BDAR: Asmens teisės

09.09.2020 BDAR: Asmens teisės

Komentaro autoriai – partneris Mindaugas Civilka, teisininkė Elvina Jurčiukonytė, jaunesnysis teisininkas Minvydas Balčiūnas

Kodėl asmuo turi teisę reikalauti pašalinti jo duomenis

Belgijos duomenų apsaugos institucijos 2020 m. liepos 14 d. sprendimas: “Google Belgium SA”

Faktinė situacija: Google Belgium SA atsisakė tenkinti Belgijos piliečio prašymą pašalinti jo vardo ir pavardės nuorodas iš senų straipsnių, kuriuose analizuojami jo ryšiai su tam tikromis politinėmis partijomis, taip pat viešinta informacija apie jam pateiktus skundus dėl įtariamo priekabiavimo (kurie vėliau pripažinti nepagrįstais). Tokį sprendimą Google Belgium SA priėmė remdamasi visuomenės teise rasti ir žinoti šią informaciją. Belgijos pilietis teigė, kad tęstinis tokios informacijos pasiekiamumas internete daro žalą jo reputacijai.

Teisinė problema: Belgijos duomenų apsaugos institucija nurodė, kad tekstas apie piliečio ryšius su tam tikromis politinėmis partijomis galėtų išlikti internete, nes politinės partijos atlieka aktualų visuomenei vaidmenį. Tačiau straipsniai, kuriuose pateikiama informacija apie nepagrįstą priekabiavimą, asmens reputacijai gali sukelti rimtos žalos, todėl turėjo būti pašalinti. Google Belgium SA skirta 600 tūkst. EUR bauda.

Kas iš to? Asmuo turi teisę reikalauti, kad jo duomenys, tapę nebereikalingais jų tvarkymo tikslams (šiuo atveju, visuomenės informavimui) pasiekti, būtų pašalinti. Įmonės privalo atidžiai įvertinti asmens prašymą įgyvendinti BDAR jam suteikiamas teises, o atsisakymas turi būti pagrįstas.

  

Kodėl teisių įgyvendinimas turi būti nemokamas

Nyderlandų duomenų apsaugos institucijos 2020 m. liepos 6 d. sprendimas: “Dutch Credit Registration Bureau”

Faktinė situacija: Asmenims, kurie kreipėsi į Nyderlandų kredito registracijos biurą su prašymu pateikti informaciją apie tai, kokius jų asmenis duomenis tvarko įmonė, buvo išrašomos sąskaitos – informacijos pateikimo procedūra mokama. Metinis mokestis svyravo nuo 4,95 EUR iki 12,50 EUR. Tiesa, nemokamas duomenų gavimas buvo galimas, tačiau tik informaciją gaunant registruotu paštu ir tik vienąkart per metus.

Teisinė problema: Asmuo turi teisę susipažinti su savo duomenimis, kuriuos tvarko įmonė. Už tokios teisės įgyvendinimą verčiant susimokėti, pažeidžiami skaidraus informavimo, taip pat suprantamos, lengvai prieinamos formos reikalavimai duomenų pateikimui. Įmonei skirta 830 tūkst. EUR bauda.

Kas iš to? Įgyvendinti BDAR numatytas asmens teises, šiuo atveju, teisę susipažinti su tvarkomais duomenimis, asmeniui neturi būti sunku. Įmonė turi užtikrinti nemokamą ir lengvai prieinamą teisės susipažinti su tvarkomais duomenimis įgyvendinimą, net jei prašymui įvykdyti tenka skirti nemažai darbuotojų laiko ir pastangų.

