Nuo šio pirmadienio įsigaliojo Lietuvos Respublikos sveikatos apsaugos ministro – valstybės lygio ekstremaliosios situacijos valstybės operacijų vadovo sprendimai, susiję su  laisvalaikio ir pramogų vietose, viešojo maitinimo įstaigose, lošimo vietose besilankančių asmenų registracija dėl COVID-19. Valstybinė duomenų apsaugos inspekcija (toliau - VDAI) atkreipė dėmesį į šių duomenų tvarkymą. Duomenų apsaugos pareigūnas Allaw® paaiškina, kaip kavinės ir kitos laisvalaikio ir pramogų vietos turės tvarkyti registracijos metu surinktus asmens duomenis, siekdamos laikytis Bendrojo duomenų apsaugos reglamento (toliau - BDAR) nuostatų.

Kokiu pagrindu ir kokie asmens duomenys gali būti tvarkomi?


Remiantis BDAR 6 str. 1 d. c) punktu asmens duomenų tvarkymas laikomas teisėtu, kai tokius duomenis būtina tvarkyti, kad „būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė“. Taigi, jei duomenų valdytojui (viešojo maitinimo įstaigai, renginių organizatoriui ar kt.) galiojantys teisės aktai (šiuo atveju, LR sveikatos apsaugos ministro sprendimai) nustato pareigą tvarkyti asmens duomenis, ši prievolė turi būti vykdoma ją įtvirtinančio teisės akto nustatyta apimtimi.

VDAI pažymi, kad gali būti tvarkomi tik LR sveikatos apsaugos ministro sprendimuose nurodyti asmens duomenys, būtini minėtų įstaigų lankytojų registracijai, t.y. lankytojo, renginio ar varžybų žiūrovo ir (ar) dalyvio:

  • vardas,
  • pavardė;
  • telefono ryšio numeris (asmeninis, darbo, kitas).

Asmens duomenys aukščiau nurodyta apimtimi turi būti tvarkomi tik COVID-19 ligos (koronaviruso infekcijos) profilaktikos ir kontrolės priemonių įgyvendinimo tikslais. Todėl, pavyzdžiui, aptariamais tikslais surinkti asmens duomenys negali būti naudojami tiesioginės rinkodaros pranešimų siuntimui ar bet kokiam kitam tikslui, išskyrus įstatymų nustatytus atvejus.

Kokių priemonių turėtų imtis kavinės ir laisvalaikio bei pramogų vietos, siekdamos apsaugoti surinktus savo lankytojų asmens duomenis?

Vadovaujantis BDAR 32 str., duomenų valdytojas turi taikyti tinkamas duomenų saugumo priemones, atitinkančias galimas rizikas. Atsižvelgiant į duomenų tvarkymo būdą, t.y., ar registracija vykdoma pildant popierinę anketą ar skaitmeniniu būdu (pvz., skenuojant QR kodą ar siunčiant SMS žinutę ir pan.) VDAI rekomenduoja taikyti atitinkamai:

  • popierines korteles / anketas laikyti uždarose dėžutėse;
  • sudarant popierinius sąrašus, uždengti kitų žmonių asmens duomenis;
  • renkant duomenis naudojantis interneto svetaine, užtikrinti, kad joje būtų naudojamas HTTPS protokolas ar kt.; 
  • sunaikinti asmens duomenis nedelsiant suėjus jų saugojimo terminui, t.y., 21 dienai po asmens apslinkymo kavinėje ar renginio dienos;
  • užtikrinti, kad prie surinktų asmens duomenų neprieitų įgaliojimų neturintys darbuotojai ar pašaliniai asmenys ir kt.

Kaip informuoti lankytojus apie jų asmens duomenų tvarkymą?


BDAR 13 str. numato, kad kai iš duomenų subjekto renkami asmens duomenys duomenų valdytojas jų gavimo metu turi duomenų valdytojui pateikti aiškią, glaustą ir lengvai prieinamą informaciją kaip jie yra tvarkomi ir saugomi (įmonės pavadinimas, kontaktai, kokiais tikslais tvarkomi asmens duomenys, informacija, kad asmens duomenys tvarkomi siekiant įvykdyti duomenų valdytojui taikomą teisinę prievolę, kokie asmens duomenys bus tvarkomi, kiek laiko jie bus saugomi ir kt.). Šią informaciją galima pateikti:

  • popieriniame dokumente (pvz., informaciniame pranešime prie įėjimo)
  • elektronine forma (pvz., savo interneto svetainėje, mobiliojoje aplikacijoje ir pan.).

Nepilnamečių asmens duomenų tvarkymo ypatumai


Atskirų reikalavimų nepilnamečių asmens duomenų tvarkymui minėti LR sveikatos apsaugos ministro sprendimai nenumato, todėl, tuo atveju, jei vietose, kurioms taikomi sprendimai, gali lankytis nepilnamečiai asmenys, duomenų valdytojai neturėtų rinkti tėvų ar globėjų sutikimų, siekdami pagrįsti asmens duomenų tvarkymą, nes šiuo atveju duomenų valdytojai, rinkdami nepilnamečių asmens duomenis, vykdo jiems taikomą teisinę prievolę.

Taip pat svarbu pabrėžti, kad, atsižvelgiant į tai, kad vaikams turi būti užtikrinta ypatinga apsauga, duomenų valdytojai turėtų užtikrinti, kad pranešimai apie asmens duomenų tvarkymą būtų suformuluoti vaikui lengvai suprantama, aiškia ir paprasta kalba.

Kitos kavinių ir laisvalaikio bei pramogų vietų pareigos


Atsižvelgiant į tai, kad asmens duomenis kavinės ir laisvalaikio bei pramogų vietos tvarkys nauju tikslu, (COVID-19 ligos (koronaviruso infekcijos) profilaktikos ir kontrolės priemonių įgyvendinimo), atitinkamai turi būti atnaujinti ir jų vidaus dokumentai, t.y.,:

  • Asmens duomenų tvarkymo taisyklės;
  • Duomenų tvarkymo veiklos įrašai.


Sužinoti, kaip atsinaujinti asmens duomenų tvarkymo taisykles ir/ar duomenų tvarkymo veiklos įrašus galite praėję Allaw parengtą BDAR mokymų kursą. Rašykite mums, jeigu Jūsų organizacijai aktualūs tokie mokymai ir reikalinga prisijungimo nuoroda.

Nuorodos


https://vdai.lrv.lt/lt/news/view_item/id.150