ECOVIS ProventusLaw duomenų apsaugos komanda parengė spalio mėn. duomenų apsaugos aktualijų naujienlaiškį, su kuriuo pateikia ir naujų rekomendacijų duomenų valdytojams ir tvarkytojams.
ESTT sprendimas dėl asmens duomenų apsaugos: priežiūros institucija nevisada privalo taikyti taisomųjų priemonių
Vokietijos taupomajame banke buvo nustatyta, kad darbuotoja neteisėtai susipažino su kliento asmens duomenimis. Šis bankas apie pažeidimą nepranešė klientui, nes manė, kad tai nekėlė didelės rizikos. Klientas pateikė skundą duomenų apsaugos institucijai, kuri nusprendė, kad nėra pagrindo taikyti sankcijas. Klientas apskundė šį sprendimą teismui, kuris kreipėsi į Europos Teisingumo Teismą, siekdamas išaiškinti, ar priežiūros institucija visada privalo taikyti taisomąsias priemones.
Teisingumo Teismas byloje C‑768/21 išaiškino, kad išimtiniais atvejais ir atsižvelgiant į konkrečios bylos aplinkybes gali nereikėti imtis taisomųjų veiksmų, jeigu BDAR pažeidimo situacija jau ištaisyta, ir duomenų valdytojas užtikrina, kad asmens duomenų tvarkymas atitinka šį reglamentą, o priežiūros institucijos neveikimas nėra toks, dėl kurio būtų paneigtas reikalavimas griežtai taikyti taisykles.
Nagrinėjamu atveju iš prašymo priimti prejudicinį sprendimą matyti, kad taupomasis bankas pagal BDAR 33 straipsnį pranešė apie asmens duomenų pažeidimą, padarytą vienai iš jos darbuotojų be leidimo susipažįstant su šiais duomenimis. Be to, taupomasis bankas nurodė, kad šiai darbuotojai buvo taikytos drausminės priemonės ir kad prieigos registro saugojimo trukmė bus peržiūrėta. Šiomis aplinkybėmis Heseno federalinės žemės duomenų apsaugos ir informacijos laisvės priežiūros pareigūnas nesiėmė taisomųjų veiksmų pagal BDAR 58 straipsnio 2 dalį ir, be kita ko, nepaskyrė administracinės baudos.
Taigi, nustačiusi asmens duomenų saugumo pažeidimą priežiūros institucija neprivalo imtis taisomųjų veiksmų, konkrečiai kalbant, skirti administracinę baudą, pagal BDAR 58 straipsnio 2 dalį, kai tokia intervencija nėra tinkama, būtina ar proporcinga nustatytam trūkumui ištaisyti ir užtikrinti, kad būtų visapusiškai laikomasi šio reglamento.
ESTT paskelbė sprendimą dėl viešų neskelbtinų duomenų tikslinėje reklamoje
2024 m. spalio 4 d. Europos Sąjungos Teisingumo Teismas (ESTT) paskelbė sprendimą byloje C-446/21 dėl neteisėto asmens duomenų, gautų tikslinės reklamos tikslais, tvarkymo neribojant laiko ir neišskiriant duomenų rūšies pagal Bendrąjį duomenų apsaugos reglamentą (BDAR).
ESTT išdėstė, kad asmuo Austrijos teismuose pareiškė ieškinį Meta Platforms Ireland, interneto socialinio tinklo Facebook platformos operatoriui. Asmuo teigė, kad Meta neteisėtai tvarkė jo asmens duomenis, įskaitant pareiškimą apie jo seksualinę orientaciją, kurį jis padarė per viešą diskusiją.
Austrijos Aukščiausiasis Teismas kreipėsi į ESTT su prašymu išaiškinti BDAR, visų pirma, ar:
- (duomenų kiekio mažinimo principą) galima aiškinti taip, kad visi platformos turimi asmens duomenys, be kita ko, per duomenų subjektą arba per platformoje esančius ir už jos ribų esančius trečiuosius asmenis, gali būti apibendrinami, analizuojami ir tvarkomi tikslinės reklamos tikslais neribojant laiko ar duomenų rūšies; ir
- (tikslo apribojimo principą) ir 9 straipsnio 2 dalies e punktą galima aiškinti taip, kad pareiškimas apie seksualinę orientaciją, padarytas viešos panelinės diskusijos metu, leidžia tvarkyti tokius duomenis tikslinės reklamos tikslais.
ESTT nusprendė, kad pagal duomenų kiekio mažinimo principą draudžiama, kad visi asmens duomenys, kuriuos duomenų valdytojas, kaip antai internetinės socialinio tinklo platformos operatorius, gauna iš duomenų subjekto ar trečiųjų šalių ir kurie yra surinkti toje platformoje arba už jos ribų, būtų apibendrinami, analizuojami ir tvarkomi tikslinės reklamos tikslais neribojant laiko ir duomenų rūšies.
