Šiame straipsnyje aptarsime, kaip Lietuvoje reglamentuojamas asmens kodo naudojimas nuomos sutartyse ir kokie yra Bendrojo duomenų apsaugos reglamento (BDAR) reikalavimai šioje srityje. Daugelis klaidingai mano, kad asmens kodas yra ypatingas asmens duomuo, tačiau taip nėra. Tačiau net ir šiuo atveju jam yra taikomi griežtesni reikalavimai nei kitų neypatingų duomenų, tokių kaip vardo, lyties ir pan.
Asmens kodo tvarkymo ypatumai
LR asmens duomenų apsaugos įstatyme (LR ADTAĮ) iš esmės galime rasti dvi asmens duomenų kategorijas: neypatingi asmens duomenys ir ypatingi (LR 2 str.). Neypatingi asmens duomenys yra tokie duomenys, kaip asmens vardas, pavardė, lytis, interneto protokolo (IP) adresas, telefono numeris, el. pašto adresas ir panašiai. Ypatingų asmens duomenų tvarkymui yra keliami griežtesni teisiniai reikalavimai. Atkreipkite dėmesį, kad asmens duomenų tvarkymas reiškia bet kokį su asmens duomenimis atliekamą veiksmą ar veiksmų rinkinį - rinkimą, užrašymą, kaupimą, saugojimą, klasifikavimą, paskelbimą, paiešką ir kt. (LR ADTAĮ 2 str.).
Asmens kodo duomenų tvarkymui LR ADTAĮ yra skirtas visas 7 straipsnis. LR GRĮ 8 str. 2 d. apibrėžta, kas sudaro tą unikalią skaitmenų seką - pirmasis skaitmuo atitinka lytį ir gimimo šimtmetį, antrasis ir trečiasis - gimimo metų du paskutinius skaitmenis, ketvirtasis ir penktasis - gimimo mėnesį ir kt. Taigi, asmens kodas ne tik pats savaime yra duomuo, bet taip pat talpina dalį kitų asmens duomenų, priklausančių konkretaus asmens kodo turėtojui.
Jeigu žinodami asmens vardą ir neturėdami kitų to asmens duomenų, su kuriais galėtume susieti vardą, tik jį ir žinosime, tai turėdami patį asmens kodą vienareikšmiškai apie tą asmenį jau per sužinosime daugiau (lytį, gimimo metus, mėnesį ir kt.) bei turėsime galimybę, įvedę į vieną ar kitą informacinę sistemą šį duomenį, sužinoti dar daugiau - asmens tapatybę, jo finansinius įsipareigojimus, jo sveikatos būklę ir pan., priklausomai nuo to, kokiu tikslu asmens kodas yra tvarkomas.
Bendra asmens kodo tvarkymo taisyklė yra ta, kad asmens kodą galima tvarkyti tik gavus to asmens sutikimą (LR ADTAĮ 7 str. 2 d.). „sutikimas” apibrėžiama LR ADTAĮ 2 str. 12 d. - tai savanoriškas duomenų subjekto valios pareiškimas tvarkyti jo asmens duomenis jam žinomu tikslu.
Išimtys iš bendros taisyklės
To paties straipsnio 3 dalyje yra nurodytos išimtys iš bendros taisyklės, t. y. kada nebūtina gauti duomenų subjekto sutikimo tvarkyti asmens kodą. LR ADTAĮ 7 str. 4 ir 5 d. įtvirtintos imperatyvios nuostatos, pagal kurias, net ir gavus duomenų subjekto sutikimą, draudžiama tvarkyti asmens identifikacinį kodą tiesioginės rinkodaros tikslu (LR ADTAĮ 2 str.).
Iš esmės toks asmens kodo teisėto tvarkymo reglamentavimas yra nustatytas LR ADTAĮ. GDPR šioje vietoje lakoniškas. Reglamento 87 straipsnis yra skirtas nacionalinio asmens identifikavimo numerio tvarkymui reglamentuoti. Jame nurodyta, kad “Valstybės narės gali tiksliau apibrėžti konkrečias sąlygas, kuriomis tvarkomas nacionalinis asmens identifikavimo numeris ar bet kuris kitas bendro taikymo identifikatorius.
