Duomenų apsaugos pareigūnas Allaw® supažindina

Kaip šiandien, 2021 m. birželio 21 d., pranešė Valstybinė duomenų apsaugos inspekcija (toliau - VDAI), sporto klubui UAB „VS FITNESS“ paskirta 20 tūkst. eurų bauda už Bendrojo duomenų apsaugos reglamento (toliau - BDAR) pažeidimus. Duomenų apsaugos pareigūnas Allaw supažindina, kokie pažeidimai tvarkant asmens duomenis buvo padaryti ir ko gali pasimokyti kiti duomenų valdytojai.

Kokie pažeidimai buvo padaryti?

Minėta bauda sporto klubui buvo skirta po to, kai VDAI, gavusi sporto klubo kliento skundą, pradėjo tyrimą ir nustatė, kad sporto klubas:

  • tvarkė biometrinius duomenis, neturėdamas savanoriško duomenų subjektų sutikimo - atkreiptinas dėmesys, kad vadovaujantis BDAR 9 str. 1 d. biometriniai duomenys (klientų ir darbuotojų pirštų atspaudai) priskiriami specialių kategorijų duomenims, kuriuos pagal bendrą taisyklę tvarkyti draudžiama, išskyrus BDAR 9 str. 2 d. numatytas išimtis. Viena tokių išimčių - jeigu asmuo sutinka, kad jo specialių kategorijų asmens duomenys būtų tvarkomi. Tačiau VDAI tyrimo metu buvo nustatyta, kad sporto klubas nepateikė alternatyvų tiems klientams, kurie nenorėjo teikti savo piršto atspaudų, todėl negalima teigti, kad sutikimas duotas savanoriškai ir atitinka kitus sutikimui keliamus reikalavimus. Buvo tvarkomi ne tik klientų, bet ir darbuotojų pirštų atspaudų duomenys. VDAI pažymėjo, kad darbuotojo sutikimas dėl galios disbalanso paprastai nelaikytinas tinkama asmens duomenų tvarkymo sąlyga. Sporto klubas VDAI nenurodė, kokiu tikslu ir kokiu teisiniu pagrindu tvarko darbuotojų biometrinius duomenis (BDAR 9 str. 1 d.),
  • netinkamai įgyvendino duomenų subjektų teisę būti informuotiems apie duomenų tvarkymą - sporto klubas pateikė ne visą informaciją, reikalaujamą pagal BDAR 13 str. 1–2 d., taip nesilaikė BDAR 5 str. 1 d. a) ir c) punktų reikalavimų,
  • netvarkė veiklos įrašų (BDAR 30 str.),
  • nebuvo atlikęs biometrinių duomenų tvarkymo poveikio duomenų apsaugai vertinimo (BDAR 35 str. 1 d.).


Į ką buvo atsižvelgta skiriant baudą?

Sprendžiant dėl baudos dydžio buvo įvertinos visos reikšmingos aplinkybės ir atsižvelgta į:

  • tai, kad buvo vykdomas specialiųjų kategorijų duomenų tvarkymas nesant tai leidžiančios išimties, tuo pažeidžiant BDAR 5 straipsnio 1 dalies a ir c punktų reikalavimus bei 9 straipsnio 1 dalį,
  • duomenų subjektų teisės būti informuotiems apie duomenų tvarkymą netinkamas įgyvendinimas, tuo pažeidžiant BDAR 13 straipsnio 1–2 dalių reikalavimus, pagal savo pobūdį priskirtini sunkesnių pažeidimų kategorijai (BDAR 83 straipsnio 5 dalis),
  • tai, kad bendrovei jau ankščiau buvo teiktas nurodymas dėl biometrinių duomenų tvarkymo kitame jai priklausančiame sporto klube. Tai patvirtino, kad bendrovė žinojo, kaip turi būti užtikrinamas klientų sutikimui tvarkyti jų biometrinius duomenis keliamas savanoriškumo reikalavimas, kad turi būti pasiūloma lygiavertė, laisvai pasirenkama identifikavimosi sporto klubuose alternatyva (nenaudojant pirštų atspaudų binarinių kodų). Taip pat, kad turi būti reglamentuota galimybė klientui bet kada atšaukti piršto atspaudo modelio naudojimą. Atsižvelgusi į šias aplinkybes, VDAI bendrovės klientų biometrinių duomenų neteisėtą tvarkymą vertino kaip tyčinį pažeidimą,
  • bendrovės praėjusių ir einamųjų metų apyvartas,
  • į bendrovės nurodytas aplinkybes, kad dėl koronaviruso pandemijos šiais metais sporto klubų veikla buvo labai apribota.

