Duomenų apsaugos naujienlaiškis (2025 m. rugpjūčio mėn.)

ECOVIS ProventusLaw duomenų apsaugos komanda kviečia duomenų valdytojus ir tvarkytojus susipažinti su 2025 m. rugpjūčio mėn. duomenų apsaugos aktualijomis.

Valstybinės duomenų apsaugos inspekcijos (VDAI) informacija

Valstybinė duomenų apsaugos inspekcija (toliau – VDAI) gauna gyventojų pranešimų dėl įvairių asmens duomenų viešinimo atvejų galimai pažeidžiant Bendrąjį duomenų apsaugos reglamentą (toliau – BDAR) tiek viešajame, tiek privačiame sektoriuose. Tokių pranešimų sulaukiama ir dėl žurnalistų ar kitų viešosios informacijos rengėjų ir skleidėjų viešinamos informacijos.

VDAI atkreipia dėmesį, kad tokiam duomenų tvarkymui yra taikomi BDAR nustatyti teisėto asmens duomenų tvarkymo reikalavimai. Vadovaujantis BDAR, asmens duomenys gali būti tvarkomi (taigi ir viešinami) tik laikantis su asmens duomenų tvarkymu susijusių principų, įtvirtintų BDAR 5 straipsnyje, ir kai toks asmens duomenų tvarkymas gali būti pagrįstas bent viena teisėto asmens duomenų tvarkymo sąlyga, numatyta BDAR 6 ar 9 straipsniuose.

VDAI visuomenę ir organizacijas ragina prieš skelbiant asmens duomenis visuomet įvertinti (net jei skelbiama informacija susijusi su politikais ir kitais viešais asmenimis), kokių tikslų siekiama duomenų paskelbimu, ar skelbiami duomenys nėra pernelyg jautrūs ar galintys sukelti žalą asmeniui ar jo artimiesiems, taip pat kitus aspektus, reikšmingus vertinant asmens duomenų skelbimo teisėtumą ir proporcingumą.

Prieš viešai skelbdamos asmens duomenis, įmonės turėtų:

  • Kruopščiai įvertinti viešinimo tikslą ir įsitikinti, kad jis yra teisėtas ir būtinas;
  • Patikrinti atitiktį BDAR principams (5 straipsnis), įskaitant teisėtumą, sąžiningumą ir skaidrumą;
  • Įsitikinti, kad yra galiojantis teisinis duomenų tvarkymo pagrindas pagal BDAR 6 arba 9 straipsnį;
  • Įvertinti duomenų jautrumą ir galimą žalą, kurią viešinimas gali sukelti asmeniui ar jo artimiesiems;
  • Taikyti proporcingumo principą – derinti viešąjį interesą ir teisę į privatumą net ir viešųjų asmenų atveju.

Valstybinė duomenų apsaugos inspekcija ragina gyventojus išlikti budrius teikiant asmens duomenis

Pasitaiko atvejų, kai žmonės, talpindami savo asmeninius duomenis, dokumentus ar kitą jautrią informaciją į internetines platformas, neįsigilina ar nepakankamai atidžiai perskaito privatumo nustatymus ar  viešumo parametrus ir dėl šios priežasties šie duomenys ir dokumentai tampa prieinami viešai. Šiais viešai paskelbtais asmeniniais duomenimis gali pasinaudoti  trečiosios šalys, įskaitant sukčius ar kitus piktavalius, todėl VDAI ragina su savo asmenine informacija elgtis atsakingai.

Prieš naudojantis bet kuria internetine paslauga ar platforma, VDAI rekomenduoja:

  • Susipažinti su privatumo politika ir paslaugų teikimo sąlygomis.
  • Patikrinti, ar aiškiai nurodyta, kaip bus naudojami Jūsų pateikti asmens duomenys.
  • Įsitikinti, ar informacija, kurią įkeliate, bus prieinama tik Jums, ar gali būti rodoma viešai.
  • Atkreipti dėmesį, ar paslaugos teikėjas yra įsteigtas ES ar turi paskirtą atstovą ES, jei veikia iš trečiųjų šalių.

Ką daryti, jei duomenys buvo paskelbti be Jūsų sutikimo?

