Europos duomenų apsaugos valdybos (EDAV) duomenimis, šių metų gegužės pabaigoje Suomijos duomenų apsaugos kontrolieriaus tarnyba paskyrė 72 000 Eur baudą vienai Helsinkio taksi bendrovei už tai, kad ši neįvertino asmens duomenims kylančių rizikų prieš įrengdama savo taksi automobiliuose vaizdo stebėjimo ir garso įrašymo sistemą. Pažeidimai taip pat buvo nustatyti dėl duomenų subjektų informavimo apie vykdomą vaizdo stebėjimą ir su tuo susijusioje dokumentacijoje.


Pareiga atlikti poveikio duomenų apsaugai vertinimą (PDAV)


BDAR 35 str. 1 d. numatyta, kad tais atvejais, kai dėl duomenų tvarkymo rūšies, visų pirma, kai naudojamos naujos technologijos, ir atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, fizinių asmenų teisėms ir laisvėms gali kilti didelis pavojus, duomenų valdytojas, prieš pradėdamas tvarkyti asmens duomenis, atlieka numatytų duomenų tvarkymo operacijų poveikio asmens duomenų apsaugai vertinimą (PDAV). Kaip skelbiama EDAV pranešime, minėta Suomijos taksi bendrovė pakeitė savo naudojamą vaizdo stebėjimo sistemą į sistemą, kuri fiksuoja ne tik vaizdą, bet kartu atlieka ir garso įrašymą, tačiau neužtikrino BDAR reikalavimų įgyvendinimo, kadangi neatliko poveikio duomenų apsaugai vertinimo (PDAV). Vadovaujantis 29 straipsnio darbo grupės rekomendacijomis poveikio duomenų apsaugai vertinimas – tai procesas, skirtas: duomenų tvarkymui aprašyti, tokio tvarkymo reikalingumui ir proporcingumui įvertinti bei padėti valdyti pavojų, kuris fizinių asmenų teisėms ir laisvėms kyla dėl asmens duomenų tvarkymo, jį įvertinant ir nustatant šio pavojaus pašalinimo priemones. Atkreiptinas dėmesys, kad Lietuvoje, vadovaujantis Valstybinės duomenų apsaugos inspekcijos (VDAI) direktoriaus įsakymu patvirintu duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti PDAV, sąrašu tais atvejais, kai vaizdo stebėjimas yra atliekamas kartu su garso įrašymu, PDAV privalo būti atliktas. Suomijos priežiūros institucija nurodė bendrovei atlikti poveikio duomenų apsaugai vertinimą bei balanso testą, kad būtų galima įvertinti asmens duomenų tvarkymo būtinumą ir jo poveikį duomenų subjektų interesams ir teisėms.

Asmens duomenų tvarkymo pagrindas


Asmens duomenų tvarkymas laikomas teisėtu jeigu yra bent viena iš teisėtumo sąlygų, nurodytų BDAR 6 str., pvz., teisėtas duomenų valdytojo interesas, duomenų subjekto sutikimas ir pan. Minėtu Suomijos taksi bendrovės atveju, buvo nustatyta, kad taksi automobiliuose sumontuota vaizdo stebėjimo ir garso įrašymo sistema buvo renkami taksi vairuotojų (bendrovės darbuotojų), bei jų keleivių (bendrovės klientų) asmens duomenys. Tačiau bendrovė nenurodė kokiu pagrindu tai buvo daroma ir nepateikė paaiškinimo, kodėl ji tvarkė minėtus duomenis tik iš kai kurių jai priklausančių taksi. Dar vėliau bendrovė ėmė teigti, kad garso įrašai buvo tvarkyti per klaidą. Atkreiptinas dėmesys, kad remiantis EDAV rekomendacijomis nebūtinos vaizdo stebėjimo sistemos funkcijos, pvz., neribotas kamerų judėjimas, mastelio keitimas, garso įrašai, turi būti išjungtos. Tai, kad tokių funkcijų galimybę suteikia vaizdo stebėjimo sistema savaime nesuteikia pagrindo jas naudoti. Minėtos funkcijos gali būti naudojamos tik įvertinus jų naudojimo būtinumą ir proporcingumą bei keliamas rizikas. Suomijos priežiūros institucija konstatavo, kad toks duomenų tvarkymas neatitinka BDAR 5 str. 1 d. c) punkte įtvirtinto duomenų mažinimo principo ir nurodė bendrovei užtikrinti, kad garso duomenų tvarkymas be tinkamo pagrindo būtų nedelsiant sustabdytas.

Pareiga informuoti duomenų subjektus dėl vykdomo duomenų tvarkymo


BDAR 12 str. nustato pareigą duomenų valdytojams informuoti duomenų subjektus apie vykdomą jų asmens duomenų tvarkymą. Suomijos priežiūros institucija atlikusi tyrimą nustatatė, jog bendrovė neinformavo duomenų subjektų apie vykdomą garso įrašymą ir nepateikė nurodos į šaltinį, kuriame bendrovės klientai galėtų gauti detalesnę informaciją apie jų asmens duomenų tvarkymą. Suomijos priežiūros institucija atlikusi išsamų tyrimą nustatė, kad bendrovės skelbiamas informacinis pranešimas pripažintas neišsamiu ir neinformuojančiu apie minėtų duomenų tvarkymą, todėl įpareigojo bendrovę atitinkamai papildyti savo asmens duomenų tvarkymo dokumentaciją ir atkreipė dėmesį, kad informacija duomenų subjektams turi būti lengvai prieinama.

Kaip savo rekomendacijose akcentuoja EDAV, atliekant vaizdo stebėjimą duomenų subjektų informavimas vykdomas dviem "sluoksniais":

1) lengvai matomu įspėjamuoju ženklu apie vaizdo stebėjimą. VDAI nurodo, kad jame reiktų nurodyti informaciją bent:

  • apie vykdomą vaizdo stebėjimą;
  • duomenų valdytojo juridinio asmens pavadinimą, duomenų valdytojo fizinio asmens vardas ir pavardė, jų kontaktinė informacija (adresas, el. pašto adresas ir (arba) telefono ryšio numeris);
  • asmens duomenų tvarkymo tikslą;
  • nuorodą į informacijos šaltinį, kur būtų galima gauti detalesnę informaciją apie vykdomą vaizdo stebėjimą, pvz., nuorodą į interneto svetainę, kontaktinį telefoną ar kt.

2) pateikiant informacinį pranešimą, kuris apimtų visą BDAR 13-14 str. nurodytą informaciją, t.y., koks yra duomenų saugojimo laikotarpis, duomenų gavėjai ir kt. 

Atkreiptinas dėmesys, kad VDAI nuomone, vien tik lentelės, kurioje pavaizduota vaizdo kamera, pakabinimas nėra laikomas tinkamu BDAR reikalavimus atitinkančiu duomenų subjekto informavimu.

Doctype
plain-confluence-page

Nuorodos





Link to this page