Tikriausiai kiekvienai organizacijai yra tekę gauti banko, institucijos ar fizinio asmens prašymą pateikti asmens duomenis. Valstybinė duomenų apsaugos inspekcija (toliau - VDAI) paskelbė gaires dėl prašymų pateikti asmens duomenis vertinimo, kurias dar vasarą buvo teikusi viešosioms konsultacijoms, kad visuomenė pateiktų savo pastabas. Minėtomis gairėmis VDAI siekia padėti duomenų valdytojams ir duomenų tvarkytojams geriau suprasti, kaip jie turi vertinti gaunamus prašymus dėl asmens duomenų teikimo. Duomenų apsaugos pareigūnas Allaw® paaiškina, kokius tris kriterijus turi įvertinti organizacijos, prieš įgyvendindamos prašymą atskleisti asmens duomenis, kad galėtų įvertinti prašymo teisėtumą ir proporcingumą.
Pirma: ar prašymas grindžiamas teisėtu tikslu ir pagrindu?
VDAI savo gairėse aiškiai išskiria kriterijus, kada asmens duomenų teikimas gali būti laikomas teisėtu. Kiekvieną kartą, gavusi prašymą atskleisti duomenis, organizacija pirmiausia turi įvertinti duomenų teikimo tikslą. Vertinant, ar asmens duomenų teikimas gali būti vykdomas teisėtu tikslu, svarbu įvertinti, kokiu tikslu prašomi asmens duomenys buvo surinkti ir kokiu tikslu jie prašomi pateikti, t. y. ar šie tikslai sutampa, ar yra skirtingi. Tais atvejais, kai prašoma pateikti asmens duomenis kitu tikslu nei tikslas, dėl kurio asmens duomenys buvo surinkti, jei toks prašymas grindžiamas ne duomenų subjekto sutikimu ar duomenų valdytojui taikytina teisine prievole, duomenų valdytojas turi įsitikinti ar duomenų surinkimo ir duomenų atskleidimo tikslai suderinami. Tik įvertinus asmens duomenų teikimo tikslą, galima pereiti prie kitų asmens duomenų teikimo kriterijų, todėl darbuotojas turi kritiškai vertinti gautą prašymą, jame nurodyto tikslo konkretumą ir aiškumą.
VDAI pastebi, kad asmens duomenų teikimo tikslo teisėtumas yra neatsiejamai susijęs su Bendrojo duomenų apsaugos reglamento (toliau - BDAR) įtvirtintomis teisėto tvarkymo sąlygomis (pagrindu), todėl, gavus prašymą, visais atvejais būtina įvertinti, ar toks duomenų teikimas galėtų būti bent viena jų pagrįstas. Duomenų tvarkymo teisėtumo sąlygos, kuriomis remiantis galima tvarkyti asmens duomenis, numatytos BDAR 6 str., t. y.:
Duomenų tvarkymo teisėtumo sąlygos
sutikimas
sutartis arba ketinimas ją sudaryti
teisinė prievolė
gyvybiniai duomenų subjekto interesai
viešasis interesas
teisėtas interesas
Daromos klaidos
Duomenų teikimo atveju dažniausiai duomenys teikiami teisinės prievolės pagrindu, t. y. teisės aktas numato pareigą organizacijai pateikti asmens duomenis. Dažna klaida - teisės aktas, kuriuo remiasi duomenų valdytojai rinkdami (ar teikdami) asmens duomenis, nustato ne pareigą teikti (rinkti) asmens duomenis (BDAR 6 straipsnio 1 dalies c punktas), o duomenų valdytojų funkcijas, įgaliojimus ar pan. (BDAR 6 straipsnio 1 dalies e punktas). Taigi, duomenų valdytojai savo prašymą grįsti BDAR 6 straipsnio 1 dalies c punktu galėtų tik tuomet, jei konkrečiame teisės akte yra nustatyta asmens duomenų teikimo (rinkimo) pareiga.
Antra: ar prašymą pateikęs asmuo tinkamas asmens duomenų gavėjas?
