/English

Naujienos

Atgal

6 klaidos įgyvendint asmens teisę susipažinti su jo duomenimis

2021 06 16

Asmens duomenų apsauga yra didelis iššūkis ir galvos skausmas kiekvienai organizacijai. Krūva reikalavimų – nuo tvarkų parengimo iki jų įgyvendinimo, nuo atsakingų asmenų paskyrimo iki darbuotojų mokymų, ir šis sąrašas yra nesibaigiantis. Galima ir pasiklysti šiose džiunglėse. O jeigu dar atsiranda ir nepatenkintų klientų, kurie kelia pretenzijas, kad buvo pažeistos jų teisės, tai gali įsiliepsnoti ir rimtas gaisras, kuris pasibaigs solidžiomis baudomis. Praktika rodo, kad net nagrinėjant asmenų prašymus dėl susipažinimo su jų duomenimis, yra daromos grubios ir neatleistinos klaidos.

Nėra pateikiama būtina informacija

Pastebima, jog įmonių atstovai, atsakydami į asmenų prašymus dėl susipažinimo su asmens duomenimis, nurodo, jog plačiau ir išsamiau apie asmens duomenų tvarkymą galima susipažinti įmonės interneto svetainėje patalpintoje privatumo politikoje. Reikėtų to vengti ir nedaryti šios klaidos. Tai gali būti tik papildoma informavimo priemonė, nes duomenų valdytojui tenka pareiga nurodyti, kokie asmens duomenys yra tvarkomi, kokiu tikslu, kiek laiko saugomi ir t.t. Tai reiškia, negalima tiesiog elementariai ir šabloniškai nukreipti į privatumo politiką, nes tai reikia nurodyti atsakyme – aiškius ir konkrečius asmens duomenis, kuriuos yra prašoma pateikti. 

Nėra sudaromos palankios sąlygos susipažinti su asmens duomenimis 

Gavus asmens prašymą susipažinti su tvarkomais asmens duomenimis būtina identifikuoti asmenį ir tik tada nagrinėti pateiktą prašymą bei rengti atsakymą. Pavyzdžiui,  gavus el. laišką (kuris nėra pasirašytas el. parašu), iš jo įprastai nėra galimybės identifikuoti besikreipiančio asmens tapatybės, todėl jam yra nurodoma atvykti į padalinį arba pridėti prašymą, kuris bus pasirašytas el. parašu ir pan. Tačiau tai ne visais atvejai taikoma, kadangi įmonės turi dėti pastangas ir siekti sudaryti kuo palankesnes sąlygas įgyvendinant asmenų teisę susipažinti su jų duomenimis.

Kaip tai atrodo praktikoje? Pavyzdžiui, el. paštu klientui yra išsiunčiamas individualus pasiūlymas, kurio tapatybė įmonei yra puikiai žinoma. Klientas, gavęs el. laišką, į jį atsako, jog prašo pateikti informaciją apie jo tvarkomus asmens duomenis. Ir ką turėtų daryti įmonė, gavusi tokį atsakymą? Dažniausiai tokiose situacijose įmonės apsimeta (arba iš nežinojimo), jog staiga jau „nebežino“ besikreipiančio asmens bei tokį klientą apkrauna papildomais reikalavimais pateikti prašymą pasirašytą el. parašu ar atsiųsti jį registruota siunta, nes neva tokie reikalavimai yra numatyti Bendrajame duomenų apsaugos reglamente (BDAR). Tačiau tai klaida, nes esant tokioms aplinkybėms įmonė ir be papildomų reikalavimų turėtų apsvarstyti, ar įmonės veiksmai nebus pertekliniai siekiant nustatyti asmens tapatybę ir / ar tokiais veiksmais nebus apsunkinta asmenų teisė susipažinti su duomenimis. Tokios nuomonės laikosi ir Valstybinė duomenų apsaugos inspekcija (VDAI). Todėl rekomenduotina kiekvienu atveju įvertinti individualiai, ar tikrai įmonė ir be papildomų reikalavimų negali identifikuoti asmens tapatybės. 

Asmuo neprivalo nurodyti nei tikslo, nei priežasties

Įmonės dažnai nenori nagrinėti asmens prašymo dėl susipažinimo su jo duomenimis, jeigu jame nėra nurodytas duomenų gavimo tikslas. Tai klaida, įmonės šiuos prašymus maišo su trečiųjų asmenų prašymais gauti tam tikrą informaciją (pavyzdžiui, teisėsaugos institucijų, advokatų ir pan.), kuriems jau yra keliami kitokie reikalavimai. Tačiau tai savaime nereiškia, jog jie galioja ir duomenų subjektų atžvilgiu.

