2018 m. gegužės 25 d. įsigalios naujasis duomenų apsaugos reglamentas (toliau – BDAR), pakeisiantis direktyvą 95/46/EB, kuris nustato griežtesnius reikalavimus asmens duomenų tvarkymui.
Pagrindai, kuriems esant, bus leidžiama tvarkyti asmens duomenis įsigaliojus BDAR patys savaime mažai kuo skiriasi nuo šiuo metu galiojančių ir direktyvoje 95/46/EB numatytų pagrindų. Vienas iš kelių dažniausiai naudojamų pagrindų yra, ir greičiausiai išliks, duomenų subjekto sutikimas, kad jo asmens duomenys būtų tvarkomi, tad šiame straipsnyje bus aptariami svarbiausi su duomenų subjekto duotu sutikimu tvarkyti jo asmens duomenis susiję klausimai.
Kriterijai keliami sutikimui
Sutikimui, kad jis būtų laikomas tinkamai gautu, keliami šie kriterijai:
- Sutikimas turi būti duotas laisva valia. Tai reiškia, kad duomenų subjektui turi būti suteikiamas realus šansas pasirinkti, ar duoti sutikimą tvarkyti duomenis, ar ne. Atsisakymas duoti sutikimą asmens duomenų tvarkymui negali turėti neigiamos įtakos duomenų subjektui (tiesa, jei duomenų tvarkymas būtinas tam tikroms paslaugoms suteikti, galima atsisakyti teikti paslaugas). BDAR nustato, kad jei duomenų subjektas neturi realaus pasirinkimo, dėl tam tikrų priežasčių jaučiasi priverstas duoti sutikimą arba nesutikimas sukels neigiamas pasekmes, bus laikoma, kad toks sutikimas yra negaliojantis. Vertinant ar sutikimas duotas laisva valia, yra vertinama ir duomenų valdytojo bei duomenų subjekto padėtis, todėl, pvz.: sutikimas beveik visais atvejais nebus laikomas tinkamu pagrindu tvarkyti darbuotojų asmens duomenis;
- Sutikimas turi būti konkrečiai duomenų tvarkymo operacijai, ar kelioms operacijoms. Duomenų subjektui turi būti pateikta aiški ir suprantama informacija, kokioms duomenų tvarkymo operacijoms sutikimas yra duodamas. Pažymėtina, kad jeigu prašoma sutikimo kelioms duomenų tvarkymo operacijoms, duomenų subjektas turi turėti teisę neduoti sutikimo vienai ar kelioms iš prašomų duomenų tvarkymo operacijų. Taip pat, pažymėtina tai, kad jei asmens duomenų subjektas yra davęs sutikimą konkrečiai duomenų tvarkymo operacijai (kuri gali būti ir tęstinio pobūdžio), o duomenų valdytojas siekia pradėti tvarkyti asmens duomenis kitam (nors ir labai panašiam ar susijusiam) tikslui, būtina gauti naują duomenų subjekto sutikimą tam naujam tikslui;
- Sutikimas turi būti informuotas. Tai reiškia, kad prieš gaunant duomenų subjekto sutikimą, jam turi būti pateikta BDAR 13 straipsnio 1 ir 2 dalyje nurodyta informacija, t.y. duomenų valdytojo tapatybė; duomenų tvarkymo tikslas, kuriam siekiama gauti sutikimą; kokie duomenys bus kaupiami ir tvarkomi; galimybė atšaukti sutikimą; ar bus automatizuotas sprendimų priėmimas, įskaitant profiliavimą ir kitą su tuo susijusią informaciją; apie ketinimą asmens duomenis perduoti trečiajai valstybei ar tarptautinei organizacijai bei susijusia informaciją ir kt.
- Nedviprasmiškas duomenų subjekto išreikšto noro požymis arba veiksmas, kuriuo duomenų subjektas išreiškia sutikimą duomenų tvarkymui. Sutikimui duoti duomenų subjektas turi išreikšti savo valią ir tai padaryti atlikdamas kokį nors veiksmą. Atsižvelgiant į tai, atvejai, kai asmuo užsiregistravęs svetainėje ir jo paskyros profilyje automatiškai būna pažymėta varnelė, kad asmuo sutinka su tam tikromis duomenų tvarkymo operacijomis, nebūtų laikomi tinkamu sutikimu.
Taigi, vertinant ar duomenų valdytojo gautas sutikimas yra gautas tinkamu būdu, turi būti atsižvelgta į visus šiuos sutikimo kriterijus. Todėl būtų naudinga dar prieš įsigaliojant BDAR patikrinti savo sutikimo formas, kuriomis yra prašoma duomenų subjekto sutikimo duomenų tvarkymo operacijoms.