  • Pirmiausia turėtumėte kreiptis tiesiogiai į duomenų valdytoją ar platformos administratorių su prašymu pašalinti Jūsų duomenis.
  • Jei atsakymo negaunate arba jis Jūsų netenkina, galite kreiptis į VDAI. Daugiau informacijos rasite VDAI svetainės rubrikoje „Skundų nagrinėjimas“

VDAI sprendimas: Vaizdo stebėjimas, duomenų atskleidimas, duomenų minimalizavimo principas

Neseniai priimtame sprendime Valstybinė duomenų apsaugos inspekcija (toliau – VDAI) išnagrinėjo asmens skundą dėl namų savininkų asociacijos „JŪRA“ (toliau – Asociacija) neteisėtos vaizdo stebėjimo veiklos ir neteisėto vaizdo įrašų platinimo privačioje „Facebook“ grupėje. Skundo pateikėjas paprašė VDAI įvertinti vaizdo stebėjimo veiklos ir tariamo vaizdo įrašų platinimo teisėtumą.

VDAI išnagrinėjo skundą ir nustatė, kad Asociacija atlieka gyvenamojo namo vidinio kiemo ir jo aplinkos vaizdo stebėjimą naudodama septynias stacionarias kameras. Asociacija pateisino stebėjimą remdamasi BDAR 6 straipsnio 1 dalies f punktu, teigdama, kad tai buvo būtina siekiant apsaugoti savininkų ir gyventojų teisėtus interesus, įskaitant jų saugumą, turtą ir viešąją tvarką. Kameros buvo įrengtos pagal asociacijos narių visuotinio susirinkimo sprendimus, o alternatyvios, mažiau invazinės saugumo priemonės prieš įgyvendinimą buvo laikomos nepakankamomis.

Asociacijos pateikti įrodymai apėmė pakartotinių incidentų, tokių kaip vandalizmas, vagystės, turto sugadinimas, gyvūnų kontrolės pažeidimai ir viešosios saugos problemos, įrašus. Asociacija taip pat pateikė dokumentus, įrodančius, kad kamerų įrašai padėjo identifikuoti pažeidėjus daugeliu atvejų, o policijoje buvo užregistruoti 81 susijęs incidentas.

Dėl tariamo neteisėto stebėjimo vaizdo įrašų pasidalijimo „Facebook“ tinkle, VDAI nerado jokių patvirtinančių įrodymų. Skundo pateikėjas nepateikė jokių tokio atskleidimo įrodymų, o asociacija paneigė, kad stebėjimo įrašai kada nors buvo pasidalinti socialiniuose tinkluose. Dėl objektyvių įrodymų trūkumo VDAI atmetė šią skundo dalį kaip nepagrįstą.

VDAI padarė išvadą, kad asociacijos vykdoma vaizdo stebėjimo veikla yra pagrįsta teisėtu interesu ir ją patvirtina dokumentais įrodyti incidentai, narių pritarimas ir veiksmingesnių alternatyvų nebuvimas. Taigi, stebėjimas buvo pripažintas atitinkančiu duomenų apsaugos taisykles. Tačiau inspekcija priminė, kad bet koks asmens duomenų tvarkymas, įskaitant vaizdo stebėjimą, visada turi atitikti būtinumo ir proporcingumo principus, užtikrinant, kad duomenų subjektų teisės nebūtų neproporcingai pažeistos.

Rekomendacijos dėl vaizdo stebėjimo:

Organizacijos, planuojančios įdiegti vaizdo stebėjimą, turėtų atidžiai įvertinti ir dokumentuoti jo būtinumą bei proporcingumą. Prieš pradedant stebėjimą, privaloma atlikti poveikio duomenų apsaugai vertinimą (PDAV), siekiant nustatyti galimas rizikas ir numatyti tinkamas apsaugos priemones.

Naujausias VDAI sprendimas patvirtino, kad stebėjimas gali būti teisėtas, jei jis pagrįstas:

  • aiškiu teisėtu interesu (pvz., turto apsauga, saugumas);
  • įrodymais apie nuolat kylančias problemas (pvz., pasikartojantys vandalizmo ar vagysčių atvejai);
  • suinteresuotųjų šalių ar narių pritarimu.

