Belgijoje socialiniam tinklui skirta bauda dėl BDAR pažeidimų. Ko galime iš to pasimokyti?

Belgijos duomenų apsaugos priežiūros institucija dėl Bendrojo duomenų apsaugos reglamento (toliau – „BDAR“) nuostatų pažeidimų. 2020 m. gegužės 19 d. paskyrė 50 tūkst. eurų baudą šioje šalyje įkurtam socialiniam tinklui „Twoo“ Anot institucijos, socialinio tinklo programa naudotojo mobiliajame įrenginyje rinko bei tvarkė trečiųjų asmenų duomenis, suteikdama galimybę programos naudotojams kviesti savo draugus ar kontaktus prisijungti prie socialinio tinklo ir naudotis jos paslaugomis, platformai neturint galiojančio teisinio pagrindo pagal BDAR – prieš tai negavus kviečiamų asmenų sutikimo.

Siuntė pakvietimus neturėdami sutikimo 

Programa jos naudotojams siūlė pasirinkimą „pakviesti draugą“. Nors taip vadinamos kreipimosi/nukreipimo galimybės interneto svetainėse įdiegtos jau ganėtinai ilgą laiką, (pvz. naujienų portaluose suteikiama galimybė dalintis jų paskelbta publikacija su konkrečiu kontaktu, pasidalinimo pasirinkime nurodant jų el. pašto adresą, arba internetinėse parduotuvėse dažnai matome galimybę „dalintis su draugu“, kurį pasirinkus, esame nukreipiami į galimybę taipogi įvesti savo draugo el. pašto adresą, kuriam gali būti aktuali konkreti prekė ir kt.) socialinis tinklas „Twoo“ savo platformoje dalinimosi su draugu aspektą interpretavo savaip – socialinis tinklas suteikė galimybę savo naudotojams pakviesti trečiuosius asmenis naudotis šia platforma, prieš siunčiant šį pakvietimą (ar jo siuntimo metu) negavus trečiojo asmens sutikimo. „Twoo“ yra socialinio tinklo platforma, turinti apie 180 mln. vartotojų Europoje ir šio tinklo atstovų teigimu, platformos „pakviesti draugą“ pasirinkties teisinis pagrindas rinkti trečiųjų asmenų duomenis yra platformos naudotojo sutikimas jai suteikti prieigą prie naudotojo adresų knygos, iš anksto pasirinkti kontaktus, kurie, platformos naudotojo nuomone, būtų tinkami ir išsiųsti šiuos pakvietimus asmenims, kurie nėra šios platformos naudotojai.

Duomenų apsaugos priežiūros institucija nurodė, jog taip siųsdamas pakvietimus socialinis tinklas „Twoo“ , pažeidė BDAR 6 straipsnio nuostatas – t. y. socialinis tinklas gaudavo ir naudodavo trečiųjų asmenų duomenis be jokio teisinio pagrindo.

Šis Belgijos duomenų apsaugos priežiūros institucijos sprendimas aiškiai nurodo, kad socialiniai tinklai ko gero nebeturės efektyvios galimybės, neprieštaraujančios BDAR nuostatoms, teikti savo platformų naudotojams pasirinkimo „pakviesti draugą“ galimybę, siekiant, kad ši funkcija pritrauktų daugiau naudotojų į socialinį tinklą. Prasidėjus duomenų apsaugos priežiūros institucijos tyrimui, Socialinis tinklas „Twoo“ visiškai nutraukė galimybę naudotis „pakviesti draugą“ funkcija.

Ko galime pasimokyti? 

  • Duomenų valdytojas, savo techniniame sprendime įtraukdamas pasirinkimą „pakviesti draugą“ ar pan., privalo užtikrinti, kad toks asmens duomenų tvarkymas atitiktų duomenų tvarkymo principus (BDAR 5 straipsnis) ir būtų teisėtas tuo kontekstu, kad šis procesas remtųsi tinkamu teisiniu pagrindu (BDAR 6 straipsnis).
  • Vadovaujantis BDAR, tik tas duomenų subjektas, kurio asmens duomenys yra tvarkomi, gali duoti sutikimą tvarkyti šiuos duomenis. Primintina, kad sutikimą už jaunesnį nei 16 m. amžiaus asmenį (jei nacionaliniuose teisės aktuose nenurodyta žemesnė amžiaus riba) tvarkyti jo duomenis turi duoti vaiko tėvų pareigų turėtojas.
  • Duomenų valdytojas, renkantis asmenų duomenis per įdiegtą sprendimą, pirmiausia turi įsivertinti, ar asmenys, yra davę aiškų ir nedviprasmišką sutikimą, kad jų duomenys būtų tvarkomi.

Vieno langelio principas

Socialinio tinklo „Twoo“ aplinkybių tyrimas bei sprendimo priėmimas yra vienas iš pirmųjų atvejų, kai buvo pritaikytas taip vadinamas BDAR vieno langelio principo mechanizmas. Jis yra taikomas tais atvejais, kai pradedamas tyrimas dėl įmonės, vykdančios veiklą keliose valstybėse narėse. Taikant šį mechanizmą, duomenų apsaugos priežiūros institucija, kurios teritorijoje yra įsisteigusi įmonė, kuriai vykdomas tyrimas dėl potencialaus duomenų subjekto teisių pažeidimo, imasi vadovaujančio vaidmens.

Šiuo atveju, Belgijos asmens duomenų apsaugos institucija veikė kaip pagrindinė institucija, o kitos 23 duomenų apsaugos institucijos iš net 16 skirtingų valstybių narių, nurodė, jog jos yra suinteresuotos šiuo tyrimu. Prieš priimdama sprendimą, Belgijos asmens duomenų apsaugos priežiūros institucija, suderinimui pasidalino sprendimo projektu su kitomis, suinteresuotomis duomenų apsaugos priežiūros institucijomis. Vadovaujantis BDAR nustatytu nuoseklumo užtikrinimo mechanizmu, jei valstybių narių duomenų priežiūros institucijos tarpusavyje nesutaria dėl vieningo sprendimo priėmimo, galutinį ir privalomą sprendimą turi priimti Europos duomenų apsaugos valdyba.

Kadangi sprendimą priėmė Belgijos duomenų apsaugos priežiūros institucija, visos priežiūros institucijos sutarė dėl galutinio sprendimo priėmimo ir sėkmingai pritaikė vieno langelio mechanizmo principo užtikrinimą valstybių narių mastu.

Parengė – Andrius Karmonas, ECOVIS ProventusLaw teisininkas

 

Naujienlaiškio prenumerataSusisiekti