BDAR: Asmens teisės

28.07.2020 BDAR: Asmens teisės

Komentaro autoriai – partneris Mindaugas Civilka, teisininkė Elvina Jurčiukonytė, jaunesnysis teisininkas Vilius Norvaišas

 

Kaip BDAR gina asmens teisę būti pamirštam

Belgijos duomenų apsaugos institucijos 2020 m. liepos 14 d. sprendimas: “Google Belgium SA”

Faktinė situacija: Google Belgium SA atsisakė tenkinti Belgijos piliečio prašymą pašalinti jo vardo ir pavardės nuorodas iš senų straipsnių, kuriuose analizuojami jo ryšiai su tam tikromis politinėmis partijomis, taip pat viešinta informacija apie jam pateiktus skundus dėl įtariamo priekabiavimo (kurie vėliau pripažinti nepagrįstais). Tokį sprendimą Google Belgium SA priėmė remdamasi visuomenės teise rasti ir žinoti šią informaciją. Belgijos pilietis teigė, kad tęstinis tokios informacijos pasiekiamumas internete daro žalą jo reputacijai.

Teisinė problema: Belgijos duomenų apsaugos institucija nurodė, kad tekstas apie piliečio ryšius su tam tikromis politinėmis partijomis galėtų išlikti internete, nes politinės partijos atlieka aktualų visuomenei vaidmenį. Tačiau straipsniai, kuriuose pateikiama informacija apie nepagrįstą priekabiavimą, asmens reputacijai gali sukelti rimtos žalos, todėl turėjo būti pašalinti. Google Belgium SA skirta 600 tūkst. EUR bauda.

Kas iš to? Asmuo turi teisę reikalauti, kad jo duomenys, tapę nebereikalingais jų tvarkymo tikslams (šiuo atveju, visuomenės informavimui) pasiekti, būtų pašalinti. Įmonės privalo atidžiai įvertinti asmens prašymą įgyvendinti BDAR jam suteikiamas teises, o atsisakymas turi būti pagrįstas.

  

Kodėl teisių įgyvendinimas turi būti nemokamas

Nyderlandų duomenų apsaugos institucijos 2020 m. liepos 6 d. sprendimas: “Dutch Credit Registration Bureau”

Faktinė situacija: Asmenims, kurie kreipėsi į Nyderlandų kredito registracijos biurą su prašymu pateikti informaciją apie tai, kokius jų asmenis duomenis tvarko įmonė, buvo išrašomos sąskaitos – informacijos pateikimo procedūra mokama. Metinis mokestis svyravo nuo 4,95 EUR iki 12,50 EUR. Tiesa, nemokamas duomenų gavimas buvo galimas, tačiau tik informaciją gaunant registruotu paštu ir tik vienąkart per metus.

Teisinė problema: Asmuo turi teisę susipažinti su savo duomenimis, kuriuos tvarko įmonė. Už tokios teisės įgyvendinimą verčiant susimokėti, pažeidžiami skaidraus informavimo, taip pat suprantamos, lengvai prieinamos formos reikalavimai duomenų pateikimui. Įmonei skirta 830 tūkst. EUR bauda.

Kas iš to? Įgyvendinti BDAR numatytas asmens teises, šiuo atveju, teisę susipažinti su tvarkomais duomenimis, asmeniui neturi būti sunku. Įmonė turi užtikrinti nemokamą ir lengvai prieinamą teisės susipažinti su tvarkomais duomenimis įgyvendinimą, net jei prašymui įvykdyti tenka skirti nemažai darbuotojų laiko ir pastangų.

 

Kokios informacijos negalima viešinti 

VAAT 2020 m. balandžio 8 d. sprendimas byloje Nr. El2-1249-789/2020

Faktinė situacija: ICOMOS LNK savo interneto svetainėje www.icomos.lt viešai skelbė savo atsiliepimą teismui, kuriame nurodyti J. M. asmens duomenys (vardas, pavardė, asmens kodas, adresas). Gavusi VDAI reikalavimą nutraukti asmens kodų skelbimą, šį raštą ICOMOS LNK taip pat paskelbė interneto svetainėje. ICOMOS LNK aiškino, jog yra nevyriausybinė organizacija, todėl vienas jos tikslų – viešinti savo veiklą. Be to, ji paviešino oficialiai gautus dokumentus, todėl teigė, kad pati neatskleidė jokių papildomų duomenų.

Teisinė problema: Asmens duomenys turi būti naudojami sąžiningai ir skaidriai. Pagal Asmens duomenų teisinės apsaugos įstatymą asmens kodas yra viešai neskelbtinas duomuo.

Teisė susipažinti su išnagrinėtos bylos medžiaga yra nustatyta specialiais teisės aktais (nusakančiais teisminį procesą), todėl savo interneto svetainėje viešinti procesinį dokumentą - teismui pateiktą atsiliepimą - ICOMOS LNK neturėjo jokio pagrindo.

Tai, kad ICOMOS LNK siekia skaidrinti savo veiklą bei užtikrinti veiklos duomenų prieinamumą, nepagrindžia jos teisės viešinti asmens duomenis. Be to, asmens duomenų paviešinimas interneto svetainėje, sudarant galimybę su jais susipažinti neapibrėžtam asmenų ratui, savaime reiškia, kad yra sukeliama žala asmeniui, kurio duomenys yra paviešinti. 