Be to, ESTT išaiškino, kad duomenys apie seksualinę orientaciją, kuriuos asmuo akivaizdžiai paviešino, gali būti tvarkomi nukrypstant nuo BDAR 9 straipsnio 1 dalyje nustatyto draudimo ir laikantis BDAR nuostatų. Tačiau ESTT konstatavo, kad vien šis faktas nereiškia, jog tas asmuo davė sutikimą pagal BDAR 9 straipsnio 2 dalies a punktą, kad internetinės socialinio tinklo platformos operatorius tvarkytų kitus su to asmens seksualine orientacija susijusius duomenis, gautus atitinkamai už šios platformos ribų, naudojant trečiųjų šalių partnerių interneto svetaines ir programėles, apibendrintų ir analizuotų šiuos duomenis, kad galėtų pasiūlyti tam asmeniui asmeniškai pritaikytą reklamą.
Europos duomenų apsaugos valdyba kviečia teikti pastabas dėl Gairių 1/2024 dėl asmens duomenų tvarkymo pagal BDAR 6 straipsnio 1 dalies f punktą. Tokias pastabas reikėtų siųsti ne vėliau kaip 2024 m. lapkričio 20 d. naudojant pateiktą formą.
Duomenų valdytojams reikia teisinio pagrindo, kad jie galėtų teisėtai tvarkyti asmens duomenis. Teisėtas interesas yra vienas iš šešių galimų teisinių pagrindų.
Šiose gairėse analizuojami BDAR 6 straipsnio 1 dalies f punkte nustatyti kriterijai, kuriuos duomenų valdytojai turi atitikti, kad teisėtai tvarkytų asmens duomenis teisėto intereso pagrindu. Jame taip pat atsižvelgiama į neseniai priimtą ETT sprendimą šiuo klausimu (C-621/22, 2024 m. spalio 4 d.).
Kad galėtų remtis teisėtu interesu, duomenų valdytojas turi atitikti tris kumuliacines sąlygas:
- duomenų valdytojas arba trečioji šalis siekia teisėto intereso;
- būtinybė tvarkyti asmens duomenis siekiant teisėto intereso;
- Fizinių asmenų interesai arba pagrindinės laisvės ir teisės nėra viršesni už duomenų valdytojo arba trečiosios šalies teisėtą (-us) interesą (-us) (pusiausvyros nustatymas).
Visų pirma, tik teisėti, aiškiai ir tiksliai suformuluoti, realūs ir esami interesai gali būti laikomi teisėtais. Pavyzdžiui, tokie teisėti interesai galėtų egzistuoti tuo atveju, kai asmuo yra klientas arba dirba duomenų valdytojui.
Antra, jei yra pagrįstų, taip pat veiksmingų, bet mažiau intervencinių alternatyvų siekiamiems interesams įgyvendinti, duomenų tvarkymas gali būti nelaikomas būtinu. Duomenų tvarkymo būtinumas taip pat turėtų būti nagrinėjamas laikantis duomenų kiekio mažinimo principo.
Trečia, duomenų valdytojas turi užtikrinti, kad jo teisėtas interesas nebūtų viršesnis už asmens interesus, t. y. pagrindines laisvių teises. Atlikdamas šį palyginimą duomenų valdytojas turi atsižvelgti į fizinių asmenų interesus, duomenų tvarkymo poveikį ir jų pagrįstus lūkesčius, taip pat į tai, ar yra papildomų apsaugos priemonių, kuriomis būtų galima apriboti poveikį fiziniam asmeniui.
Be to, šiose gairėse paaiškinama, kaip šis vertinimas turėtų būti atliekamas praktiškai, be kita ko, įvairiomis konkrečiomis aplinkybėmis, pavyzdžiui, sukčiavimo prevencijos, tiesioginės rinkodaros ir informacijos saugumo srityse. Dokumente taip pat paaiškinamas ryšys tarp šio teisinio pagrindo ir tam tikrų duomenų subjektų teisių pagal BDAR.
Paskelbtas Europos duomenų apsaugos valdybos duomenų apsaugos vadovas mažosioms įmonėms
Europos duomenų apsaugos valdyba (toliau – EDAV) paskelbė EDAV Duomenų apsaugos vadovo (toliau – Vadovas) vertimus į 17 kalbų. Vadovo, kaip vienos iš esminių EDAV 2021–2023 strategijos iniciatyvų, tikslas – padėti smulkiajam verslui geriau laikytis duomenų apsaugos reikalavimų. Vadovu siekiama didinti informuotumą apie BDAR ir suteikti mažoms ir vidutinėms įmonėms (toliau – MVĮ) praktinės informacijos apie atitikimą BDAR prieinama ir lengvai suprantama forma.
Šiame vadove MVĮ ras įvairių įrankių ir praktinių patarimų, padėsiančių joms laikytis BDAR. Jame pateikiami konkretūs pavyzdžiai, surinkti per BDAR taikymo patirtį.
