Pastaruoju metu vis dažniau kyla klausimas, ar būtina nurodyti asmens kodą nuomos sutartyse, ypač atsižvelgiant į duomenų apsaugos reikalavimus ir besikeičiančias teisės aktų nuostatas. Šiame straipsnyje aptarsime, kokia yra dabartinė situacija Lietuvoje ir kokiais atvejais asmens kodas gali būti reikalingas.
Asmens kodas faktūrose ir PVM įstatymo nuostatos
Pasirašant sutartis su įvairiais tiekėjais, pastebima, kad faktūrose nenurodomas asmens kodas arba pažymos numeris. Iškyla klausimas, ar tai susiję su duomenų apsaugos reikalavimais ir ar asmens kodo nurodymas nebėra privalomas.
Atsižvelgiant į dabartinį PVM įstatymą, konkrečiai 80 straipsnį, galima daryti išvadą, kad asmens kodo nurodymas faktūroje nėra visada būtinas. Vis dėlto, svarbu atsižvelgti į tam tikras situacijas.
Jeigu norima įtraukti prekės įsigijimą į įmonės išlaidas, sąskaitoje faktūroje privalo būti nurodytas arba asmens kodas, arba pažymos numeris, ypač jei sąskaitos suma viršija 100 eurų su PVM. Jei suma mažesnė, pakanka ir paprasto čekio.
Apibendrinanti lentelė
Pateikiame apibendrinančią lentelę:
| Sąskaitos suma | Reikalavimai | Pastabos |
|---|---|---|
| Didesnė nei 100 EUR su PVM | Būtinas asmens kodas arba pažymos numeris | Norint įtraukti į išlaidas |
| Mažesnė nei 100 EUR su PVM | Pakanka paprasto čekio | Norint įtraukti į išlaidas |
| Bet kokia suma | Asmens kodas nebūtinas | Jei neketinama įtraukti į išlaidas |
Preliminariosios sutartys ir jų nutraukimas
Augant nekilnojamojo turto kainoms, dažnai pasitaiko atvejų, kai pardavėjai inicijuoja preliminariųjų pirkimo ir pardavimo sutarčių nutraukimą. Tokiu atveju pirkėjai, kurie jau yra sumokėję avansą ir pasiruošę įsigyti būstą, gali patirti nuostolių.
Nors preliminariosios sutarties sudarymas negarantuoja pagrindinės sutarties sudarymo, pirkėjas gali pasinaudoti įvairiais gynybos būdais:
- Pareikalauti avanso grąžinimo ir netesybų, jei tai numatyta sutartyje.
- Reikalauti atlyginti išlaidas, patirtas rengiantis sudaryti sutartį (pvz., sutartys su trečiaisiais asmenimis dėl būsto remonto).
- Reikalauti atlyginti kainų skirtumą, jei dėl pardavėjo kaltės pirkėjas neteko galimybės sudaryti sutartį su kitu pardavėju.
- Reikalauti priteisti pardavėjo gautą naudą, jei nustatoma, kad pardavėjas būstą pardavė trečiajam asmeniui už didesnę kainą.
Rekomendacijos pirkėjams
Jeigu vystytojas ar pardavėjas nutraukia preliminariąją sutartį, svarbu:
- Nesiskubinti pasirašyti dokumentų, kuriais atsisakoma pretenzijų.
- Paprašyti nutraukimo priežastį nurodyti raštu.
- Rinkti visus įrodymus, kurių gali prireikti teisme (susirašinėjimą, banko sprendimus, mokėjimų dokumentus).
Teismams svarbūs įrodymai apie realią žalą, patirtą dėl nesąžiningo pardavėjo, ir nuostolių dydžio pagrindimas.
Duomenų apsauga ir asmens kodo tvarkymas
LR asmens duomenų apsaugos įstatyme (LR ADTAĮ) iš esmės galime rasti dvi asmens duomenų kategorijas: neypatingi asmens duomenys ir ypatingi (LR 2 str.). Neypatingi asmens duomenys yra tokie duomenys, kaip asmens vardas, pavardė, lytis, interneto protokolo (IP) adresas, telefono numeris, el. pašto adresas ir panašiai. Ypatingų asmens duomenų tvarkymui yra keliami griežtesni teisiniai reikalavimai. Atkreipkite dėmesį, kad asmens duomenų tvarkymas reiškia bet kokį su asmens duomenimis atliekamą veiksmą ar veiksmų rinkinį - rinkimą, užrašymą, kaupimą, saugojimą, klasifikavimą, paskelbimą, paiešką ir kt. (LR ADTAĮ 2 str.).