Kas iš to? Asmens kodas yra viešai neskelbtinas duomuo. Kiti asmens duomenys gali būti viešinami tik turint asmens sutikimą ar esant kitam įstatyme numatytam pagrindui (pvz., to reikalauja specialus teisės aktas, sutartis, pan.). priešingu atveju duomenų paviešinimu yra sukeliama žala asmens teisėms ir laisvėms.

 

Kaip elgtis įtariant, kad buvo pažeistos asmens teisės

VAAT 2020 m. vasario 18 d. sprendimas byloje Nr. el2-1090-872/2020

Faktinė situacija: Nors V. Č. buvo sumokėjusi anksčiau UAB “Sergel” turėtą skolą, tačiau gavo pakartotinį raginimą ją sumokėti. Tai rodė, kad UAB “Sergel” nėra atnaujinusi saugomų duomenų skolos įvykdymo faktu. V. Č. pasiskundė VDAI teigdama, kad UAB „Sergel“ atsisako taisyti neaktualius duomenis.

Teisinė problema: V. Č. turi teisę reikalauti ištaisyti netikslius duomenis ir teisę reikalauti ištrinti duomenis (būti pamirštam). Tačiau dėl šių teisių įgyvendinimo pareiškėja pirmiausia turėjo kreiptis į skundžiamą asmenį UAB „Sergel”, ir tik po to, nesulaukus skundą tenkinančių veiksmų, kreiptis į VDAI.

Kas iš to? Asmens teisės, kylančios iš BDAR, – teisė gauti informaciją apie renkamus su asmeniu susijusius duomenis, teisė reikalauti ištaisyti netikslius, ištrinti nebereikalingus duomenis ir kt. turi būti įgyvendinamos visų pirma kreipiantis į konkrečią duomenis tvarkančią įmonę.

 

Ką reikėtų žinoti saugant skirtingo pobūdžio duomenis

Vokietijos duomenų apsaugos institucijos 2019 m. spalio 30 d. sprendimas: „Deutche Wohnen“

Faktinė situacija: Nuomininkų asmens duomenų saugojimui įmonė Deutche Wohnen SE naudojo archyvų sistemą, kuri nesuteikė galimybės pašalinti nebereikalingus duomenis. Tiksliau, buvo saugomi plačios apimties duomenys apie asmeninę ir finansinę padėtį, atlyginimus, mokesčius, išrašai iš darbo ir mokymo sutarčių, socialinio ir sveikatos draudimo duomenų ir banko sąskaitų išrašai. Be to, nuomininkų asmens duomenys buvo saugomi ilgą laiką, tam nesant priežasties.

Teisinė problema: Nustatyta, kad Deutche Wohnen SE sąmoningai sukūrė archyvo struktūrą ir kad duomenys ilgą laiką buvo tvarkomi be teisinio pagrindo. Paskirta bauda už nustatytus duomenų apsaugos pažeidimus – 14,5 mln. EUR.

Kas iš to? Įmonė privalo sudaryti galimybę asmenims reikalauti, be kita ko, ištaisyti netikslius, taip pat pašalinti nebeaktualius asmens duomenis. Be to, įmonėje reikėtų sudaryti asmens duomenų saugojimo politiką, kurioje būtų įtvirtinti konkretūs saugojimo terminai ar apibrėžti jų nustatymo kriterijai.

Reikia nepamiršti, kad BDAR įtvirtintas duomenų kiekio mažinimo principas reikalauja, kad saugomi būtų tik reikalingi duomenys ir ne ilgiau, nei tai yra būtina (taikytina taisyklė need to know, bet ne nice to have).

 

Kaip tinkamai informuoti asmenis apie jų duomenų tvarkymą

Lenkijos duomenų apsaugos tarnybos (UODO) 2019 m. kovo 26 d. sprendimas: „Bisnode“

Faktinė situacija: Įmonė tvarkė asmens duomenis, gautus iš viešai prieinamų šaltinių, pvz., Centrinio elektroninio registro. Duomenys buvo tvarkomi komerciniais tikslais, tačiau apie tokį duomenų tvarkymą informuoti buvo tik tie asmenys, kurių el. paštus įmonė turėjo; kiti asmenys informuoti nebuvo. Nors įmonė turėjo pašto adresus, taip pat asmenų telefono numerius, tačiau nusprendė, kad informacijos pateikimas visiems pareikalautų pernelyg didelių veiklos sąnaudų (t. y. išsiųsti registruotus laiškus 6 mln. asmenų reikštų dideles tiek laiko, tiek finansines sąnaudas). Todėl informavimo sąlyga buvo įgyvendinta apie duomenų tvarkymą įmonei paskelbus savo interneto svetainėje.

Teisinė problema: Įmonė turi pareigą informuoti asmenį apie jo duomenų tvarkymą tais atvejais, kai duomenys yra gauti ne iš paties asmens. Šios pareigos nevykdymas atima galimybę asmeniui naudotis kitomis savo teisėmis pagal BDAR. Taigi įmonei buvo skirta 220 tūkst. EUR bauda.

Kas iš to? Įmonė, tvarkanti asmens duomenis, privalo imtis visų prieinamų priemonių, kad asmenims informacija apie jų duomenų tvarkymą (įmonės kontaktai, duomenų tvarkymo tikslai, pagrindai, duomenų kategorijos ir kt.) būtų pateikta. Informacijos apie vykdomą duomenų tvarkymą paskelbimas įmonės interneto svetainėje, kai asmuo nenumano apie jo duomenų tvarkymą, nėra pakankamas.