Duomenų valdytojas privalo užtikrinti, kad prieš patenkant į patalpas ar teritoriją, kurioje vykdomas vaizdo stebėjimas, būtų aiškiai ir tinkamai pateikiama bent ši informacija:

  • apie vykdomą vaizdo stebėjimą;
  • duomenų valdytojo juridinio asmens pavadinimas arba fizinio asmens vardas ir pavardė bei jų kontaktinė informacija (adresas, el. pašto adresas ir (arba) telefono numeris);
  • asmens duomenų tvarkymo tikslas;
  • nuoroda į informacijos šaltinį, kuriame galima gauti detalesnę informaciją apie vykdomą vaizdo stebėjimą (t. y. BDAR 13 straipsnio 1 ir 2 dalyse nurodytą informaciją, BDAR 15–22 ir 34 straipsniuose nustatytų duomenų subjektų teisių įgyvendinimo tvarką ir kt.), pavyzdžiui, interneto svetainė, kontaktinis telefonas ar pan.

Taip pat būtina vengti nepagrįsto duomenų atskleidimo, pavyzdžiui, vaizdo įrašų skelbimo socialiniuose tinkluose, ir užtikrinti, kad apie stebėjimą aiškiai būtų informuojami visi suinteresuoti asmenys. Visada pirmiausia reikia užtikrinti skaidrumą, minimalų duomenų rinkimą ir įrašytos medžiagos saugumą.

VDAI sprendimas: skaidrumo principo įgyvendinimas

Neseniai priimtame sprendime Valstybinė duomenų apsaugos inspekcija (toliau – VDAI) nustatė, kad UAB „TELE2“ (toliau – Bendrovė) pažeidė Bendrąjį duomenų apsaugos reglamentą (toliau – BDAR), nes tinkamai neinformavo klientų apie jų asmens duomenų tvarkymą atliekant kreditingumo vertinimus.

Tyrimas buvo pradėtas gavus du skundus. Pirmuoju atveju klientas (skundo pateikėjas Nr. 1) pranešė, kad po pokalbių telefonu su TELE2 2024 m. balandžio 29 d. ir gegužės 7 d. dėl telefono numerio perkėlimo jo asmens duomenys buvo patikrinti trečiosios šalies kredito duomenų bazėje be jo žinios ir sutikimo. Vėliau bendrovė pripažino, kad jos darbuotojas dėl klaidos nepranešė klientui, ir įsipareigojo įgyvendinti papildomas technines priemones, kad ateityje būtų užtikrintas tinkamas informavimas.

Antrasis skundas (skundo pateikėjas 2) buvo susijęs su panašiu incidentu 2024 m. lapkričio 22 d. Pokalbio su TELE2 telefonu metu ji pateikė savo asmens tapatybės duomenis, bet nebuvo informuota, kad bus patikrintas jos kreditingumas. Vėliau bendrovė pripažino, kad darbuotojas vėl nesilaikė vidinių gairių, ir, peržiūrėjusi pokalbio įrašą, patvirtino šį aplaidumą. TELE2 ėmėsi taisomųjų priemonių, paprašydama pašalinti kreditingumo patikrinimą iš skundo pateikėjo įrašo, ir išsiuntė darbuotojams priminimus apie tinkamas procedūras.

Nors TELE2 duomenų tvarkymą pagrindė savo teisėtu interesu mažinti finansinę riziką (pagal BDAR 6 straipsnio 1 dalies f punktą), inspekcija pabrėžė, kad asmenys vis tiek turi būti aiškiai informuoti apie tokį duomenų tvarkymą ir savo teisę nesutikti, kaip nurodyta BDAR 21 straipsnyje.

Jeigu įmonė atlieka kreditingumo patikras arba vertina finansinę riziką naudodama asmens duomenis, ji privalo aiškiai informuoti asmenis iš anksto, net jei teisiniu pagrindu pasirenkamas teisėtas interesas (BDAR 6 straipsnio 1 dalies f punktas).

Įmonės turi:

  • Aiškiai paaiškinti, kodėl ir kaip bus naudojami asmens duomenys (pvz., kreditingumo tikrinimui);
  • Informuoti asmenis apie jų teisę nesutikti su duomenų tvarkymu (BDAR 21 straipsnis);
  • Apmokyti darbuotojus laikytis nuoseklių procedūrų ir pateikti reikiamą informaciją visų sąveikų metu – ypač telefonu.

