Nuo šio pirmadienio įsigaliojo Lietuvos Respublikos sveikatos apsaugos ministro – valstybės lygio ekstremaliosios situacijos valstybės operacijų vadovo sprendimai, susiję su laisvalaikio ir pramogų vietose, viešojo maitinimo įstaigose, lošimo vietose besilankančių asmenų registracija dėl COVID-19. Valstybinė duomenų apsaugos inspekcija (toliau - VDAI) atkreipė dėmesį į šių duomenų tvarkymą. Duomenų apsaugos pareigūnas Allaw® paaiškina, kaip kavinės ir kitos laisvalaikio ir pramogų vietos turės tvarkyti registracijos metu surinktus asmens duomenis, siekdamos laikytis Bendrojo duomenų apsaugos reglamento (toliau - BDAR) nuostatų. |
Remiantis BDAR 6 str. 1 d. c) punktu asmens duomenų tvarkymas laikomas teisėtu, kai tokius duomenis būtina tvarkyti, kad „būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė“. Taigi, jei duomenų valdytojui (viešojo maitinimo įstaigai, renginių organizatoriui ar kt.) galiojantys teisės aktai (šiuo atveju, LR sveikatos apsaugos ministro sprendimai) nustato pareigą tvarkyti asmens duomenis, ši prievolė turi būti vykdoma ją įtvirtinančio teisės akto nustatyta apimtimi.
VDAI pažymi, kad gali būti tvarkomi tik LR sveikatos apsaugos ministro sprendimuose nurodyti asmens duomenys, būtini minėtų įstaigų lankytojų registracijai, t.y. lankytojo, renginio ar varžybų žiūrovo ir (ar) dalyvio:
Asmens duomenys aukščiau nurodyta apimtimi turi būti tvarkomi tik COVID-19 ligos (koronaviruso infekcijos) profilaktikos ir kontrolės priemonių įgyvendinimo tikslais. Todėl, pavyzdžiui, aptariamais tikslais surinkti asmens duomenys negali būti naudojami tiesioginės rinkodaros pranešimų siuntimui ar bet kokiam kitam tikslui, išskyrus įstatymų nustatytus atvejus. |
Vadovaujantis BDAR 32 str., duomenų valdytojas turi taikyti tinkamas duomenų saugumo priemones, atitinkančias galimas rizikas. Atsižvelgiant į duomenų tvarkymo būdą, t.y., ar registracija vykdoma pildant popierinę anketą ar skaitmeniniu būdu (pvz., skenuojant QR kodą ar siunčiant SMS žinutę ir pan.) VDAI rekomenduoja taikyti atitinkamai:
BDAR 13 str. numato, kad kai iš duomenų subjekto renkami asmens duomenys duomenų valdytojas jų gavimo metu turi duomenų valdytojui pateikti aiškią, glaustą ir lengvai prieinamą informaciją kaip jie yra tvarkomi ir saugomi (įmonės pavadinimas, kontaktai, kokiais tikslais tvarkomi asmens duomenys, informacija, kad asmens duomenys tvarkomi siekiant įvykdyti duomenų valdytojui taikomą teisinę prievolę, kokie asmens duomenys bus tvarkomi, kiek laiko jie bus saugomi ir kt.). Šią informaciją galima pateikti:
Atskirų reikalavimų nepilnamečių asmens duomenų tvarkymui minėti LR sveikatos apsaugos ministro sprendimai nenumato, todėl, tuo atveju, jei vietose, kurioms taikomi sprendimai, gali lankytis nepilnamečiai asmenys, duomenų valdytojai neturėtų rinkti tėvų ar globėjų sutikimų, siekdami pagrįsti asmens duomenų tvarkymą, nes šiuo atveju duomenų valdytojai, rinkdami nepilnamečių asmens duomenis, vykdo jiems taikomą teisinę prievolę.
Taip pat svarbu pabrėžti, kad, atsižvelgiant į tai, kad vaikams turi būti užtikrinta ypatinga apsauga, duomenų valdytojai turėtų užtikrinti, kad pranešimai apie asmens duomenų tvarkymą būtų suformuluoti vaikui lengvai suprantama, aiškia ir paprasta kalba.
Atsižvelgiant į tai, kad asmens duomenis kavinės ir laisvalaikio bei pramogų vietos tvarkys nauju tikslu, (COVID-19 ligos (koronaviruso infekcijos) profilaktikos ir kontrolės priemonių įgyvendinimo), atitinkamai turi būti atnaujinti ir jų vidaus dokumentai, t.y.,:
|
Sužinoti, kaip atsinaujinti asmens duomenų tvarkymo taisykles ir/ar duomenų tvarkymo veiklos įrašus galite praėję Allaw parengtą BDAR mokymų kursą. Rašykite mums, jeigu Jūsų organizacijai aktualūs tokie mokymai ir reikalinga prisijungimo nuoroda. |