Atsižvelgiant į tai, kad Direktyva (ES) 2015/2366 (Antroji Mokėjimų paslaugų direktyva, toliau – MPD2) paliečiami duomenų apsaugos klausimai, Europos duomenų apsaugos valdyba paskelbė Gaires 06/2020 dėl Bendrojo duomenų apsaugos reglamento (toliau – BDAR) ir MPD2 sąveikos viešajai konsultacijai.
Gairių pagrindinis tikslas yra pateikti išsamesnių paaiškinimų mokėjimo inicijavimo ir sąskaitos informacijos paslaugos teikėjams dėl duomenų tvarkymo aspektų. Pagrindiniai Gairėse aptariami aspektai yra:
- Prieigos prie mokėjimo paskyros informacijos suteikimo sąlygos bei asmens duomenų tvarkymas;
- Reikalavimai ir apsaugos priemonės duomenų tvarkymo, kitais nei pirminiais tikslais, kuriems duomenys buvo renkami;
- Skirtingos aiškaus sutikimo sąvokos;
- „Tyliosios šalies“ duomenų tvarkymas;
- Pagrindinių duomenų apsaugos principų taikymas.
Sutikimas
Visų pirma, Gairėse palyginama „sutikimo“ sąvoka tarp BDAR ir MPD2. Aiškaus sutikimo sąvoka įtvirtinta MPD2 skiriasi nuo (aiškaus) sutikimo sąvokos įtvirtintos BDAR.
„Aiškus sutikimas“ MPD2 94 straipsnio 2 dalis pagrindu yra sutartinis sutikimas. Tai reiškia, kad MPD2 94 straipsnio 2 dalis turi būti aiškinama taip, kad sudarant sutartį su mokėjimo paslaugų teikėju pagal MPD2, duomenų subjektai privalo būti aprūpinti informacija apie konkrečias asmens duomenų, kurie bus tvarkomi, kategorijas. Be to, duomenų subjektai turi būti supažindinami su konkrečiu (mokėjimo paslaugų teikimo) tikslu, kuriuo bus tvarkomi jų asmens duomenys bei turi aiškiai sutikti su šiomis nuostatomis. Tokios sąlygos turėtų būti aiškiai atskiriamos nuo kitų sutartyje nagrinėjamų aspektų, o duomenų subjektas su jomis privalo aiškiai sutikti.
Vadovaujantis BDAR, sutikimas yra vienas iš šešių teisinių pagrindų, teisėtam asmens duomenų valdymui. BDAR 4 straipsnio 11 punktas nurodo, kad duomenų subjekto sutikimas yra bet koks laisva valia duotas, konkretus ir nedviprasmiškas tinkamai informuoto duomenų subjekto valios išreiškimas pareiškimu arba vienareikšmiais veiksmais kuriais jis sutinka, kad būtų tvarkomi su juo susiję asmens duomenys.
Mokėjimo paslaugų teikimo atveju, asmens duomenų tvarkymas yra reikalingas tam, kad tinkamai būtų vykdoma sutartis, kurios šalis yra duomenų subjektas, arba norint atlikti veiksmus duomenų subjekto prašymu prieš sudarant sutartį.
Iš to seka, kad MPD2 94 straipsnio 2 dalis negali būti laikoma papildomu teisiniu pagrindų asmens duomenų tvarkymui. Asmens duomenys pagal MPD2 tvarkomi ne sutikimo, o sutarties vykdymo pagrindu (BDAR 6 straipsnio 1 dalies b) punktas).
