Pakomentuoti asmens duomenų rinkimo procesą per pandemiją kreipėmės į Valstybinę duomenų apsaugos inspekciją (toliau – Inspekcija). Jos specialistai atsakė, ar su COVID-19 susijęs asmens duomenų rinkimas ir tvarkymas yra suderinamas su BDAR, taip pat paaiškino, ką reikia žinoti, į ką atkreipti dėmesį pateikiant asmens duomenis per pandemiją to prašantiems subjektams.

Nėra susijusių arba nesusijusių su COVID-19

BDAR nustato taisykles, susijusias su fizinių asmenų apsauga tvarkant jų asmens duomenis. Minėtų taisyklių tikslas yra apsaugoti fizinį asmenį, kai yra tvarkomi jo asmens duomenys, ir kartu užtikrinti laisvą asmens duomenų judėjimą. Pastebėtina, kad BDAR papildomai asmens duomenis išskiria į specialių kategorijų asmens duomenis, t. y., atskleidžiančius rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėse sąjungose, genetinius duomenis, biometrinius duomenis, sveikatos duomenis arba duomenis apie fizinio asmens lytinį gyvenimą ir lytinę orientaciją. Taigi, asmens duomenys oficialiai nėra skirstomi į susijusius su COVID-19 ar nesusijusius.

Rinkti ir tvarkyti su COVID-19 susijusius duomenis galima

BDAR asmens duomenų tvarkymo nedraudžia, tačiau asmens duomenys, nepaisant to, ar jie susiję su COVID-19, ar ne, gali būti tvarkomi, įskaitant rinkimą, teikimą (atskleidimą) ir kt., tik laikantis su asmens duomenų tvarkymu susijusių principų, įtvirtintų BDAR 5 straipsnyje. Be to, ir kai toks asmens duomenų tvarkymas gali būti pagrįstas bent viena teisėto asmens duomenų tvarkymo sąlyga, numatyta BDAR 6 ir 9 straipsniuose, priklausomai nuo tvarkomų asmens duomenų kategorijos, pavyzdžiui, teisės aktų reikalavimų vykdymu, teisėtais interesais, sutikimu ir kt.

Valstybinė duomenų apsaugos inspekcija atkreipia dėmesį, kad jei yra numatyta registracija į renginius, tuomet asmuo gali būti neįleistas į renginį, jeigu nepateiks savo asmens duomenų.

Atsižvelgiant į BDAR 5 straipsnyje nustatytus principus, duomenų valdytojas gali perduoti duomenis kitam subjektui, pirma, tik teisėtu tikslu, antra, tik tuo atveju, jei šis duomenų gavėjas turi teisę gauti prašomus pateikti asmens duomenis, trečia, tik tokia apimtimi, kuri būtina konkrečiam tikslui pasiekti. Tai reiškia, kad duomenų valdytojas, gavęs prašymą pateikti asmens duomenis, visuomet turi įvertinti tiek prašymo pateikti asmens duomenis tikslą, tiek tokio prašymo proporcingumą ir teisėtumą (įskaitant tai, kokia teisėto tvarkymo sąlyga asmens duomenys konkrečiu atveju būtų teikiami). Kitaip tariant, šių principų vykdymas yra duomenų valdytojo pareiga.

Ne visada galima atsisakyti

Pavyzdžiui, jeigu teisės aktai nustato duomenų valdytojams teisinę prievolę rinkti asmens duomenis COVID-19 ligos prevencijos tikslais, tokiu atveju duomenų valdytojas neturi galimybės pasirinkti, ar vykdyti tokią prievolę, ar ne. Tai taip pat reiškia, kad asmens duomenys tvarkomi be duomenų subjekto sutikimo. Taigi kai asmens duomenų tvarkymo prievolę nustato konkretus teisės aktas, duomenų subjekto atsisakymas jam gali sukelti tam tikras pasekmes, pavyzdžiui, jei yra numatyta registracija į renginius, tuomet asmuo gali būti neįleistas į renginį, jeigu nepateiks savo asmens duomenų. Jei asmens duomenų prašo valstybės institucija, nepateikusiam jų asmeniui gali būti taikoma atsakomybė už trukdymą atlikti oficialias funkcijas.

