Teisėtas duomenų tvarkymas
Asmens duomenų tvarkymui taikomas Bendrasis duomenų apsaugos reglamentas (BDAR). Duomenų tvarkymas yra įvairios automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis atliekamos operacijos, kaip: asmens duomenų rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgavimas, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas.
Duomenų tvarkymo pavyzdžiai: personalo valdymas ir darbo užmokesčio administravimas; klientų asmens dokumentų kopijų rinkimas; prieiga prie kontaktų duomenų bazės, kurioje yra asmens duomenų, ir (arba) galimybė naudotis šia duomenų baze; asmens nuotraukos saugojimas; IP adresų arba ryšio siuntėjo prieigos valdymo (MAC) adresų išgavimas; vaizdo įrašymas (apsauginė vaizdo stebėjimo sistema); ir kt.
Bet koks asmens duomenų tvarkymas laikomas teisėtu tik tuo atveju, jeigu atitinka BDAR nuostatas. Asmens duomenys turėtų būti renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais bei tvarkomi tik tokia apimtimi, kuri yra būtina, atsižvelgiant į nustatytus tikslus, ir tik tuomet, jei asmens duomenų tvarkymo tikslo pagrįstai negalima pasiekti kitomis priemonėmis. Visi asmens duomenys, kurie nėra būtini nustatytam tikslui pasiekti, neturi būti renkami ar tvarkomi.
Gruodžio mėnesį nagrinėtoje LVAT byloje buvo suformuota aiški praktika dėl duomenų tvarkymo teisėtumo (daugiau: https://liteko.teismai.lt/viesasprendimupaieska/tekstas.aspx?id=2962a867-c389-4a4c-8e4a-a862f41af410). Byloje pareiškėjas, kurio atžvilgiu VDAI priėmė nurodymą nerinkti duomenų, duomenų tvarkymo teisėtumą grindė nacionaliniu norminiu teisės aktu – savivaldybės priimtu aprašu. LVAT vertino, ar pareiškėjo tvarkomų asmens duomenų apimtis buvo būtina, atsižvelgiant į nustatytą tikslą ir ar renkami duomenys nebuvo pertekliniai šiam tikslui pasiekti. Įvertinus pareiškėjo faktiškai renkamų asmens duomenų apimtį, nustatyta, jog pareiškėjas rinko ne tik būtinus duomenis, bet ir šiuos duomenis patvirtinančius įrodymus (dokumentus). LVAT išplėstinė teisėjų kolegija, įvertinusi asmens duomenų rinkimo tikslą, šiam tikslui pasiekti pareiškėjo renkamų asmens duomenų apimtį, darė išvadą, kad minėtų įrodymų rinkimas nebuvo būtinas nustatytam tikslui pasiekti. Nagrinėjamu atveju asmens duomenų tvarkymo tikslą buvo galima pasiekti kitomis priemonėmis, nerenkant perteklinių duomenų bei neprašant pateikti papildomų duomenų, skirtų duomenims pagrįsti. Papildomas duomenų rinkimas, konkrečiu atveju, nedarė įtakos duomenų tvarkymo tikslui pasiekti, todėl būtinybės šiuos duomenis rinkti nebuvo. Taigi LVAT priėmė išvadą, kad toks duomenų rinkimas negali būti laikomas teisėtu BDAR nuostatų prasme. Svarbu paminėti, jog nacionaliniame norminiame teisės akte (apraše) nustatytos galimai BDAR normoms prieštaraujančios nuostatos – t. y. apraše nustatyta teisė pareiškėjui tvarkyti tam tikrus asmens duomenis, nesudarė pagrindo nepaisyti BDAR nuostatų bei asmens duomenų tvarkymo principų.
Atitinkamai, visiems subjektams, tvarkantiems asmens duomenis rekomenduojame įsivertinti ar asmens duomenų rinkimui bei tvarkymui yra teisėtas pagrindas (pvz. sutikimas, sutartis ir kt.), bei ar faktiškai įgyvendinant asmens duomenų rinkimą ir tvarkymą, nėra prasilenkiama su BDAR nuostatomis bei asmens duomenų tvarkymo principais. Pavyzdžiui net ir turint sutikimą tvarkyti asmens duomenis, šių duomenų tvarkymas tam tikrais atvejais gali būti pripažintas neteisėtu, jeigu tai nėra būtina duomenų tvarkymo tikslui pasiekti. BDAR taikymo prasme įmonėms neužtenka vien tik pasirengti duomenų tvarkymo politiką ar kitus susijusius dokumentus ir apie juos užmiršti – duomenų tvarkytojai privalo nuolat peržiūrėti faktinį politikos įgyvendinimą ir įsivertinti ar priemonės atitinka tikslus.