Už BDAR pažeidimus apibrėžtos bendrosios administracinių baudų skyrimo sąlygos bei dydžiai, kurie verslo atstovams siekia net iki 20 mln. Eur arba iki 4% metinės bendros įmonės pasaulinės apyvartos, išlieka bene svarbiausiu aspektu, atkreipiančiu įmonių dėmesį ir skatinančiu imtis tinkamų priemonių, kad to išvengti. Tačiau BDAR ne visada pateikiami aiškūs ir išsamūs reikalavimai įneša daug neapibrėžtumo, kas ir lėtina ar net stabdo BDAR nuostatų įgyvendinimą įmonių veikloje.

Vienas iš pastarųjų pavyzdžių, apie kurį viešoje erdvėje sulaukiama daugiausiai diskusijų – duomenų tvarkymo teisėtumas. Šiai dienai susiformavo pakankamai vieninga nuomonė, kad fizinio asmens sutikimas beveik visais atvejais yra tinkamas ir reikalingas jo duomenų tvarkymo pagrindas. Tačiau kyla klausimas, ar tikrai fizinio asmens sutikimas gali būti pritaikomas visoms situacijoms ir visoms įmonių vykdomoms veiklos sritims.

Fizinio asmens sutikimas – tik vienas iš šešių teisėtų duomenų tvarkymo pagrindų  

Įmonių atstovai, manydami, kad fizinio asmens sutikimas dėl jo duomenų tvarkymo yra lengviausiai įgyvendinamas praktikoje, ne visais atvejais yra teisūs. Įmonėms, kurios tam tikras ar visas duomenų tvarkymo operacijas grindžia ar ateityje planuoja grįsti fizinio asmens sutikimu, reikėtų atsižvelgti į tai, kad gauti tinkamus sutikimus gali būti sudėtinga dėl fizinių asmenų laisvos valios atsisakyti juos duoti nebuvimo ar fizinių asmenų teisės bet kada duotus sutikimus atšaukti. Atkreiptinas dėmesys ir į tai, kad fiziniam asmeniui atšaukus sutikimą, įmonė praranda realią galimybę toliau tęsti duomenų tvarkymą kitais teisėtais pagrindais, kuriais ji galėjo remtis vietoje sutikimo.

„Kartu su naujuoju reglamentu, duomenų tvarkytojams sugriežtėjo reikalavimai gaunamų sutikimų išraiškai ir turiniui. BDAR numato, kad sutikimas turėtų būti duodamas aiškiu aktu, suteikiamas laisva valia, konkretus, informacija pagrįstas, vienareikšmis nurodymas, išreiškiantis fizinio asmens sutikimą su jo asmens duomenų tvarkymu“,– įžvalgomis dalijasi Asta Kederytė, advokatų profesinės bendrijos „JurisConsultus“ asocijuotoji teisininkė.

Įmonės, atsižvelgdamos į kliūtis, kurios gali kilti tvarkant asmens duomenis sutikimo pagrindu, gali pasitelkti ir kitus teisėtus duomenų tvarkymo pagrindus:

1. duomenų tvarkymas siekiant įvykdyti sutartį, kurios šalis yra duomenų subjektas, arba siekiant imtis veiksmų duomenų subjekto prašymu prieš sudarant sutartį;
2. duomenų tvarkymas, būtinas duomenų valdytojui taikomai teisinei prievolei įvykdyti;
3. duomenų tvarkymas siekiant apsaugoti gyvybinius duomenų subjekto ar kito fizinio asmens interesus;
4. duomenų tvarkymas, būtinas siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas;
5. duomenų tvarkymas, paremtas teisėtais duomenų valdytojo arba trečiosios šalies interesais (įskaitant komercinę naudą).

Daugelis asmens duomenų tvarkymo pagrindų yra siejami su konkrečių aplinkybių egzistavimu – įmonei įstatymais atsiradusia teisine prievole, sutarties sudarymu, viešosios valdžios funkcijų vykdymu ar atsiradusiais gyvybiniais interesais, išskirti galima tik vieną pagrindą, lanksčiai pritaikomą įvairioms duomenų tvarkymo operacijoms ir kartu galintį sėkmingai pakeisti fizinio asmens sutikimą. Tai teisėtas įmonės ar trečiųjų asmenų interesas.

Teisėto intereso pritaikomumas asmens duomenų tvarkymui

Teisėtą duomenų valdytojo ar trečiojo asmens interesą galima laikyti bene pačiu painiausiu BDAR numatytu teisėtu duomenų tvarkymo pagrindu, tačiau kartu ir pačiu lanksčiausiu, pritaikomu įvairioms duomenų tvarkymo operacijoms, pavyzdžiui vaizdo stebėjimui tam tikrose įmonės patalpose ar teritorijoje.

„Dažnai šis pagrindas yra pamirštamas dėl jo neapibrėžtumo ir vertinimo sudėtingumo, prioritetą teikiant fizinio asmens sutikimui, tačiau įmonė tinkamai įvertinusi teisėto intereso pritaikomumo galimybes, gali sutaupyti laiko ir išlaidų tose veiklos srityse, kuriose paprastai tvarkytų duomenis sutikimo pagrindu“, – pabrėžia p. Kederytė.