Duomenų valdytojų atsakomybės

Siekiant užtikrinti, kad duomenų valdytojai nepažeistų asmens duomenų tvarkymui keliamų reikalavimų, jie turi užtikrinti, kad:

• rinks ir tvarkys tik tuos asmens duomenis, kuriuos būtina tvarkyti (užtikrins ribotą tvarkomų asmens duomenų apimtį);

• šiuos asmens duomenis tvarkys teisėtu ir aiškiu asmens duomenų tvarkymo tikslu (užtikrins ribotą asmens duomenų naudojimą), pavyzdžiui, šie asmens duomenys negalės būti naudojasi tiesioginei rinkodarai;

• surinktus asmens duomenis saugos nustatytą laikotarpį, pavyzdžiui, teisės akte (o jei nenustatytas – tik tiek, kiek būtina konkrečiam tikslui pasiekti);

• bus užtikrinamas tinkamas asmens duomenų saugumas (įvertinant tiek technines, tiek organizacines priemones), t. y., įvertinti, kas ir kaip asmens duomenis rinks, kur ir kaip jie bus saugomi, kas turės prie jų prieigą, kam jie galės būti perduoti ir t. t.

• asmenims būtų pateikiama aiški informacija apie jų asmens duomenų tvarkymą, kuris bus atliekamas šiame kontekste.

Duomenų valdytojai taip pat turi vykdyti valstybės lygio ekstremaliosios situacijos operacijų vadovo nustatytus reikalavimus ir kartu užtikrinti, kad tvarkant asmens duomenis būtų laikomasi jų tvarkymui keliamų reikalavimų.

Asmens duomenys, nepaisant to, ar jie susiję su COVID-19, ar ne, gali būti tvarkomi tik laikantis su asmens duomenų tvarkymu susijusių principų, įtvirtintų BDAR.

Duomenų valdytojai privalo laikytis su asmens duomenų apsauga susijusių principų (ir sugebėti įrodyti, kad jų laikosi) ir remtis bent viena teisėto asmens duomenų tvarkymo sąlyga. Be to, duomenų valdytojas privalo žinoti ir pagrįsti, kokiais konkrečiais teisės aktais yra vadovaujamasi renkant konkrečius asmens duomenis COVID-19 atveju, kai jis remiasi teisine prievole tvarkyti asmens duomenis.

Informuojame, kad vadovaujantis BDAR 58 straipsnio 2 dalimi, Inspekcija turi teisę įspėti duomenų valdytoją arba duomenų tvarkytoją, pareikšti papeikimus duomenų valdytojui arba duomenų tvarkytojui, teikti nurodymus, nustatyti laikiną arba galutinį duomenų tvarkymo apribojimą, įskaitant tvarkymo draudimą, skirti administracinę baudą. Taikomas priemones (jei jas taiko) Inspekcija pasirenka pagal kiekvieno konkretaus atvejo aplinkybes. Viešojo sektoriaus institucijoms nustatytos konkrečios administracinės baudos Lietuvos Respublikos asmens duomenų apsaugos įstatyme.

Ką pakeitė COVID-19 asmens duomenų klausimu

Mūsų šalis neišsiskiria iš kitų valstybių – visoms rūpi panašūs asmens duomenų ir privatumo apsaugos elementai. Europos duomenų apsaugos valdyba, vienijanti visų ES valstybių narių asmens duomenų apsaugos priežiūros institucijas, tokias kaip Lietuvoje esanti Valstybinė duomenų apsaugos inspekcija, iš karto subūrė priežiūros institucijų atstovų nuotolinę grupę COVID-19 asmens duomenų apsaugos klausimams identifikuoti ir apsispręsti dėl tolesnių veiksmų. Pradėtos rengti nuomonės, kitos metodinės priemonės, pavyzdžiui, kaip įvairios kontaktų atsekimo mobiliosios programėlės, nuotolinis darbas, nuotolinis mokymasis, nuotolinės sveikatos priežiūros paslaugos, klientų registravimas ir kt.