„Tyliosios šalies“ duomenų tvarkymas
Gairėse aptariamas taip vadinamų „tyliųjų šalių“ duomenų tvarkymas. „Tyliąja šalimi“ gairėse yra vadinami tokie duomenų subjektai, kurie nėra konkretaus mokėjimo paslaugų teikėjo klientai, tačiau, sutarties pagrindu su klientu, tam tikrus „tyliosios šalies“ asmens duomenis tvarko mokėjimo paslaugų teikėjas. Pvz. mokėjimo paslaugų vartotojas „A“, naudojasi mokėjimo paslaugų teikėjo paslaugomis, o trečiosios šalies subjektas „B“ atlieka keletą mokėjimo operacijų į vartotojo „A“ sąskaitą. Šiuo atveju subjektas „B“ būtų laikomas „tyliąja šalimi“, nes mokėjimo paslaugų teikėjas sutarties pagrindu su vartotoju „A“, galės matyti subjekto „B“ mokėjimo operacijos dydį, pavadinimą ir bei kitus operacijai atlikti reikalingus duomenis.
Tvarkant „tyliosios šalies“ asmens duomenis, Europos duomenų apsaugos valdyba nurodo, kad duomenų valdytojai turėtų atsižvelgti į BDAR 5 straipsnio 1 dalies b punktą, kuriame nustatyta, kad asmens duomenys turi būti renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu. Europos duomenų apsaugos valdybos nuomone, toks „tyliosios šalies“ duomenų tvarkymas vadovaujantis BDAR 6 straipsnio 1 dalies f punktu yra teisėtas, jei tvarkyti asmens duomenis būtina, siekiant įgyvendinti teisėtus duomenų valdytojo arba trečiosios šalies interesus, išskyrus atvejus, kai tokie duomenų subjekto interesai arba pagrindinės teisės ir laisvės, dėl kurių būtina užtikrinti asmens duomenų apsaugą, yra už juos viršesni. Tačiau, svarbu pažymėti, kad mokėjimo paslaugų teikėjas negali automatiškai taikyti BDAR 6 straipsnio 1 dalies f punkte nurodyto pagrindo, tvarkant „tyliosios šalies“ asmens duomenis. Mokėjimo paslaugų teikėjai, besiremiantys šiuo pagrindu turi visada įsivertinti, ar jų teisėti interesai viršija/neviršija „tyliosios šalies“ interesų ir laisvių bei susikurti tokį apsaugos mechanizmą, kurio pagalba visada sugebėtų įrodyti, kad mokėjimo paslaugų teikėjas turi realų teisėtą interesą. Norint tai atlikti, mokėjimo paslaugų teikėjai turi atsižvelgti į daugelį veiksnių, pavyzdžiui – renkamų asmens duomenų rūšį, duomenų rinkimo aplinkybes, riziką „tyliosioms šalims“ ir kt.
Gairėse atkreipiamas dėmesys į į MPD2 direktyvoje įtvirtintą teisėtų interesų aspektą ir nurodo, kad poreikis tvarkyti „tyliosios šalies“ duomenis yra ribojamas ir nulemtas pagrįstų šių duomenų subjektų lūkesčių. „Tylioji šalis“ turi ir gali suprasti, kad atliekant pvz. pinigų perlaidą mokėjimo paslaugų vartotojui, tam tikri jos duomenys bus atskleidžiami mokėjimo paslaugų teikėjui ir dėl to, vadovaujantis MPD2 reikalavimais, mokėjimo paslaugų teikėjas turi taikyti veiksmingas ir tinkamas priemones, kad „tyliųjų šalių“ duomenys ir teisės į juos, būtų apsaugoti tinkamai. Dėl to, mokėjimo paslaugų teikėjams siūloma užtikrinti tokią paslaugų teikimo sistemą, kurios dėka, būtų surenkama kuo mažiau „tyliosios šalies“ duomenų.
Specialiųjų kategorijų asmens duomenų tvarkymas
Europos duomenų apsaugos valdyba pabrėžia, kad neskelbtinų mokėjimo duomenų apibrėžimas MPD2 kontekste itin skiriasi nuo BDAR specialių kategorijų asmens duomenų reikalavimų, kurie pabrėžia tokių asmens duomenų apsaugos svarbą.