Sutikimo prašymo forma
BDAR nustato gerokai didesnį kiekį informacijos, kuris turi būti pateiktas duomenų subjektui, prieš jam suteikiant sutikimą, kad sutikimas būtų laikomas duotu teisėtai. Vadovaujantis BDAR 13 str. 1 ir 2 d. duomenų subjektui turi būti pateikta sekanti informacija:
- Duomenų valdytojo ir, jeigu taikoma, duomenų valdytojo atstovo tapatybė ir kontaktiniai duomenys;
- Jeigu taikoma, duomenų apsaugos pareigūno kontaktiniai duomenys;
- Duomenų tvarkymo tikslai, dėl kurių ketinama tvarkyti asmens duomenis bei duomenų tvarkymo teisinis pagrindas;
- Kai duomenų tvarkymas atliekamas remiantis teisėtais duomenų valdytojo ar trečiojo asmens interesais, nurodyti teisėtus duomenų valdytojo ar trečiosios šalies interesus;
- Jei yra, asmens duomenų gavėjus arba asmens duomenų gavėjų kategorijas;
- Kai taikoma, informacija apie duomenų valdytojo ketinimą asmens duomenis perduoti į trečiąją valstybę arba tarptautinei organizacijai, taip pat, Europos Komisijos sprendimo dėl tinkamumo buvimą ar nebuvimą arba tinkamas ar pritaikytas apsaugos priemones ir būdus, kaip gauti jų kopiją arba kur suteikiama galimybė su jais susipažinti;
- Asmens duomenų saugojimo laikotarpį, arba, jei to laikotarpio neįmanoma nustatyti, kriterijus, taikomus laikotarpiui nustatyti;
- Teisė prašyti, kad duomenų valdytojas leistu susipažinti su duomenų subjekto asmens duomenimis ir juos ištaisytų arba ištrintų, arba apribotų duomenų tvarkymą, arba teisę nesutikti, kad duomenys būtų tvarkomi, taip pat, teisė į duomenų perkeliamumą;
- Teisė bet kuriuo metu atšaukti sutikimą, nedarant poveikio sutikimu grindžiamo duomenų tvarkymo iki sutikimo atšaukimo teisėtumui;
- Teisė pateikti skundą priežiūros institucijai;
- Tai, ar asmens duomenų pateikimas yra teisės aktais arba sutartyje numatytas reikalavimas, ar reikalavimas, kurį būtina įvykdyti norint sudaryti sutartį, taip pat tai, ar duomenų subjektas privalo pateikti asmens duomenis, ir informaciją apie galimas tokių duomenų nepateikimo pasekmes;
- Tai, kad esama automatizuoto sprendimų priėmimo, įskaitant profiliavimą, ir, bent tais atvejais, prasmingą informaciją apie loginį jo pagrindimą, taip pat tokio duomenų tvarkymo reikšmę ir numatomas pasekmes duomenų subjektui.
Natūralu, kad ne visais atvejais visa tokia informaciją bus įmanoma pateikti dėl objektyvių priežasčių, pvz.: asmens duomenys nebus perduodami į trečiąsias valstybes ar tarptautinėms organizacijoms, todėl tokios informacijos nereikia nurodyti. Tačiau, akivaizdu, kad sąrašas yra platus. Maža to, reglamentas nurodo, kad visa ši informacija turi būti pateikta „glausta, skaidria, suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba“. Deja, reglamentas ar gaires apie šį reglamentą kurianti 29 straipsnio darbo grupė nenurodo būdų, kaip tokį kiekį informacijos pateikti glausta forma, tad šiuo aspektu duomenų valdytojams teks būti kūrybingiems.
Verta pažymėti, kad į šiuos reikalavimus nederėtų numoti ranka, kadangi BDAR 83 straipsnio 5 dalies a punktas numato, kad už pagrindinių duomenų tvarkymo principų, įskaitant sutikimo sąlygų, pažeidimą gali būti skiriama bauda iki 20 milijonų eurų arba 4 proc. jos ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, atsižvelgiant į tai, kuri iš šių sumų yra didesnė.
Ką daryti su seniau gautais sutikimais, galite paskaityti paspaudę ant šios nuorodos.
Karolis Sadauskas | jaunesnysis teisininkas
Mob. tel: +37062993365 | El. paštas: karolis.sadauskas@linden.lt
Tel.: +37052121506 | www.linden.lt