2023 m. sausio 9 d. Valstybinė duomenų apsaugos inspekcija (toliau – VDAI) pranešė, kad UAB „Praktiškas“, valdančiai sporto klubus „SportGates“, paskirta 6 tūkst. eurų bauda už Bendrojo duomenų apsaugos reglamento (toliau – BDAR) pažeidimus. Duomenų apsaugos pareigūnas Allaw supažindina, kokie pažeidimai tvarkant asmens duomenis buvo padaryti ir ko gali pasimokyti kiti duomenų valdytojai. Pateikia nuorodas į DAi.lt žinių bazėje esančią informaciją ir susijusias gaires, kaip išvengti tokių situacijų.

PADARYTI DUOMENŲ TVARKYMO IR APSAUGOS PAŽEIDIMAI

  • duomenų subjektų (klientų) biometrinių duomenų tvarkymas, neturint jų savanoriško sutikimo. Vadovaujantis BDAR 9 str. 1 d. biometriniai duomenys (nagrinėjamu atveju klientų pirštų atspaudai) priskiriami specialių kategorijų duomenims, kuriuos pagal bendrą taisyklę tvarkyti draudžiama, išskyrus BDAR 9 str. 2 d. numatytas išimtis. Viena tokių išimčių yra asmens laisva valia duotas sutikimas tvarkyti jo specialių kategorijų asmens duomenis. VDAI tyrimo metu nustatė, kad klientų duodamas sutikimas tvarkyti jų biometrinius duomenis (pirštų antspaudus) nebuvo savanoriškas, kadangi klientams registruojantis patekimui į sporto klubą savitarnos terminale, vienintelis nurodomas patekimo į sporto klubą būdas – naudojantis asmens biometriniais duomenimis. Klientams nebuvo pateikta jokių kitų alternatyvų patekimui į sporto klubą ir nebuvo pateiktas tinkamas informacinis pranešimas. VDAI pažymėjo, kad informacija apie alternatyvas duomenų subjektams privalo būti pateikta aiškiai,
  • netinkamai įgyvendinta duomenų subjektų teisė būti informuotiems apie duomenų tvarkymą, kadangi sporto klubas pateikė ne visą informaciją, reikalaujamą pagal BDAR 13 str. 1–2 d. Tyrimo metu VDAI nustatė, jog registruojantis savitarnos terminale kaip naujam klientui, buvo privaloma sutikti tik su Naudojimosi sporto klubu taisyklėmis, o Privatumo politika pateikiama nebuvo,
  • nebuvo tvarkomi veiklos įrašai (BDAR 30 str.),
  • prieš pradedant tvarkyti biometrinius duomenis nebuvo atliktas poveikio duomenų apsaugai vertinimas (BDAR 35 str. 1 d.).

SKIRIANT BAUDĄ ATSIŽVELGTA Į TAI, KAD

  • sporto klubas tvarko specialių kategorijų asmens duomenis,
  • pažeidimas yra tęstinis bei sisteminis,
  • dalis nustatytų pažeidimų priskiriami sunkesnių pažeidimų kategorijai (BDAR 83 str. 5 d. a ir b p.).

DAI.LT REKOMENDACIJOS DUOMENŲ VALDYTOJAMS 

Kadangi analogiški pažeidimai, susiję su biometrinių asmens duomenų tvarkymu, yra pasikartojantys (pavyzdžiui, 2021 m. birželio 21 d. VDAI sporto klubui UAB „VS FITNESS“ paskyrė 20 tūkst. eurų baudą dėl BDAR pažeidimų tvarkant asmenų biometrinius duomenis), atsižvelgiant į padarytus pažeidimus ir aplinkybes, kurias vertino VDAI, DAi.lt kitiems duomenų valdytojams pataria imtis proaktyvių priemonių bei siekti užkirsti kelią galimiems pažeidimams, išvengti baudos. Pateikiama 10 pagrindinių žingsnių, kuriuos rekomenduojama įgyvendinti, šalia pateikiant nuorodas į jau esančias išsamias DAi.lt gaires, kaip tai atlikti