 

Kokios asmens informacijos įmonės negali viešinti 

VAAT 2020 m. balandžio 8 d. sprendimas byloje Nr. El2-1249-789/2020

Faktinė situacija: ICOMOS LNK savo interneto svetainėje www.icomos.lt viešai skelbė savo atsiliepimą teismui, kuriame nurodyti J. M. asmens duomenys (vardas, pavardė, asmens kodas, adresas). Gavusi VDAI reikalavimą nutraukti asmens kodų skelbimą, šį raštą ICOMOS LNK taip pat paskelbė interneto svetainėje. ICOMOS LNK aiškino, jog yra nevyriausybinė organizacija, todėl vienas jos tikslų – viešinti savo veiklą. Be to, ji paviešino oficialiai gautus dokumentus, todėl teigė, kad pati neatskleidė jokių papildomų duomenų.

Teisinė problema: Asmens duomenys turi būti naudojami sąžiningai ir skaidriai. Pagal Asmens duomenų teisinės apsaugos įstatymą asmens kodas yra viešai neskelbtinas duomuo.

Teisė susipažinti su išnagrinėtos bylos medžiaga yra nustatyta specialiais teisės aktais (nusakančiais teisminį procesą), todėl savo interneto svetainėje viešinti procesinį dokumentą - teismui pateiktą atsiliepimą - ICOMOS LNK neturėjo jokio pagrindo.

Tai, kad ICOMOS LNK siekia skaidrinti savo veiklą bei užtikrinti veiklos duomenų prieinamumą, nepagrindžia jos teisės viešinti asmens duomenis. Be to, asmens duomenų paviešinimas interneto svetainėje, sudarant galimybę su jais susipažinti neapibrėžtam asmenų ratui, savaime reiškia, kad yra sukeliama žala asmeniui, kurio duomenys yra paviešinti. 

Kas iš to? Asmens kodas yra viešai neskelbtinas duomuo. Kiti asmens duomenys gali būti viešinami tik turint asmens sutikimą ar esant kitam įstatyme numatytam pagrindui (pvz., to reikalauja specialus teisės aktas, sutartis, pan.). priešingu atveju duomenų paviešinimu yra sukeliama žala asmens teisėms ir laisvėms.

 

Kaip elgtis įtariant, kad buvo pažeistos asmens teisės

VAAT 2020 m. vasario 18 d. sprendimas byloje Nr. el2-1090-872/2020

Faktinė situacija: Nors V. Č. buvo sumokėjusi anksčiau UAB “Sergel” turėtą skolą, tačiau gavo pakartotinį raginimą ją sumokėti. Tai rodė, kad UAB “Sergel” nėra atnaujinusi saugomų duomenų skolos įvykdymo faktu. V. Č. pasiskundė VDAI teigdama, kad UAB „Sergel“ atsisako taisyti neaktualius duomenis.

Teisinė problema: V. Č. turi teisę reikalauti ištaisyti netikslius duomenis ir teisę reikalauti ištrinti duomenis (būti pamirštam). Tačiau dėl šių teisių įgyvendinimo pareiškėja pirmiausia turėjo kreiptis į skundžiamą asmenį UAB „Sergel”, ir tik po to, nesulaukus skundą tenkinančių veiksmų, kreiptis į VDAI.

Kas iš to? Asmens teisės, kylančios iš BDAR, – teisė gauti informaciją apie renkamus su asmeniu susijusius duomenis, teisė reikalauti ištaisyti netikslius, ištrinti nebereikalingus duomenis ir kt. turi būti įgyvendinamos visų pirma kreipiantis į konkrečią duomenis tvarkančią įmonę.

 

Kaip teisingai saugoti skirtingo pobūdžio duomenis

Vokietijos duomenų apsaugos institucijos 2019 m. spalio 30 d. sprendimas: „Deutche Wohnen“

Faktinė situacija: Nuomininkų asmens duomenų saugojimui įmonė Deutche Wohnen SE naudojo archyvų sistemą, kuri nesuteikė galimybės pašalinti nebereikalingus duomenis. Tiksliau, buvo saugomi plačios apimties duomenys apie asmeninę ir finansinę padėtį, atlyginimus, mokesčius, išrašai iš darbo ir mokymo sutarčių, socialinio ir sveikatos draudimo duomenų ir banko sąskaitų išrašai. Be to, nuomininkų asmens duomenys buvo saugomi ilgą laiką, tam nesant priežasties.