Taigi tvarkant ypatingus asmens duomenis reikalaujama iš duomenų valdytojo įdiegti griežtesnes organizacines ir technines saugumo priemones. Daugelis klaidingai mano, kad asmens kodas yra ypatingas asmens duomuo. Toks įspūdis gali būti susidaręs dėl to, kad dar nuo vaikystės esate tėvų “įskiepyti” saugoti asmens kodą.
Pastarojo, skirtingai nei kokio kito duomens, pavyzdžiui, vardo, Jums nereikia atskleisti bet kokios socialinės interakcijos metu ar norint paprasčiausiai apsipirkti elektroninėje parduotuvėje. Taip pat visi žinome, kad asmens kodo, kokį turiu aš, neturi niekas kitas, nes Jūsų asmens kodas, vadovaujantis LR Gyventojų registro įstatymu (LR GRĮ), yra unikali ir nekeičiama skaitmenų seka (LR GRĮ 2 str. 3 d., 8 str.). Taigi kiekvieno asmens kodas yra unikalus konkretaus asmens identifikatorius.
Bet, nepaisant jo unikalumo ir to, kad asmens kodą naudojate retai ir iš esmės tie atvejai yra daugiau išimtiniai, asmens kodas yra “paprastas”, t. y. neypatingas duomuo. Tačiau net ir šiuo atveju jam yra taikomi griežtesni reikalavimai nei kitų neypatingų duomenų, tokių kaip vardo, lyties ir pan.
Šiuo įrašu paanalizuokime, kaip šiuo metu yra reglamentuojamas asmens kodo, kaip duomens, tvarkymas ir kaip asmens kodo tvarkymas pasikeis, jei visgi pasikeis po Bendrojo Duomenų Apsaugos Reglamento (GDPR) įsigaliojimo 2018 m. gegužės 25 d. Asmens kodo duomenų tvarkymui LR ADTAĮ yra skirtas visas 7 straipsnis. LR GRĮ 8 str. 2 d. apibrėžta, kas sudaro tą unikalią skaitmenų seką - pirmasis skaitmuo atitinka lytį ir gimimo šimtmetį, antrasis ir trečiasis - gimimo metų du paskutinius skaitmenis, ketvirtasis ir penktasis - gimimo mėnesį ir kt. Taigi, asmens kodas ne tik pats savaime yra duomuo, bet taip pat talpina dalį kitų asmens duomenų, priklausančių konkretaus asmens kodo turėtojui.
Jeigu žinodami asmens vardą ir neturėdami kitų to asmens duomenų, su kuriais galėtume susieti vardą, tik jį ir žinosime, tai turėdami patį asmens kodą vienareikšmiškai apie tą asmenį jau per sužinosime daugiau (lytį, gimimo metus, mėnesį ir kt.) bei turėsime galimybę, įvedę į vieną ar kitą informacinę sistemą šį duomenį, sužinoti dar daugiau - asmens tapatybę, jo finansinius įsipareigojimus, jo sveikatos būklę ir pan., priklausomai nuo to, kokiu tikslu asmens kodas yra tvarkomas.
Bendra asmens kodo tvarkymo taisyklė yra ta, kad asmens kodą galima tvarkyti tik gavus to asmens sutikimą (LR ADTAĮ 7 str. 2 d.). „sutikimas” apibrėžiama LR ADTAĮ 2 str. 12 d. - tai savanoriškas duomenų subjekto valios pareiškimas tvarkyti jo asmens duomenis jam žinomu tikslu. To paties straipsnio 3 dalyje yra nurodytos išimtys iš bendros taisyklės, t. y. kada nebūtina gauti duomenų subjekto sutikimo tvarkyti asmens kodą. LR ADTAĮ 7 str. 4 ir 5 d. įtvirtintos imperatyvios nuostatos, pagal kurias, net ir gavus duomenų subjekto sutikimą, draudžiama tvarkyti asmens identifikacinį kodą tiesioginės rinkodaros tikslu (LR ADTAĮ 2 str.
Iš esmės toks asmens kodo teisėto tvarkymo reglamentavimas yra nustatytas LR ADTAĮ. GDPR šioje vietoje lakoniškas. Reglamento 87 straipsnis yra skirtas nacionalinio asmens identifikavimo numerio tvarkymui reglamentuoti. Jame nurodyta, kad “Valstybės narės gali tiksliau apibrėžti konkrečias sąlygas, kuriomis tvarkomas nacionalinis asmens identifikavimo numeris ar bet kuris kitas bendro taikymo identifikatorius.
