Straipsnyje apie asmens duomenų apsaugos tvarkymo principus buvo kalbama apie teisėtumo principą, kuris aiškinamas taip, kad asmens duomenys turi būti tvarkomi teisėtais pagrindais. Apie tai, kokie yra asmens duomenų tvarkymo teisiniai pagrindai, kalbama žemiau, ypatingą dėmesį skiriant asmens sutikimui.
1. Asmens duomenų subjekto sutikimas
Vienas iš asmens duomenų teisėto tvarkymo pagrindų, kuriuo duomenų valdytojai dažnai remiasi, tvarkant asmens duomenis, yra duomenų subjekto sutikimas. Asmens sutikimas turi atitikti tam tikrus reikalavimus bei kriterijus, numatytus BDAR.
Sutikimui keliami reikalavimai
Pirma, sutikimas turėtų būti duotas laisva valia, t.y. duomenų subjektas turėtų turėti galimybę pasirinkti duoti sutikimą ar jo neduoti.
Duomenų apsaugos darbo grupės, įkurtos 1995 m. spalio 24 d. Europos Parlamento ir Tarybos Direktyvos 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo pagrindu 2011 m. liepos 13 d. priimtoje Nuomonėje (toliau – Nuomonė) 15/2011 dėl sutikimo sąvokos teigiama, kad „sutikimas galioja tik tuomet, jeigu duomenų subjektas gali iš tikrųjų pasirinkti, ir nesutikimo atveju nekyla apgaulės, bauginimo, prievartos ar reikšmingų neigiamų padarinių grėsmės. Jeigu sutikimo padariniai kenkia asmenų pasirinkimo laisvei, sutikimas nelaikomas savanorišku.“
Valstybinė duomenų apsaugos inspekcija (toliau – VDAI) duomenų subjekto sutikimo klausimu parengė rekomendaciją, kurioje, iliustruodama ne laisva valia duotą sutikimą, pateikė tokį pavyzdį:
Darbdavys prašo darbuotojo patikimumo įvertinimo tikslu pateikti darbuotojo privačių interesų deklaraciją, kurioje būtų pateikta informacija apie jo ryšius su konkuruojančiomis bendrovėmis ir teistais asmenimis, šeimos narius, draugus, laisvalaikio pomėgius. Šiuo atveju darbuotojo sutikimas negali būti laikomas savanorišku, kadangi, nesutikus pateikti prašomos informacijos, jam gali kilti neigiamos pasekmės, t. y. jis gali būti atleistas kaip galimai nepatikimas darbuotojas.
Didžiosios Britanijos duomenų apsaugos institucija Informacijos komisaro biuras (Information Commissioner’s Office, toliau – ICO) savo Gairėse dėl sutikimo (toliau – Gairės), kurias ICO 2017 m. kovo 2 d. paskelbė viešai konsultacijai, nurodė, kad laisva valia duotas sutikimas nereiškia, kad jokiomis priemonėmis negalima paskatinti asmens duoti sutikimą. Sutikimas dėl asmens duomenų tvarkymo įprastai galės suteikti tam tikrą naudą. Pavyzdžiui, sutikimas dalyvauti lojalumo programoje ir taip leisti naudoti asmens duomenis rinkodaros tikslais gali sudaryti sąlygas suteikti asmeniui tam tikras nuolaidas. Tai, kad sutikimo nedavę asmenys negaus nuolaidų, nebus laikoma jiems daroma žala, tačiau vis vien bus būtina išlaikyti pusiausvyrą ir nesąžiningai nebloginti nedavusių sutikimo asmenų padėties.
Žemiau pateikiami keli nesavanoriško sutikimo pavyzdžiai:
• neleidžiama duoti atskiro sutikimo atskiroms asmens duomenų tvarkymo operacijoms, nors tai ir tikslinga atskirais;
• jeigu sutarties vykdymas, įskaitant paslaugos teikimą, priklauso nuo sutikimo, nepaisant to, kad toks sutikimas nėra būtinas tokiam vykdymui;
• duomenų subjektas faktiškai neturi laisvo pasirinkimo ar negali atsisakyti sutikti arba sutikimo atšaukti, nepatirdamas žalos.
Antra, duomenų subjektas turi aiškiai patvirtinti, kad sutinka su jo duomenų tvarkymu, t.y. jis turi akivaizdžiai išreikšti savo valią dėl jo asmens duomenų tvarkymo. Tyla, iš anksto pažymėti langeliai arba neveikimas neturėtų būti laikomi sutikimu.
