697

    Swedbank AB, Swift kodas HABALT22