Teisinė problema: Nustatyta, kad Deutche Wohnen SE sąmoningai sukūrė archyvo struktūrą ir kad duomenys ilgą laiką buvo tvarkomi be teisinio pagrindo. Paskirta bauda už nustatytus duomenų apsaugos pažeidimus – 14,5 mln. EUR.

Kas iš to? Įmonė privalo sudaryti galimybę asmenims reikalauti, be kita ko, ištaisyti netikslius, taip pat pašalinti nebeaktualius asmens duomenis. Be to, įmonėje reikėtų sudaryti asmens duomenų saugojimo politiką, kurioje būtų įtvirtinti konkretūs saugojimo terminai ar apibrėžti jų nustatymo kriterijai.

Reikia nepamiršti, kad BDAR įtvirtintas duomenų kiekio mažinimo principas reikalauja, kad saugomi būtų tik reikalingi duomenys ir ne ilgiau, nei tai yra būtina (taikytina taisyklė need to know, bet ne nice to have).

 

Kaip tinkamai informuoti asmenis apie jų duomenų tvarkymą

Lenkijos duomenų apsaugos tarnybos (UODO) 2019 m. kovo 26 d. sprendimas: „Bisnode“

Faktinė situacija: Įmonė tvarkė asmens duomenis, gautus iš viešai prieinamų šaltinių, pvz., Centrinio elektroninio registro. Duomenys buvo tvarkomi komerciniais tikslais, tačiau apie tokį duomenų tvarkymą informuoti buvo tik tie asmenys, kurių el. paštus įmonė turėjo; kiti asmenys informuoti nebuvo. Nors įmonė turėjo pašto adresus, taip pat asmenų telefono numerius, tačiau nusprendė, kad informacijos pateikimas visiems pareikalautų pernelyg didelių veiklos sąnaudų (t. y. išsiųsti registruotus laiškus 6 mln. asmenų reikštų dideles tiek laiko, tiek finansines sąnaudas). Todėl informavimo sąlyga buvo įgyvendinta apie duomenų tvarkymą įmonei paskelbus savo interneto svetainėje.

Teisinė problema: Įmonė turi pareigą informuoti asmenį apie jo duomenų tvarkymą tais atvejais, kai duomenys yra gauti ne iš paties asmens. Šios pareigos nevykdymas atima galimybę asmeniui naudotis kitomis savo teisėmis pagal BDAR. Taigi įmonei buvo skirta 220 tūkst. EUR bauda.

Kas iš to? Įmonė, tvarkanti asmens duomenis, privalo imtis visų prieinamų priemonių, kad asmenims informacija apie jų duomenų tvarkymą (įmonės kontaktai, duomenų tvarkymo tikslai, pagrindai, duomenų kategorijos ir kt.) būtų pateikta. Informacijos apie vykdomą duomenų tvarkymą paskelbimas įmonės interneto svetainėje, kai asmuo nenumano apie jo duomenų tvarkymą, nėra pakankamas.

 

Kaip „užmiršti“ asmenį Google paieškoje?

Belgijos duomenų apsaugos institucijos 2020 m. liepos 14 d. sprendimas: „Google Belgium“

Faktinė situacija

Įvedus pareiškėjo vardą ir pavardę į „Google“ paiešką, būdavo pateikiamos nuorodos į straipsnius apie jo ryšius su politine partija bei nebeaktuali informacija apie atmestą skundą dėl priekabiavimo. Pareiškėjas internetu pateikė prašymą (pasinaudojęs prašymo forma), reikalaujantį pašalinti 12 „Google“ paieškos rezultatų, kenkiančių pareiškėjo garbei, orumui ir reputacijai.