Vadovaujantis BDAR 9 straipsnio 1 dalimi, draudžiama tvarkyti asmens duomenis, kurie atskleidžia rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėse sąjungose, o taip pat draudžiama tvarkyti genetinius duomenis, biometrinius duomenis, siekiant konkrečiai nustatyti fizinio asmens tapatybę, sveikatos duomenis arba duomenis apie fizinio asmens lytinį gyvenimą ir lytinę orientaciją. Visgi, mokėjimo paslaugų teikimo atveju, jos vartotojams atliekant pavedimą, tiek pavedimų paskirties aprašymas, tiek pinigų gavėjo pavadinimas gali atskleisti daug informacijos apie specialių kategorijų asmens duomenis: pvz. atliekant pavedimą medicinos įstaigai ir mokėjimo paskirtyje nurodant, kokiai medicininei paslaugai apmokėti buvo skirti pinigai, atskleidžiami asmens sveikatos duomenys, o pvz. atliekant pavedimą politinei partijai – potencialiai atskleidžiamos asmens politinės pažiūros ir kt.
MPD2 direktyvoje apibrėžiama „neskelbtinų mokėjimo duomenų“ sąvoka. Joje nurodoma, kad neskelbtini mokėjimo duomenys yra tokie duomenys, kuriuos panaudojus galima sukčiauti ir kurie apima personalizuotus saugumo požymius.
Galiausiai, atsižvelgiant į šios sąvokos apimtį PSD2 direktyvoje, Europos duomenų apsaugos valdyba savo gairėse rekomenduoja mokėjimo paslaugų teikėjams tiksliai nusimatyti ir suskirstyti duomenis, kurie bus tvarkomi, į kategorijas bei šių duomenų apsaugos aspektus. Labiausiai tikėtina, kad tinkamiausiai šis aspektas būtų įgyvendinamas atliekant poveikio duomenų apsaugai vertinimą pagal BDAR 35 straipsnį, kurį atliekant būtų įsivertinama, ar mokėjimo paslaugų teikėjas gali turėti teisėtą pagrindą tvarkyti specialiuosius asmens duomenis pagal BDAR 9 straipsnyje nurodytus a – j pagrindus.
Kiti aspektai
Be kita ko, Gairėse užsimenama apie BDAR 25 straipsnyje kylančią pareigą įgyvendinti duomenų kiekio mažinimo principą, ir tvarkant duomenis, integruoti būtinąsias apsaugos priemones, kad duomenų tvarkymas atitiktų šio BDAR reikalavimus ir apsaugotų duomenų subjektų teises. Atsižvelgiant į šią pareigą, Europos duomenų valdyba mano, kad mokėjimo paslaugų teikėjas turėtų atsižvelgti į duomenų mažinimo principą ir rinkti tik tuos duomenis, kurie yra būtini ir reikalingi, kad būtų teikiamos tos mokėjimo paslaugos, kuriomis ketinasi naudotis klientas. Tais atvejais, kai ne visi įprastai reikalaujami kliento duomenys yra būtini teikiant tam tikras paslaugas, prieš rinkdamas duomenis, mokėjimo paslaugų teikėjas, Europos duomenų apsaugos valdybos nuomone, turi susidaryti sąrašą tų duomenų, kurie bus reikalingi konkrečiai paslaugai atlikti.
Taip pat, Gairėse primenama apie mokėjimo paslaugų teikėjų pareigą imtis tinkamų techninių ir organizacinių priemonių, kad būtų užtikrinama ir (ir tai galima būtų įrodyti), kad duomenys tvarkomi laikantis BDAR bei MPD2 nuostatų bei apie skaidrumo principo laikymosi pareigą.
Su anglišku gairių tekstu galite susipažinti čia.
Norėdami gauti daugiau informacijos ar konsultaciją, susijusią su duomenų apsauga ar mokėjimo paslaugų teikimu, kviečiame konsultuotis su ECOVIS ProventusLaw specialistais.
Parengė ECOVIS ProventusLaw advokatė Loreta Andziulytė ir ECOVIS ProventusLaw teisininkas Andrius Karmonas