Vadovas apima įvairius BDAR aspektus, pradedant duomenų apsaugos pagrindais, baigiant duomenų subjektų teisėmis, asmens duomenų saugumo pažeidimais ir kt. Jame yra vaizdo įrašų, infografikų, interaktyvių struktūrinių schemų ir kitos praktinės medžiagos, padedančios MVĮ praktiškai įgyvendinti duomenų apsaugos reikalavimus. Be to, Vadove pateikiama patogi medžiagos, kurią MVĮ sukūrė nacionalinės duomenų apsaugos priežiūros institucijos, apžvalga.
„Ryanair“ susiduria su nepatogumais BDAR srityje dėl klientų tapatybės patikrinimo
Airijos duomenų apsaugos komisija (Toliau – DPC) pradėjo tyrimą visoje Europos Sąjungoje (ES), siekdama ištirti, kaip Airijos oro linijų grupė Ryanair naudoja veido atpažinimo technologiją tapatybės patikrinimui. Tyrimo tikslas yra nustatyti, ar šios praktikos, ypač susijusios su klientais, kurie užsisako bilietus per trečiųjų šalių svetaines, atitinka ES privatumo įstatymus.
DPC teigė gavusi skundų iš Ryanair klientų ES dėl papildomų tapatybės patikrinimų, kurie buvo reikalaujami užsisakant bilietus per trečiųjų šalių svetaines ar internetines kelionių agentūras (Toliau – OTA), o ne tiesiogiai per Ryanair svetainę. Ryanair naudojami patikrinimo metodai apėmė veido atpažinimo technologiją, kuri naudoja klientų biometrinius duomenis. Tyrimas nustatys, ar šios patikros atitinka BDAR reikalavimus.
Tyrimo metu bus siekiama nustatyti ar Ryanair duomenų tvarkymo veikla atitinka Bendrąjį duomenų apsaugos reglamentą (BDAR).
Ryanair patikros procesas buvo pradėtas siekiant užtikrinti klientų kontaktinės ir mokėjimo informacijos tikslumą, ypač kai ji pateikiama per OTA, kurie nėra susiję su oro linijomis. Airijos kompanijos teigimu, šis procesas padeda užtikrinti saugos ir saugumo reikalavimų laikymąsi.
Ryanair interneto svetainėje pažymima, kad keleiviai, kuriems taikomas šis tikrinimo procesas, gali išvengti veido atpažinimo, jei į oro uostą atvyks likus ne mažiau kaip dviem valandoms iki išvykimo arba iš anksto pateiks formą su paso ar nacionalinės asmens tapatybės kortelės kopija. Tačiau šio patikrinimo nereikalaujama atliekant užsakymus tiesiogiai per „Ryanair“ interneto svetainę, mobiliąją programėlę arba per OTA, kurios yra sudariusios sutartis su oro transporto bendrove.
Nuo metų pradžios „Ryanair“ sudarė 14 tokių susitarimų. Airijos bendrovė pareiškė, kad jos biometrinio ir nebiometrinio tikrinimo procesai atitinka BDAR reikalavimus.
2024 m. spalio 8 d. Lietuvos Aukščiausiasis Teismas (LAT) nutartimi civilinėje byloje pateikė išaiškinimą svarbiu klausimu – dėl nuotolinio darbo organizavimo
2024 m. spalio 8 d. Lietuvos Aukščiausiasis Teismas (LAT) nutartimi civilinėje byloje pateikė išaiškinimą dėl nuotolinio darbo organizavimo. Teismas nutartyje išaiškino, kad darbas nuotoliniu būdu turi tam tikrą specifiką – įstatymų leidėjas nustatė galimybę darbuotojui, dirbančiam nuotoliniu būdu, savo darbo laiką skirstyti savo nuožiūra, nepažeidžiant maksimaliųjų darbo ir minimaliųjų poilsio laiko reikalavimų. Taigi pats darbuotojas yra atsakingas už savo darbo laiką ir jo apskaitos tvarkymą (DK 52 straipsnio 5 dalis). Dėl to darbdavys, siekdamas apibrėžti nuotoliu dirbančio darbuotojo laiką, turi aiškiai reglamentuoti ir supažindinti darbuotoją, kaip vykdoma laiko apskaita dirbant tokiu būdu, kaip fiksuojamas darbo laikas.
Darbdavys gali turėti interesą kontroliuoti darbuotoją, kad šis nepiktnaudžiautų tokia teise, tačiau tai turėtų daryti nepažeisdamas darbuotojo privatumo, jo asmens duomenų apsaugos, t. y. galėtų patikrinti, ar darbuotojas vykdo jam pavestas funkcijas, fiksuodamas darbuotojo prisijungimą prie tam tikrų sistemų, aktyvų ir pasyvų prisijungimo laiką, nustatydamas kitokias darbo valandas arba darbo funkcijų vykdymą kontroliuodamas ne pagal laiko apskaitą, bet per atliktų darbų ir jų rezultatų fiksavimą ir pan. Tad reiktų atkreipti dėmesį ne tik į politikoje numatytus nuotolinio darbo organizavimo ypatumus, bet ir darbuotojų privatumo ir asmenų duomenų apsaugos klausimus.