Metai po asmens duomenų apsaugos reformos: kur vis dar suklumpa verslas?

Gegužės 25 dieną suėjo metai nuo tada, kai pradėtas taikyti Bendrasis duomenų apsaugos reglamentas (BDAR). Apibendrinant skirtingų neoficialių statistinių tyrimų duomenis galima daryti išvadą, kad Europos Sąjungoje apie 55-65% įmonių ir įstaigų vis dar nėra tinkamai pasirengusios savo veikloje taikyti BDAR nuostatų. Galima spėti, kad Lietuvoje šis nepasirengusiųjų procentas yra dar didesnis. Manytina, kad dėl tokio prasto rezultato kaltos tam tikros klaidingos nuostatos – mitai, kurie vis dar gajūs ir trukdo įmonių vadovams priimti spendimą suskubti susitvarkyti savo asmens duomenų ūkį. Toliau apžvelgsime dažniausiai pasitaikančias įmonių vadovų nuostatas, kurios yra neteisingos, tačiau taip tvirtai įsitvirtinusios, kad, panašu, jog praėjusių metų ažiotažo dėl BDAR nebeužteko joms pakeisti.

Mitas Nr. 1 Mes netvarkome asmens duomenų, nes dirbame tik su įmonėmis

Šį klaidingą įsitikinimą galima vadinti BDAR mitų karaliumi. Tai yra vienas dažniausiai pasitaikančių atsakymų į klausimą, kodėl įmonėje nesilaikoma BDAR principų. Prie šio klaidingo įsitikinimo turbūt reikšmingai prisidėjo Valstybinės duomenų apsaugos inspekcijos 2014 metų viešoji nuomonė „Dėl juridinio asmens valdymo organų narių duomenų tvarkymo“, kurioje, be kita ko, pasakyta, jog „Juridinio asmens valdymo organų narių duomenys yra laikytini juridinio asmens duomenimis, kurių tvarkymui ADTAĮ (aut. pastaba – Asmens duomenų teisinės apsaugos įstatymas) netaikomas, tačiau tik tuo atveju ir tokia apimtimi, kuri tiesiogiai susijusi su juridinio asmens veikla, pvz., atstovavimu juridiniam asmeniui, dalyvavimu jo organų veikloje ir pan.“  Svarbu akcentuoti du dalykus. Pirma, BDAR nedaro skirtumo tarp to, ar asmens duomenų tvarkymas susijęs su įmonės veikla, ar ne, todėl net jeigu tvarkomi tik klientų (juridinių asmenų) vadovų duomenys, kurie būtini sutartims sudaryti ir sąskaitoms išrašyti, laikoma, kad tvarkomi jų asmens duomenys ir tokiam tvarkymui taikomas BDAR. Į įstatymuose numatytus atvejus, kai privaloma tvarkyti juridinio asmens duomenis atstovaujant konkretų juridinį asmenį, reikėtų žiūrėti ne kaip į išimtį, kuri nurodo, kad tai nėra asmens duomenų tvarkymas, o kaip į teisinį tokių duomenų tvarkymo pagrindą, t.y. pateisinimą dėl kurio duomenis rinkti ir toliau tvarkyti yra būtina. Antra, net jeigu įmonė turi tik vieną klientą – kitą įmonę, svarbu nepamiršti, kad savo veikloje ji tvarko įvairių  asmenų, ne vien kliento atstovų, duomenis. Galimai tvarkomi tiekėjų kontaktinių asmenų duomenys, kartkartėmis naudojamasi notarų, advokatų, auditorių paslaugomis, kontaktuojama su įvairiomis valstybinėmis institucijomis, todėl greičiausiai išsaugomi ir laikomi šių kontaktinių asmenų duomenys. Tai pat reikia nepamiršti, kad kiekviena įmonė be išimties tvarko savo darbuotojų ir jų artimųjų asmeninę informaciją. Taigi, pažvelgusi į savo asmens duomenų ūkį atidžiau, kiekviena įmonė ras nemažą kiekį duomenų, kurių teisėtam ir teisingam tvarkymui privalo būti taikomi BDAR principai, todėl pasakymas, jog „mes netvarkome asmens duomenų, nes dirbame tik su įmonėmis, todėl mums BDAR netaikomas“ yra klaidingas išeities taškas ir turėtų būti keičiamas į „taip, mes tvarkome asmens duomenis ir žinome, kodėl tai darome“.