Sutikimas gali būti raštiškas, įskaitant elektroninėmis priemonėmis, arba žodinis. BDAR nurodyta, kad sutikimas galėtų būti duodamas pažymint langelį interneto svetainėje arba kitu pareiškimu arba poelgiu, iš kurio aiškiai matyti tame kontekste, kad duomenų subjektas sutinka su siūlomu jo asmens duomenų tvarkymu.
Žemiau pateikiama daugiau sutikimo formų variantų:
• pasirašant pareiškimą dėl sutikimo;
• pažymint langelį (varnele) dėl sutikimo popierinėje ar elektroninėje formoje;
• paspaudžiant sutikimo nuorodą ar mygtuką internete;
• atsakius „taip“ į žodinį prašymą dėl sutikimo;
• elektroniniu laišku atsakius į elektroninį laišką su prašymu;
• savanoriškai pateikiant papildomą neprivalomą pateikti informaciją konkrečiam tikslui ir kt.
Tyla, iš anksto pažymėti langeliai arba neveikimas NĖRA sutikimas tvarkyti asmens duomenis
Trečia, duomenų subjektas turi būti tinkamai ir visapusiškai informuotas bei turi suvokti, kad jis duoda sutikimą ir dėl ko jis jį duoda. Duomenų subjektas turi suvokti, dėl kokių asmens duomenų tvarkymo jo prašoma duoti sutikimą ir norėti tą sutikimą duoti. Sutikimas turėtų apimti visą duomenų tvarkymo veiklą, vykdomą tuo pačiu tikslu ar tais pačiais tikslais. Kai duomenys tvarkomi ne vienu tikslu, sutikimas turėtų būti duotas dėl visų duomenų tvarkymo tikslų.
Sutikimo tekstas turi būti suprantamas, konkretus, nedviprasmiškas ir glaustas. Duomenų valdytojo iš anksto suformuluotas sutikimo pareiškimas turėtų būti pateiktas suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba, jame neturėtų būti nesąžiningų sąlygų. Jeigu duomenų subjekto sutikimo prašoma elektroniniu būdu, prašymas turi būti aiškus, glaustas ir bereikalingai nenutraukiantis naudojimosi paslauga, dėl kurios prašoma sutikimo. Kartu turi būti pateikta informacija apie teisę atsiimti savo sutikimą, o jį atšaukti turėtų būti taip pat lengva, kaip ir duoti.
Ketvirta, duomenų valdytojas turėtų galėti įrodyti, kad duomenų subjektas sutiko su duomenų tvarkymo operacija, t.y. duomenų valdytojo sistemoje turi išlikti ir išsisaugoti duomenų subjekto duotas sutikimas kokia nors objektyvia forma.
BDAR numato papildomus reikalavimui sutikimui tvarkyti vaiko asmens duomenis. Tai yra grindžiama tuo, kad vaikams reikia ypatingos jų asmens duomenų apsaugos, nes jie gali nepakankamai suvokti su asmens duomenų tvarkymu susijusius pavojus, pasekmes ar apsaugos priemones ir savo teises. Tokia ypatinga apsauga visų pirma turėtų būti vaikų asmens duomenų naudojimui rinkodaros, virtualios asmenybės ar vartotojo profilio sukūrimo tikslais ir su vaikais susijusių asmens duomenų rinkimui naudojantis vaikui tiesiogiai pasiūlytomis paslaugomis.
Kai yra atliekamas informacinis visuomenės paslaugų tiesioginis siūlymas vaikui, vaiko asmens duomenų tvarkymas yra teisėtas tik tokiu atveju, jei vaikas yra bent 16 metų amžiaus. Jei vaikas yra jaunesnis, toks tvarkymas yra teisėtas, jei tą sutikimą davė arba tvarkyti vaiko duomenis leido vaiko tėvų pareigų turėtojas. Tėvų pareigų turėtojo sutikimo neturėtų būti reikalaujama tiesiogiai vaikui teikiant prevencijos ar konsultavimo paslaugas.