Šis VDAI sprendimas yra neįsiteisėjęs ir gali būti skundžiamas teismui.


Ko gali pasimokyti kiti duomenų valdytojai?

Atsižvelgiant į tai, kokius pažeidimus padarė sporto klubas ir į ką atsižvelgė tyrimą atlikusi ir baudą skyrusi VDAI, kiti duomenų valdytojai turėtų įvertinti:

Ar esate atlikę atitikties BDAR reikalavimams auditą? Ar esate pasitvirtinę BDAR neatitikties rizikų šalinimo planą? Ar esate paskyrę atsakingus asmenis už šio plano įgyvendinimą?

Ar atlikote tvarkomų asmens duomenų inventorizaciją? Ar esate nustatę, kokius asmens duomenis tvarkote? Ar tvarkote specialių kategorijų asmens duomenis? Kokiu pagrindu? Kiek laiko saugote ir pan.?

Ar tinkamai įgyvendinate duomenų subjektų teises: ar turite tai reguliuojantį aprašą, ar darbuotojai apmokyti reaguoti į duomenų subjektų paklausimus, ar esate už duomenų subjektų teisių įgyvendinimą paskyrę atsakingą asmenį (-is)?

Ar tvarkote duomenų tvarkymo veiklos įrašus? Ar Jums taikoma išimtis, kai šių įrašų tvarkyti nereikia? Ar esate tai dokumentavę?

Ar esate nustatę, kokiems Jūsų duomenų tvarkymo veiklos procesams turi būti atliktas poveikio duomenų apsaugai vertinimas? Ar esate jį atlikę? Ar periodiškai peržiūrite atliktus poveikio duomenų apsaugai vertinimus?

Ar duomenys perduodami į trečiąsias šalis (ne ES valstybes nares) ir tarptautinėms organizacijoms?,

Ar esate supažindinę savo darbuotojus su specialių kategorijų asmens duomenų tvarkymu? Skaitykite plačiau: Noriu tvarkyti specialių kategorijų asmens duomenis

Papildoma informacija

Panašūs straipsniai

Kur eiti toliau

Bylos santrauka (turinys tik Allaw klientams)


Susisiekti

Teirautis dėl prieigos prie BDAR mokymų e-medžiagos

Sužinoti apie inovatyvią paslaugą duomenų apsaugos pareigūnas Allaw®

Palikti žinutę duomenų apsaugos pareigūnui Allaw®

Telefonu: 8-616 02000

Svarbu ...

Pasitikrinti, ar esate identifikavę kokius asmens duomenis tvarkote (įskaitant, ar tvarkote specialių kategorijų asmens duomenis).

Pasitikrinti, ar periodiškai peržiūrite ir, nustačius poreikį, atnaujinate duomenų tvarkymo veiklos įrašus

Pasitikrinti, ar Jūsų darbuotojai apmokyti įgyvendinti duomenų subjektų teises ir informuoti duomenų subjektus apie jų asmens duomenų tvarkymą

Pasitikrinti, ar Jūsų BDAR mokymų temos apima duomenų tvarkymo principus, duomenų subjektų teisių įgyvendinimą, poreikio atlikti poveikio duomenų apsaugai nustatymą

Nepamiršti

Specialių kategorijų asmens duomenų tvarkymas draudžiamas, išskyrus BDAR 9 str. 2 d. nustatytas išimtis.


This page contains macros or features from a plugin which requires a valid license.

You will need to contact your administrator.

Naudingi ištekliai

BDAR specializuoti mokymai duomenų saugos pažeidimų prevencijai 

BDAR e-vedlys

Dažnai užduodami klausimai (DUK)