Duomenų subjektas neturi pareigos nurodyti nei tikslų, nei priežasčių dėl jo duomenų tvarkymo ar gavimo. Siekiant užtikrinti šią pamatinę teisę to nenumato ir BDAR. Dėl šių priežasčių tokius prašymus reikėtų atskirti ir nedaryti šių grubių pažeidimų, nes skundo į VDAI atveju galima susilaukti ir realių sankcijų.

Įmonės perduoda per daug informacijos

Pasitaiko prašymų, kai reikalaujama pateikti garso arba vaizdo įrašus, kuriuose yra užfiksuotas duomenų subjektas. Tačiau tai savaime nereiškia, jog tokie įrašai turi būti teikiami visa apimtimi. 
Garso įrašus reikėtų pateikti tik ta apimtimi, kiek užfiksuotas duomenų subjektas. Tuo metu vaizdo įrašą reikėtų redaguoti taip, jog nesimatytų ne tik kiti asmenys, tačiau, tarkime, ir automobilių valstybiniai numeriai ar bet kuri kita informacija, iš kurios tiesiogiai ar netiesiogiai galima identifikuoti kitą asmenį. Nepadarius to tai formaliai reikštų, jog yra neteisėtai perduodami kitų asmenų duomenys ir tai gali užtraukti atsakomybę.


El. paštu asmens duomenys turi būti teikiami tik saugiais būdais

Asmens duomenų teikimas el. paštu nėra joks pažeidimas, jeigu tik to pageidauja duomenų subjektas. Tačiau tai nereiškia, jog duomenų valdytojui savaime išnyksta pareiga užtikrinti saugų asmens duomenų perdavimą. Tai reikštų, jog įmonė turi imtis visų techninių saugumo priemonių bei, pavyzdžiui, šifruoti asmens duomenis arba suteikti autorizuotą prieigą prie asmens duomenų (prisijungimo nuorodą išsiunčiant el. paštu). Daugelis šią pareigą pamiršta ir asmens duomenis perduoda įprastu el. laišku be jokių papildomų saugumo priemonių. 

Asmens prašymą galima atsisakyti vykdyti tik išimtinais atvejais

Pasitaiko atvejų, kai asmens teisė susipažinti su jo duomenimis yra ribojama itin formaliais pagrindais. Pavyzdžiui, atsisakoma atsakyti į prašymą, nes asmuo į įmonę kreipėsi nepagarbiai arba gautas pakartotinis prašymas ir pan. 

Tačiau daugelis pamiršta, kad asmens prašymo galima nevykdyti tik tuo atveju, jeigu jis yra akivaizdžiai nepagrįstas ir neproporcingas. Iliustratyvus pavyzdys, kai asmuo pateikia prašymą susipažinti su jo duomenimis bei papildomai nurodo, jog, tarkime, sumokėjus 100 EUR, prašymą atsiims ir jo nagrinėti nereikės. Tokioje situacijoje tai būtų objektyvus pagrindas nenagrinėti tokio prašymo (žinoma, nurodant to priežastis), nes turima teise yra naudojamasi akivaizdžiai nepagrįstai ir neproporcingai. Bet kuriuo atveju reikia įsidėmėti, jog kiekvienu atveju reikia turėti svarius argumentus. 

AVOCAD pažymi, jog praktikoje pasitaiko ir daugiau klaidų, dėl kurių gali būti daromi pažeidimai (pavyzdžiui, taikomas tam tikras mokestis už duomenų pateikimą, nėra atsakoma į prašymą, jeigu įmonėje asmens duomenys nėra tvarkomi ir pan.), todėl šis sąrašas nėra baigtinis. 

Gali susidaryti įspūdis, kad asmens prašymą gali išnagrinėti bet kuris įmonės darbuotojas (turintis bent kiek BDAR žinių), tačiau praktika rodo, jog tai reikalauja specifinių BDAR žinių. Jų neturint / turint nepakankamai, tai gali virsti pažeidimais ir baudomis už juos, nepaisant to, jog įmonė yra tinkamai pasirengusi užtikrinti BDAR keliamus reikalavimus. 

Todėl AVOCAD rekomenduoja asmenų prašymus (nagrinėjimui) patikėti tik reikiamą kompetenciją turintiems darbuotojams (pavyzdžiui, įmonės teisininkams) arba pasitelkti šios srities profesionalus. Visą tai leis jaustis saugiau ir patikimiau, o įmonė išvengs nesklandumų įgyvendindama BDAR.