Atšaukti sutikimą turi būti taip pat lengva, kaip ir jį duoti
Prašymas dėl sutikimo
BDAR numatyta konkreti informacija, kuri turi būti suteikta duomenų subjektui, užtikrinant jo informuotumo principą:
• sutikimas dėl duomenų tvarkymo siekiančio gauti subjekto tapatybę ir kontaktinius duomenis bei visų trečiųjų asmenų, kurie tvarkys ar gaus duomenis sutikimo pagrindu, pavadinimus;
• duomenų apsaugos pareigūno, jeigu taikoma, kontaktinius duomenis;
• duomenų tvarkymo tikslus, dėl kurių ketinama tvarkyti asmens duomenis, taip pat duomenų tvarkymo teisinį pagrindą;
• jei duomenys bus perduodami į trečiąją valstybę – informaciją apie Komisijos sprendimo dėl tinkamumo buvimą ar nebuvimą arba tinkamas ar pritaikytas apsaugos priemones ir būdus, kaip gauti jų kopiją arba kur suteikiama galimybė su jais susipažinti;
• asmens duomenų saugojimo laikotarpį arba, jei tai neįmanoma, kriterijus, taikomus tam laikotarpiui nustatyti;
• teisę prašyti, kad duomenų valdytojas leistų susipažinti su duomenų subjekto asmens duomenimis ir juos ištaisytų arba ištrintų, arba apribotų duomenų tvarkymą, arba teisę nesutikti, kad duomenys būtų tvarkomi, taip pat teisę į duomenų perkeliamumą;
• teisę bet kuriuo metu atšaukti sutikimą, nedarant poveikio sutikimu grindžiamo duomenų tvarkymo iki sutikimo atšaukimo teisėtumui;
• teisę pateikti skundą priežiūros institucijai;
• tai, kad automatizuoto sprendimų priėmimo, įskaitant profiliavimą, ir, bent tais atvejais, prasmingą informaciją apie loginį jo pagrindimą, taip pat tokio duomenų tvarkymo reikšmę ir numatomas pasekmes duomenų subjektui.
Svarbu pažymėti, kad duomenų valdytojas neturi teisės prašyti sutikimo dėl asmens duomenų tvarkymo, jeigu įstatymai draudžia tvarkyti tam tikrus duomenis.
Pavyzdžiui, Lietuvos Respublikos draudimo įstatymo 114 straipsnio 3 dalis numato, kad draudikui draudžiama bet kokia forma reikalauti, kad draudėjas, apdraustasis ir kiti asmenys pateiktų genetinių tyrimų duomenis.
Sutikimo galiojimo terminas
BDAR nenumatytas konkretus sutikimo galiojimo laikas ir tai yra suprantama. Negalima pritaikyti vienodo sutikimo galiojimo termino absoliučiai visiems duomenų subjekto sutikimams skirtingose verslo srityse. Yra akivaizdu, kad su laiku pasikeitus aplinkybėms, atsiradus papildomoms sąlygoms arba reikalavimams, gali atsirasti ir būtinybė keisti, modifikuoti sutikimą, jis gali neapimti visų būtinų duomenų, todėl gali atsirasti būtinybė praplėsti duomenų subjekto duomenų sferą. Todėl duomenų valdytojai turi prižiūrėti ir kontroliuoti duoto sutikimo tinkamumą ir aktualumą bei užtikrinti, kad sutikimas būtų savalaikiai atnaujinamas.
Gairėse visgi pateiktas rekomendacinis sutikimo galiojimo terminas – dveji metai, tačiau atsižvelgiant į aktualijas ir konkrečias aplinkybes, šis terminas gali būti trumpesnis arba ilgesnis.
Duomenų valdytojas turėtų atlikti savalaikę duotų sutikimų peržiūrą, vertinti jų tinkamumą ir aktualumą, o esant poreikiui dėl pasikeitusių aplinkybių – iš naujo kreiptis į duomenų subjektą dėl sutikimo davimo
Sutikimo santykis su kitais teisiniais duomenų tvarkymo pagrindais
Jeigu duomenų subjektui atsiėmus sutikimą, jo duomenys ir toliau tvarkomi remiantis kitu teisiniu pagrindu, gali kilti abejonių dėl sutikimo, kaip pirminio teisinio pagrindo, tinkamumo. Jeigu duomenis iš pradžių būtų buvę galima tvarkyti naudojantis kitu pagrindu, asmens prašymas sutikti, kad duomenys būtų tvarkomi, gali būti laikomas klaidinančiu ir nesąžiningu, sudarančiu klaidingą įspūdį, kad duomenų subjektas gali kontroliuoti jo duomenų tvarkymo procesą (nutraukti jo asmens duomenų tvarkymą).
Taigi, jeigu asmens duomenys gali būti tvarkomi kokiu nors kitu teisiniu pagrindu, sutikimo prašyti nereikia, kadangi tokiu atveju duomenų subjektas būtų klaidinamas dėl to, kad jis gali atsisakyti savo duomenų tvarkymo, atsiimdamas sutikimą. Sutikimas reikalingas tada, tai negali būti taikomas joks kitas teisėto duomenų tvarkymo pagrindas dėl planuojamo duomenų tvarkymo specifikos ar teisės aktuose numatytų reikalavimų.