BDAR ir asmens kodo tvarkymas
Nuo 2018 m. gegužės 25 d. visos įmonės ir įstaigos Lietuvoje turi tvarkyti asmens duomenis pagal Bendrąjį duomenų apsaugos reglamentą (BDAR). GDPR šioje vietoje lakoniškas. Reglamento 87 straipsnis yra skirtas nacionalinio asmens identifikavimo numerio tvarkymui reglamentuoti. Jame nurodyta, kad “Valstybės narės gali tiksliau apibrėžti konkrečias sąlygas, kuriomis tvarkomas nacionalinis asmens identifikavimo numeris ar bet kuris kitas bendro taikymo identifikatorius.
Minėta, kad pagal dabar galiojantį LR ADTAĮ 7 str. tvarkyti duomenis būtina siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų, išskyrus atvejus, kai tokie duomenų subjekto interesai arba pagrindinės teisės ir laisvės, dėl kurių būtina užtikrinti asmens duomenų apsaugą, yra už juos viršesni, ypač kai duomenų subjektas yra vaikas (GDPR 6 str.).
Taip pat svarbu, kad, jeigu būtų priimtas dabartinis LR ADTAĮ pakeitimo įstatymas, asmens kodas negalėtų “būti naudojamas kaip vienintelis paieškos kriterijus atliekant kitų asmens duomenų paiešką“. (Projekto 3 str. Paprastais žodžiais tariant, duomenų valdytojas ar (ir) tvarkytojas, jų darbuotojai ir pan. negalėtų duomenų bazėse, informacinėse sistemose ar kt. į paieškos lauką įvesti tik asmens identifikacinį numerį, siekdami surasti kitus to asmens duomenis.
Objektyviai vertinant, klaidos tikimybė iš tikrųjų turėtų sumažėtų, jeigu paieškos lauke būtų įvestas ne vienas, o keli tam asmeniui priklausantys duomenys. Kuo daugiau duomenų suvesta (pavyzdžiui, asmens kodas, vardas ir pavardė), tuo tikslesni paieškos rezultatai ir tuo mažesnė rizika apsirikti bei prieiti prie kito asmens duomenų. Duomenų subjektams tokio reikalavimo įtvirtinimas, tikėtina, suteiktų didesnes saugumo garantijas.
Duomenų valdytojo ir tvarkytojo atsakomybės
Svarbu suprasti takoskyrą tarp duomenų valdytojo ir tvarkytojo sąvokų. Valdytojas yra asmuo, nustatantis duomenų tvarkymo tikslus, o duomenų tvarkytojas yra kitas asmuo, kuris duomenis tvarko valdytojo pavedimu. Anot jos, kalbant apie asmens duomenų apsaugą, pirmiausia kalbama apie valdytojo tvarkomus duomenis, jo įsipareigojimus ir atsakomybes.
Reglamente apibrėžtas reikalavimas tvarkyti tik tiek duomenų, kiek yra būtina. Todėl pagrindinė rekomendacija verslui - neprisirinkti bereikalingų duomenų, kurių apsaugą vis tiek bus privaloma užtikrinti. Rinkite tik tuos duomenis, kurie būtini konkrečiam tikslui pasiekti. Pavyzdžiui, anksčiau būdavo mėgstama sutartyse nurodyti asmens kodą. Dabar laikomasi nuomonės, kad asmens kodas yra visiškai nereikalingas komercinėse sutartyse, nes netgi siekiant išieškoti skolą asmens kodas nėra reikalingas, reikalinga tik gimimo data. Todėl dabar rekomenduotina asmens kodų nerinkti.
„Ekonomika šiandien“ | Asmens duomenų apsauga: ką ir kaip saugoti?
Duomenų saugumo užtikrinimas
Tvarkydami ir saugodami jūsų asmens duomenis, mes įgyvendiname organizacines ir technines priemones, kurios užtikrintų asmens duomenų apsaugą nuo atsitiktinio ar neteisėto sunaikinimo (pvz., reguliariai darome atsargines duomenų kopijas), pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo. Saugų naudojimąsi mūsų svetaine užtikrina vienas žymiausių pasaulyje saugaus ryšio SSL (angl. Secure Socket Layer) sertifikatas. Naudojant SSL sertifikatą, informacija, siunčiama tarp vartotojo naršyklės ir mūsų serverio, yra šifruojama.