Mitas Nr. 2. Viešai paskelbtus ar prieinamus duomenis, galima naudoti kaip nori

Informacijos rinkimas iš viešai prieinamų šaltinių yra labai paplitęs vykdant potencialių klientų ar darbuotojų paiešką. Tačiau reikia nepamiršti, kad ši veikla nėra tokia nekalta. Dažnai galima išgirsti įmonių vadovus teigiant: „mes jokių duomenų nerenkame išskyrus vardus ir pavardes, kurios yra paskelbtos viešai“. Kadangi nei BDAR, nei anksčiau galioję teisės aktai, reglamentuojantys asmens duomenų apsaugą, nenumatė jokių privilegijų viešai paskelbtiems asmens duomenims, tokio įsitikinimo šaltinį įvertinti yra sunku, tačiau svarbu akcentuoti, kad jis yra klaidingas. Viešas asmens duomenų paskelbimas nereiškia, kad jie nėra asmens duomenys, kitaip tariant, viešumas nenuasmenina asmens duomenų, ir, be abejo, tai nereiškia, kad tokių, viešai paskelbtų, duomenų rinkimas ir tolimesnis tvarkymas nepatenka į BDAR taikymo rėmus. Nepaisant asmens duomenų gavimo šaltinio: tiesiogiai gauti iš žmogaus ar paimti iš viešai prieinamų duomenų bazių, socialinių tinklų ar partnerių, duomenų tvarkymui keliami reikalavimai yra tie patys. Viešai gautų asmens duomenų tvarkymas turi būti vykdomas taip pat, kaip ir duomenų gautų tiesiogiai iš paties asmens ir tokiam tvarkymui pilna apimtimi turi būti taikomos BDAR nuostatos, ypač tos, kurios susiję su duomenų tvarkymo pagrindu ir pareiga informuoti apie vykdomą duomenų tvarkymą. Duomenų tvarkymas neturint pagrindo yra negalimas ir dėl to gali kilti administracinė atsakomybė visai įmonių grupei. Tačiau, kai tvarkomi duomenys, kurie buvo viešai paskelbti, įvertinti, ar įmonė apskritai turi teisę (teisėtą pagrindą) savo veikloje tvarkyti tokius duomenis, dažnai pamirštama. Taip pat itin dažnai pamirštama pranešti žmonėms apie tai, kad jų duomenis dabar tvarko X įmonė. Priminsime, BDAR numatoma, su tam tikromis išimtimis, kad tais atvejais, kai duomenys gaunami ne tiesiogiai iš duomenų subjekto (paties žmogaus), per pagrįstą laikotarpį, bet ne vėliau kaip per 1 mėnesį nuo duomenų gavimo, duomenų valdytojas privalo tokį asmenį informuoti apie vykdomą jo asmens duomenų tvarkymą, nurodant, be kita ko, kas, kodėl ir kiek laiko ketina tvarkyti duomenis. Apibendrinant galima pasakyti, kad viešas asmeninės informacijos paskelbimas nėra atviros durys tokią informaciją perkelti į savo įmonės duomenų bazes ir šiame informacijos gausos amžiuje nereikėtų to vertinti kaip radau – pasiėmiau. Šį mitą turėtų keisti nuostata: rinksime informaciją tik tokia apimtimi, kuri yra būtina mūsų įmonės nustatytiems teisėtiems tikslams pasiekti.

