2023 m. spalio 11 d. Valstybinė duomenų apsaugos inspekcija (VDAI) paskelbė apie fiziniam asmeniui ir sveikatos priežiūros įstaigai (toliau – Įstaiga) skirtas baudas už paciento kūno dalies nuotraukos paskelbimą socialiniame tinkle „Instagram“. Šis sprendimas VDAI praktikoje ypač reikšmingas dėl paskirtos baudos adresato – tai pirmoji bauda, kurią VDAI skyrė fiziniam asmeniui nuo BDAR įsigaliojimo.
Pažeidimo aplinkybės:
Kaip tai nurodo VDAI, pažeidimo nagrinėjimo procedūra buvo pradėta reaguojant į asmens skundą dėl Įstaigos ir konkretaus gydytojo veiksmų, t. y. paciento kūno dalies nuotraukos viešo pasidalinimo socialinėje platformoje „Instagram“, neturint tam paciento sutikimo
VDAI atlikto vertinimo aspektai:
- Ar kūno dalies nuotrauka gali būti laikoma asmens duomenimis, kaip tai yra suprantama pagal BDAR? Kaip pažymėjo VDAI, nagrinėjamoje situacijoje buvo įmanoma netiesioginė asmens identifikacija: iš viešoje erdvėje paskelbtų nuotraukų buvo matyti pareiškėjo plaukų spalva, jų forma, ilgis, tatuiruotės vieta ir kūno formos. Be to, nuotraukose esantis Įstaigos logotipas bei ant kūno dalies nubrėžtos linijos leido identifikuoti duomenų subjektui atliktas procedūras. Taigi, asmens kūno dalis gali būti laikoma asmens duomenimis, o kūno dalies paviešinimas gali būti laikomas asmens duomenų tvarkymu. Remiantis VDAI pateiktais paaiškinimais, šie duomenys taip pat gali būti naudojami kitai su asmeniu susijusiai informacijai, pavyzdžiui, sveikatos duomenims, nustatyti.
- Tinkamas duomenų subjekto sutikimas. Šiuo atveju, nors duomenų valdytojas ir paprašė sutikimo, gautas atsakymas neatitiko pagrindinių sutikimo reikalavimų. Kaip nurodo VDAI, susirašinėjime su Įstaiga duomenų subjektas nurodė, kad nuotrauką skelbti leistų, bet ne taip greitai ir, kad galbūt reikėtų palaukti kelis mėnesius, pasidaryti geresnę nuotrauką. Toks atsakymas akivaizdžiai nėra aiškus duomenų subjekto sutikimas.
- Baudos skyrimas ir grožio salonui ir jame dirbusiam gydytojui. Svarbiausia VDAI sprendimo dalis yra VDAI nuomonė, pagrindžianti sprendimą skirti baudą ne tik Įstaigai, bet ir joje dirbusiam gydytojui. Kaip nurodoma pačiame sprendime, darbuotojui neteisėtai gavus prieigą prie asmens duomenų, nelaikoma, kad jis veikia duomenų valdytojo vardu. Priešingai, buvo nuspręsta, kad gydytojas viešindamas nuotraukas savo Instagram paskyroje veikė, kaip savarankiškas duomenų valdytojas, konkrečiai siekė didinti savo, kaip gydytojo, žinomumą. Ši išvada buvo padaryta remiantis tuo, kad gydytojas nepateikė įrodymų, kad jis paskelbė nuotrauką klinikos nurodymu, arba kad grožio salonas turėjo kokių nors priemonių kontroliuoti gydytojo paskyroje esančius duomenis.
Ko galime pasimokyti iš šios baudos?
Klientų nuotraukų naudojimas socialiniuose tinkluose tampa vis labiau paplitęs, o įvairiose verslo srityse organizacijos ar jų darbuotojai tvarko asmens duomenis siekiant pritraukti naujų klientų, pelnyti pripažinimą ir pan. Dėl šios priežasties itin svarbu nepamiršti asmens duomenų apsaugos reikalavimų, įvertinti tokių asmens duomenų paskelbimo teisėtumą.
Norėdami gauti daugiau informacijos ar konsultaciją, susijusią su duomenų apsauga, pavyzdžiui kaip tinkamai gauti kliento sutikimą nuotraukų viešinimui, kviečiame konsultuotis su ECOVIS ProventusLaw duomenų apsaugos ekspertais.
Nuorodą į VDAI sprendimą rasite čia.
Parengė ECOVIS ProventusLaw jaunesnioji teisininkė Julija Ginotytė