Tuo tarpu Projekto 3 str. 1 d. Ką tai reiškia? Tai reiškia, kad patvirtintus tokį Projektą, prasiplėstų teisinių pagrindų sąrašas, kuriuo remiantis duomenų valdytojas galės tvarkyti asmens kodą. Minėta, kad pagal dabar galiojantį LR ADTAĮ 7 str. tvarkyti duomenis būtina siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų, išskyrus atvejus, kai tokie duomenų subjekto interesai arba pagrindinės teisės ir laisvės, dėl kurių būtina užtikrinti asmens duomenų apsaugą, yra už juos viršesni, ypač kai duomenų subjektas yra vaikas (GDPR 6 str.
Taip pat svarbu, kad, jeigu būtų priimtas dabartinis LR ADTAĮ pakeitimo įstatymas, asmens kodas negalėtų “būti naudojamas kaip vienintelis paieškos kriterijus atliekant kitų asmens duomenų paiešką“. (Projekto 3 str. Paprastais žodžiais tariant, duomenų valdytojas ar (ir) tvarkytojas, jų darbuotojai ir pan. negalėtų duomenų bazėse, informacinėse sistemose ar kt. į paieškos lauką įvesti tik asmens identifikacinį numerį, siekdami surasti kitus to asmens duomenis.
Objektyviai vertinant, klaidos tikimybė iš tikrųjų turėtų sumažėtų, jeigu paieškos lauke būtų įvestas ne vienas, o keli tam asmeniui priklausantys duomenys. Kuo daugiau duomenų suvesta (pavyzdžiui, asmens kodas, vardas ir pavardė), tuo tikslesni paieškos rezultatai ir tuo mažesnė rizika apsirikti bei prieiti prie kito asmens duomenų. Duomenų subjektams tokio reikalavimo įtvirtinimas, tikėtina, suteiktų didesnes saugumo garantijas.
Iš tikrųjų pastaroji teisinė nuostata sukėlė didelį privačių ir viešų įmonių, įstaigų, institucijų nepasitenkinimą. Kodėl? Pagrindinė priežastis yra ta, kad reikėtų keisti savo turimas ir jau naudojamas informacines sistemas, paieškos sistemas, kas reikalautų didelių kaštų ir laiko sąnaudų, tam tikrais atvejais ir kūrybingumo, ieškant optimaliausio sprendimo varianto bei galimybių faktiškai užtikrinti tokį reikalavimą.
Vėlgi, Lietuvoje nustatant griežtesnius teisinius reikalavimus nei kitose ES šalyse, verslas nenoriai kurtųsi ir plėtotų savo veiklą Lietuvoje. Visgi, reikėtų prisiminti GDPR 25 straipsnį, kuriame įtvirtintas visai naujas teisinis reikalavimas duomenų valdytojui - pritaikytosios duomenų apsaugos užtikrinimas (angl. Taigi, pagal šį straipsnį duomenų valdytojai, įsivertinę savo veiklos pobūdį, tikslus tvarkomus duomenis ir kt.
Tiesą sakant, svarstytina, ar toks reguliavimas, visais atvejais uždraudžiantis naudoti asmens kodą kaip vienintelį paieškos kriterijų yra proporcingas visų įmonių, įstaigų ar institucijų atžvilgiu ir ar dera su kitomis teisėmis ir laisvėmis, pavyzdžiui, su pagrindine teise užsiimti verslu. Galima rasti nemažai argumentų, kodėl toks reguliavimas yra nenaudingas ir neprotingas.
Nuolat atnaujinamos sutarčių formos su šalims naudingais komentarais naujame „Verslo žinių“ produkte „VŽ SUTARTYS“ >>Nors ši sutartis sudaroma tarp dviejų juridinių asmenų, tačiau joje neišvengiamai atsiranda asmens duomenų, kadangi ją pasirašo abiejų šalių įgalioti atstovai, t. y. fiziniai asmenys, ir sutartyje tokiu atveju atsiras jų vardai ir pavardės, kontaktiniai duomenys, galimai ir dar daugiau asmens duomenų. Tokiu atveju sutarties objektas nebūtų keitimasis asmens duomenimis, todėl duomenų tvarkymo susitarimo sudarymas tikrai nėra būtinas.