Renkantis priemones, kuriomis bus tvarkomi duomenys, reikia atsižvelgti į duomenų tvarkymo pobūdį, aprėptį, kontekstą bei tikslus. Asmens duomenų apsauga nėra vien popierių užpildymas. Tvarkant asmens duomenis būtina įvertinti, ar pasirinktu būdu gali kilti rizika asmens teisėms ir laisvėms.
Populiariausios organizacinės priemonės yra konfidencialumo sutartys su darbuotojais bei nuolatinis darbuotojų mokymas, kaip turėtų būti tvarkomasi su prižiūrimais asmens duomenimis. Techninės priemonės kartais gali pasirodyti net labai elementarios, tačiau iš tiesų yra ne mažiau svarbios. Jeigu duomenis tvarkome popieriniu variantu, turime užtikrinti, kad bus apsaugotos patalpos, kuriose jie laikomi. Tai yra rakinama patalpa, spintos ar stalčiai su užraktais. Skaitmeninėje erdvėje labai svarbus prieigos valdymas, viskas apsaugoma slaptažodžiais, vykdoma duomenų prieigos stebėsena, kad nutikus incidentui būtų galima nesunkiai atsekti, kas buvo daroma su duomenimis ir koks asmuo už tai atsakingas.
Duomenų subjekto teisės
Kiekvienas duomenų subjektas, kurio duomenys tvarkomi mūsų veikloje, turi šias teises:
- Žinoti (būti informuotu) apie savo asmens duomenų tvarkymą (BDAR 12-14 straipsniai);
- Susipažinti su tvarkomais savo asmens duomenimis (BDAR 15 straipsnis);
- Reikalauti ištaisyti netikslius su juo susijusius asmens duomenis (BDAR 16 straipsnis);
- Reikalauti ištrinti su juo susijusius asmens duomenis („teisė būti pamirštam“) (BDAR 17 straipsnis).
Asmuo turi teisę adekvačiai reikalauti, kad jo duomenys būtų panaikinti. Visgi tai negalioja tais atvejais, jeigu, tarkime, saugomas vaizdo įrašas, o jame akivaizdžiai matoma, kad asmuo padarė nusikalstamą veiką. Be to, asmuo turi teisę į duomenų perkeliamumą.
Svarbu suvokti, kad sutikimą rinkti ir tvarkyti duomenis asmuo bet kada gali atšaukti, tačiau būtina žinoti, jog atšaukimas galioja į ateitį. Tai reiškia, kad verslui nereikia ištrinti sutikimo pagrindu gautų duomenų iki atšaukimo datos.
Vienas svarbiausių niuansų, pasak R. Bučiūtės, yra tas, kad asmuo turi teisę ginti savo teises ir pateikti skundą dėl duomenų tvarkymo Valstybinei duomenų apsaugos inspekcijai.
Duomenų saugojimo laikotarpiai
Jūsų asmens duomenys tvarkomi ne ilgiau nei yra būtina. Asmens duomenų saugojimo laikotarpis apibrėžiamas atsižvelgiant į su Klientu sudarytų sutarčių pobūdį, „Sostena“ teisėtus interesus arba teisės aktų reikalavimais (pvz., reglamentuojančiais apskaitos, ieškinio senaties terminą ir kt.).
Duomenų saugojimo laikotarpiai pagal paskirtį:
| Duomenų tvarkymo tikslas | Duomenų saugojimo terminas |
|---|---|
| Sutarčių sudarymas ir paslaugų teikimas | 10 metų nuo pirkimo operacijos atlikimo dienos |
| Renginiui reikalingi duomenys (alergenai, specifiniai mitybos įpročiai) | 3 mėnesius po renginio pabaigos |
| Tiesioginė rinkodara | Kol asmuo pareiškia nesutikimą arba atšaukia sutikimą |
| Komunikacija ir užklausos | 5 metai nuo užklausos nagrinėjimo arba bendradarbiavimo pabaigos |
| Socialinių tinklų administravimas | 10 metų |
| Vaizdo stebėjimas | Iki 14 kalendorinių dienų |