Google Belgium SA atsisakė pašalinti paieškos rezultatus, gaunamus įvedus pareiškėjo vardą ir pavardę.

Teisinė problema

Informacija apie pareiškėją, kuri yra senesnė nei 10 metų ir kurioje nėra paminėtas skundo atmetimas, negali būti laikoma aktualia ar svarbia visuomenės interesams pagal BDAR 6 str. 1 d. Atsižvelgiant į tai, pirmenybė turi būti teikiama pareiškėjo interesams. Praėjus ilgam laiko tarpui nuo straipsnių paskelbimo, informacija taip pat nebėra reikalinga BDAR 17 str. 3 d. paminėtiems tikslams, pvz. teisei į informacijos laisvę užtikrinti.

Google Belgium SA nesugebėjo pateikti aiškaus ir išsamaus atsakymo į asmens prašymą pašalinti informaciją. Be to, Google Belgium SA nenurodė juridinio asmens, atsakingo už duomenų tvarkymą ir paieškos rezultatų paskelbimą, o tai apsunkino pasinaudojimą asmens teisėmis. Taigi, buvo pažeistos BDAR 12 str. 1 ir 4 d.

Atsižvelgiant į visa tai, Google Belgium SA buvo įpareigota pašalinti nebeaktualius paieškos rezultatus bei sumokėti 600 000 EUR baudą.

Kas iš to?

Duomenų valdytojas privalo sudaryti realią galimybę reikalauti, kad būtų ištaisyti netikslūs, taip pat pašalinti seni, nebeaktualūs duomenys. Šių teisių įgyvendinimas neturi būti nepagrįstai apsunkintas, o į asmenų prašymus - reaguojama laiku ir tinkamai.

 

Kaip elgtis su darbuotojo e-pašto dėžute pasibaigus darbo santykiams?

Italijos duomenų apsaugos institucijos 2020 m. liepos 2 d. sprendimas: „Mapei S.p.A.“

Faktinė situacija

Buvęs Mapei S.p.A. darbuotojas pateikė prašymą dėl prieigos prie jo darbinio e-pašto paskyros, kuri vis dar buvo aktyvi net ir po darbo sutarties pabaigos. Duomenys buvo saugojami veiklos tęstinumo tikslais ir tam, kad galiausiai galima būtų panaikinti pačią paskyrą. Mapei nusprendė neatsakinėti į buvusio darbuotojo užklausą, o šis pateikė pretenziją Italijos duomenų apsaugos institucijai. Po to, kai Institucija pradėjo tyrimo procesą, įmonė vis dėlto pasidalino elektroniniais laiškais su buvusiu darbuotoju.

Teisinė problema

Italijos duomenų apsaugos institucija nustatė, kad įmonė nepakankamai išsamiai išaiškino darbuotojui duomenų tvarkymo politiką, kaip apdorojami elektroninio pašto duomenys po darbo sutarties pasibaigimo. Darbuotojui nebuvo pranešta tai, jog elektroninio pašto paskyra nėra panaikinama ir po darbo santykių pabaigos visi el. laiškai yra persiunčiami į vadovo paskyrą. Be to, duomenų valdytojas ignoravo savo pareigą laiku atsakyti į asmens užklausą dėl prieigos prie duomenų ir paskyros panaikinimo.

Kas iš to?

Mapei pažeidė ES Reglamento (2016/679) 12 straipsnį, dėl ko turėjo sumokėti 15,000 EUR baudą.

Pamokos: (a) įmonės privalo išsamiai, skaidriai ir aiškiai paaiškinti darbuotojams, kaip naudojami elektroninio pašto duomenys po darbo sutarties pasibaigimo, kas prie jų prieina ir kiek laiko jie naudojami; (b) įmonės privalo laiku komunikuoti su buvusiais darbuotojais ir reaguoti į jų užklausas dėl prieigos prie duomenų.