Minėtoje situacijoje rekomenduotina pasirinkti vieną iš dviejų opcijų: i) prie sutarties paruošti priedą - privatumo pranešimą, kuriame nurodomas sutarties vykdymo tikslu tvarkomų asmens duomenų spektras, tokio tvarkymo teisinis pagrindas ir kita BDAR 12, 13, 14 str. nurodyta informacija; arba ii) sutartyje įterpti nuostatą, jog sutarties vykdymo tikslu yra tvarkomi atitinkami kitos sutarties šalies atstovo asmens duomenys ir pateikti nukreipimą į privatumo politiką, kuri pagal prieš tai nurodytus BDAR straipsnius yra privaloma kiekvienam asmens duomenis tvarkančiam subjektui.
Tačiau, jeigu tarp šalių sudaroma sutartis, kurioje viena šalis iš kitos gauna IT infrastruktūros priežiūros paslaugas, o kita už šias paslaugas moka nustatytą mokestį, tai situacija bus kiek kitokia. Tokiu atveju sutarties objektu, be kita ko, taps ir keitimasis duomenimis arba prieigos prie duomenų suteikimas - IT priežiūros paslaugas gaunanti šalis teiks kitai šaliai savo darbuotojų asmens duomenis, suteiks prieigą prie prižiūrimose IT sistemose tvarkomų trečiųjų asmenų duomenų, o IT ūkio priežiūrą atliekanti šalis tvarkys tuos duomenis jai nurodytais tikslais.
Taigi, be pagrindinės sutarties, tarp šalių turės būti sudarytas duomenų tvarkymo susitarimas, kaip tą numato BDAR 28 str. Tokiais atvejais tokio susitarimo sudarymas yra reikalingas, kadangi sutarties objektas, be kita ko, yra ir keitimasis asmens duomenimis ir kontrahentas, kuris sutarties tikslo negali įgyvendinti be iš kitos šalies gautų asmens duomenų, tampa asmens duomenų tvarkytoju.
Taip pat vertėtų nepamiršti, jog sutartiniuose santykiuose asmens duomenimis gali dalintis ir du nepriklausomi duomenų valdytojai. Tokiu atveju vienos sutarties šalies perduodami duomenys bus perduodami ne tvarkymui, o savarankiškam valdymui ir tokių duomenų gavėjas pats nusistatys duomenų tvarkymo tikslus, teisinius pagrindus ir t. t. Kaip pavyzdys tiktų kiek pakoreguota pirmoji šiame straipsnyje aprašyta situacija.
Jeigu baldų pirkėjas, pavyzdžiui, nuspręstų užsakyti baldus pagal užsakymą, pritaikant kiekvienam baldus užsakančios šalies darbuotojui individualiai, su sąlyga, kad pritaikyti baldai bus neatlygintinai perleidžiami darbuotojams kaip darbo priemonė darbui namuose karantino laikotarpiu. Duomenų teikėjas perduotų baldų gamintojui savo darbuotojų kontaktinę informaciją, vardus, pavardes, jog gamintojas galėtų susisiekti su jais dėl jų kūno išmatavimų baldams gavimo, vėliau - dėl baldų pristatymo. Tarp kontrahentų, tikėtina, susiklostytų valdytojas-valdytojas santykis ir kiekviena šalis duomenų tvarkymo tikslus ir pagrindus nusistatytų individualiai. Šioje situacijoje valdytojams būtų reikalinga sudaryti duomenų teikimo susitarimą, kuriame aptariami duomenų teikimo tikslai, kiekvienos šalies rolės, pareigos, taikomi duomenų saugumo standartai ir t.t.
Apibendrinant galima teigti, jog kiekvienoje sutartyje įtraukti plačiai asmens duomenų apsaugą ir tvarkymą aprašančias nuostatas tikrai nėra būtina ir universalaus sprendimo visoms situacijoms nėra, tačiau svarbu visada kritiškai įsivertinti, kokia apimtimi ir kokiais tikslais sutarties įvykdymui reikės tvarkyti asmens duomenis, taip pat, koks santykis bus tarp kontrahentų.
Jeigu sutarties objektas nėra keitimasis asmens duomenimis, tai tokiu atveju tikrai užteks nukreipimo į privatumo politiką arba priedo prie sutarties, kuriame būtų siaurai aprašyta BDAR 12, 13, 14 str. nurodytą informaciją.