VDAI sprendimas: saugojimo apribojimo principas

Neseniai priimtame sprendime Valstybinė duomenų apsaugos inspekcija (toliau – VDAI) nustatė, kad UAB „Kretingos šilumos tinklai“ (toliau – Bendrovė) pažeidė Bendrąjį duomenų apsaugos reglamentą (toliau – BDAR), neteisėtai saugodama darbo pokalbio įrašą po to, kai kandidatas jau buvo pasirašęs darbo sutartį.

Remiantis skundu, kandidatui (toliau – Skundo pateikėjas) pokalbio metu buvo pranešta, kad pokalbis bus įrašytas ir saugomas tik iki įdarbinimo proceso pabaigos. Tačiau 2023 m. birželio 15 d. antstolio ataskaitoje buvo rastas pokalbio stenogramos tekstas, iš kurio matyti, kad įrašas buvo saugomas ilgiau nei nurodyta.

Įmonė pripažino, kad įrašė pokalbį, siekdama užtikrinti tinkamą įdarbinimo proceso dokumentavimą, ir kad Skundo pateikėjas buvo informuotas apie įrašo tikslą ir saugojimo laikotarpį. Įmonė teigė, kad duomenų tvarkymas buvo pagrįstas teisėtais interesais pagal BDAR 6 straipsnio 1 dalies f punktą. Tačiau teisėtų interesų vertinimas buvo atliktas tik po to, kai buvo pateiktas skundas, o pokalbis jau buvo įrašytas ir saugomas.

Bendrovės vidaus duomenų saugojimo politika aiškiai neapėmė interviu įrašų tvarkymo. Net jei ji būtų apėmusi, politikoje buvo nurodyta, kad duomenys turėtų būti saugomi tik iki sutarties pasirašymo arba įdarbinimo proceso pabaigos. Todėl įrašo saugojimas po darbo sutarties pasirašymo pažeidė BDAR 5 straipsnio 1 dalies e punktą, kuris įpareigoja mažinti duomenų kiekį ir saugoti tik tai, kas būtina.

VDAI padarė išvadą, kad skundą pateikęs asmuo nebuvo tinkamai informuotas, kad įrašas bus saugomas ilgiau nei iki darbo sutarties pasirašymo, todėl negalėjo duoti informuoto sutikimo ar pareikšti prieštaravimo. Todėl inspekcija skundą pripažino pagrįstu.

Atsižvelgdama į tai, kad tai buvo pirmasis tokio pobūdžio bendrovės pažeidimas ir nebuvo nustatyta jokios žalos skundą pateikusiam asmeniui, VDAI išdavė įspėjimą pagal BDAR 58 straipsnio 2 dalies b punktą už duomenų saugojimo ribojimo principo pažeidimą. Jokių papildomų sankcijų nebuvo taikoma, nes jos buvo laikomos neproporcingomis esamomis aplinkybėmis.

Įrašydamos darbo pokalbius ar rinkdamos kitus asmens duomenis darbuotojų atrankos metu, įmonės turi užtikrinti aiškų informavimą ir griežtą BDAR nustatytų duomenų saugojimo terminų laikymąsi.

Įmonės privalo:

  • Iš anksto informuoti kandidatus apie tikslą, teisinį pagrindą (pvz., teisėtą interesą) ir tikslų pokalbių įrašų ar pastabų saugojimo terminą;
  • Laikytis nustatytų saugojimo terminų – pasibaigus atrankos procesui ar pasirašius sutartį, duomenis ištrinti, nebent yra galiojanti, iš anksto nustatyta priežastis juos saugoti;
  • Atnaujinti vidines politikos nuostatas, kad jos aiškiai apimtų atrankos metu tvarkomus duomenis, įskaitant darbo pokalbių įrašus;
  • Įvertinti teisinį pagrindą (pvz., teisėtą interesą) dar prieš pradedant rinkti duomenis.

Duomenų valdymo akto aspektai: pasitikėjimas duomenų dalijimusi ir nauda visuomenei

Valstybinė duomenų apsaugos inspekcija (toliau – VDAI) atkreipia dėmesį, kad yra keletas europinių teisės aktų, kurie jau dabar yra taikomi ir susiję su duomenų tvarkymo reglamentavimu, nors daliai visuomenės nėra žinomi. Vienas tokių teisės aktų yra Duomenų valdymo aktas (Reglamentas (ES) 2022/868).