Gavus prašymą pateikti asmens duomenis, organizacijos darbuotojas turėtų įvertinti, ar asmens duomenis prašantis pateikti asmuo, įskaitant nevyriausybines organizacijas, turi teisę tokią informaciją gauti. Teisę gauti asmens duomenis gali nustatyti teisės aktai. Tokiu atveju organizacijos darbuotojas, vertinantis prašymą, turėtų objektyviai įvertinti, ar konkrečiam prašymą pateikusiam duomenų valdytojui ar fiziniam asmeniui teisės aktai nustato teisę tokius asmens duomenis rinkti, ir, jei taip, iš kokių šaltinių.
Trečia: ar prašomų pateikti duomenų apimtis proporcinga?
Ar asmens duomenų teikimas yra būtinas tikslui, dėl kurio pateiktas prašymas, pasiekti, ir, jei taip, kokia apimtimi. Pateikti duomenis tik ta apimtimi, kuri būtina konkrečiam tikslui pasiekti. Tuo atveju, jei prašoma asmens duomenų apimtis organizacijos darbuotojui, vertinančiam prašymą, kelia abejonių dėl proporcingumo ar atitikties prašyme nurodytam asmens duomenų tvarkymo tikslui (pavyzdžiui, prašoma trečiųjų asmenų asmens duomenų ar daugiau asmens duomenų negu būtina prašyme nurodytam asmens duomenų tvarkymo tikslui), jis galėtų kreiptis į prašymą pateikusį asmenį, kad gautų papildomos būtinos informacijos, padėsiančios įvertinti, ar asmens duomenų teikimas nepažeistų duomenų kiekio mažinimo principo.
Svarbu žinoti
VDAI atkreipia dėmesį, kad duomenų valdytojas, gavęs prašymą, visuomet turi įvertinti tiek prašymo pateikti asmens duomenis tikslą, tiek tokio prašymo proporcingumą ir teisėtumą. Duomenų valdytojas privalo tai įvertinti savarankiškai ir pateikti asmens duomenis (jei priimamas sprendimas juos teikti) tik ta apimtimi, kuri būtina konkrečiam tikslui pasiekti. Ši duomenų valdytojo pareiga nepanaikina asmens duomenų prašančio asmens pareigos pagrįsti prašymą.
Ką turi įvertinti kiekviena organizacija, spręsdama ar atskleisti asmens duomenis?
Tikriausiai kiekvienai organizacijai yra tekę gauti banko, institucijos ar fizinio asmens prašymą pateikti asmens duomenis. Valstybinė duomenų apsaugos inspekcija (toliau - VDAI) paskelbė gaires dėl prašymų pateikti asmens duomenis vertinimo, kurias dar vasarą buvo teikusi viešosioms konsultacijoms, kad visuomenė pateiktų savo pastabas. Minėtomis gairėmis VDAI siekia padėti duomenų valdytojams ir duomenų tvarkytojams geriau suprasti, kaip jie turi vertinti gaunamus prašymus dėl asmens duomenų teikimo. Duomenų apsaugos pareigūnas Allaw® paaiškina, kokius tris kriterijus turi įvertinti organizacijos, prieš įgyvendindamos prašymą atskleisti asmens duomenis, kad galėtų įvertinti prašymo teisėtumą ir proporcingumą.
Pirma: ar prašymas grindžiamas teisėtu tikslu ir pagrindu?
VDAI savo gairėse aiškiai išskiria kriterijus, kada asmens duomenų teikimas gali būti laikomas teisėtu. Kiekvieną kartą, gavusi prašymą atskleisti duomenis, organizacija pirmiausia turi įvertinti duomenų teikimo tikslą. Vertinant, ar asmens duomenų teikimas gali būti vykdomas teisėtu tikslu, svarbu įvertinti, kokiu tikslu prašomi asmens duomenys buvo surinkti ir kokiu tikslu jie prašomi pateikti, t. y. ar šie tikslai sutampa, ar yra skirtingi. Tais atvejais, kai prašoma pateikti asmens duomenis kitu tikslu nei tikslas, dėl kurio asmens duomenys buvo surinkti, jei toks prašymas grindžiamas ne duomenų subjekto sutikimu ar duomenų valdytojui taikytina teisine prievole, duomenų valdytojas turi įsitikinti ar duomenų surinkimo ir duomenų atskleidimo tikslai suderinami. Tik įvertinus asmens duomenų teikimo tikslą, galima pereiti prie kitų asmens duomenų teikimo kriterijų, todėl darbuotojas turi kritiškai vertinti gautą prašymą, jame nurodyto tikslo konkretumą ir aiškumą.