Įmonė norėdama pagrįsti tam tikras asmens duomenų tvarkymo operacijas teisėtu interesu, turėtų įvertinti, ar šios tvarkymo operacijos ir jomis siekiamas asmens duomenų tvarkymo tikslas atitinka visas žemiau nurodomas sąlygas:

1. Egzistuoja duomenų valdytojo ar trečiojo asmens interesas– tai gali būti komerciniai, socialiniai duomenų valdytojo ar trečiųjų asmenų interesai. Įmonės vykdomo vaizdo stebėjimo tam tikrose patalpose ar teritorijoje atvejais egzistuoja įmonės teisėtas interesas užtikrinti visuomenės saugumą, įmonės turto, konfidencialios informacijos apsaugą, darbo organizavimo tvarką ir tam tikrais atvejais darbuotojų saugumą įmonės patalpose ar teritorijoje.
2. Egzistuojantis teisėtas interesas yra reikalingas siekiant konkretaus duomenų tvarkymo tikslo. Kitaip tariant, kiti teisėti duomenų tvarkymo pagrindai, pritaikomi tam pačiam duomenų tvarkymui, suvaržo fizinio asmens teises labiau nei egzistuojantis teisėtas interesas siekiant to paties duomenų tvarkymo tikslo. Kai įmonė tam tikrose patalpose ar teritorijoje vykdo vaizdo stebėjimą, kito mažiau varžančio darbuotojų ar lankytojų teises teisėto pagrindo, išskyrus teisėtą įmonės interesą, pritaikymas būtų sudėtingas. Sutikimas šiam duomenų tvarkymui nebūtų tinkamas pagrindas, kadangi vaizdo stebėjimui surinkti visų lankytojų sutikimus būtų fiziškai neįmanoma. Taip pat nei darbuotojai, dirbantys vaizdo kameromis stebimose patalpose ir teritorijoje, nei įmonės lankytojai neturi realios galimybės kontroliuoti vaizdo stebėjimu surinktų duomenų tvarkymo.
3. Egzistuojantis teisėtas interesas yra viršesnis už fizinio asmens teisėtą interesą. Šiuo atveju palyginami individualaus fizinio asmens, kurio duomenis siekiama tvarkyti, teisėti interesai ir tvarkymą inicijuojančios įmonės ir kitų su duomenų tvarkymu susijusių trečiųjų asmenų teisėti interesai. Jei galima pagrįstai manyti, kad įmonės ar trečiųjų asmenų interesai tam tikroje situacijoje yra svarbesni už fizinio asmens interesus, ši sąlyga yra laikoma išpildyta. Vaizdo stebėjimo ir vaizdo duomenų tvarkymo atvejais egzistuojantis įmonės interesas užtikrinti visuomenės saugumą, darbo organizavimo tvarką ir tam tikrais atvejais darbuotojų saugumą vykdant vaizdo stebėjimą yra viršesnis už pavienio darbuotojo ar lankytojo interesą nebūti stebimu vaizdo kameromis. Šioje situacijoje įmonės teisėto intereso viršenybė pagrindžiama jos apimtimi lyginant su pavienio darbuotojo ar lankytojo teisėto intereso apimtimi – įmonė ne tik siekia užtikrinti darbo organizavimo tvarką, savo turto ar konfidencialios informacijos apsaugą, bet ir visų jos lankytojų ir darbuotojų apsaugą.

Taip pat reikia įvertinti papildomas sąlygas:

4. Fizinis asmuo gali pagrįstai tikėtis ar numanyti, kad konkrečioje situacijoje bus tvarkomi tam tikri jo asmens duomenys. Jei įmonė vykdo tam tikrose patalpose ar teritorijoje vaizdo stebėjimą, darbuotojas ar lankytojas gali pagrįstai tikėtis ar numanyti, kad yra vykdomas vaizdo stebėjimas tose patalpose ar teritorijoje, kurioje teikiamos informacinės nuorodos dėl stebimų patalpų ar teritorijos. Taip pat darbuotojai pasirašytinai supažindinami su atitinkamų patalpų ar teritorijos vaizdo stebėjimo tvarka.
5. Fizinio asmens duomenų tvarkymas neturės arba turės minimalų efektą jo privatumui, taip pat bus užtikrinama fizinio asmens teisėtų interesų apsauga. Jei įmonė įgyvendina tinkamas organizacines ir technines vaizdo duomenų apsaugos priemones, tai lankytojų ir darbuotojų vaizdo stebėjimas ir jų vaizdo duomenų tvarkymas neturėtų turėti esminės įtakos ir pažeisti šių fizinių asmenų privatumo ir teisėtų interesų.

Teisėto intereso pagrindo pritaikomumas duomenų tvarkymui neapsiriboja tik vaizdo stebėjimu ir vaizdo duomenų tvarkymo operacijomis. Įmonės gali šį duomenų tvarkymo teisėtumo pagrindą naudoti ir kitiems tikslams, jei tinkamai atlieka teisėto intereso sąlygų vertinimo testą, kuris patvirtina, kad bet kuris kitas duomenų tvarkymo pagrindas yra mažiau tinkamas pasirinktai situacijai.

Šis teisininko komentaras laikytinas bendro pobūdžio konsultacija. Siekiant individualios teisinės konsultacijos konkrečiu atveju turėtumėte kreiptis į advokatų profesinę bendriją „JurisConsultus“ el. paštu info@jurisconsultus.lt arba tel. +370 645 05754.