Duomenų valdymo aktas (toliau – DVA) skirtas išnaudoti duomenų potencialą. Juo siekiama skatinti pasitikėjimą duomenų dalijimusi. Šiuo teisės aktu įvedami nauji reikalavimai įmonėms, kurios padeda keistis duomenimis ir skatinti žmonių ir įmonių pasitikėjimą, kai kalbama apie duomenis: jų prieinamumą, naudojimą, dalijimąsi ir pakartotinį naudojimą. Leisti žmonėms ir organizacijoms patiems kontroliuoti, kaip jų duomenys yra naudojami. Taip pat siekiama pašalinti kliūtis, kurios trukdo kurtis stipriai, skaidriai ir sąžiningai duomenų ekonomikai Europoje.

Duomenų tarpininkavimo paslaugų teikėjai, pagal DVA, yra įmonės ar organizacijos, kurios padeda saugiai ir skaidriai dalintis duomenimis tarp skirtingų šalių ir žmonių.  Jų veikla gali apimti:

  • Duomenų dalijimąsi tarp dviejų ar daugiau šalių;
  • Specialių platformų arba duomenų bazių kūrimą, kurios užtikrina galimybę saugiai dalintis ir naudoti duomenis.

DVA numato aiškius reikalavimus, keliamus taip vadinamiems duomenų tarpininkams. Apibrėžtos paslaugos, kurias jie gali teikti, ir jų veiklos taisyklės. Atitinkamai nustatoma, kad privalo būti vykdoma atsakingų institucijų priežiūra.

Duomenų tarpininkavimo paslaugų teikėjų paslaugos:

  • Tarpininkavimas tarp duomenų turėtojų ir potencialių duomenų naudotojų;
  • Tarpininkavimas tarp duomenų subjektų;
  • Duomenų kooperatyvų paslaugos.

Duomenų altruizmas – savanoriškas dalijimasis duomenimis – kai asmenys ir įmonės savanoriškai ir neatlygintinai duoda sutikimą arba leidimą suteikti prieigą prie savo duomenų, kad juos būtų galima naudoti visuomenės labui (altruistiniais tikslais).

Duomenų altruizmo organizacijos:

  • užtikrins duomenų teikėjams galimybę lengvai valdyti duotą sutikimą;
  • teiks viešas metines ataskaitas, kokiems tikslams ir kaip duomenys buvo naudojami.

Tiksliniai BDAR pakeitimai: EDAV ir EDAPP palankiai vertina įrašų saugojimo prievolių supaprastinimą

Europos duomenų apsaugos valdyba (EDAV) ir Europos duomenų apsaugos priežiūros pareigūnas (EDAPP) paskelbė bendrą nuomonę dėl Europos Komisijos pasiūlymo dėl reglamento, kuriuo iš dalies keičiami tam tikri reglamentai, įskaitant BDAR.

Europos Komisija pateikė pasiūlymą, kuriuo siekiama supaprastinti BDAR laikymąsi ir sumažinti administracinę naštą. Vienas iš pagrindinių pakeitimų – BDAR 30 straipsnio 5 dalyje numatytos išimties išplėtimas, pagal kurią šiuo metu įmonės, turinčios mažiau nei 250 darbuotojų, yra atleistos nuo pareigos tvarkyti duomenų tvarkymo veiklos įrašus.

Pagal naująjį pasiūlymą ši išimtis būtų taikoma įmonėms ir organizacijoms, kuriose dirba mažiau nei 750 darbuotojų, išskyrus atvejus, kai duomenų tvarkymas gali kelti didelį pavojų asmenų teisėms ir laisvėms (kaip numatyta BDAR 35 straipsnyje).

Pasiūlyme taip pat pateikiamos aiškios mažų, mažųjų ir vidutinių įmonių MVĮ bei mažų vidutinės kapitalizacijos įmonių (SMC) apibrėžtys BDAR, išplečiant esamų priemonių, pvz., elgesio kodeksų ir sertifikavimo, taikymo sritį, siekiant geriau remti šias įmones.

Naujienlaiškio prenumerataSusisiekti
Nemokami patarimai!

Turite klausimų ar reikia daugiau informacijos?

Susisiekite su mumis el. paštu!