Mitas Nr. 3. Viskam reikalingas sutikimas

Per praėjusius metus sutikimo, kaip duomenų tvarkymo pagrindo, tema buvo analizuota daug kartų, tačiau, panašu, kad temos angažavimas šiuo atveju padarė daugiau žalos nei naudos. Sutikimas dažnu atveju tapo suvokiamas kaip viso duomenų tvarkymo pamatas ir esmė. Dažnai darbuotojai savo darbdaviui sako, jog pastarasis neteisėtai tvarko duomenis, nes darbuotojas nėra davęs sutikimo. Taip pat pasitaiko ir atvirkštinių situacijų, kai darbdavys į darbo sutartį įtraukia nuostatą, jog darbuotojas sutinka, kad jo duomenys bus tvarkomi darbo įmonėje tikslais. Greičiausiai dėl to, kad sutikimas yra lengviausiai suprantamas visuomenei, jis naudojamas ir rašomas visur, kur kalbama apie asmens duomenis, tačiau ar jis visada reikalingas? Minėtu darbuotojų asmens duomenų tvarkymo atveju, itin retai kada reikalingas sutikimas, nes darbuotojų duomenys paprastai tvarkomi dėl teisės aktuose numatytų pareigų vykdymo, pačios darbo sutarties vykdymo arba įmonės teisėto intereso (tiek kiek išlaikomas balansas tarp įmonės ir konkretaus darbuotojo interesų). Vadinasi darbuotojų duomenų tvarkymui dažniausiai sutikimo gali apskritai neprireikti. Visai kas kita kai kalbama apie tiesioginės rinkodaros vykdymą, kuri potencialiems klientams galima tik su jų aiškiai išreikštu sutikimu. Reikia pastebėti, kad potencialių klientų duomenų tvarkymo atveju verslas dažniausiai suklumpa, nes  pasitelkiamas mitas Nr.2 –„galiu siųsti savo reklamą, nes žmogus viešai paskelbė savo duomenis“. Kaip minėta aukščiau, tai nėra teisingas išeities taškas. Tiesioginės rinkodaros potencialiems klientams atveju išankstinis ir aiškiai išreikštas sutikimas yra privalomas. Kad būtų lengviau susigaudyti asmens duomenų tvarkymo pagrindų erdvėje, apibendrintai galima pasakyti, kad BDAR (kaip, beje, ir ankstesnis asmens duomenų apsaugą reglamentavęs įstatymas) nurodo, kad asmens duomenis tvarkyti galima, jeigu yra bent vienas iš šešių pagrindų, t.y. jeigu duomenų tvarkymas yra būtinas dėl: (i) teisės aktuose numatytų pareigų vykdymo; (ii) sutarties su duomenų subjektu sudarymo ir vykdymo; (iii) dėl to, kad būtina vykdyti įmonei pavestas viešosios valdžios funkcijas; (iv) įmonės teisėto intereso; (v) duomenų subjekto ar kitų asmenų gyvybinių interesų apsaugos; (vi) jeigu yra duotas duomenų subjekto sutikimas. Kaip matyti, sutikimas yra tik vienas iš šešių galimų variantų, kuriais įmonė gali paremti savo vykdomą asmens duomenų tvarkymą ir jis neturi jokio pirmumo  ar išskirtinumo prieš kitus pagrindus, todėl prieš ištariant žodį „sutikimas“, reikėtų pagalvoti, ar nėra kito, gerokai tinkamesnio, pagrindo.

Šiame straipsnyje išvardintos tik kelios dažniausiai pasitaikančios klaidingos nuostatos, susijusios su pernai pradėjusiu veikti BDAR. Nepaisant reikšmingai išaugusio dėmesio asmens duomenų apsaugos sričiai, verslininkai turi ir daug klaidingų įsitikinimų, kurie kelia grėsmę tiek jų darbuotojų ir klientų privatumui, tiek pačių įmonių reputacijai ir pelningumui.

Renata Vasiliauskienė, COBALT Asocijuota teisininkė