  1. Užtikrinti, kad duomenų tvarkymas būtų atliekamas tik esant BDAR 6 straipsnio 1 dalyje nurodytam teisiniam duomenų tvarkymo pagrindui ir, jei reikalinga, BDAR 9 straipsnio 2 dalyje nurodytai sąlygai. Prieš pradedant tvarkyti duomenis reikalinga įsitikinti, ar yra bent vienas iš BDAR 6 straipsnio 1 dalyje nustatytų teisinių pagrindų, kuriuo galima grįsti planuojamą asmens duomenų tvarkymą. Pažymėtina, kad tvarkant specialių kategorijų asmens duomenis reikia remtis BDAR 9 straipsnio 2 dalimi ir duomenis tvarkyti galima tik esant vienai šioje straipsnio dalyje nurodytų sąlygų. Be to, jei duomenis tvarkyti planuojama remiantis duomenų subjekto sutikimu, būtina užtikrinti, kad toks sutikimas būtų savanoriškas. Noriu sužinoti apie duomenų tvarkymo teisinį pagrindą
  2. Jei planuojama tvarkyti specialių kategorijų duomenis (įskaitant biometrinius duomenis) reikalinga nustatyti ir dokumentuoti konkrečią priežastį, kodėl reikalinga juos tvarkyti ir kodėl norimų tikslų negalima pasiekti be specialios paskirties asmens duomenų tvarkymoNoriu tvarkyti specialių kategorijų asmens duomenis
  3. Atlikti tvarkomų asmens duomenų inventorizaciją (jos metu nustatyti, kokie asmens duomenys tvarkomi, kokių fizinių asmenų (duomenų subjektų), kokiu tikslu, ar tarp jų yra specialių kategorijų duomenų ir pan.), įvertinti rizikos veiksnius. Rizikos veiksniai duomenų subjektų teisėms ir laisvėms
  4. Pasitikrinti, ar organizacijos vidaus teisės aktai apima atliekamą asmens duomenų tvarkymą. Ar pakankamai ir tinkamai reguliuojamas organizacijos atliekamas asmens duomenų tvarkymas? Asmens duomenų tvarkymo taisyklės
  5. Paskirti atsakingus asmenis. Nusistatyti, kas už ką atsako organizacijoje asmens duomenų tvarkyme ir apsaugoje. BDAR vaidmenys ir mokymai
  6. Atlikti atitikties BDAR reikalavimams auditą ir nustatyti, ar tie duomenys tvarkomi tinkamai pagal reikalavimus, ar yra tam pagrindas, nustatyti, kokiems duomenų tvarkymo veiklos procesams turi būti atliktas poveikio duomenų apsaugai vertinimas ir, jei reikia, jį atlikti. Noriu atlikti poveikio duomenų apsaugai vertinimą (PDAV)
  7. Nustatyti, ar duomenys perduodami į trečiąsias šalis (ne ES valstybes nares) ir / ar tarptautinėms organizacijoms ir jei taip, pasitikrinti, ar pasirašyti tinkami susitarimai dėl duomenų perdavimo. Pažymėtina, kad perduodant asmens duomenis į trečiąsias šalis turi būti naudojamos Europos Sąjungos komisijos patvirtintos standartinės sutarčių sąlygos (angl. Standard Contractual Clauses arba SCC).
  8. Parengti ir nuolat atnaujinti duomenų tvarkymo veiklos įrašus (arba nustatyti ir dokumentuoti faktą, kad taikoma išimtis ir veiklos įrašų tvarkyti nereikia). Noriu parengti duomenų tvarkymo veiklos įrašus
  9. Tinkamai įgyvendinti duomenų subjektų teises: reikalinga suteikti duomenų subjektui visą informaciją, kuri nurodyta BDAR 13 straipsnio 1 ir 2 dalyse, glausta, skaidria, suprantama ir lengvai prieinama forma, vartojant aiškią ir suprantamą kalbą, turėti duomenų subjektų prašymų nagrinėjimo bei įgyvendinimo klausimus reguliuojantį aprašą (vidaus dokumentą), darbuotojus periodiškai apmokyti kaip tinkamai reaguoti į duomenų subjektų paklausimus, paskirti už duomenų subjektų teisių įgyvendinimą atsakingą (-us) asmenį (-is). Noriu parengti privatumo pranešimą (politiką)
  10. Supažindinti darbuotojus su specialių kategorijų asmens duomenų tvarkymu ir organizuoti specializuotus mokymus. Noriu baigti arba atnaujinti įvadinį privalomąjį duomenų apsaugos mokymų modulį

Taip pat pažymėtina, kad galima rasti bei pasimokyti ir iš kitų gerųjų pavyzdžių, kaip duomenų valdytojai užtikrina, kad įvykdytų visas iš BDAR kylančias pareigas ir didintų asmenų pasitikėjimą jų vykdomu asmens duomenų tvarkymu. Vienas tokių pavyzdžių – atskirų privatumo politikų, kurios skirtos būtent asmenų praėjimo kontrolės vykdymui, skelbimas interneto svetainėse.

Jei kyla neaiškumų dėl bet kurio iš išvardintų žingsnių, nedvejodami teikite užklausą savo duomenų apsaugos pareigūnui. Susisiekime.

NUORODOS