VDAI pastebi, kad asmens duomenų teikimo tikslo teisėtumas yra neatsiejamai susijęs su Bendrojo duomenų apsaugos reglamento (toliau - BDAR) įtvirtintomis teisėto tvarkymo sąlygomis (pagrindu), todėl, gavus prašymą, visais atvejais būtina įvertinti, ar toks duomenų teikimas galėtų būti bent viena jų pagrįstas. Duomenų tvarkymo teisėtumo sąlygos, kuriomis remiantis galima tvarkyti asmens duomenis, numatytos BDAR 6 str., t. y.:
Duomenų tvarkymo teisėtumo sąlygos
Daromos klaidos
Duomenų teikimo atveju dažniausiai duomenys teikiami teisinės prievolės pagrindu, t. y. teisės aktas numato pareigą organizacijai pateikti asmens duomenis. Dažna klaida - teisės aktas, kuriuo remiasi duomenų valdytojai rinkdami (ar teikdami) asmens duomenis, nustato ne pareigą teikti (rinkti) asmens duomenis (BDAR 6 straipsnio 1 dalies c punktas), o duomenų valdytojų funkcijas, įgaliojimus ar pan. (BDAR 6 straipsnio 1 dalies e punktas). Taigi, duomenų valdytojai savo prašymą grįsti BDAR 6 straipsnio 1 dalies c punktu galėtų tik tuomet, jei konkrečiame teisės akte yra nustatyta asmens duomenų teikimo (rinkimo) pareiga.
Antra: ar prašymą pateikęs asmuo tinkamas asmens duomenų gavėjas?
Gavus prašymą pateikti asmens duomenis, organizacijos darbuotojas turėtų įvertinti, ar asmens duomenis prašantis pateikti asmuo, įskaitant nevyriausybines organizacijas, turi teisę tokią informaciją gauti. Teisę gauti asmens duomenis gali nustatyti teisės aktai. Tokiu atveju organizacijos darbuotojas, vertinantis prašymą, turėtų objektyviai įvertinti, ar konkrečiam prašymą pateikusiam duomenų valdytojui ar fiziniam asmeniui teisės aktai nustato teisę tokius asmens duomenis rinkti, ir, jei taip, iš kokių šaltinių.
Trečia: ar prašomų pateikti duomenų apimtis proporcinga?
Ar asmens duomenų teikimas yra būtinas tikslui, dėl kurio pateiktas prašymas, pasiekti, ir, jei taip, kokia apimtimi. Pateikti duomenis tik ta apimtimi, kuri būtina konkrečiam tikslui pasiekti. Tuo atveju, jei prašoma asmens duomenų apimtis organizacijos darbuotojui, vertinančiam prašymą, kelia abejonių dėl proporcingumo ar atitikties prašyme nurodytam asmens duomenų tvarkymo tikslui (pavyzdžiui, prašoma trečiųjų asmenų asmens duomenų ar daugiau asmens duomenų negu būtina prašyme nurodytam asmens duomenų tvarkymo tikslui), jis galėtų kreiptis į prašymą pateikusį asmenį, kad gautų papildomos būtinos informacijos, padėsiančios įvertinti, ar asmens duomenų teikimas nepažeistų duomenų kiekio mažinimo principo.
Svarbu žinoti
VDAI atkreipia dėmesį, kad duomenų valdytojas, gavęs prašymą, visuomet turi įvertinti tiek prašymo pateikti asmens duomenis tikslą, tiek tokio prašymo proporcingumą ir teisėtumą. Duomenų valdytojas privalo tai įvertinti savarankiškai ir pateikti asmens duomenis (jei priimamas sprendimas juos teikti) tik ta apimtimi, kuri būtina konkrečiam tikslui pasiekti. Ši duomenų valdytojo pareiga nepanaikina asmens duomenų prašančio asmens pareigos pagrįsti prašymą.
Nuorodos
Prašymų dėl asmens duomenų teikimo vertinimo gairės
Kaip Allaw gali padėti