2. Asmens duomenys yra būtini sutarties vykdymui
Tai pakankamai dažnai pasitaikantis asmens duomenų tvarkymo pagrindas, kadangi sudarant sutartis duomenų subjektas (klientas) neišvengiamai teikia duomenų valdytojui kai kuriuos savo asmens duomenis.
Pavyzdžiui, sudarant turto pirkimo-pardavimo išsimokėtinai sutartį, duomenų subjektas (klientas) perduoda duomenų valdytojui (pardavėjui) savo asmeninius duomenis – vardą, pavardę, elektroninio pašto adresą ir kt. Sudarant kredito sutartį, asmuo pateikia kredito įstaigai (bankui) vardą, pavardę, gyvenamosios vietos adresą, elektroninio pašto adresą, šeiminę padėtį apibūdinančius duomenis, banko sąskaitos numerį.
Duomenų valdytojui minėti duomenys yra reikalingi siekiant sudaryti ir vykdyti sutartį. Atskiras duomenų subjekto sutikimas dėl šių duomenų tvarkymo nėra reikalaujamas.
Jeigu asmens duomenys tvarkomi kitu teisiniu pagrindu, sutikimo dėl duomenų tvarkymo prašyti nereikia
3. Duomenų valdytojui taikomos teisinės prievolės vykdymas
Tai yra teisės aktuose numatyta asmens duomenų valdytojo pareiga, susijusi su asmens duomenų operacijų atlikimu. Pavyzdžiui, notaras turi teikti duomenis vedybų sutarčių registrui apie jo biure sudarytą vedybų sutartį, perduodamas sutuoktinių asmeninius duomenis. Jis taip pat turi teikti teismui duomenis apie jo biure patvirtintą hipotekos lakštą, pateikdamas jame nurodytus asmeninius duomenis.
Lietuvos Respublikos darbo kodeksas numato, kad darbdavys privalo pranešti SoDrai apie asmens darbo pradžią. Pranešime yra pateikiami tokie duomenys kaip naujo darbuotojo vardas ir pavardė, kodas, socialinio draudimo numeris ir kiti duomenys.
Aukščiau nurodytos pareigos tvarkyti asmens duomenis yra įtvirtintos Lietuvos Respublikos teisės aktuose, todėl asmens duomenų subjektas negali prieštarauti jo duomenų tvarkymo operacijoms, jeigu tai atliekama laikantis teisės aktuose numatytų reikalavimų.
4. Gyvybinių duomenų subjekto ar kito fizinio asmens interesų apsauga
Asmeniui dingus be žinios jo paieškos tikslais viešai skelbiamas ir platinamas jo atvaizdas, vardas. Praradusio atmintį asmens nuotrauka viešai skelbiama, siekiant nustatyti jo tapatybę bei rasti artimuosius. Minėtais atvejais asmens duomenys tvarkomi, siekiant apsaugoti duomenų subjekto gyvybinius interesus.
5. Užduoties viešojo intereso labui įvykdymas
Prokuratūra, nagrinėdama pareiškimus dėl ikiteisminio tyrimo pradėjimo, tvarko pareiškėjų duomenis: vardą, pavardę, adresą, elektroninio pašto adresą. Atliekant ikiteisminį tyrimą IBPS (informacinė prokuratūros sistema) yra tvarkomi ir kiti asmens duomenys (asmens kodai, banko sąskaitos, IP numeriai, turto duomenys, pirštų antspaudai ir kt.).
6. Siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų.
Pavyzdžiui, draudimo bendrovė, išmokėjusi apdraustajam draudimo išmoką, kreipiasi į teismą dėl žalos priteisimo iš įvykio kaltininko regreso tvarka, nurodydama jam žinomus atsakovo duomenis (vardą, pavardę, gyvenamosios vietos adresą ir kt.).
Tam, kad asmens duomenų tvarkymas būtų teisėtas, jis turi būti atliekamas vienu iš aukščiau nurodytų teisinių pagrindų. Duomenų valdytojas turi aiškiai nustatyti, kokiu teisiniu pagrindu jis tvarko asmens duomenis ir nesant 2-5 punktuose numatytų domenų tvarkymo pagrindų, privalo gauti duomenų subjekto sutikimą bei įrodyti tokio sutikimo davimą.
Visos teisės saugomos. Cituojant arba kitaip platinant šią informaciją prašau nurodyti informacijos šaltinį.
